Delen via

Windows 365 netwerkimplementatieopties

  • Artikel

U hebt twee opties voor netwerkimplementatie van de Windows 365-service:

  • Een door Microsoft gehost netwerk gebruiken
    • Aanbevolen optie.
    • Ideaal voor de Windows 365 SaaS-functies (Software-as-a-Service) van eenvoud, betrouwbaarheid en schaalbaarheid.
    • Ondersteunt het Microsoft Entra join-identiteitsmodel.
    • Geen azure-abonnement of expertise vereist.
  • Azure-netwerkverbindingen (ANC) gebruiken
    • Ondersteunt zowel Microsoft Entra join- als Microsoft Entra hybrid join-identiteitsmodellen.

Door Microsoft gehost netwerk

Deze optie is eenvoudig, betrouwbaar en schaalbaar en biedt cloud-pc-connectiviteit, waarbij Microsoft de service levert in een echte SaaS-benadering. Met deze optie doet Microsoft het volgende:

  • Hiermee worden de infrastructuur en gerelateerde services ingesteld en volledig beheerd die nodig zijn om functionele cloud-pc's aan uw gebruikers te leveren.
  • Beheert het netwerk dat de cloud-pc's in beslag nemen.
  • Biedt een Zero Trust Framework-uitgelijnd model van een EUC-omgeving (End User Computing). Zie Meer informatie over cloudeigen eindpunten voor meer informatie.

De enige verantwoordelijkheid van de klant is de configuratie en het beheer van de cloud-pc's.

Microsoft raadt klanten aan deze optie te gebruiken voor hun Windows 365 implementatie.

U hoeft niet uw eigen Azure-abonnement(en) mee te nemen, de infrastructuur te plannen, te ontwerpen, te implementeren of te beheren. Klanten kunnen hun EUC-team wijden aan het beheren van cloud-pc-configuraties en -beveiliging vanuit één beheerconsole van Intune.

Deze optie is vergelijkbaar met het verstrekken van een laptop aan een werknemer om thuis te gebruiken. U als organisatie beheert niet het netwerk waarop het apparaat zich bevindt. U bepaalt volledig hoe het Windows-apparaat is geconfigureerd, beveiligd en hoe het verbinding maakt met uw on-premises netwerk. Met Windows 365 is dit besturingselement mogelijk dankzij de end-to-end Zero Trust Security Framework-afgestemde adaptieve beveiligingsbesturingselementen en -configuraties.

Gebruikers kunnen bijvoorbeeld worden geverifieerd met adaptieve besturingselementen van Microsoft Entra Voorwaardelijke toegang. Zakelijke connectiviteit kan worden geleverd met behulp van VPN. Internetbeveiliging kan gebruikmaken van een cloudgebaseerde beveiligde webgateway (SWG). Het voordeel is dat apparaten in een korte periode op schaal kunnen worden geïmplementeerd wanneer dat nodig is op een flexibel netwerk met hoge bandbreedte.

Diagram: Door Microsoft gehoste netwerkoptie - alleen Microsoft Entra deelnemen

In dit diagram ziet u het door Microsoft gehoste netwerk met de cloud-pc en virtuele netwerkkaart binnen een abonnement dat wordt beheerd door Microsoft.

Diagram van door Microsoft gehoste netwerkoptie

Voordelen van de door Microsoft gehoste netwerkoptie

  • Er is geen Azure-abonnement vereist. Microsoft biedt en beheert de infrastructuur die nodig is om de cloud-pc te laten werken. U hebt alleen de vereiste licenties nodig.
  • Geen extra kosten voor netwerkinfrastructuur. De Azure-kosten voor het gebruik van uw eigen virtuele netwerk (VNet) en virtuele apparaten zijn niet van toepassing. Microsoft zorgt voor de netwerkinfrastructuur.
  • Er is geen Azure-netwerkexpertise of -beheer vereist. Het VNet wordt volledig beheerd door Microsoft.
  • Lage complexiteit en snelle implementatie. Er is een lage complexiteit bij het implementeren vanwege minimale afhankelijkheden van elementen aan de klantzijde.
  • Geen vertrouwensuitlijning. Het Zero Trust bewerkingsmodel voor gebruikers-, eindpunt-, workload- en gegevenssignalen wordt gebruikt voor verificatie in plaats van vertrouwen toe te passen op de netwerklocatie.
  • Eenvoudigere probleemoplossing en bewerkingen. Het is eenvoudiger om netwerkproblemen op te lossen en vast te stellen en modern apparaatbeheer te implementeren op basis van Intune-beleid, beveiligingscontroles en ingebouwde rapportagemogelijkheden.

