Udostępnij za pośrednictwem

architektura Windows 365

Windows 365 zapewnia model licencji na użytkownika miesięcznie, hostując komputery w chmurze w imieniu klientów na platformie Microsoft Azure. W tym modelu nie ma potrzeby uwzględniania magazynu, architektury infrastruktury obliczeniowej ani kosztów. Architektura Windows 365 umożliwia również korzystanie z istniejących inwestycji w sieć i zabezpieczenia platformy Azure. Każdy komputer w chmurze jest aprowizowany zgodnie z konfiguracją zdefiniowaną w sekcji Windows 365 centrum administracyjnego Microsoft Intune.

Łączność sieci wirtualnej

Każdy komputer w chmurze ma kartę interfejsu sieci wirtualnej (NIC) na platformie Microsoft Azure. Dostępne są dwie opcje zarządzania kartami sieciowymi:

  • Jeśli używasz Microsoft Entra join i sieci hostowanej przez firmę Microsoft, nie musisz korzystać z subskrypcji platformy Azure ani zarządzać kartą sieciową.
  • Jeśli korzystasz z własnej sieci i używasz połączenia sieciowego platformy Azure, karty sieciowe są tworzone przez Windows 365 w ramach subskrypcji platformy Azure.

Karty sieciowe są dołączane do usługi Azure Virtual Network na podstawie konfiguracji połączenia sieciowego platformy Azure (ANC).

Windows 365 jest obsługiwana w wielu regionach świadczenia usługi Azure. Możesz kontrolować, który region platformy Azure jest używany na dwa sposoby:

  • Wybierając sieć hostowaną przez firmę Microsoft i region platformy Azure.
  • Wybierając sieć wirtualną platformy Azure z subskrypcji platformy Azure podczas tworzenia usługi ANC.

Region sieci wirtualnej platformy Azure określa, gdzie komputer w chmurze jest tworzony i hostowany.

W przypadku korzystania z własnej sieci wirtualnej można rozszerzyć dostęp między bieżącymi regionami platformy Azure do innych regionów platformy Azure obsługiwanych przez Windows 365. Aby rozszerzyć zakres na inne regiony, możesz użyć komunikacji równorzędnej sieci wirtualnej platformy Azure lub Virtual WAN.

Korzystając z własnej sieci wirtualnej platformy Azure, Windows 365 umożliwia korzystanie z Virtual Network funkcji zabezpieczeń i routingu, w tym:

Porada

W przypadku filtrowania sieci Web i ochrony sieci dla komputerów w chmurze rozważ użycie funkcji ochrony sieci i ochrony sieci web Ochrona punktu końcowego w usłudze Microsoft Defender. Te funkcje można wdrożyć w fizycznych i wirtualnych punktach końcowych przy użyciu centrum administracyjnego Microsoft Intune.

integracja Microsoft Intune

Microsoft Intune służy do zarządzania wszystkimi komputerami w chmurze. Microsoft Intune i skojarzone składniki systemu Windows mają różne punkty końcowe sieci, które muszą być dozwolone za pośrednictwem Virtual Network. Punkty końcowe apple i Android mogą być bezpiecznie ignorowane, jeśli nie używasz Microsoft Intune do zarządzania tymi typami urządzeń.

Porada

Pamiętaj, aby zezwolić na dostęp do usług powiadomień systemu Windows (WNS). Jeśli dostęp jest zablokowany, możesz nie zauważyć od razu wpływu. Jednak usługa WNS umożliwia Microsoft Intune natychmiastowe wyzwalanie akcji w punktach końcowych systemu Windows zamiast oczekiwania na normalne interwały sondowania zasad na tych urządzeniach lub sondowanie zasad podczas uruchamiania/logowania. Usługa WNS zaleca bezpośrednią łączność z klienta systemu Windows z usługą WNS.

Dostęp do podzestawu punktów końcowych należy udzielić tylko w oparciu o lokalizację dzierżawy Microsoft Intune. Aby znaleźć lokalizację dzierżawy (lub usługę Azure Scale Unit (ASU), zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycjęSzczegóły dzierżawyadministracji> dzierżawy. W obszarze Lokalizacja dzierżawy zobaczysz coś podobnego do "Ameryka Północna 0501" lub "Europe 0202". Wiersze w dokumentacji Microsoft Intune różnią się w zależności od regionu geograficznego. Regiony są wskazywane przez dwie pierwsze litery w nazwach (na = Ameryka Północna, eu = Europa, ap = Azja i Pacyfik). Ponieważ dzierżawy mogą być przenoszone w obrębie regionu, najlepiej jest zezwolić na dostęp do całego regionu, a nie do określonego punktu końcowego w tym regionie.

