Visão geral da conexão da rede do Azure
Uma ANC (conexão de rede) do Azure é um objeto no centro de administração do Microsoft Intune que fornece perfis de provisionamento do Cloud PC com informações necessárias para se conectar a recursos baseados em rede. OS ANCs são usados:
- Quando um PC na nuvem é inicialmente provisionado.
- Quando o Windows 365 verifica periodicamente a conexão com a infraestrutura local para garantir a melhor experiência ao usuário final.
Tipos de conexão de rede
Há dois tipos de ANCs com base no tipo de junção. Ambos permitem que você gerencie o tráfego e o acesso do PC na Nuvem aos recursos baseados em rede, mas eles têm requisitos de conectividade diferentes.
- Microsoft Entra junção: não requer conectividade com um domínio de Windows Server Active Directory (AD).
- Junção de Microsoft Entra híbrida: requer conectividade com um domínio Windows Server AD. Você deve fornecer os detalhes do domínio do AD ao criar o ANC.
Provisionamento
Quando um PC na Nuvem é provisionado, as informações no ANC são usadas pela política de provisionamento para provisionar o PC de Nuvem na sub-rede do Azure. As informações necessárias em um ANC incluem:
- Detalhes da rede: a assinatura do Azure, o grupo de recursos, a rede virtual e a sub-rede aos quais o PC na nuvem estará associado. Quando uma política de provisionamento é executada, ela cria um PC na nuvem na assinatura do Azure hospedada pela Microsoft. Para conectar-se à rede local de um cliente, uma placa de interface de rede virtual (vNic) é injetada em uma rede virtual do Azure (vNet) fornecida pelo cliente. Para criar esse adaptador de rede virtual, o Windows 365 precisa de acesso suficiente a uma assinatura do Azure.
- Domínio do Active Directory: o domínio do Active Directory a ingressar, um destino de UO (Unidade Organizacional) para o objeto de computador e credenciais de usuário do Active Directory com permissões suficientes para executar o ingresso no domínio. Quando uma política de provisionamento é executada, o PC na nuvem é ingressado nesse domínio do Active Directory. As credenciais serão armazenadas com segurança no serviço do Windows 365.
Durante o provisionamento, o PC na Nuvem é conectado à sub-rede do Azure e unido a um domínio (Windows Server Active Directory ou Microsoft Entra ID). Esse processo resulta em um PC na Nuvem que é:
- Em sua rede.
- Registrado para Microsoft Entra ID.
- Registrado em Microsoft Intune.
- Pronto para aceitar solicitações de entrada do usuário.
As configurações do ANC são aplicadas ao PC na Nuvem só no momento do provisionamento.
ANCs alternativos
Para ajudar a tornar o provisionamento de PCs de Nuvem mais confiável no raro caso de restrições de capacidade em uma região, você tem a opção de atribuir ANCs alternativos a uma política de provisionamento. Você pode definir a ordem de prioridade dos ANCs que a política usará. Se o primeiro ANC não estiver disponível, a política usará automaticamente o segundo ANC na lista de prioridades. Se o segundo não estiver disponível, ele passará para o próximo e assim por diante. Isso permite que os administradores preparem vários ANCs em diferentes regiões do Azure, tornando o provisionamento mais confiável. Você não precisa usar vários ANCs. Para obter mais informações sobre como usar ANCs alternativos ao criar suas políticas de provisionamento, consulte Criar políticas de provisionamento.
Primeira verificação de integridade
As informações incluídas no ANC são usadas para provisionar um PC na Nuvem. Para que o provisionamento seja bem-sucedido, os recursos referenciados no ANC devem ser íntegros e acessíveis. Depois que um objeto ANC for criado, o Windows 365 verificará se:
- Os objetos referenciados pelo ANC estão íntegros.
- É possível fazer conexões com esses objetos.
Essas verificações de integridade usam as informações do ANC fornecidas para provisionar um PC na Nuvem. Para ver uma lista completa de verificações, consulte Verificações de integridade da conexão da rede do Azure.
Enquanto essa primeira verificação de integridade do ANC estiver em andamento, você não pode atribuir o ANC a nenhuma política de provisionamento. Depois que a verificação de integridade for concluída e bem-sucedida, o ANC poderá ser atribuído a uma ou mais políticas de provisionamento.
