Visão geral da conexão da rede do Azure
Uma ligação de rede do Azure (ANC) é um objeto no centro de administração do Microsoft Intune que fornece perfis de aprovisionamento de PC na Cloud com informações necessárias para ligar a recursos baseados na rede. São utilizados ANCs:
- Quando um PC na nuvem é inicialmente provisionado.
- Quando o Windows 365 verifica periodicamente a conexão com a infraestrutura local para garantir a melhor experiência ao usuário final.
Tipos de conexão de rede
Há dois tipos de ANCs com base no tipo de junção. Ambos permitem que você gerencie o tráfego e o acesso do PC na Nuvem aos recursos baseados em rede, mas eles têm requisitos de conectividade diferentes.
- Associação ao Microsoft Entra: não requer conectividade a um domínio do Windows Server Active Directory (AD).
- Associação híbrida do Microsoft Entra: requer conectividade a um domínio do Windows Server AD. Você deve fornecer os detalhes do domínio do AD ao criar o ANC.
Provisionamento
Quando um PC na Cloud é aprovisionado, as informações no ANC são utilizadas pela política de aprovisionamento para aprovisionar o PC na cloud na sub-rede do Azure. As informações necessárias num ANC incluem:
- Detalhes da rede: a assinatura do Azure, o grupo de recursos, a rede virtual e a sub-rede aos quais o PC na nuvem estará associado. Quando uma política de provisionamento é executada, ela cria um PC na nuvem na assinatura do Azure hospedada pela Microsoft. Para conectar-se à rede local de um cliente, uma placa de interface de rede virtual (vNic) é injetada em uma rede virtual do Azure (vNet) fornecida pelo cliente. Para criar esse adaptador de rede virtual, o Windows 365 precisa de acesso suficiente a uma assinatura do Azure.
- Domínio do Active Directory: o domínio do Active Directory a ingressar, um destino de UO (Unidade Organizacional) para o objeto de computador e credenciais de usuário do Active Directory com permissões suficientes para executar o ingresso no domínio. Quando uma política de provisionamento é executada, o PC na nuvem é ingressado nesse domínio do Active Directory. As credenciais serão armazenadas com segurança no serviço do Windows 365.
Durante o aprovisionamento, o PC na Cloud está ligado à sub-rede do Azure e associado a um domínio (Windows Server Active Directory ou Microsoft Entra ID). Esse processo resulta em um PC na Nuvem que é:
- Em sua rede.
- Registado no Microsoft Entra ID.
- Inscrito no Microsoft Intune.
- Pronto para aceitar solicitações de entrada do usuário.
As configurações do ANC são aplicadas ao PC na Nuvem só no momento do provisionamento.
ANCs alternativos
Para ajudar a tornar o aprovisionamento de PCs na Cloud mais fiável no caso raro de restrições de capacidade numa região, tem a opção de atribuir ANCs alternativos a uma política de aprovisionamento. Pode definir a ordem de prioridade dos ANCs que a política irá utilizar. Se o primeiro ANC não estiver disponível, a política utilizará automaticamente o segundo ANC na lista de prioridades. Se o segundo estiver indisponível, passará para o seguinte e assim sucessivamente. Isto permite que os administradores preparem vários ANCs em diferentes regiões do Azure, tornando o aprovisionamento mais fiável. Não tem de utilizar vários ANCs. Para obter mais informações sobre como utilizar ANCs alternativos ao criar as políticas de aprovisionamento, veja Criar políticas de aprovisionamento.
Primeira verificação de integridade
As informações incluídas no ANC são usadas para provisionar um PC na Nuvem. Para que o provisionamento seja bem-sucedido, os recursos referenciados no ANC devem ser íntegros e acessíveis. Depois que um objeto ANC for criado, o Windows 365 verificará se:
- Os objetos referenciados pelo ANC estão íntegros.
- É possível fazer conexões com esses objetos.
Essas verificações de integridade usam as informações do ANC fornecidas para provisionar um PC na Nuvem. Para ver uma lista completa de verificações, consulte Verificações de integridade da conexão da rede do Azure.
Enquanto essa primeira verificação de integridade do ANC estiver em andamento, você não pode atribuir o ANC a nenhuma política de provisionamento. Depois que a verificação de integridade for concluída e bem-sucedida, o ANC poderá ser atribuído a uma ou mais políticas de provisionamento.
