Conexão de rede do Windows 365 Azure

O Windows 365 fornece instâncias de computação do Windows baseadas em nuvem chamadas PCs de nuvem que fornecem aos usuários experiências de área de trabalho personalizadas e otimizadas. Cada PC na nuvem se integra aos seguintes serviços de Nuvem da Microsoft para fornecer segurança, gerenciamento e conectividade de nível empresarial:

• Intune para gerenciamento de dispositivos, políticas de segurança e implantação de aplicativos

• Microsoft Entra ID para gerenciamento de identidades e controle de acesso

• Área de Trabalho Virtual do Azure para gerenciamento seguro de sessão e conectividade remota

Os PCs de nuvem são executados no serviço windows 365 e fornecem aos usuários experiências consistentes da área de trabalho do Windows que eles podem acessar de qualquer dispositivo, em qualquer lugar. Este artigo se concentra nas implantações do Windows 365 que usam conexões de rede do Azure para se integrarem à infraestrutura de rede existente e aos recursos locais.

O modelo de responsabilidade compartilhada do Windows 365

O Windows 365 é uma solução SaaS (software como serviço). A Microsoft gerencia alguns componentes nos serviços do Windows 365 e você gerencia outros componentes. Seu nível de responsabilidade depende do padrão de arquitetura para implantação.

As responsabilidades de gerenciamento do Windows 365 são divididas em três áreas:

• Implantação: Planeje e implante o componente do serviço.

• Ciclo de vida: Gerencie o componente durante todo o ciclo de vida, como aplicação de patch e proteção.

• Configuração: Defina o componente para aplicar as configurações necessárias para um cenário.

O diagrama a seguir mostra a matriz de responsabilidades de uma implantação do Windows 365 que utiliza a rede recomendada hospedada pela Microsoft, o ingresso do Microsoft Entra e as imagens da galeria com o Microsoft Windows Autopatch. Essa configuração não exige que você gerencie muitos componentes e estágios do ciclo de vida e oferece muitos benefícios.

Observação

O diagrama a seguir representa as responsabilidades da perspectiva da infraestrutura, como configurar o hardware e a rede e mantê-los. Ele não inclui a configuração de assinatura do locatário do Windows 365 ou do Intune.

Essa matriz mostra que a Microsoft gerencia todos os aspectos da implantação, do ciclo de vida e das etapas de configuração para os seguintes componentes: Área de Trabalho Virtual, Windows 365, infraestrutura de PC em nuvem, VMs de PC na nuvem, Intune, NICs virtuais do PC na nuvem, assinatura do Azure, grupos de recursos, Armazenamento do Azure, Rede Virtual e configuração de roteamento. A única exceção é a etapa de configuração do Intune, que é responsabilidade do cliente. O Armazenamento do Azure está marcado como opcional. O cliente gerencia todas as etapas da ID do Microsoft Entra, DNS do Azure, sistema operacional convidado, aplicativos e segurança de PC na nuvem.

Baixe um arquivo do PowerPoint dessa arquitetura.

O diagrama a seguir mostra uma implantação típica do Windows 365 que usa uma conexão de rede do Azure. Ele mostra os componentes que a Microsoft gerencia e os componentes que você gerencia nos estágios do ciclo de vida de um PC na nuvem.

Essa matriz mostra que a Microsoft gerencia todos os aspectos da implantação, do ciclo de vida e das etapas de configuração para os seguintes componentes: Área de Trabalho Virtual, Windows 365, infraestrutura de PC em nuvem, VMs de PC na nuvem, INtune e NICs virtuais de PC na nuvem. A única exceção é a etapa de configuração do Intune, que é responsabilidade do cliente. O cliente gerencia todas as etapas da assinatura do Azure, grupos de recursos, Armazenamento do Azure, Rede Virtual, configuração de roteamento, VPN ou Azure ExpressRoute, ID do Microsoft Entra, DNS do Azure, sistema operacional convidado, aplicativos e segurança de PC na nuvem. O Armazenamento do Azure está marcado como opcional.

Baixe um arquivo do PowerPoint dessa arquitetura.

Padrão de arquitetura recomendada

Recomendamos que você implante o Windows 365 com os seguintes componentes para obter uma experiência de SaaS:

• Ingressar no Microsoft Entra
• Uma rede hospedada pela Microsoft
• Imagens da galeria
• Um serviço de MDM (gerenciamento de dispositivo móvel) baseado no Intune com configuração de aplicativo e sistema operacional
• Um aplicativo do Windows 365 para acesso ao PC na Nuvem

Esse padrão fornece os benefícios máximos do serviço.

