Megosztás a következőn keresztül:

A Windows 365 hálózatkezelési üzembehelyezési lehetőségei

  • Cikk

A Windows 365 szolgáltatás hálózati üzembe helyezésére két lehetősége van:

  • Microsoft által üzemeltetett hálózat használata
    • Ajánlott beállítás.
    • Ideális a Windows 365 Szolgáltatott szoftver (SaaS) egyszerűségi, megbízhatósági és méretezhetőségi funkcióihoz.
    • Támogatja a Microsoft Entra join identitásmodellt.
    • Nincs követelmény az Azure-előfizetéshez vagy -szakértelemhez.
  • Az Azure Network Connections (ANC) használata
    • Támogatja a Microsoft Entra join és a Microsoft Entra hibrid illesztés identitásmodelljeit is.

Microsoft által üzemeltetett hálózat

Ez a lehetőség egyszerű, megbízható és méretezhető, és felhőalapú PC-kapcsolatot kínál, ahol a Microsoft valódi SaaS-megközelítéssel biztosítja a szolgáltatást. Ezzel a beállítással a Microsoft:

  • Beállítja és teljes mértékben felügyeli a funkcionális felhőbeli számítógépek felhasználók számára történő biztosításához szükséges infrastruktúrát és kapcsolódó szolgáltatásokat.
  • A felhőbeli számítógépek által elfoglalt hálózatot kezeli.
  • A végfelhasználói számítástechnika (EUC) környezetének zéró megbízhatósági keretrendszerhez igazított modelljét biztosítja. További információ: További információ a natív felhőbeli végpontokról.

Az ügyfél felelőssége a felhőbeli számítógépek konfigurálása és felügyelete.

A Microsoft azt javasolja az ügyfeleknek, hogy ezt a lehetőséget használják a Windows 365-beli üzemelő példányukhoz.

Nem kell saját Azure-előfizetése(ke)t használnia, megterveznie, megterveznie, üzembe helyeznie vagy kezelnie az infrastruktúrát. Az ügyfelek az EUC-csapatuknak a felhőalapú PC-konfigurációk és -biztonság kezelésére összpontosíthatnak az Intune által biztosított egyetlen felügyeleti konzolról.

Ez a lehetőség hasonló ahhoz, hogy egy alkalmazottnak laptopot biztosítson otthon. Ön, mint szervezet nem szabályozza azt a hálózatot, amelyen az eszköz található. Teljes mértékben szabályozhatja, hogy a Windows-eszköz hogyan legyen konfigurálva, védve, és hogyan csatlakozik a helyszíni hálózathoz. A Windows 365-ben ez a vezérlő a teljes körű zéró megbízhatóságú biztonsági keretrendszerhez igazított adaptív biztonsági vezérlőknek és konfigurációknak köszönhetően lehetséges.

A felhasználók például a Microsoft Entra feltételes hozzáférés adaptív vezérlőivel hitelesíthetők. A vállalati kapcsolat VPN-en keresztül érhető el. Az internetbiztonság felhőalapú biztonságos webátjárót (SWG) használhat. Ennek az az előnye, hogy az eszközök nagy léptékben, rövid idő alatt üzembe helyezhetők, amikor nagy sávszélességű, rugalmas hálózaton van szükség.

Ábra: A Microsoft által üzemeltetett hálózati lehetőség – Csak a Microsoft Entra-hoz való csatlakozás

Ez az ábra a Microsoft által üzemeltetett hálózatot mutatja be a Microsoft által felügyelt előfizetésben lévő felhőalapú PC-vel és virtuális hálózati kártyával.

A Microsoft által üzemeltetett hálózati beállítás ábrája

A Microsoft által üzemeltetett hálózati lehetőség előnyei

  • Nincs szükség Azure-előfizetésre. A Microsoft biztosítja és teljes mértékben felügyeli a felhőalapú PC működéséhez szükséges infrastruktúrát. Mindössze a szükséges licencekre van szüksége.
  • A hálózati infrastruktúra nem jár további költségekkel. A saját virtuális hálózat (VNet) és a virtuális berendezések üzemeltetésével kapcsolatos Azure-költségek nem vonatkoznak. A Microsoft gondoskodik a hálózati infrastruktúráról.
  • Nincs szükség az Azure hálózatkezelési szakértelméhez vagy felügyeletéhez. A virtuális hálózatot teljes mértékben a Microsoft felügyeli.
  • Alacsony összetettség és gyors üzembe helyezés. Az üzembe helyezés alacsony összetettséget eredményez az ügyféloldali elemek minimális függőségei miatt.
  • Nulla megbízhatósági igazítás. A felhasználó, a végpont, a számítási feladat és az adatjelek működésmegbízhatósági modelljét a rendszer nem a hálózati helyre alkalmazza, hanem az ellenőrzésre.
  • Egyszerűbb hibaelhárítás és műveletek. Egyszerűbben elháríthatja és megállapíthatja a hálózati problémákat, és modern eszközfelügyeletet alkalmazhat az Intune-szabályzatok, a biztonsági vezérlők és a beépített jelentéskészítési képességek alapján.

