Panoramica della connessione di rete di Azure
Una connessione di rete di Azure (ANC) è un oggetto nell'interfaccia di amministrazione Microsoft Intune che fornisce ai profili di provisioning di Cloud PC le informazioni necessarie per connettersi alle risorse basate sulla rete. Vengono usati gli ANC:
- Quando viene inizialmente effettuato il provisioning di un PC cloud.
- Quando Windows 365 verifica periodicamente la connessione all'infrastruttura locale per garantire la migliore esperienza utente finale.
Tipi di connessione di rete
Esistono due tipi di anc in base al tipo di join. Entrambi consentono di gestire il traffico e l'accesso di Cloud PC alle risorse basate sulla rete, ma hanno requisiti di connettività diversi.
- Microsoft Entra aggiunta: non richiede la connettività a un dominio Windows Server Active Directory (AD).
- Aggiunta Microsoft Entra ibrida: richiede la connettività a un dominio Windows Server AD. Quando si crea l'ANC, è necessario specificare i dettagli del dominio di Active Directory.
Provisioning
Quando viene effettuato il provisioning di un PC cloud, le informazioni nell'ANC vengono usate dai criteri di provisioning per effettuare il provisioning del PC cloud nella subnet di Azure. Le informazioni necessarie in un anc includono:
- Dettagli di rete: sottoscrizione di Azure, gruppo di risorse, rete virtuale e subnet a cui verrà associato il PC cloud. Quando viene eseguito un criterio di provisioning, crea un PC cloud nella sottoscrizione di Azure ospitata da Microsoft. Per connettersi alla rete locale di un cliente, una scheda di interfaccia di rete virtuale (vNic) viene inserita in una rete virtuale (vNet) di Azure fornita dal cliente. Per creare questa scheda di interfaccia di rete virtuale, Windows 365 richiede un accesso sufficiente a una sottoscrizione di Azure.
- Dominio active directory: il dominio di Active Directory a cui aggiungere, una destinazione unità organizzativa (OU) per l'oggetto computer e le credenziali utente di Active Directory con autorizzazioni sufficienti per eseguire l'aggiunta al dominio. Quando viene eseguito un criterio di provisioning, il PC cloud viene aggiunto a questo dominio di Active Directory. Le credenziali verranno archiviate in modo sicuro nel servizio Windows 365.
Durante il provisioning, il PC cloud è connesso alla subnet di Azure e aggiunto a un dominio (Windows Server Active Directory o MICROSOFT ENTRA ID). Questo processo comporta un PC cloud che è:
- Nella rete.
- Registrato nell'ID Microsoft Entra.
- Registrato in Microsoft Intune.
- Pronto per accettare le richieste di accesso utente.
Le impostazioni anc vengono applicate al PC cloud solo al momento del provisioning.
ANC alternativi
Per rendere più affidabile il provisioning dei PC cloud nel raro caso di vincoli di capacità in un'area, è possibile assegnare anc alternativi a un criterio di provisioning. È possibile definire l'ordine di priorità degli ANC che verranno usati dai criteri. Se il primo ANC non è disponibile, il criterio userà automaticamente il secondo anc nell'elenco delle priorità. Se il secondo non è disponibile, passa al successivo e così via. Ciò consente agli amministratori di preparare più anc in diverse aree di Azure, rendendo il provisioning più affidabile. Non è necessario usare più ANC. Per altre informazioni sull'uso di anc alternativi durante la creazione dei criteri di provisioning, vedere Creare criteri di provisioning.
Primo controllo di integrità
Le informazioni incluse nell'ANC vengono usate per effettuare il provisioning di un PC cloud. Affinché il provisioning abbia esito positivo, le risorse a cui viene fatto riferimento nell'ANC devono essere integre e accessibili. Dopo aver creato un oggetto ANC, Windows 365 verifica quanto segue:
- Gli oggetti a cui fa riferimento l'ANC sono integri.
- È possibile creare connessioni a questi oggetti.
Questi controlli di integrità usano le informazioni anc fornite per effettuare il provisioning di un PC cloud. Per un elenco completo dei controlli, vedere Controlli di integrità della connessione di rete di Azure.
Anche se questo primo controllo dell'integrità anc è in corso, non è possibile assegnarlo a un criterio di provisioning. Dopo aver completato e completato il controllo di integrità, l'ANC può essere assegnato a uno o più criteri di provisioning.
