Overzicht van Azure-netwerkverbindingen
Een Azure-netwerkverbinding (ANC) is een object in het Microsoft Intune-beheercentrum dat cloud-pc-inrichtingsprofielen voorziet van de vereiste informatie om verbinding te maken met netwerkresources. ANC's worden gebruikt:
- Wanneer een cloud-pc in eerste instantie wordt ingericht.
- Wanneer Windows 365 regelmatig de verbinding met de on-premises infrastructuur controleert om de beste eindgebruikerservaring te garanderen.
Typen netwerkverbindingen
Er zijn twee soorten ANC's op basis van hun jointype. Met beide kunt u verkeer en cloud-pc-toegang tot netwerkresources beheren, maar ze hebben verschillende connectiviteitsvereisten.
- Microsoft Entra deelnemen: hiervoor is geen verbinding met een ad-domein (Windows Server Active Directory) vereist.
- Hybrid Microsoft Entra Join: vereist connectiviteit met een Windows Server AD domein. U moet de AD-domeingegevens opgeven wanneer u de ANC maakt.
Bevoorrading
Wanneer een cloud-pc wordt ingericht, wordt de informatie in de ANC gebruikt door het inrichtingsbeleid om de cloud-pc in te richten in het Azure-subnet. De vereiste informatie in een ANC omvat:
- Netwerkdetails: het Azure-abonnement, de resourcegroep, het virtuele netwerk en het subnet dat moet worden gekoppeld aan de cloud-pc. Wanneer een inrichtingsbeleid wordt uitgevoerd, wordt er een cloud-pc gemaakt in het door Microsoft gehoste Azure-abonnement. Als u verbinding wilt maken met het on-premises netwerk van een klant, wordt een virtuele netwerkinterfacekaart (vNic) geïnjecteerd in een door de klant geleverd virtueel Azure-netwerk (vNet). Voor het maken van deze vNic moet Windows 365 voldoende toegang hebben tot een Azure-abonnement.
- Active Directory-domein: het Active Directory-domein waaraan moet worden toegevoegd, een organisatie-eenheid (OE)-doel voor het computerobject en Active Directory-gebruikersreferenties met voldoende machtigingen om de domeindeelname uit te voeren. Wanneer een inrichtingsbeleid wordt uitgevoerd, wordt de cloud-pc toegevoegd aan dit Active Directory-domein. De referenties worden veilig opgeslagen in de Windows 365-service.
Tijdens het inrichten wordt de cloud-pc verbonden met het Azure-subnet en toegevoegd aan een domein (Windows Server Active Directory of Microsoft Entra ID). Dit proces resulteert in een cloud-pc die:
- Op uw netwerk.
- Geregistreerd bij Microsoft Entra ID.
- Ingeschreven bij Microsoft Intune.
- Klaar om aanmeldingsaanvragen van gebruikers te accepteren.
De ANC-instellingen worden alleen toegepast op de cloud-pc op het moment van inrichten.
Alternatieve ANC's
Om het inrichten van cloud-pc's betrouwbaarder te maken in het zeldzame geval van capaciteitsbeperkingen in een regio, kunt u alternatieve ANC's toewijzen aan een inrichtingsbeleid. U kunt de prioriteitsvolgorde definiëren van de ANC's die door het beleid worden gebruikt. Als de eerste ANC niet beschikbaar is, gebruikt het beleid automatisch de tweede ANC in de lijst met prioriteiten. Als de tweede niet beschikbaar is, gaat deze verder met de volgende, enzovoort. Met dit proces kunnen beheerders meerdere ANC's in verschillende Azure-regio's voorbereiden, waardoor de inrichting betrouwbaarder wordt. U hoeft niet meerdere ANC's te gebruiken. Zie Inrichtingsbeleid maken voor meer informatie over het gebruik van alternatieve ANC's bij het maken van uw inrichtingsbeleid.
Eerste statuscontrole
De informatie in het ANC wordt gebruikt om een cloud-pc in te richten. Voor een geslaagde inrichting moeten de resources waarnaar wordt verwezen in het ANC in orde en toegankelijk zijn. Nadat een ANC-object is gemaakt, controleert Windows 365 het volgende:
- De objecten waarnaar wordt verwezen door de ANC zijn in orde.
- Connections kunnen worden gemaakt op deze objecten.
Deze statuscontroles maken gebruik van de ANC-informatie die is verstrekt om een cloud-pc in te richten. Zie Statuscontroles van Azure-netwerkverbindingen voor een volledige lijst met controles.
Terwijl deze eerste ANC-statuscontrole bezig is, kunt u deze niet toewijzen aan een inrichtingsbeleid. Nadat de statuscontrole is voltooid en geslaagd, kan de ANC worden toegewezen aan een of meer inrichtingsbeleidsregels.