Megfontolások

A Microsoft által üzemeltetett hálózati beállítás használata előtt tekintse át az alábbi szempontokat:

  • Ez a beállítás nem kompatibilis a Microsoft Entra hibrid csatlakozási modelljével. Ez a lehetőség csak felhőalapú üzemelő példány, és nincs kapcsolat a helyszíni Active Directory Domain Services-infrastruktúrával. Ha olyan csoportházirend-objektumalapú felügyeleti szabályzatokkal rendelkezik, amelyeket nem lehet Intune-ra konvertálni, akkor ez a beállítás nem megfelelő az Ön számára.
  • A virtuális hálózat nincs szabályozva. A virtuális hálózati adapter a Microsoft felügyelete alá tartozik. Ezért minden hálózati vezérlőt magán a felhőalapú számítógépen kell implementálnunk, hasonlóan az otthoni munkavégzéshez készült fizikai eszközökhöz.
  • Nincs közvetlen hozzáférés a helyszíni erőforrásokhoz. Ezeknek az erőforrásoknak a eléréséhez VPN- vagy privát hozzáférési megoldásra van szükség. Ha VPN-eket használ felhőalapú PC-vel, használjon osztott bújtatást annak érdekében, hogy az RDP-forgalom ne a VPN-en keresztül legyen irányítva.
  • Egy natív felhőfelügyeleti műveleti modellt igényel, például az Intune-t.
  • A 25-ös port le van tiltva.
  • A ping/ICMP le van tiltva.
  • A felhőbeli számítógépek közötti helyi hálózati kommunikáció le van tiltva.
  • A felhőbeli számítógépekhez nem lehet közvetlen bejövő kapcsolatot létesíteni.
  • A rendszergazdák nem szabályozhatja a felhőbeli számítógépekhez rendelt IP-címtartományokat és/vagy címtereket. A Windows 365 automatikusan kezeli az IP-címeket.

Azure Hálózati kapcsolat lehetőség

Az Azure Network Connection (ANC) üzembe helyezési lehetőségével teljes mértékben Ön felel a virtuális hálózatért és annak konfigurációjaért. Ha Microsoft Entra hibrid csatlakozási modellt használ, ezt az üzembehelyezési lehetőséget kell használnia. Ezzel a beállítással a helyszíni Azure Directory-erőforrásokat szem előtt lehet látni, és testre szabhatja a hálózati és biztonsági célokat, például:

  • Forgalmi útvonalak.
  • Portok és protokollok.
  • Active Directory DS és üzletági alkalmazáskapcsolatok.
  • VPN-t vagy ExpressRoute-ot használó átjárókapcsolatok.
  • A felhőbeli számítógépek által használt címtér.
  • Kommunikációs engedélyek a felhőbeli számítógépek között.
  • Közvetlen RDP-kapcsolatok felhőbeli számítógépekhez.

Az Azure-előfizetésben lévő virtuális hálózatok közül kell kiválasztania a virtuális hálózatot. Olyan kiépítési szabályzatokat fog konfigurálni, amelyek létrehozzák a felhőbeli számítógépeket a virtuális hálózaton. Kezelni fogja a felhőbeli PC-kapcsolatot, beleértve a virtuális hálózatról érkező közvetlen kimenő forgalmat és a kívánt internetelérési útvonalat.

Az Azure Network Connection két identitás-üzembehelyezési modellt támogat:

  • Microsoft Entra-csatlakozás
  • Microsoft Entra hibrid csatlakozás

Microsoft Entra-csatlakozás

A Microsoft Entra join használatakor nem kell kapcsolatot létrehoznia a virtuális hálózat és a helyszíni hálózat között. Csak győződjön meg arról, hogy kimenő internetkapcsolat van a szükséges végpontokhoz. Előfordulhat azonban, hogy helyszíni kapcsolatot szeretne hozzáadni a helyszíni fájlkiszolgálókon és -alkalmazásokban található erőforrások eléréséhez. A kapcsolatot ExpressRoute-tal vagy helyek közötti VPN-sel is létrehozhatja, de ezek a lehetőségek többletköltséggel és összetettséggel járnak.