Overwegingen

Bekijk de volgende overwegingen voordat u de door Microsoft gehoste netwerkoptie gebruikt:

  • Deze optie is niet compatibel met het Microsoft Entra hybride joinmodel. Deze optie is een cloudimplementatie zonder verbinding met on-premises Active Directory Domeinservices infrastructuur. Als u groepsbeleid op object gebaseerd beheerbeleid hebt dat niet naar Intune kan worden geconverteerd, is deze optie niet de juiste optie voor u.
  • Geen controle over het VNet. De virtuele NIC wordt beheerd door Microsoft. Daarom moeten alle netwerkbesturingselementen worden geïmplementeerd op de cloud-pc zelf, vergelijkbaar met fysieke apparaten in een thuiswerkscenario.
  • Geen directe toegang tot on-premises resources. Een VPN- of privétoegangsoplossing is vereist voor toegang tot deze resources. Wanneer u VPN's gebruikt met een cloud-pc, gebruikt u split tunneling om ervoor te zorgen dat RDP-verkeer niet wordt gerouteerd via het VPN.
  • Vereist een cloudeigen beheerbewerkingsmodel zoals Intune.
  • Poort 25 is geblokkeerd.
  • Ping/ICMP is geblokkeerd.
  • Lokale netwerkcommunicatie tussen cloud-pc's wordt geblokkeerd.
  • Er is geen directe inkomende verbinding mogelijk met cloud-pc's.
  • Beheerders kunnen op geen enkele manier de IP-adresbereiken en/of adresruimte beheren die zijn toegewezen aan de cloud-pc's. Windows 365 verwerkt de IP-adressen automatisch.

Optie Azure-netwerkverbinding

Met de implementatieoptie Azure Network Connection (ANC) bent u volledig verantwoordelijk voor het VNet en de configuratie ervan. Als u een Microsoft Entra hybrid join-model gebruikt, moet u deze implementatieoptie gebruiken. Deze optie biedt line-of-sight voor uw on-premises Azure Directory-resources en kunt u netwerk- en beveiligingsdoelen aanpassen, zoals:

  • Verkeersroutes.
  • Poorten en protocollen.
  • Active Directory DS en Line-Of-Business-toepassingsconnectiviteit.
  • Gatewayverbindingen met VPN of ExpressRoute.
  • Adresruimte die wordt gebruikt door cloud-pc's.
  • Communicatiemachtigingen tussen cloud-pc's.
  • RDP-verbindingen omschakelen naar cloud-pc's.

U selecteert het VNet uit de VNet's in uw Azure-abonnement. U configureert inrichtingsbeleid waarmee de cloud-pc's in uw vNet worden gemaakt. U beheert de cloud-pc-connectiviteit, inclusief eventuele directe uitgaande verbindingen van het VNet en het gewenste internettoegangspad.

Azure Network Connection ondersteunt twee identiteitsimplementatiemodellen:

  • Microsoft Entra deelnemen
  • hybride koppeling Microsoft Entra

Microsoft Entra deelnemen

Wanneer u Microsoft Entra join gebruikt, hoeft u geen verbinding te maken vanaf het VNet met uw on-premises netwerk. U moet er alleen voor zorgen dat er een uitgaande internetverbinding is met de vereiste eindpunten. U kunt echter een on-premises verbinding toevoegen voor toegang tot resources in uw on-premises bestandsservers en toepassingen. U kunt de verbinding maken met ExpressRoute of site-naar-site-VPN, maar deze opties brengen extra kosten en complexiteit met zich mee.