Aby uzyskać więcej informacji na temat regionów usług Microsoft Intune i informacji o lokalizacji danych, zobacz Przechowywanie i przetwarzanie danych w Intune.

Usługi tożsamości

Windows 365 używa zarówno Tożsamość Microsoft Entra, jak i lokalna usługa Active Directory Domain Services (AD DS). Tożsamość Microsoft Entra zapewnia:

  • Uwierzytelnianie użytkownika dla Windows 365 (podobnie jak w przypadku każdej innej usługi Platformy Microsoft 365).
  • Usługi tożsamości urządzeń dla Microsoft Intune za pośrednictwem przyłączania hybrydowego Microsoft Entra lub dołączania Microsoft Entra.

Podczas konfigurowania komputerów w chmurze do korzystania Microsoft Entra sprzężenia hybrydowego usługi AD DS udostępnia:

  • Przyłączanie do domeny lokalnej dla komputerów w chmurze.
  • Uwierzytelnianie użytkowników dla połączeń protokołu RDP (Remote Desktop Protocol).

Podczas konfigurowania komputerów w chmurze do używania sprzężenia Microsoft Entra Tożsamość Microsoft Entra udostępnia następujące elementy:

  • Mechanizm dołączania do domeny dla komputerów w chmurze.
  • Uwierzytelnianie użytkownika dla połączeń RDP.

Aby uzyskać więcej informacji na temat wpływu usług tożsamości na wdrażanie, zarządzanie i użycie komputerów w chmurze, zobacz tożsamość i uwierzytelnianie.

Microsoft Entra ID

Tożsamość Microsoft Entra zapewnia uwierzytelnianie użytkowników i autoryzację zarówno dla Windows 365 portalu internetowego, jak i aplikacji klienckich pulpitu zdalnego. Obie obsługują nowoczesne uwierzytelnianie, co oznacza, Microsoft Entra dostęp warunkowy można zintegrować w celu zapewnienia:

  • uwierzytelnianie wieloskładnikowe
  • ograniczenia oparte na lokalizacji
  • zarządzanie ryzykiem logowania
  • limity sesji, w tym:
    • Częstotliwość logowania klientów pulpitu zdalnego i portalu internetowego Windows 365
    • trwałość pliku cookie dla portalu internetowego Windows 365
  • kontrolki zgodności urządzeń

Aby uzyskać więcej informacji na temat używania dostępu warunkowego Microsoft Entra z Windows 365, zobacz Ustawianie zasad dostępu warunkowego.

Active Directory Domain Services

Windows 365 komputery w chmurze mogą być przyłączone Microsoft Entra hybrydowo lub Microsoft Entra przyłączone. W przypadku korzystania Microsoft Entra przyłączania hybrydowego komputery w chmurze muszą być przyłączone do domeny usług AD DS. Ta domena musi być zsynchronizowana z Tożsamość Microsoft Entra. Kontrolery domeny domeny mogą być hostowane na platformie Azure lub w środowisku lokalnym. Jeśli jest hostowana lokalnie, należy ustanowić łączność z platformy Azure do środowiska lokalnego. Łączność może mieć postać usługi Azure Express Route lub sieci VPN typu lokacja-lokacja. Aby uzyskać więcej informacji na temat ustanawiania łączności sieci hybrydowej, zobacz implementowanie bezpiecznej sieci hybrydowej. Łączność musi zezwalać na komunikację z komputerów w chmurze z kontrolerami domeny wymaganymi przez usługę Active Directory. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapory dla domeny i relacji zaufania usługi AD.

Łączność użytkownika

Łączność z komputerem w chmurze jest zapewniana przez usługę Azure Virtual Desktop. Do komputera w chmurze nie są nawiązywane żadne połączenia przychodzące bezpośrednio z Internetu. Zamiast tego połączenia są nawiązywane z:

  • Komputer w chmurze do punktów końcowych usługi Azure Virtual Desktop.
  • Klienci pulpitu zdalnego do punktów końcowych usługi Azure Virtual Desktop.

