Solucionar problemas de conexões de rede do Azure

A conexão de rede do Azure (ANC) verifica periodicamente seu ambiente para garantir que todos os requisitos sejam atendidos e estejam em um estado íntegro. Se alguma verificação falhar, poderá ver mensagens de erro no centro de administração do Microsoft Intune. Este guia contém algumas instruções adicionais para solucionar problemas que podem causar falhas em verificações.

Ingresso no domínio do Active Directory

Quando um PC na nuvem é provisionado, ele é automaticamente ingressado no domínio fornecido. Para testar o processo de ingresso no domínio, um objeto de computador de domínio é criado na Unidade Organizacional (OU) definida com um nome semelhante a “CPC-HTH” toda vez que as verificações de integridade do Windows 365 são executadas. Estes objetos de computador são desativados quando a verificação de estado de funcionamento estiver concluída. Uma falha de ingresso no domínio do Active Directory pode ocorrer por vários motivos. Se o ingresso no domínio falhar, verifique se:

• O usuário que ingressará no domínio tem permissões suficientes para ingressar no domínio fornecido.
• O usuário que ingressará no domínio pode gravar na UO (unidade organizacional) fornecida.
• O usuário de ingresso no domínio não é restrito em quantos computadores ele pode ingressar. Por exemplo, o máximo padrão de junções por usuário é 10 e esse máximo pode afetar o provisionamento do PC na nuvem.
• A sub-rede que está sendo usada pode acessar um controlador de domínio.
• Pode testar Add-Computer com as credenciais de associação a um domínio numa VM (máquina virtual) ligada à vNet/sub-rede do PC na Cloud.
• Você soluciona problemas de falhas de ingresso no domínio como qualquer computador físico em sua organização.
• Se você tiver um nome de domínio que possa ser resolvido na Internet (como contoso.com), verifique se os servidores DNS estão configurados como internos. Além disso, verifique se eles podem resolver registros DNS de domínio do Active Directory e não o seu nome de domínio público.

Sincronização de dispositivos do Microsoft Entra

Antes de a inscrição de gestão de dispositivos móveis (MDM) poder ocorrer durante o aprovisionamento, tem de estar presente um objeto Microsoft Entra ID para o PC na Cloud. Esta verificação destina-se a garantir que as contas de computador da sua organização estão a ser sincronizadas com o ID do Microsoft Entra em tempo útil.

Certifique-se de que os objetos do seu computador Microsoft Entra aparecem rapidamente no Microsoft Entra ID. Sugerimos que isso ocorra dentro de 30 minutos e que não leve mais do que 60 minutos. Se o objeto do computador não chegar ao Microsoft Entra ID no prazo de 90 minutos, o aprovisionamento falhará.

Se o provisionamento falhar, verifique se:

• A configuração do período de sincronização no ID do Microsoft Entra está definida adequadamente. Fale com sua equipe de identidade para verificar se o seu diretório está sincronizando rápido o suficiente.
• O seu ID do Microsoft Entra está ativo e em bom estado de funcionamento.
• O Microsoft Entra Connect está a ser executado corretamente e não existem problemas com o servidor de sincronização.
• Você executa manualmente um Add-Computer na UO fornecida para PCs na nuvem. Tempo que o objeto de computador demora a aparecer no ID do Microsoft Entra.

Uso de intervalo de endereços IP de sub-rede do Azure

Como parte da configuração do ANC, tem de fornecer uma sub-rede à qual o PC em Nuvem se irá ligar. Para cada PC em Nuvem, o aprovisionamento cria uma NIC virtual e consome um endereço IP desta sub-rede.

Confirme que existe alocação de Endereços IP suficiente disponível para o número de PCs cloud que espera aprovisionar. Além disso, planeje espaço de endereço suficiente para provisionar falhas e recuperação de desastre em potencial.

Se esta verificação falhar, certifique-se de que:

• Verifique a sub-rede na Rede Virtual do Azure. Ela deve ter espaço de endereço suficiente disponível.
• Certifique-se de que existe um endereço suficiente para processar três tentativas de aprovisionamento, cada uma das quais pode manter os endereços de rede utilizados durante algumas horas.
• Remova quaisquer vNICs não utilizados. É melhor utilizar uma sub-rede dedicada para PCs na Cloud para garantir que nenhum outro serviço está a consumir a alocação de endereços IP.
• Expanda a sub-rede para disponibilizar mais endereços. Isto não pode ser concluído se existirem dispositivos ligados.

Durante as tentativas de aprovisionamento, é importante considerar quaisquer bloqueios CanNotDelete que possam ser aplicados ao nível do grupo de recursos ou superior. Se estes bloqueios estiverem presentes, as interfaces de rede criadas no processo não são eliminadas automaticamente. Se não forem eliminados automaticamente, tem de remover manualmente os vNICs antes de poder tentar novamente.

Durante as tentativas de aprovisionamento, é importante considerar quaisquer bloqueios existentes ao nível do grupo de recursos ou superior. Se estes bloqueios estiverem presentes, as interfaces de rede criadas no processo não serão eliminadas automaticamente. Caso isto ocorra, tem de remover manualmente os vNICs antes de poder tentar novamente.