Periodieke statuscontroles
Na het inrichten wordt de informatie in een ANC ook gebruikt voor het bewaken van:
- de verbindingsstatus tussen uw netwerkresources
- de cloud-pc die wordt gehost in het door Microsoft gehoste abonnement
Windows 365 meldt configuratieproblemen die kunnen leiden tot inrichtingsfouten of slechte ervaringen van eindgebruikers. Deze bewaking vermindert uw beheeroverhead. Zie Statuscontroles van Azure-netwerkverbindingen voor meer informatie over deze periodieke controles.
Frequentie van statuscontrole
ANC-controles worden één keer per één tot zes uur uitgevoerd.
De uitgebreide, end-to-end statuscontrole kan maximaal 30 minuten duren. De statuscontroles worden uitgevoerd op een tijdelijke virtuele Azure-machine die automatisch speciaal voor dit doel wordt gemaakt. Deze virtuele machine wordt automatisch gemaakt en verwijderd wanneer de statuscontroles zijn voltooid. De virtuele machine is verbonden met het opgegeven vNet en er worden controles uitgevoerd om te controleren of het inrichten moet slagen.
Nadat een controle is voltooid, worden de resultaten gepost in het deelvenster Azure-netwerkverbinding van het Microsoft Intune-beheercentrum. Zie Statuscontroles van Azure-netwerkverbindingen voor meer informatie over de controleresultaten.
Statuscontrole opnieuw proberen
Als u handmatig een volledige statuscontrole wilt activeren, meldt u zich aan bij het Microsoft Intune-beheercentrum en selecteert u Apparaten>Windows 365 (onder Inrichten)>Azure-netwerkverbinding een Azure-netwerkverbinding >>opnieuw proberen.
Vereiste machtigingen voor Azure-netwerkverbindingen
De ANC-wizard vereist toegang tot Azure en, optioneel, on-premises domeinresources. De volgende machtigingen zijn vereist voor de ANC:
- Intune beheerdersrol of Windows 365 administrator.
- Een Active Directory-gebruikersaccount met voldoende machtigingen om het AD-domein toe te voegen aan deze organisatie-eenheid (Microsoft Entra alleen hybride gekoppelde ANC's).
Als u een ANC wilt maken of bewerken, moet u ten minste de rol Abonnementslezer hebben in het Azure-abonnement waar het VNET dat is gekoppeld aan de ANC zich bevond.
Zie Windows 365 vereisten voor een volledige lijst met vereisten.
Een Azure-netwerkverbinding wijzigen
Het wijzigen van de instellingen in een ANC heeft geen invloed op cloud-pc's die eerder zijn ingericht met die ANC. Alleen cloud-pc's die zijn ingericht na de wijzigingen in het ANC weerspiegelen dergelijke latere wijzigingen.
Als u de anc-gerelateerde instellingen op een eerder ingerichte cloud-pc wilt wijzigen, moet u de cloud-pc opnieuw inrichten. Het opnieuw inrichten is een destructieve actie, dus zorg ervoor dat het een actie is die u echt wilt ondernemen. Zie opnieuw inrichten voor meer informatie.
Een Azure-netwerkverbinding verwijderen
U kunt een ANC die in gebruik is, niet verwijderen. Voordat het object kan worden verwijderd, moet u een van de volgende acties uitvoeren voor elk inrichtingsbeleid dat gebruikmaakt van deze ANC:
- Wijzig het beleid om een andere ANC te gebruiken.
- Verwijder het beleid. Een Azure-netwerkverbinding verwijderen voor meer informatie.
Nadat u een van deze bewerkingen hebt voltooid, kunt u de ANC verwijderen.
Maximum aantal Azure-netwerkverbindingen
Elke tenant heeft een limiet van 10 Azure-netwerkverbindingen. Als uw organisatie meer dan 10 Azure-netwerkverbindingen nodig heeft, neemt u contact op met de ondersteuning.
Inactieve ANC's
ANC's die gedurende een bepaalde periode niet worden gebruikt, worden inactief. Inactieve ANC's onderbreken het uitvoeren van statuscontroles en kunnen pas aan een inrichtingsbeleid worden toegewezen als de ANC opnieuw is geactiveerd en de statuscontroles zijn voltooid.
Gebruikersaanmelding
Wanneer gebruikers zich proberen aan te melden bij hun cloud-pc, vindt gebruikersverificatie plaats.
Voor Microsoft Entra hybride gekoppelde ANC's wordt de ANC gebruikt om de verificatieaanvraag naar uw domeincontrollers te routeren. Als de ANC of de netwerkverbinding met uw domein niet in orde is, kan de gebruiker zich niet aanmelden. Referenties in windows-cache kunnen niet worden gebruikt via het extern bureaublad-kanaal, dus de beschikbaarheid van de domeincontroller is essentieel. Zorg ervoor dat uw netwerk stabiel is of plaats een domeincontrollerserver op hetzelfde subnet als uw cloud-pc's.
Voor Microsoft Entra join-ANC's wordt de ANC gebruikt om de verificatieaanvraag naar Microsoft Entra ID te routeren. Referenties in windows-cache kunnen niet worden gebruikt via het extern bureaublad-kanaal, dus de verbinding met Microsoft Entra ID is essentieel.