Vereisten voor netwerkfirewall
Windows 365 is een cloudservice waarmee gebruikers vanaf elk apparaat, vanaf elke locatie, via internet verbinding kunnen maken met een Windows-bureaublad dat wordt uitgevoerd in Azure. Als u deze internetverbinding wilt ondersteunen, moet u de netwerkvereisten volgen die in dit artikel worden vermeld.
Elke klant heeft zijn specifieke vereisten op basis van de workload die ze gebruiken om de netwerkvereisten van hun cloud-pc-omgeving te berekenen.
Opmerking
Dit artikel is alleen van toepassing als u cloud-pc's wilt inrichten in uw eigen virtuele Azure-netwerk, in plaats van een door Microsoft gehost netwerk.
Algemene netwerkvereisten
Als u uw eigen netwerk wilt gebruiken en aan Microsoft Entra gekoppelde cloud-pc's wilt inrichten, moet u aan de volgende vereisten voldoen:
- Virtueel Azure-netwerk: u moet een virtueel netwerk (vNET) in uw Azure-abonnement hebben in dezelfde regio als waar de Windows 365-bureaubladen worden gemaakt.
- Netwerkbandbreedte: zie De netwerkrichtlijnen van Azure.
- Een subnet binnen het vNet en beschikbare IP-adresruimte.
Als u uw eigen netwerk wilt gebruiken en microsoft Entra hybride gekoppelde cloud-pc's wilt inrichten, moet u voldoen aan de bovenstaande vereisten en de volgende vereisten:
- Het virtuele Azure-netwerk moet DNS-vermeldingen voor uw Ad DS-omgeving (Active Directory Domain Services) kunnen omzetten. Ter ondersteuning van deze oplossing definieert u uw AD DS DNS-servers als de DNS-servers voor het virtuele netwerk.
- Het Azure vNet moet netwerktoegang hebben tot een ondernemingsdomeincontroller, in Azure of on-premises.
Netwerkverbinding toestaan
U moet verkeer in uw netwerkconfiguratie toestaan naar de volgende service-URL's en poorten ter ondersteuning van het inrichten en beheren van cloud-pc's en voor externe connectiviteit met cloud-pc's. Hoewel de meeste configuratie voor het cloud-pc-netwerk is, vindt de connectiviteit van eindgebruikers plaats vanaf een fysiek apparaat. Daarom moet u ook de connectiviteitsrichtlijnen op het netwerk van het fysieke apparaat volgen.
Apparaat of service | Vereiste URL's en poorten voor netwerkconnectiviteit | Opmerkingen |
---|---|---|
Fysiek apparaat | Koppelen | Voor extern bureaublad-clientconnectiviteit en -updates. |
Microsoft Intune-service | Koppelen | Voor Intune-cloudservices, zoals apparaatbeheer, levering van toepassingen en eindpuntanalyse. |
Azure Virtual Desktop-sessiehost virtuele machine | Koppelen | Voor externe connectiviteit tussen cloud-pc's en de back-end Azure Virtual Desktop-service. |
Windows 365-service | Koppelen | Voor inrichting en statuscontroles. |
Windows 365-service
De volgende URL's en poorten zijn vereist voor het inrichten van cloud-pc's en de statuscontroles van de Azure-netwerkverbinding (ANC):
- *.infra.windows365.microsoft.com
- *.cmdagent.trafficmanager.net
- Registratie-eindpunten
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
Alle eindpunten maken verbinding via poort 443, tenzij anders is opgegeven.
Poort 3389
Poort 3389 is standaard uitgeschakeld voor alle nieuw ingerichte cloud-pc's. Microsoft raadt u aan poort 3389 gesloten te houden. Als u echter poort 3389 moet openen voor opnieuw ingerichte of nieuw ingerichte cloud-pc's met behulp van de implementatieoptie Azure Network Connection (ANC), kunt u de volgende opties bekijken:
- Windows 365-beveiligingsbasislijnen. Klanten kunnen de Windows 365-beveiligingsbasislijnen gebruiken om poort 3389 effectief te beheren voor Windows 365 Cloud-pc's. Deze basislijnen bieden uitgebreide hulpprogramma's en configuraties die zijn ontworpen om beveiligingsmaatregelen te verbeteren en tegelijkertijd de benodigde toegang toe te staan. Door firewallinstellingen aan te passen en de standaardactie voor binnenkomende profielen in te stellen op Toestaan, kunnen organisaties ervoor zorgen dat poort 3389 op de juiste manier is geconfigureerd om te voldoen aan operationele behoeften. Controleer en pas deze instellingen aan op basis van uw specifieke organisatievereisten.