Az egyszerűség kedvéért a Microsoft Entra join használata esetén javasoljuk, hogy használja a Microsoft által üzemeltetett hálózat korábban ismertetett beállítását. Ebben az esetben vpn- vagy privát hozzáférési megoldást használhat az interneten keresztül a vállalati erőforrások eléréséhez.

Ábra: ANC-beállítás – Microsoft Entra-csatlakozás

Az ANC Microsoft Entra csatlakoztatási lehetőségének ábrája

Microsoft Entra hibrid csatlakozás

A Microsoft Entra hibrid csatlakoztatása esetén a virtuális hálózatról kapcsolatot kell létesíteni a helyszíni hálózattal. Az ott található tartományvezérlő-infrastruktúra elérésének egyetlen módja az ANC üzembehelyezési lehetőség használata. Ez a kapcsolat kritikus fontosságú összetevő, ezért ügyelni kell a megbízhatóságra és a redundanciára.

Ábra: ANC-beállítás – Hibrid Microsoft Entra-csatlakozás

Az ANC Microsoft Entra hibrid csatlakozási lehetőségének ábrája

Az ANC-beállítás előnyei

  • A virtuális hálózat teljes vezérlése. A felhőalapú számítógép hálózati adaptere a saját felügyelt virtuális hálózatán belül található.
  • Közvetlen látótávolság a helyszíni infrastruktúrához. A virtuális hálózat konfigurálható helyek közötti VPN- vagy ExpressRoute-kapcsolattal a helyszíni hálózathoz az Azure Directory-infrastruktúrához vagy az ott található szolgáltatásokhoz és alkalmazásokhoz való közvetlen kapcsolódáshoz.
  • A felhőalapú számítógép úgy működik, mintha egy helyszíni helyen lenne. A vállalati hálózat virtuális hálózatra való kiterjesztése azt jelenti, hogy a felhőalapú számítógép úgy működhet, mintha a vállalati hálózat határain belül lenne.
  • Egyszerű társviszony létesítése más virtuális hálózatokkal. Egyszerű keresztkapcsolat a felhőalapú PC virtuális hálózat és az Azure más virtuális hálózatai között. Ez támogatja a szervezet által használt más Azure-beli erőforrásokhoz való közvetlen kapcsolódást.

Megfontolások

Az ANC üzembehelyezési lehetőség használata előtt tekintse át az alábbi szempontokat:

  • Azure-előfizetés szükséges. Az ebben a forgatókönyvben használt virtuális hálózat a saját Azure-előfizetésében található. Ezért rendelkeznie kell egy Azure-előfizetéssel és a szükséges licencekkel.
  • Kimenő forgalom költségei. Mivel a virtuális hálózat a saját Azure-fiókjához van társítva, a kimenő forgalom költségei az Azure-előfizetésben merülnek fel.
  • A hálózati infrastruktúra többletköltsége. A saját virtuális hálózat üzemeltetésével kapcsolatos Azure-költségek a virtuális hálózathoz társított előfizetésre vonatkoznak.
  • Az Azure hálózatkezelési szakértelme vagy kezelése szükséges. A virtuális hálózat fenntartásához meg kell adnia a szükséges szakértelmet és felügyeletet.
  • Nagyobb összetettség. A hálózatot kezelnie és karbantartania kell, ami összetettebb feladat, mint a Microsoft által üzemeltetett hálózat használata.
  • Hosszabb üzembe helyezés. Az üzembe helyezés általában hosszabb, mint a Microsoft által üzemeltetett hálózati beállításnál. Ezt a többletidőt az okozza, hogy sok ügyféloldali elemet kell először konfigurálni.
  • Nagyobb kockázat. Az ANC üzemelő példány összetettebb, mint a Microsoft által üzemeltetett hálózati telepítés. Ez az összetettség növeli a csatlakozási problémák kockázatát.

Egyidejű beállítások

A Microsoft által üzemeltetett hálózat és az ANC beállításai egyszerre használhatók. Használhatja például az ANC lehetőséget az üzemelő példányok egy részhalmazához, amelyek egyedi örökölt követelményekkel rendelkeznek. A többi, ezen követelmények nélküli üzemelő példány esetében használhatja a Microsoft által üzemeltetett hálózati lehetőséget.

Következő lépések

További információ az üzembe helyezési folyamatról.