Aby uzyskać więcej informacji na temat tych portów, zobacz lista wymaganych adresów URL usługi Azure Virtual Desktop. Aby ułatwić konfigurację mechanizmów kontroli zabezpieczeń sieci, użyj tagów usługi dla usługi Azure Virtual Desktop, aby tożsamości tych punktów końcowych. Aby uzyskać więcej informacji na temat tagów usługi platformy Azure, zobacz Omówienie tagów usługi platformy Azure.

Nie ma potrzeby konfigurowania komputerów w chmurze w celu nawiązywania tych połączeń. Windows 365 bezproblemowo integruje składniki łączności usługi Azure Virtual Desktop z galerią lub obrazami niestandardowymi.

Aby uzyskać więcej informacji na temat architektury sieci usługi Azure Virtual Desktop, zobacz Understanding Azure Virtual Desktop network connectivity (Omówienie łączności sieciowej usługi Azure Virtual Desktop).

Windows 365 komputery w chmurze nie obsługują brokerów połączeń innych firm.

Architektura "Hostowana w imieniu"

Architektura "hostowana w imieniu" umożliwia usługom firmy Microsoft dołączanie hostowanych usług platformy Azure do subskrypcji klienta po delegowaniu odpowiednich i ograniczonych uprawnień do sieci wirtualnej przez właściciela subskrypcji. Ten model łączności umożliwia usłudze firmy Microsoft świadczenie usług typu oprogramowanie jako usługa i licencjonowanych przez użytkowników w przeciwieństwie do standardowych usług opartych na użyciu.

Na poniższych diagramach przedstawiono architekturę logiczną konfiguracji dołączania Microsoft Entra przy użyciu hostowanej sieci firmy Microsoft, konfigurację sprzężenia Microsoft Entra przy użyciu połączenia sieciowego klienta ("przynieś własną sieć") oraz konfigurację przyłączania hybrydowego Microsoft Entra przy użyciu usługi ANC.

Zrzut ekranu przedstawiający architekturę dołączania Microsoft Entra z hostowaną siecią firmy Microsoft

Zrzut ekranu przedstawiający architekturę dołączania Microsoft Entra z siecią BYO

Zrzut ekranu przedstawiający architekturę przyłączania hybrydowego Microsoft Entra

Cała łączność z komputerem w chmurze jest dostarczana przez kartę interfejsu sieci wirtualnej. Architektura "hostowana w imieniu" oznacza, że komputery w chmurze istnieją w subskrypcji należącej do firmy Microsoft. W związku z tym firma Microsoft ponosi koszty związane z uruchamianiem tej infrastruktury i zarządzaniem nią.

Windows 365 zarządza pojemnością i dostępnością w regionie w subskrypcjach Windows 365. Windows 365 określa rozmiar i typ maszyny wirtualnej na podstawie licencjiprzypisanej użytkownikowi. Windows 365 określa region świadczenia usługi Azure do hostowania komputerów w chmurze na podstawie sieci wirtualnej wybranej podczas tworzenia połączenia sieci lokalnej.

Windows 365 jest zgodna z zasadami ochrony danych platformy Microsoft 365. Dane klientów w ramach usług firmy Microsoft w chmurze dla przedsiębiorstw są chronione przez różne technologie i procesy:

  • Różne formy szyfrowania.
  • Izolowane logicznie od innych dzierżaw.
  • Dostępne dla ograniczonego, kontrolowanego i zabezpieczonego zestawu użytkowników od określonych klientów.
  • Zabezpieczone na potrzeby dostępu przy użyciu kontroli dostępu opartej na rolach.
  • Replikowane do wielu serwerów, punktów końcowych magazynu i centrów danych w celu zapewnienia nadmiarowości.
  • Monitorowane pod kątem nieautoryzowanego dostępu, nadmiernego użycia zasobów i dostępności.

Aby uzyskać więcej informacji na temat szyfrowania Komputer w chmurze Windows 365, zobacz Szyfrowanie danych w Windows 365.

Następne kroki

Dowiedz się więcej na temat Windows 365 tożsamości i uwierzytelniania.