- Maak een aangepaste firewallregel in Microsoft Intune. Klanten kunnen aangepaste firewallregels in Microsoft Intune gebruiken om poort 3389 te configureren voor Windows 365 Cloud-pc's. Deze optie omvat het maken van een aangepaste regel binnen het beveiligingsbeleid van Intune die is afgestemd op het toestaan van binnenkomend verkeer op poort 3389, dat wordt gebruikt voor toegang tot cloud-pc's. Door de regelparameters zoals poortnummer, protocol (TCP) te definiëren en specifieke IP-adressen of netwerken te beperken, kunt u ervoor zorgen dat de toegang tot poort 3389 strikt wordt beheerd en beperkt tot alleen geautoriseerde entiteiten.
Deze opties zijn niet van toepassing op klanten die gebruikmaken van een door Microsoft gehost netwerk.
FQDN-tags gebruiken voor eindpunten via Azure Firewall
FQDN-tags (Fully Qualified Domain Name) van Windows 365 maken het eenvoudiger om toegang te verlenen tot vereiste windows 365-service-eindpunten via een Azure-firewall. Zie Azure Firewall gebruiken om Windows 365-omgevingen te beheren en te beveiligen voor meer informatie.
RdP-broker-service-eindpunten (Remote Desktop Protocol)
Directe connectiviteit met Azure Virtual Desktop RDP-brokerservice-eindpunten is essentieel voor externe prestaties naar een cloud-pc. Deze eindpunten zijn van invloed op zowel de connectiviteit als de latentie. Als u wilt afstemmen op de Microsoft 365-netwerkverbindingsprincipes, moet u deze eindpunten categoriseren als Eindpunten optimaliseren . U wordt aangeraden een direct pad van uw virtuele Azure-netwerk naar deze eindpunten te gebruiken.
Als u het configureren van netwerkbeveiligingsbesturingselementen eenvoudiger wilt maken, gebruikt u Azure Virtual Desktop-servicetags om deze eindpunten te identiteiten voor directe routering met behulp van een door de gebruiker gedefinieerde route (UDR) van Azure Networking. Een UDR resulteert in directe routering tussen uw virtuele netwerk en de RDP-broker voor de laagste latentie. Zie Overzicht van Azure-servicetags voor meer informatie over Azure-servicetags.
Als u de netwerkroutes van een cloud-pc wijzigt (op de netwerklaag of op de cloud-pc-laag, zoals VPN), kan de verbinding tussen de cloud-pc en de Azure Virtual Desktop RDP-broker worden verbroken. Als dat het zo is, wordt de verbinding van de eindgebruiker met de cloud-pc verbroken totdat de verbinding opnieuw tot stand wordt gebracht.
DNS-vereisten
Als onderdeel van de vereisten voor hybride deelname van Microsoft Entra moeten uw cloud-pc's kunnen deelnemen aan on-premises Active Directory. Dit vereist dat de cloud-pc's DNS-records voor uw on-premises AD-omgeving kunnen oplossen.
Configureer uw virtuele Azure-netwerk waar de cloud-pc's als volgt worden ingericht:
- Zorg ervoor dat uw Virtuele Azure-netwerk een netwerkverbinding heeft met DNS-servers die uw Active Directory-domein kunnen omzetten.
- Selecteer dns-servers in de instellingen van het virtuele Azure-netwerk en kies vervolgens Aangepast.
- Voer het IP-adres in van de DNS-servers die uw AD DS-domein kunnen omzetten.
Tip
Door ten minste twee DNS-servers toe te voegen, net als bij een fysieke pc, wordt het risico van een single point of failure in name resolution beperkt.
Zie Azure Virtual Networks-instellingen configureren voor meer informatie.
Vereisten voor Extern bureaublad-protocol
Windows 365 maakt gebruik van het Remote Desktop Protocol (RDP).
