Omówienie połączenia sieciowego platformy Azure
Połączenie sieciowe platformy Azure (ANC) to obiekt w centrum administracyjnym Microsoft Intune, który udostępnia profile aprowizacji komputera w chmurze z informacjami wymaganymi do nawiązywania połączenia z zasobami sieciowymi. Używane są kontrolery ANC:
- Gdy komputer w chmurze jest początkowo aprowizowane.
- Gdy Windows 365 okresowo sprawdza połączenie z infrastrukturą lokalną, aby zapewnić najlepsze środowisko użytkownika końcowego.
Typy połączeń sieciowych
Istnieją dwa rodzaje ancs na podstawie ich typu sprzężenia. Oba umożliwiają zarządzanie ruchem i dostępem komputera w chmurze do zasobów sieciowych, ale mają one różne wymagania dotyczące łączności.
- Microsoft Entra sprzężenia: nie wymaga łączności z domeną Windows Server Active Directory (AD).
- Przyłączanie Microsoft Entra hybrydowe: wymaga łączności z domeną Windows Server AD. Podczas tworzenia usługi ANC należy podać szczegóły domeny usługi AD.
Inicjowania obsługi
Po aprowizowaniu komputera w chmurze informacje w usłudze ANC są używane przez zasady aprowizacji do aprowizacji komputera w chmurze w podsieci platformy Azure. Informacje wymagane w usłudze ANC obejmują:
- Szczegóły sieci: subskrypcja platformy Azure, grupa zasobów, sieć wirtualna i podsieć, z którą będzie skojarzony komputer z chmurą. Po uruchomieniu zasad aprowizacji program tworzy komputer w chmurze w subskrypcji platformy Azure hostowanej przez firmę Microsoft. Aby nawiązać połączenie z siecią lokalną klienta, do sieci wirtualnej (vNet) jest wstrzykiwana wirtualna karta interfejsu sieciowego (vNic) dostarczona przez klienta. Aby utworzyć tę sieć wirtualną, Windows 365 wymaga wystarczającego dostępu do subskrypcji platformy Azure.
- Domena usługi Active Directory: domena usługi Active Directory do dołączenia, miejsce docelowe jednostki organizacyjnej (OU) dla obiektu komputera oraz poświadczenia użytkownika usługi Active Directory z wystarczającymi uprawnieniami do przeprowadzenia sprzężenia z domeną. Po uruchomieniu zasad aprowizacji komputer w chmurze jest przyłączony do tej domeny usługi Active Directory. Poświadczenia będą bezpiecznie przechowywane w usłudze Windows 365.
Podczas aprowizacji komputer w chmurze jest połączony z podsiecią platformy Azure i przyłączony do domeny (identyfikator Windows Server Active Directory lub Microsoft Entra). Ten proces powoduje utworzenie komputera w chmurze, który:
- W sieci.
- Zarejestrowano w Microsoft Entra identyfikatorze.
- Zarejestrowano w Microsoft Intune.
- Gotowy do akceptowania żądań logowania użytkownika.
Ustawienia anc są stosowane do komputera w chmurze tylko w momencie aprowizacji.
Alternatywne ancs
Aby ułatwić aprowizowanie komputerów w chmurze bardziej niezawodnych w rzadkich przypadkach ograniczeń pojemności w regionie, możesz przypisać alternatywne ancs do zasad aprowizacji. Można zdefiniować kolejność priorytetów ancs, które będą używane przez zasady. Jeśli pierwsza usługa ANC jest niedostępna, zasady będą automatycznie używać drugiej usługi ANC na liście priorytetów. Jeśli drugi jest niedostępny, przejdzie do następnego itd. Dzięki temu administratorzy mogą przygotować wiele ancs w różnych regionach świadczenia usługi Azure, dzięki czemu aprowizowanie jest bardziej niezawodne. Nie trzeba używać wielu ancs. Aby uzyskać więcej informacji na temat korzystania z alternatywnych ancs podczas tworzenia zasad aprowizacji, zobacz Tworzenie zasad aprowizacji.
Pierwsza kontrola kondycji
Informacje zawarte w usłudze ANC są używane do aprowizacji komputera w chmurze. Aby aprowizowanie powiodło się, zasoby przywoływane w usłudze ANC muszą być w dobrej kondycji i dostępne. Po utworzeniu obiektu ANC Windows 365 sprawdza, czy:
- Obiekty, do których odwołuje się usługa ANC, są w dobrej kondycji.
- Połączenia z tymi obiektami można nawiązać.
Te testy kondycji używają informacji ANC dostarczonych do aprowizowania komputera w chmurze. Aby uzyskać pełną listę kontroli, zobacz Testy kondycji połączeń sieciowych platformy Azure.
Chociaż ta pierwsza kontrola kondycji usługi ANC jest w toku, nie można przypisać jej do zasad aprowizacji. Po zakończeniu i pomyślnym sprawdzeniu kondycji usługa ANC może zostać przypisana do co najmniej jednej zasady aprowizacji.