Verificações periódicas de integridade
Após o provisionamento, as informações em um ANC também são usadas para monitorar:
- a integridade da conexão entre seus recursos baseados em rede
- o PC na nuvem hospedado na assinatura hospedada pela Microsoft
O Windows 365 relatará problemas de configuração que podem causar falhas de provisionamento ou experiências ruins do usuário final. Esse monitoramento reduz a sobrecarga de gerenciamento. Para obter mais informações sobre essas verificações periódicas, consulte Verificações de integridade da conexão da rede do Azure.
Frequência da verificação de integridade
As verificações do ANC são executadas uma vez a cada uma a seis horas.
A verificação de integridade abrangente, de ponta a ponta, pode levar até 30 minutos. As verificações de integridade são executadas em uma máquina virtual temporária do Azure que é criada automaticamente, especificamente para essa finalidade. Essa máquina virtual é criada automaticamente e excluída quando as verificações de integridade são concluídas. A máquina virtual está conectada à sua VNet especificada e as verificações são executadas para garantir que o provisionamento seja bem-sucedido.
Depois que um marcar for concluído, os resultados serão postados no painel de conexão de rede do Azure do centro de administração Microsoft Intune. Para obter mais informações sobre os resultados da verificação, consulte Verificações de integridade das conexões da rede do Azure.
Repetir verificação de integridade
Para disparar manualmente uma marcar de integridade completa, entre no centro de administração Microsoft Intune, selecione Dispositivos>Windows 365 (em Provisionamento)>Conexão > de rede do Azure selecione uma nova tentativa de conexão > de rede do Azure.
Permissões necessárias das conexões da rede do Azure
O assistente do ANC requer acesso ao Azure e, opcionalmente, aos recursos de domínio local. As seguintes permissões são necessárias para o ANC:
- Intune função administrador, administrador de Windows 365 ou administrador global.
- Uma conta de usuário do Active Directory com permissões suficientes para ingressar o domínio do AD nesta Unidade Organizacional (Microsoft Entra anCs de junção híbrida).
Para criar ou editar um ANC, você deve pelo menos ter a função Leitor de Assinatura na Assinatura do Azure em que a VNET associada ao ANC estava localizada.
Para ver uma lista completa de requisitos, confira Requisitos do Windows 365.
Alterar uma conexão da rede do Azure
Alterar as configurações de um ANC não afetará os PCs na Nuvem provisionados anteriormente com aquele ANC. Somente os PCs na Nuvem provisionados após as alterações feitas no ANC refletirão essas alterações posteriores.
Se você quiser alterar as configurações do ANC em um PC na Nuvem provisionado anteriormente, será necessário reprovisionar o PC na Nuvem. O reprovisionamento é uma ação destrutiva, portanto, certifique-se de que é uma ação que você realmente deseja executar. Para obter mais informações, confira Reprovisionamento.
Excluir uma conexão da rede do Azure
Você não pode excluir um ANC que está em uso. Antes que o objeto possa ser excluído, você deve fazer uma das seguintes ações para cada política de provisionamento que usa este ANC:
- Alterar a política para usar outro ANC.
- Exclua a política. Para obter mais informações, consulte Excluir uma conexão da rede do Azure.
Depois de concluir uma dessas operações, você poderá excluir o ANC.
Máximo de conexões da rede do Azure
Cada locatário tem um limite de 10 conexões da rede do Azure. Se sua organização precisar de mais de 10 conexões da rede do Azure, entre em contato com o suporte.
Entrada do usuário
Quando os usuários tentam entrar no PC na Nuvem, ocorre a autenticação do usuário.
Para Microsoft Entra ANCs de junção híbrida, o ANC é usado para rotear a solicitação de autenticação para seus controladores de domínio. Se o ANC ou a conexão da rede com seu domínio não estiverem íntegros, a conexão do usuário não poderá ocorrer. As credenciais do Windows armazenadas em cache não podem ser usadas no canal da área de trabalho remota, portanto, a disponibilidade do controlador de domínio é crítica. Verifique se a rede está estável ou coloque um servidor de controlador de domínio na mesma sub-rede que os seus PCs na nuvem.
Para Microsoft Entra ingressar em ANCs, o ANC é usado para rotear a solicitação de autenticação para Microsoft Entra ID. As credenciais armazenadas em cache do Windows não podem ser usadas no canal de área de trabalho remota, portanto, a conectividade com Microsoft Entra ID é fundamental.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de