Scenario | Standaardmodus | H.264/AVC 444-modus | Beschrijving |
---|---|---|---|
Lui | 0,3 Kbps | 0,3 Kbps | De gebruiker heeft zijn werk onderbroken en er zijn geen actieve schermupdates. |
Microsoft Word | 100-150 Kbps | 200-300 Kbps | De gebruiker werkt actief met Microsoft Word: typen, afbeeldingen plakken en schakelen tussen documenten. |
Microsoft Excel | 150-200 Kbps | 400-500 Kbps | Gebruiker werkt actief met Microsoft Excel: meerdere cellen met formules en grafieken worden tegelijkertijd bijgewerkt |
Microsoft PowerPoint | 4-4,5 Mbps | 1,6-1,8 Mbps | De gebruiker werkt actief met Microsoft PowerPoint: typen, plakken, uitgebreide afbeeldingen wijzigen en diaovergangseffecten gebruiken. |
Surfen op het web | 6-6,5 Mbps | 0,9-1 Mbps | Gebruiker werkt actief met een grafisch rijke website die meerdere statische en geanimeerde afbeeldingen bevat. Gebruiker schuift de pagina's zowel horizontaal als verticaal |
Afbeeldingengalerie | 3,3-3,6 Mbps | 0,7-0,8 Mbps | De gebruiker werkt actief met de toepassing afbeeldingengalerie: bladeren, zoomen, formaat wijzigen en afbeeldingen draaien |
Video afspelen | 8,5-9,5 Mbps | 2,5-2,8 Mbps | Gebruiker bekijkt een video van 30 FPS die 1/2 van het scherm verbruikt. |
Video in volledig scherm afspelen | 7,5-8,5 Mbps | 2,5-3,1 Mbps | Gebruiker bekijkt een video van 30 FPS die is gemaximaliseerd tot een volledig scherm. |
Vereisten voor Microsoft Teams
Microsoft Teams is een van de belangrijkste Microsoft 365-services binnen cloud-pc's. Windows 365 offload het audio- en videoverkeer naar uw eindpunt om de video-ervaring zoals Teams op een fysieke pc te maken.
De netwerkkwaliteit is belangrijk per scenario. Zorg ervoor dat u de juiste bandbreedte beschikbaar hebt voor de kwaliteit die u wilt bieden.
Full HD (1920x1080p) is geen ondersteunde oplossing voor Microsoft Teams op cloud-pc's.
Bandbreedte (omhoog/omlaag) | Scenario's |
---|---|
30 kbps | Peer-to-peer-audiogesprekken. |
130 kbps | Peer-to-peer-audiogesprekken en scherm delen. |
500 kbps | Videogesprekken van peer-to-peerkwaliteit 360p bij 30 fps. |
1,2 Mbps | Peer-to-peer videogesprekken in HD-kwaliteit met een resolutie van HD 720p bij 30 fps. |
500kbps/1Mbps | Groepsvideogesprekken. |
Zie Aandachtspunten voor netwerken voor meer informatie over de netwerkvereisten van Microsoft Teams.
Technologieën voor het onderscheppen van verkeer
Sommige zakelijke klanten gebruiken verkeersonderschepping, SSL-ontsleuteling, deep packet inspection en andere vergelijkbare technologieën voor beveiligingsteams om netwerkverkeer te bewaken. Voor het inrichten van cloud-pc's is mogelijk directe toegang tot de virtuele machine nodig. Deze technologieën voor het onderscheppen van verkeer kunnen problemen veroorzaken met het uitvoeren van azure-netwerkverbindingscontroles of het inrichten van cloud-pc's. Zorg ervoor dat er geen netwerkonderschepping wordt afgedwongen voor cloud-pc's die zijn ingericht binnen de Windows 365-service.
Bandbreedte
Windows 365 maakt gebruik van de Azure-netwerkinfrastructuur. Een Azure-abonnement is vereist wanneer een virtueel netwerk wordt geselecteerd tijdens de implementatie van Windows 365 Enterprise. Bandbreedtekosten voor gebruik van cloud-pc's zijn onder andere:
- Netwerkverkeer naar een cloud-pc is gratis.
- Uitgaand verkeer brengt kosten in rekening voor het Azure-abonnement voor het virtuele netwerk.
- Voor Office-gegevens (zoals e-mail en oneDrive voor Bedrijven-bestandssynchronisatie) worden uitgaande kosten in rekening gebracht als de cloud-pc en de gegevens van een gebruiker zich in verschillende regio's bevinden.
- RDP-netwerkverkeer brengt altijd uitgaande kosten in rekening.
Als u uw eigen netwerk gebruikt, raadpleegt u Bandbreedteprijzen.
Als u een door Microsoft gehost netwerk gebruikt: uitgaande gegevens/maand zijn gebaseerd op het RAM-geheugen van de cloud-pc:
- 2 GB RAM = 12 GB uitgaande gegevens
- 4 GB of 8 GB RAM = 20 GB uitgaande gegevens
- 16 GB RAM = 40 GB uitgaande gegevens
- 32 GB RAM = 70 GB uitgaande gegevens
De gegevensbandbreedte kan worden beperkt wanneer deze niveaus worden overschreden.
Volgende stappen
Meer informatie over op rollen gebaseerd toegangsbeheer voor cloud-pc's.