Verificações periódicas de integridade
Após o provisionamento, as informações em um ANC também são usadas para monitorar:
- a integridade da conexão entre seus recursos baseados em rede
- o PC na nuvem hospedado na assinatura hospedada pela Microsoft
O Windows 365 relatará problemas de configuração que podem causar falhas de provisionamento ou experiências ruins do usuário final. Esse monitoramento reduz a sobrecarga de gerenciamento. Para obter mais informações sobre essas verificações periódicas, consulte Verificações de integridade da conexão da rede do Azure.
Frequência da verificação de integridade
As verificações do ANC são executadas uma vez a cada uma a seis horas.
A verificação de integridade abrangente, de ponta a ponta, pode levar até 30 minutos. As verificações de integridade são executadas em uma máquina virtual temporária do Azure que é criada automaticamente, especificamente para essa finalidade. Essa máquina virtual é criada automaticamente e excluída quando as verificações de integridade são concluídas. A máquina virtual está conectada à sua VNet especificada e as verificações são executadas para garantir que o provisionamento seja bem-sucedido.
Após a conclusão de uma verificação, os resultados são publicados no painel ligação de rede do Azure do centro de administração do Microsoft Intune. Para obter mais informações sobre os resultados da verificação, consulte Verificações de integridade das conexões da rede do Azure.
Repetir verificação de integridade
Para acionar manualmente uma verificação de estado de funcionamento completa, inicie sessão no centro de administração do Microsoft Intune, selecioneDispositivos>Windows 365 (em Aprovisionamento)>Ligação > de rede do Azure selecione uma ligação > de rede do Azure Tentar novamente.
Permissões necessárias das conexões da rede do Azure
O assistente do ANC requer acesso ao Azure e, opcionalmente, aos recursos de domínio local. As seguintes permissões são necessárias para o ANC:
- Função administrador do Intune ou Administrador do Windows 365 .
- Uma conta de utilizador do Active Directory com permissões suficientes para associar o domínio do AD a esta Unidade Organizacional (apenas ANCs associados híbridos ao Microsoft Entra).
Para criar ou editar um ANC, tem de ter, pelo menos, a função Leitor de Subscrições na Subscrição do Azure onde a VNET associada ao ANC estava localizada.
Para ver uma lista completa de requisitos, confira Requisitos do Windows 365.
Alterar uma conexão da rede do Azure
Alterar as configurações de um ANC não afetará os PCs na Nuvem provisionados anteriormente com aquele ANC. Somente os PCs na Nuvem provisionados após as alterações feitas no ANC refletirão essas alterações posteriores.
Se você quiser alterar as configurações do ANC em um PC na Nuvem provisionado anteriormente, será necessário reprovisionar o PC na Nuvem. O reprovisionamento é uma ação destrutiva, portanto, certifique-se de que é uma ação que você realmente deseja executar. Para obter mais informações, confira Reprovisionamento.
Excluir uma conexão da rede do Azure
Não pode eliminar um ANC que esteja a ser utilizado. Antes de o objeto poder ser eliminado, tem de efetuar uma das seguintes ações para cada política de aprovisionamento que utilize este ANC:
- Alterar a política para usar outro ANC.
- Exclua a política. Para obter mais informações, consulte Excluir uma conexão da rede do Azure.
Depois de concluir uma dessas operações, você poderá excluir o ANC.
Máximo de conexões da rede do Azure
Cada locatário tem um limite de 10 conexões da rede do Azure. Se sua organização precisar de mais de 10 conexões da rede do Azure, entre em contato com o suporte.
Entrada do usuário
Quando os usuários tentam entrar no PC na Nuvem, ocorre a autenticação do usuário.
Para ANCs de associação híbrida do Microsoft Entra, o ANC é utilizado para encaminhar o pedido de autenticação para os controladores de domínio. Se o ANC ou a conexão da rede com seu domínio não estiverem íntegros, a conexão do usuário não poderá ocorrer. As credenciais do Windows armazenadas em cache não podem ser usadas no canal da área de trabalho remota, portanto, a disponibilidade do controlador de domínio é crítica. Verifique se a rede está estável ou coloque um servidor de controlador de domínio na mesma sub-rede que os seus PCs na nuvem.
Para os ANCs associados ao Microsoft Entra, o ANC é utilizado para encaminhar o pedido de autenticação para o ID do Microsoft Entra. As credenciais em cache do Windows não podem ser utilizadas através do canal de ambiente de trabalho remoto, pelo que a conectividade com o Microsoft Entra ID é fundamental.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de