Este diagrama mostra uma rede do Azure que contém assinaturas de clientes e assinaturas do Azure. A seção de assinatura do cliente contém o Intune e a ID do Microsoft Entra. A seção de assinatura do Azure contém o Windows 365 e uma rede virtual. Os seguintes componentes residem fora da rede do Azure: um aplicativo do Windows 365, imagens da galeria do Windows 11 para Windows 365, tráfego direto da Internet e uma rede corporativa do cliente. O aplicativo Windows 365 aponta para o Windows 365 na assinatura do Azure. O Windows 365 conecta-se às imagens da galeria. A rede virtual aponta para o tráfego direto da Internet, que é um caminho de roteamento opcional. A rede virtual aponta para a rede corporativa do cliente por meio de uma VPN opcional ou conexão de acesso privado.

Baixe um arquivo do PowerPoint dessa arquitetura.

O padrão de arquitetura anterior maximiza o valor do Windows 365 e fornece os seguintes benefícios:

• Implantação simplificada e mais rápida
• Dependências mínimas a nenhuma
• Suporte total à estrutura de Confiança Zero
• Fluxos de solução de problemas simplificados
• Solução de problemas de usuário por autoatendimento
• Gerenciamento e sobrecarga baixos
• Modelo de maior maturidade de entrega de software e aplicativos

A arquitetura do serviço do Windows 365

O diagrama a seguir representa os componentes no serviço windows 365. Essa arquitetura usa o Intune e o Microsoft Entra ID, que são os principais requisitos do Windows 365. Ele também inclui componentes opcionais, como a Rede Virtual do Azure. Ele mostra a conexão de rede do Azure e as opções de rede hospedadas pela Microsoft, que são mutuamente exclusivas.

Este diagrama tem seis seções principais: clientes do Windows 365, serviço Windows 365, Área de Trabalho Virtual do Azure, ID do Microsoft Entra, Intune e uma assinatura do Azure do cliente. Os clientes do Windows 365, a Área de Trabalho Virtual e uma rede virtual no serviço Windows 365 conectam-se à Internet. A ID do Microsoft Entra se conecta aos clientes. O Intune se conecta ao Microsoft Entra ID por meio do console web do Intune. Os clientes se conectam ao portal do usuário no Windows 365. A assinatura do Azure do cliente tem uma conexão opcional com uma VPN não Microsoft e com a rede virtual no Windows 365. A VPN tem uma conexão opcional com uma rede local, que também se conecta ao ExpressRoute na assinatura. O Active Directory e o Configuration Manager conectam-se a essa rede local. A seção do Intune inclui três subseções: configurar dispositivos, proteger dados e gerenciar aplicativos. Ele também contém Autopilot e Autopatch, co-gerenciamento e RBAC. A seção do Intune aponta para o Windows Update para Empresas e o Microsoft Defender para Endpoint. A rede virtual no Windows 365 contém uma Rede Hospedada da Microsoft e uma conexão de rede do Azure. Ambos os componentes apontam para a seção Área de Trabalho Virtual, que contém um gateway, um agente e uma Web. A conexão de rede do Azure também tem uma conexão opcional com um PC na nuvem. O Microsoft Hosted tem uma conexão padrão com um PC na nuvem.

Baixe um arquivo do Visio dessa arquitetura.

As seções a seguir expandem as opções de conexão de rede do Azure.

Área de Trabalho Virtual

A Área de Trabalho Virtual é uma solução de infraestrutura de área de trabalho virtual baseada no Azure. A Microsoft gerencia a Área de Trabalho Virtual. Oferece uma solução no estilo PaaS (plataforma como serviço). O Windows 365 usa os componentes de gerenciamento de rede da Área de Trabalho Virtual para habilitar a conectividade com computadores em nuvem hospedados pela Microsoft. Esses componentes incluem o serviço de gateway de Área de Trabalho Virtual, um serviço de agente de conexão e um serviço de cliente Web. Eles fornecem uma conexão perfeita com computadores de nuvem do Windows 365.

Para obter mais informações, consulte Área de Trabalho Virtual para a empresa.

Este diagrama contém três seções principais, uma assinatura do Azure, uma rede local e arquivos do Azure e Azure NetApp Files. A assinatura contém uma rede virtual de hub e uma rede virtual spoke. A rede virtual do hub contém uma sub-rede de gateway, uma sub-rede de zona de perímetro, uma sub-rede de área de trabalho e uma sub-rede do Active Directory. A sub-rede do Active Directory conecta-se a uma rede virtual de spoke de desktop por meio de emparelhamento. A sub-rede da área de trabalho do hub se conecta a uma conta de armazenamento na seção Arquivos do Azure. Todas as sub-redes, exceto a sub-rede de gateway, têm grupos de segurança de rede. A rede no local contém um servidor Microsoft Entra Connect, um servidor AD DS opcional, um gateway de rede e endpoints. Ele se conecta à assinatura do Azure por meio de uma conexão do ExpressRoute. E se conecta à ID do Microsoft Entra por meio do Microsoft Entra Connect. O gateway de rede aponta para o aplicativo virtual de rede na sub-rede da rede de perímetro. O plano de controle da Área de Trabalho Virtual está na parte superior do diagrama, sob o Microsoft Entra ID. Ele inclui acesso à Web, um gateway, um agente, diagnóstico e uma API REST.

