Windows 365 opzioni di distribuzione di rete

  • Articolo

Sono disponibili due opzioni per la distribuzione di rete del servizio Windows 365:

  • Usare una rete ospitata da Microsoft
    • Opzione consigliata.
    • Ideale per la Windows 365 funzionalità SaaS (Software-as-a-Service) di semplicità, affidabilità e scalabilità.
    • Supporta il modello di identità Microsoft Entra join.
    • Nessun requisito per la sottoscrizione o l'esperienza di Azure.
  • Usare le connessioni di rete di Azure
    • Supporta Microsoft Entra modelli di identità join e Microsoft Entra ibridi.

Rete ospitata da Microsoft

Questa opzione è semplice, affidabile e scalabile, offrendo connettività Cloud PC in cui Microsoft fornisce il servizio con un vero approccio SaaS. Con questa opzione, Microsoft:

  • Configura e gestisce completamente l'infrastruttura e i servizi correlati necessari per distribuire PC cloud funzionali agli utenti.
  • Gestisce la rete occupato dai PC cloud.
  • Fornisce un Zero Trust modello allineato al framework di un ambiente EUC (End User Computing). Per altre informazioni, vedere Altre informazioni sugli endpoint nativi del cloud.

L'unica responsabilità del cliente è la configurazione e la gestione dei PC cloud.

Microsoft consiglia ai clienti di usare questa opzione per la distribuzione Windows 365.

Non è necessario inserire le proprie sottoscrizioni di Azure, pianificare, progettare, distribuire o gestire l'infrastruttura. I clienti possono dedicare il proprio team EUC alla gestione delle configurazioni e della sicurezza di Cloud PC da un'unica console di gestione fornita da Intune.

Questa opzione è analoga a fornire a un dipendente un portatile da usare a casa. L'organizzazione non controlla la rete su cui si trova il dispositivo. È possibile controllare completamente il modo in cui il dispositivo Windows è configurato, protetto e come si connette alla rete locale. Con Windows 365, questo controllo è possibile grazie alle configurazioni e ai controlli di sicurezza adattivi end-to-end allineati Zero Trust Security Framework.

Ad esempio, gli utenti possono essere autenticati con controlli adattivi di Microsoft Entra l'accesso condizionale. La connettività aziendale può essere fornita tramite VPN. La sicurezza Internet può usare un gateway Web sicuro (SWG) basato sul cloud. Il vantaggio è che i dispositivi possono essere distribuiti su larga scala in un breve intervallo di tempo quando necessario in una rete resiliente e con larghezza di banda elevata.

Diagramma: opzione di rete ospitata da Microsoft - solo Microsoft Entra join

Questo diagramma mostra la rete ospitata da Microsoft con il PC cloud e la scheda di rete virtuale all'interno di una sottoscrizione gestita da Microsoft.

Diagramma dell'opzione di rete ospitata da Microsoft

Vantaggi dell'opzione di rete ospitata da Microsoft

  • Non è necessaria alcuna sottoscrizione di Azure. Microsoft fornisce e gestisce completamente l'infrastruttura necessaria per il funzionamento del CLOUD PC. Sono necessarie solo le licenze necessarie.
  • Nessun costo aggiuntivo per l'infrastruttura di rete. I costi di Azure per il funzionamento della propria rete virtuale (rete virtuale) e delle appliance virtuali non si applicano. Microsoft si occupa dell'infrastruttura di rete.
  • Non è necessaria alcuna competenza o gestione di rete di Azure. La rete virtuale è completamente gestita da Microsoft.
  • Bassa complessità e distribuzione rapida. La distribuzione è a bassa complessità a causa delle dipendenze minime dagli elementi sul lato cliente.
  • Allineamento zero trust. Il Zero Trust modello di operazione per i segnali utente, endpoint, carico di lavoro e dati viene usato per la verifica anziché applicare l'attendibilità al percorso di rete.
  • Risoluzione dei problemi e operazioni più semplici. È più semplice risolvere e individuare i problemi di rete e adottare la gestione moderna dei dispositivi in base a criteri, controlli di sicurezza e funzionalità di creazione di report predefinite di Intune.

Considerazioni

Prima di usare l'opzione di rete ospitata da Microsoft, esaminare queste considerazioni:

  • Questa opzione non è compatibile con il modello di join ibrido Microsoft Entra. Questa opzione è una distribuzione solo cloud senza connettività all'infrastruttura Active Directory locale Domain Services. Se si dispone di Criteri di gruppo criteri di gestione basati su oggetti che non possono essere convertiti in Intune, questa opzione non è quella giusta per l'utente.
  • Nessun controllo della rete virtuale. La scheda di interfaccia di rete virtuale è gestita da Microsoft. Pertanto, tutti i controlli di rete devono essere implementati nel PC cloud stesso, in modo simile ai dispositivi fisici in uno scenario di lavoro da casa.
  • Nessun accesso diretto alle risorse locali. Per accedere a queste risorse è necessaria una soluzione di accesso privato o VPN. Quando si usano VPN con un PC cloud, usare il tunneling diviso per assicurarsi che il traffico RDP non venga instradato attraverso la VPN.
  • Richiede un modello operativo di gestione nativo del cloud come Intune.
  • La porta 25 è bloccata.
  • Ping/ICMP è bloccato.
  • Le comunicazioni di rete locale tra i PC cloud sono bloccate.
  • Nessuna connettività in ingresso diretta è possibile per i PC cloud.
  • Gli amministratori non possono controllare gli intervalli di indirizzi IP e/o lo spazio degli indirizzi assegnati ai PC cloud. Windows 365 gestisce automaticamente gli indirizzi IP.