Controlli periodici dell'integrità
Dopo il provisioning, le informazioni in un anc vengono usate anche per monitorare:
- integrità della connessione tra le risorse basate sulla rete
- Cloud PC ospitato nella sottoscrizione ospitata da Microsoft
Windows 365 segnalano problemi di configurazione che possono causare errori di provisioning o esperienze utente finale scarse. Questo monitoraggio riduce il sovraccarico di gestione. Per altre informazioni su questi controlli periodici, vedere Controlli di integrità della connessione di rete di Azure.
Frequenza dei controlli di integrità
I controlli ANC vengono eseguiti una volta ogni una o sei ore.
Il controllo completo dell'integrità end-to-end può richiedere fino a 30 minuti. I controlli di integrità vengono eseguiti in una macchina virtuale di Azure temporanea creata automaticamente a questo scopo. Questa macchina virtuale viene creata automaticamente ed eliminata al termine dei controlli di integrità. La macchina virtuale è connessa alla rete virtuale specificata e vengono eseguiti controlli per garantire la corretta esecuzione del provisioning.
Al termine di un controllo, i risultati vengono pubblicati nel riquadro connessione di rete di Azure dell'interfaccia di amministrazione di Microsoft Intune. Per informazioni sui risultati del controllo, vedere Controlli di integrità delle connessioni di rete di Azure.
Riprovare a controllare l'integrità
Per attivare manualmente un controllo di integrità completo, accedere all'interfaccia di amministrazione Microsoft Intune, selezionare Dispositivi>Windows 365 (in Provisioning)>Connessione> di rete di Azure selezionare un nuovo tentativo di connessione > di rete di Azure.
Autorizzazioni necessarie per le connessioni di rete di Azure
La procedura guidata anc richiede l'accesso ad Azure e, facoltativamente, alle risorse di dominio locali. Per l'ANC sono necessarie le autorizzazioni seguenti:
- Intune ruolo Amministratore, Amministratore Windows 365 o Amministratore globale.
- Un account utente di Active Directory con autorizzazioni sufficienti per aggiungere il dominio DI Active Directory a questa unità organizzativa (Microsoft Entra solo anc di aggiunta ibrida).
Per creare o modificare un anc, è necessario avere almeno il ruolo Lettore di sottoscrizioni nella sottoscrizione di Azure in cui si trovava la rete virtuale associata all'ANC.
Per un elenco completo dei requisiti, vedere requisiti di Windows 365.
Modifica di una connessione di rete di Azure
La modifica delle impostazioni in un anc non influirà sui PC cloud di cui è stato effettuato il provisioning in precedenza con tale ANC. Solo i PC cloud di cui è stato effettuato il provisioning dopo le modifiche apportate all'ANC rifletteranno tali modifiche successive.
Se si desidera modificare le impostazioni correlate all'ANC in un PC cloud di cui è stato effettuato il provisioning precedente, è necessario effettuare di nuovo il provisioning del PC cloud. Il reprovisioning è un'azione distruttiva, quindi assicurati che si tratti di un'azione che vuoi davvero intraprendere. Per altre informazioni, vedere Reprovisioning.For more information, see reprovisioning.
Eliminare una connessione di rete di Azure
Non è possibile eliminare un anc in uso. Prima di poter eliminare l'oggetto, è necessario eseguire una delle azioni seguenti per ogni criterio di provisioning che usa questo ANC:
- Modificare i criteri per usare un anc diverso.
- Eliminare i criteri. Per altre informazioni, eliminare una connessione di rete di Azure.
Dopo aver completato una di queste operazioni, è possibile eliminare l'ANC.
Numero massimo di connessioni di rete di Azure
Ogni tenant ha un limite di 10 connessioni di rete di Azure. Se l'organizzazione necessita di più di 10 connessioni di rete di Azure, contattare il supporto tecnico.
Accesso utente
Quando gli utenti tentano di accedere al PC cloud, viene eseguita l'autenticazione utente.
Per Microsoft Entra anc di join ibrido, l'ANC viene usato per instradare la richiesta di autenticazione ai controller di dominio. Se l'ANC o la connessione di rete al dominio non è integra, l'accesso utente non può verificarsi. Le credenziali memorizzate nella cache di Windows non possono essere usate sul canale desktop remoto, quindi la disponibilità del controller di dominio è fondamentale. Verificare che la rete sia stabile o posizionare un server controller di dominio nella stessa subnet dei PC cloud.
Per Microsoft Entra join anc, l'ANC viene usato per instradare la richiesta di autenticazione all Microsoft Entra ID. Le credenziali memorizzate nella cache di Windows non possono essere usate sul canale desktop remoto, quindi la connettività all Microsoft Entra ID è fondamentale.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per