Voor het gemak raden we u aan om bij het gebruik van Microsoft Entra join de door Microsoft gehoste netwerkoptie te gebruiken die eerder is uitgelegd. In dat geval kunt u een VPN- of privétoegangsoplossing via internet gebruiken om toegang te krijgen tot bedrijfsbronnen.

Diagram: ANC-optie - Microsoft Entra join

Diagram van de optie ANC Microsoft Entra join

hybride koppeling Microsoft Entra

Met Microsoft Entra hybrid join is een verbinding met het on-premises netwerk vereist vanaf het VNet. De enige manier om de DC-infrastructuur te bereiken die zich daar bevindt, is door de anc-implementatieoptie te gebruiken. Deze verbinding is een essentieel onderdeel, dus zorg ervoor dat betrouwbaarheid en redundantie worden gewaarborgd.

Diagram: ANC-optie - Microsoft Entra hybride join

Diagram van anc Microsoft Entra hybride join-optie

Voordelen van de ANC-optie

  • Volledig beheer van het VNet. De NIC van de cloud-pc bevindt zich in uw eigen beheerde VNet.
  • Directe zichtlijn naar on-premises infrastructuur. Het vNet kan worden geconfigureerd met een site-naar-site-VPN- of ExpressRoute-verbinding met het on-premises netwerk voor directe verbinding met de Azure Directory-infrastructuur of -services en -toepassingen die zich daar bevinden.
  • Cloud-pc werkt alsof deze zich op een on-premises locatie bevindt. De uitbreiding van het bedrijfsnetwerk naar het vNet betekent dat de cloud-pc kan werken alsof deze zich binnen de grenzen van het bedrijfsnetwerk bevindt.
  • Eenvoudige peering met andere VNets. Eenvoudige kruisverbinding tussen het cloud-pc-VNet en andere vNets in Azure. Dit ondersteunt directe connectiviteit met andere door Azure gehoste resources die de organisatie gebruikt.

Overwegingen

Bekijk de volgende overwegingen voordat u de anc-implementatieoptie gebruikt:

  • Azure-abonnement vereist. Het VNet dat in dit scenario wordt gebruikt, bevindt zich in uw eigen Azure-abonnement. Daarom moet u een Azure-abonnement en de vereiste licenties hebben.
  • Kosten voor uitgaand verkeer. Omdat het VNet is gekoppeld aan uw eigen Azure-account, worden eventuele uitgaande kosten gemaakt voor uw Azure-abonnement.
  • Extra kosten voor netwerkinfrastructuur. De Azure-kosten voor het gebruik van uw eigen VNet worden toegepast op het abonnement dat is gekoppeld aan het vNet.
  • Azure-netwerkexpertise of -beheer vereist. U moet de expertise en het beheer bieden om uw VNet te onderhouden.
  • Hogere complexiteit. U moet uw netwerk beheren en onderhouden. Dit is een complexere taak dan het gebruik van een door Microsoft gehost netwerk.
  • Langere implementatie. De implementatie is meestal langer dan met de door Microsoft gehoste netwerkoptie. Deze extra tijd wordt veroorzaakt door het grote aantal elementen aan de klantzijde dat eerst moet worden geconfigureerd.
  • Hoger risico. Een ANC-implementatie is complexer dan een door Microsoft gehoste netwerkimplementatie. Deze complexiteit verhoogt het risico op verbindingsproblemen.

Gelijktijdige opties

De door Microsoft gehoste netwerk- en ANC-opties kunnen tegelijkertijd worden gebruikt. U kunt bijvoorbeeld de optie ANC gebruiken voor een subset van uw implementaties met unieke verouderde vereisten. Voor de rest van uw implementatie zonder deze vereisten kunt u de door Microsoft gehoste netwerkoptie gebruiken.

Volgende stappen

Meer informatie over het implementatieproces.