Opzione Connessione di rete di Azure

Con l'opzione di distribuzione Connessione di rete di Azure (ANC), si è completamente responsabili della rete virtuale e della relativa configurazione. Se si usa un modello di join ibrido Microsoft Entra, è necessario usare questa opzione di distribuzione. Questa opzione consente di visualizzare le risorse di Azure Directory locali e di personalizzare gli obiettivi di rete e sicurezza, ad esempio:

  • Route del traffico.
  • Porte e protocolli.
  • Active Directory DS e connettività delle applicazioni line-of-business.
  • Connessioni gateway tramite VPN o ExpressRoute.
  • Spazio di indirizzi usato dai PC cloud.
  • Autorizzazioni di comunicazione tra PC cloud.
  • Connessioni RDP dirette ai PC cloud.

Selezionare la rete virtuale da quelle nella sottoscrizione di Azure. Verranno configurati i criteri di provisioning che creano i PC cloud nella rete virtuale. Si gestirà la connettività del PC cloud, inclusi eventuali accessi diretti dalla rete virtuale e dal percorso di accesso a Internet desiderato.

Connessione di rete di Azure supporta due modelli di distribuzione delle identità:

  • Aggiunta a Microsoft Entra
  • Aggiunta a Microsoft Entra ibrido

Aggiunta a Microsoft Entra

Quando si usa Microsoft Entra join, non è necessario creare una connessione dalla rete virtuale alla rete locale. È sufficiente assicurarsi che sia disponibile la connettività Internet in uscita agli endpoint necessari. Tuttavia, potrebbe essere necessario aggiungere una connessione locale per accedere alle risorse che si trovano nei file server e nelle applicazioni locali. È possibile creare la connessione usando ExpressRoute o vpn da sito a sito, ma queste opzioni presentano costi e complessità aggiuntivi.

Per semplicità, quando si usa Microsoft Entra join, è consigliabile usare l'opzione di rete ospitata da Microsoft illustrata in precedenza. In tal caso, è possibile usare una vpn o una soluzione di accesso privato tramite Internet per accedere alle risorse aziendali.

Diagramma: opzione ANC - Microsoft Entra join

Diagramma dell'opzione anc Microsoft Entra join

Aggiunta a Microsoft Entra ibrido

Con Microsoft Entra join ibrido, è necessaria una connessione alla rete locale dalla rete virtuale. L'unico modo per raggiungere l'infrastruttura del controller di dominio disponibile è usare l'opzione di distribuzione ANC. Questa connessione è un componente critico, pertanto è necessario prestare attenzione per garantire affidabilità e ridondanza.

Diagramma: opzione ANC - Microsoft Entra join ibrido

Diagramma dell'opzione anc Microsoft Entra join ibrido

Vantaggi dell'opzione ANC

  • Controllo completo della rete virtuale. La scheda di interfaccia di rete del CLOUD PC si trova all'interno della propria rete virtuale gestita.
  • Diretto line-of-sight all'infrastruttura locale. La rete virtuale può essere configurata con una connessione VPN da sito a sito o ExpressRoute alla rete locale per la connettività diretta all'infrastruttura o ai servizi e alle applicazioni di Azure Directory presenti.
  • Cloud PC funziona come in una posizione locale. L'estensione della rete aziendale alla rete virtuale significa che il CLOUD PC può funzionare come se fosse entro i limiti della rete aziendale.
  • Peering semplice ad altre reti virtuali. Connettività incrociata semplice tra la rete virtuale del PC cloud e altre reti virtuali in Azure. Ciò supporta la connettività diretta ad altre risorse ospitate in Azure usate dall'organizzazione.

Considerazioni

Prima di usare l'opzione di distribuzione ANC, esaminare queste considerazioni:

  • Sottoscrizione di Azure necessaria. La rete virtuale usata in questo scenario si trova nella propria sottoscrizione di Azure. È quindi necessario disporre di una sottoscrizione di Azure e delle licenze necessarie.
  • Costi in uscita. Poiché la rete virtuale è associata al proprio account Azure, vengono addebitati eventuali costi in uscita per la sottoscrizione di Azure.
  • Costi aggiuntivi per l'infrastruttura di rete. I costi di Azure per il funzionamento della propria rete virtuale vengono applicati alla sottoscrizione associata alla rete virtuale.
  • È necessaria l'esperienza o la gestione della rete di Azure. È necessario fornire le competenze e la gestione necessarie per mantenere la rete virtuale.
  • Maggiore complessità. È necessario gestire e gestire la rete, che è un'attività più complessa rispetto all'uso di una rete ospitata da Microsoft.
  • Distribuzione più lunga. La distribuzione è in genere più lunga rispetto all'opzione di rete ospitata da Microsoft. Questo tempo aggiuntivo è causato dal numero elevato di elementi lato cliente che devono essere configurati per primi.
  • Rischio più elevato. Una distribuzione anc è più complessa di una distribuzione di rete ospitata da Microsoft. Questa complessità aumenta il rischio di problemi di connettività.

Opzioni simultanee

La rete ospitata da Microsoft e le opzioni ANC possono essere usate contemporaneamente. Ad esempio, è possibile usare l'opzione ANC per un subset delle distribuzioni con requisiti legacy univoci. Per il resto della distribuzione senza tali requisiti, è possibile usare l'opzione di rete ospitata da Microsoft.

Passaggi successivi

Altre informazioni sul processo di distribuzione.