Okresowe kontrole kondycji
Po zainicjowaniu obsługi administracyjnej informacje w usłudze ANC są również używane do monitorowania:
- kondycja połączenia między zasobami opartymi na sieci
- komputer w chmurze hostowany w subskrypcji hostowanej przez firmę Microsoft
Windows 365 będzie zgłaszać problemy z konfiguracją, które mogą powodować błędy aprowizacji lub słabe środowiska użytkowników końcowych. To monitorowanie zmniejsza obciążenie związane z zarządzaniem. Aby uzyskać więcej informacji na temat tych okresowych kontroli, zobacz Testy kondycji połączeń sieciowych platformy Azure.
Częstotliwość sprawdzania kondycji
Kontrole ANC są wykonywane raz na sześć godzin.
Kompleksowa, kompleksowa kontrola kondycji może potrwać do 30 minut. Testy kondycji są uruchamiane na tymczasowej maszynie wirtualnej platformy Azure, która jest automatycznie tworzona specjalnie do tego celu. Ta maszyna wirtualna jest tworzona automatycznie i usuwana po zakończeniu kontroli kondycji. Maszyna wirtualna jest połączona z określoną siecią wirtualną i przeprowadzane są testy w celu zapewnienia, że aprowizowanie powinno zakończyć się pomyślnie.
Po zakończeniu sprawdzania wyniki są publikowane w okienku Połączenia sieciowe platformy Azure w centrum administracyjnym Microsoft Intune. Aby uzyskać informacje o wynikach sprawdzania, zobacz Testy kondycji połączeń sieciowych platformy Azure.
Ponów próbę sprawdzenia kondycji
Aby ręcznie wyzwolić pełną kontrolę kondycji, zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycję Urządzenia>Windows 365 (w obszarze Aprowizowanie)>Połączenie sieciowe> platformy Azure wybierz opcję Ponów próbę połączenia sieciowego > platformy Azure.
Uprawnienia wymagane dla połączeń sieciowych platformy Azure
Kreator usługi ANC wymaga dostępu do platformy Azure i opcjonalnie lokalnych zasobów domeny. Dla usługi ANC są wymagane następujące uprawnienia:
- administrator Intune, administrator Windows 365 lub administrator globalny.
- Konto użytkownika usługi Active Directory z wystarczającymi uprawnieniami, aby dołączyć domenę usługi AD do tej jednostki organizacyjnej (Microsoft Entra tylko przyłączanie hybrydowe DOCS).
Aby utworzyć lub edytować usługę ANC, musisz mieć co najmniej rolę Czytelnik subskrypcji w subskrypcji platformy Azure, w której znajdowała się sieć wirtualna skojarzona z usługą ANC.
Aby uzyskać pełną listę wymagań, zobacz Windows 365 wymagania.
Zmiana połączenia sieciowego platformy Azure
Zmiana ustawień w usłudze ANC nie wpłynie na komputery w chmurze wcześniej aprowizowane z tą usługą ANC. Tylko komputery w chmurze aprowizowane po wprowadzeniu zmian w usłudze ANC będą odzwierciedlać takie późniejsze zmiany.
Jeśli chcesz zmienić ustawienia związane z usługą ANC na wcześniej aprowizowanym komputerze w chmurze, musisz ponownie aprowizować komputer w chmurze. Ponowne aprowizowanie jest działaniem destrukcyjnym, więc upewnij się, że jest to akcja, którą naprawdę chcesz wykonać. Aby uzyskać więcej informacji, zobacz reprovisioning (Ponowne aprowizowanie).
Usuwanie połączenia sieciowego platformy Azure
Nie można usunąć używanej usługi ANC. Przed usunięciem obiektu należy wykonać jedną z następujących akcji dla wszystkich zasad aprowizacji, które używają tej usługi ANC:
- Zmień zasady, aby używać innej usługi ANC.
- Usuń zasady. Aby uzyskać więcej informacji, usuń połączenie sieciowe platformy Azure.
Po wykonaniu jednej z tych operacji można usunąć anc.
Maksymalna liczba połączeń sieciowych platformy Azure
Każda dzierżawa ma limit 10 połączeń sieciowych platformy Azure. Jeśli Twoja organizacja potrzebuje więcej niż 10 połączeń sieciowych platformy Azure, skontaktuj się z pomocą techniczną.
Logowanie użytkownika
Gdy użytkownicy próbują zalogować się na komputerze w chmurze, następuje uwierzytelnianie użytkowników.
W przypadku Microsoft Entra przyłączania hybrydowego ancs, anc jest używany do kierowania żądania uwierzytelniania do kontrolerów domeny. Jeśli anc lub połączenie sieciowe z domeną jest w złej kondycji, logowanie użytkownika nie może wystąpić. Poświadczeń buforowanych w systemie Windows nie można używać za pośrednictwem kanału pulpitu zdalnego, więc dostępność kontrolera domeny ma krytyczne znaczenie. Upewnij się, że sieć jest stabilna lub umieść serwer kontrolera domeny w tej samej podsieci co komputery w chmurze.
W przypadku Microsoft Entra dołączenia do usługi ANC usługa ANC jest używana do kierowania żądania uwierzytelniania do Microsoft Entra identyfikatora. Poświadczeń z pamięci podręcznej systemu Windows nie można używać za pośrednictwem kanału pulpitu zdalnego, dlatego łączność z Microsoft Entra identyfikatorem jest krytyczna.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla