Risolvere i problemi relativi alle connessioni di rete di Azure

La connessione di rete di Azure controlla periodicamente l'ambiente per assicurarsi che tutti i requisiti siano soddisfatti e siano in uno stato integro. Se un controllo non riesce, è possibile visualizzare i messaggi di errore nell'interfaccia di amministrazione Microsoft Intune. Questa guida contiene altre istruzioni per la risoluzione dei problemi che possono causare l'esito negativo dei controlli.

Aggiunta al dominio active directory

Quando viene effettuato il provisioning di un PC cloud, viene aggiunto automaticamente al dominio fornito. Per testare il processo di aggiunta al dominio, viene creato un oggetto computer di dominio nell'unità organizzativa definita con un nome simile a "CPC-Hth" ogni volta che vengono eseguiti i controlli di integrità Windows 365. Questi oggetti computer vengono disabilitati al termine del controllo di integrità. L'errore di aggiunta al dominio active directory può verificarsi per molti motivi. Se l'aggiunta al dominio non riesce, assicurarsi che:

• L'utente di aggiunta al dominio dispone di autorizzazioni sufficienti per l'aggiunta al dominio specificato.
• L'utente di aggiunta al dominio può scrivere nell'unità organizzativa specificata.
• L'utente di aggiunta al dominio non è limitato nel numero di computer a cui può partecipare. Ad esempio, il numero massimo predefinito di join per utente è 10 e questo massimo può influire sul provisioning di Cloud PC.
• La subnet usata può raggiungere un controller di dominio.
• Si testa Add-Computer usando le credenziali di aggiunta al dominio in una macchina virtuale connessa alla rete virtuale/subnet del PC cloud.
• È possibile risolvere i problemi relativi agli errori di aggiunta al dominio, ad esempio qualsiasi computer fisico dell'organizzazione.
• Se si dispone di un nome di dominio che può essere risolto in Internet (ad esempio contoso.com), assicurarsi che i server DNS siano configurati come interni. Assicurarsi inoltre di poter risolvere i record DNS di dominio Active Directory e non il nome di dominio pubblico.

Sincronizzazione del dispositivo Microsoft Entra

Prima che la registrazione MDM possa essere eseguita durante il provisioning, è necessario che sia presente un oggetto ID Microsoft Entra per il CLOUD PC. Questo controllo ha lo scopo di assicurarsi che gli account computer dell'organizzazione vengano sincronizzati con Microsoft Entra ID in modo tempestivo.

Assicurarsi che gli oggetti computer Microsoft Entra vengano visualizzati rapidamente nell'ID Microsoft Entra. È consigliabile entro 30 minuti e non più di 60 minuti. Se l'oggetto computer non arriva nell Microsoft Entra ID entro 90 minuti, il provisioning non riesce.

Se il provisioning non riesce, assicurarsi che:

• La configurazione del periodo di sincronizzazione in Microsoft Entra ID è impostata in modo appropriato. Rivolgersi al team di gestione delle identità per assicurarsi che la directory venga sincronizzata abbastanza velocemente.
• L'ID Microsoft Entra è attivo e integro.
• Microsoft Entra Connect è in esecuzione correttamente e non si verificano problemi con il server di sincronizzazione.
• Si esegue manualmente un Add-Computer nell'unità organizzativa fornita per i PC cloud. Tempo necessario affinché l'oggetto computer venga visualizzato nell Microsoft Entra ID.

Utilizzo dell'intervallo di indirizzi IP della subnet di Azure

Come parte della configurazione anc, si fornisce una subnet. Questa subnet viene usata per tutti i PC cloud durante il processo di provisioning. Ogni PC cloud, il provisioning, crea una scheda di interfaccia di rete virtuale e usa un indirizzo IP dalla subnet.

Assicurarsi che sia disponibile un'allocazione di indirizzi IP sufficiente per il volume di PC cloud di cui si prevede il provisioning. Pianificare inoltre spazio di indirizzi sufficiente per gli errori di provisioning e il potenziale ripristino di emergenza.

Se il controllo non riesce, assicurarsi che:

• Controllare la subnet in Azure Rete virtuale. Deve disporre di spazio indirizzi sufficiente.
• Sono disponibili indirizzi sufficienti per gestire tre tentativi di provisioning, ognuno dei quali può contenere gli indirizzi di rete usati per alcune ore.
• È possibile pulire eventuali VNIC e indirizzi IP inutilizzati. È consigliabile usare una subnet dedicata per i PC cloud solo per assicurarsi che nessun altro servizio stia mangiando l'allocazione.
• Espandere la subnet per rendere disponibili altri indirizzi.

Idoneità del tenant di Azure

Quando vengono eseguiti controlli, si verifica che la sottoscrizione di Azure fornita sia valida e integra. Se non è valido e integro, non è possibile connettere i PC cloud alla rete virtuale durante il provisioning. Problemi come i problemi di fatturazione possono causare la disabilitazione delle sottoscrizioni.

Molte organizzazioni usano i criteri di Azure per assicurarsi che il provisioning delle risorse venga eseguito solo in determinate aree e servizi. È necessario assicurarsi che tutti i criteri di Azure abbiano considerato il servizio Cloud PC e le aree supportate.

Accedere al portale di Azure e assicurarsi che la sottoscrizione di Azure sia abilitata, valida e integra.

Inoltre, visitare il portale di Azure e visualizzare i criteri. Assicurarsi che non siano presenti criteri che bloccano la creazione delle risorse.

Idoneità per la rete virtuale di Azure

Quando si crea un anc, viene bloccato l'uso di qualsiasi rete virtuale che si trova in un'area non supportata. Per un elenco delle aree supportate, vedere Requisiti.

Se il controllo non riesce, assicurarsi che la rete virtuale specificata si trova in un'area nell'elenco delle aree supportate.

DNS può risolvere il dominio di Active Directory

Per Windows 365 eseguire correttamente un'aggiunta al dominio, i PC cloud collegati alla rete virtuale fornita devono essere in grado di risolvere i nomi DNS interni.

Questo test tenta di risolvere il nome di dominio specificato. Ad esempio, contoso.com o contoso.local. Se il test ha esito negativo, assicurarsi che:

• I server DNS nella rete virtuale di Azure sono configurati correttamente in un server DNS interno in grado di risolvere correttamente il nome di dominio.
• La subnet/rete virtuale viene instradata correttamente in modo che il PC cloud possa raggiungere il server DNS fornito.
• I PC cloud/macchine virtuali nella subnet dichiarata possono NSLOOKUP nel server DNS e rispondono con nomi interni.

Insieme alla ricerca DNS standard sul nome di dominio fornito, viene anche verificato l'esistenza di record _ldap._tcp.yourDomain.com. Questo record indica che il server DNS fornito è un controller di dominio Active Directory. Il record è un modo affidabile per verificare che DNS del dominio DI Active Directory sia raggiungibile. Assicurarsi che questi record siano accessibili tramite la rete virtuale fornita nella connessione di rete di Azure.

Connettività degli endpoint

Durante il provisioning, i PC cloud devono connettersi a più servizi Microsoft disponibili pubblicamente. Questi servizi includono Microsoft Intune, ID Microsoft Entra e Desktop virtuale Azure.

È necessario assicurarsi che tutti gli endpoint pubblici necessari possano essere raggiunti dalla subnet usata dai PC cloud.

Se il test ha esito negativo, assicurarsi che:

• Usare gli strumenti di risoluzione dei problemi di Azure Rete virtuale per assicurarsi che la rete virtuale/subnet fornita possa raggiungere gli endpoint di servizio elencati nel documento.
• Il server DNS fornito può risolvere correttamente i servizi esterni.
• Non è disponibile alcun proxy tra la subnet del PC cloud e Internet.
• Non sono presenti regole del firewall (fisiche, virtuali o in Windows) che potrebbero bloccare il traffico richiesto.
• È consigliabile testare gli endpoint di una macchina virtuale nella stessa subnet dichiarata per i PC cloud.

Ambiente e configurazione pronti

Questo controllo viene usato per molti problemi correlati all'infrastruttura che potrebbero essere correlati all'infrastruttura di cui sono responsabili i clienti. Può includere errori come timeout del servizio interno o errori causati dai clienti che eliminano o modificano le risorse di Azure durante l'esecuzione dei controlli.

È consigliabile ripetere i controlli se si verifica questo errore. Se persiste, contattare il supporto tecnico per assistenza.

Autorizzazioni per app di prima parte

Quando si crea un anc, la procedura guidata concede un determinato livello di autorizzazioni per il gruppo di risorse e la sottoscrizione. Queste autorizzazioni consentono al servizio di effettuare il provisioning uniforme dei PC cloud.

Queste autorizzazioni possono essere visualizzate e modificate dagli amministratori di Azure che detengono tali autorizzazioni.

Se una di queste autorizzazioni viene revocata, il controllo non riesce. Assicurarsi che all'entità servizio dell'applicazione Windows 365 siano concesse le autorizzazioni seguenti:

• Ruolo lettore nella sottoscrizione di Azure.
• Ruolo Collaboratore interfaccia di rete Windows365 nel gruppo di risorse specificato.
• Ruolo utente di rete Windows365 nella rete virtuale.

L'assegnazione di ruolo nella sottoscrizione viene concessa all'entità servizio Cloud PC.

Assicurarsi inoltre che le autorizzazioni non siano state concesse come ruoli di amministratore della sottoscrizione classica o "Ruoli (versione classica)". Questo ruolo non è sufficiente. Deve essere uno dei ruoli predefiniti del controllo degli accessi in base al ruolo di Azure elencati in precedenza.

Passaggi successivi

Informazioni sui controlli di integrità anc.