Preparação do locatário do Azure

Quando as verificações são executadas, conferimos se a assinatura do Azure fornecida é válida e está íntegra. Se ela não for válida e íntegra, não será possível conectar PCs na nuvem de volta à sua VNet durante o provisionamento. Problemas como os de cobrança podem fazer com que as assinaturas sejam desabilitadas.

Muitas organizações usam políticas do Azure para garantir que os recursos sejam provisionados apenas em determinadas regiões e serviços. Deve certificar-se de que todas as políticas do Azure consideram o serviço Cloud PC e as regiões suportadas.

Entre no Portal do Azure e verifique se a assinatura do Azure está habilitada, válida e íntegra.

Além disso, visite o Portal do Azure e veja Políticas. Verifique se não há políticas bloqueando a criação de recursos.

Prontidão da rede virtual do Azure

Ao criar uma ANC, bloqueamos o uso de qualquer vNet localizada em uma região sem suporte. Para obter uma lista de regiões com suporte, confira requisitos.

Se essa verificação falhar, verifique se a VNet fornecida está em uma região na lista de regiões com suporte.

O DNS pode resolver o domínio do Active Directory

Para o Windows 365 executar com êxito um ingresso no domínio, os PCs na nuvem anexados à VNet fornecida precisam ser capazes de resolver nomes DNS internos.

Este teste tenta resolver o nome de domínio fornecido. Por exemplo: contoso.com ou contoso.local. Se este teste falhar, verifique se:

• Os servidores DNS na VNet do Azure são configurados corretamente para um servidor DNS interno que pode resolver com êxito o nome de domínio.
• A sub-rede/VNet é roteada corretamente para que o PC na nuvem possa acessar o servidor DNS fornecido.
• Os Cloud PCs/máquinas virtuais na sub-rede declarada podem usar NSLOOKUP no servidor DNS, que responde com nomes internos.

Juntamente com a busca padrão de DNS no nome de domínio fornecido, também verificamos a existência de registros _ldap._tcp.yourDomain.com. Esse registro indica que o servidor DNS fornecido é um controlador de domínio do Active Directory. O registro é uma maneira confiável de confirmar se o DNS de domínio do AD é acessível. Confirme que estes registos estão acessíveis através da vNet fornecida na sua ligação de rede do Azure.

Conectividade do ponto de extremidade

Durante o provisionamento, os PCs na nuvem precisam se conectar a vários serviços disponíveis publicamente da Microsoft. Estes serviços incluem o Microsoft Intune, o Microsoft Entra ID e o Azure Virtual Desktop.

Tem de se certificar de que todos os pontos finais públicos necessários podem ser alcançados a partir da sub-rede utilizada pelos PCs na Cloud.

Se este teste falhar, verifique se:

• Use as ferramentas de solução de problemas de Rede Virtual do Azure para garantir que a VNet/sub-rede fornecida possa acessar os pontos de extremidade de serviço listados no documento.
• O servidor DNS fornecido pode resolver os serviços externos corretamente.
• Não há proxy entre a sub-rede do PC na nuvem e a Internet.
• Não há nenhuma regra de firewall (física, virtual ou no Windows) que possa bloquear o tráfego necessário.
• Você considera o teste dos pontos de extremidade de uma VM na mesma sub-rede declarada para PCs na nuvem.

O ambiente e a configuração estão prontos

Essa verificação é usada para muitos problemas relacionados à infraestrutura, potencialmente àquela pela qual os clientes são responsáveis. Ele pode incluir erros como tempos limite de serviço internos ou erros causados por clientes excluindo/alterando recursos do Azure enquanto as verificações estão sendo executadas.

Sugerimos que você repita as verificações se encontrar esse erro. Se ele persistir, entre em contato com o suporte para obter ajuda.

Permissões de aplicativo de primeira parte

Ao criar uma ANC, o assistente concede um determinado nível de permissões no grupo de recursos e na assinatura. Essas permissões permitem que o serviço provisione sem problemas computadores de nuvem.

Os administradores do Azure que detetam essas permissões podem ver e modificar estas permissões.

Se alguma destas permissões for revogada, esta verificação falhará. Certifique-se de que as seguintes permissões sejam concedidas à entidade de serviço do aplicativo do Windows 365:

• Função de Leitor na assinatura do Azure.
• Função Contribuidor da Interface de Rede do Windows365 no grupo de recursos especificado.
• Função de Utilizador de Rede do Windows365 na rede virtual.

A atribuição de função na subscrição é concedida ao principal de serviço do CLOUD PC.

Além disso, certifique-se de que as permissões não são concedidas como funções de administrador de subscrição clássica ou "Funções (Clássico)". Essa função não é suficiente. Tem de ser uma das funções incorporadas do controlo de acesso baseado em funções do Azure, conforme listado anteriormente.

Próximas etapas

Saiba mais sobre as verificações de integridade da ANC.