Baixe um arquivo do Visio dessa arquitetura.

Observação

O Windows 365 usa os componentes no plano de controle da Área de Trabalho Virtual para facilitar conexões de usuário e pc na nuvem. Portanto, ele herda a maioria dos recursos relacionados à conexão da Área de Trabalho Virtual do Azure. Familiarize-se com o funcionamento da rede da Área de Trabalho Virtual ao projetar a arquitetura de conexão de rede do Azure neste artigo.

Intune

O Intune é uma solução de gerenciamento de ponto de extremidade baseada em nuvem que você pode usar para exibir e consumir relatórios e gerenciar os seguintes elementos:

• A entrega de aplicativos
• Atualizações do Windows
• As configurações do gerenciamento de dispositivos
• Políticas de segurança

O Intune simplifica o gerenciamento de aplicativos e dispositivos em vários dispositivos, incluindo dispositivos móveis, computadores desktop e pontos de extremidade virtuais.

Você pode usar o Intune para proteger o acesso e os dados em dispositivos pessoais e de propriedade da organização. O Intune também tem recursos de conformidade e relatório que dão suporte ao modelo de segurança de Confiança Zero. Para obter mais informações, confira Criar um perfil de configuração de dispositivo.

Padrões de arquitetura

Um padrão de arquitetura descreve os componentes e mostra as configurações que você pode usar para implantar um serviço ou produto. Para obter mais informações, consulte arquitetura "Hospedado em nome de.

Consulte os seguintes padrões de conexão de rede do Azure:

Conexão de rede do Azure com a Ingressão do Microsoft Entra: Nesse padrão, os PCs de nuvem ingressados ao Microsoft Entra usam uma conexão de rede do Azure para se conectar a recursos em ambientes locais que não exigem autenticação Kerberos ou NTLM (Windows New Technology LAN Manager). Por exemplo, os PCs de nuvem podem se conectar a aplicativos LOB (linha de negócios), compartilhamentos de arquivos ou outros aplicativos.

Conexão de rede do Azure com ingresso híbrido do Microsoft Entra – nesse padrão, os PCs na Nuvem com ingresso híbrido no Microsoft Entra usam uma conexão de rede do Azure para ingresso no domínio com um controlador de domínio do Microsoft Entra ID local. O PC na nuvem é autenticado com o controlador de domínio local quando os usuários acessam o PC na nuvem, aplicativos locais ou aplicativos de nuvem que exigem autenticação Kerberos ou NTLM.

Padrões de arquitetura de conexão de rede do Azure

Para alguns padrões, o serviço do Windows 365 se conecta a ambientes locais por meio da Rede Virtual usando o Azure ExpressRoute ou uma VPN site a site. Uma conexão de rede do Azure, que é um objeto do Intune, representa esse método de conectividade. A conexão de rede do Azure permite que os computadores de nuvem se conectem a recursos locais, como aplicativos do Windows Server Active Directory ou LOB.

O serviço Windows 365 utiliza essa conexão durante o provisionamento de PCs na Nuvem para integrá-los a um domínio local do Microsoft Entra e realizar verificações de integridade, garantindo a prontidão no provisionamento.

A tabela a seguir lista uma dependência de uma conexão de rede do Azure para a arquitetura de junção híbrida do Microsoft Entra. O Windows 365 executa uma verificação automática de integridade nessa dependência.

Dependência	Verificação do Windows 365	Recomendações
Microsoft Entra Connect	Verifica se o Microsoft Entra Connect está configurado e termina com êxito	- Configure o intervalo de sincronização do Microsoft Entra Connect com o valor padrão ou mais baixo. Intervalos de sincronização mais longos aumentam a possibilidade de uma falha no provisionamento do Cloud PC na produção devido a um tempo limite. Para mais informações, consulte Falha no ingresso híbrido do Microsoft Entra. - Configure a replicação do controlador de domínio para o Windows Server Active Directory a partir de um servidor no mesmo datacenter que a conexão de rede do Windows 365 Azure. Esse método fornece replicação mais rápida. - Configure a replicação do controlador de domínio Microsoft Entra ID com um valor padrão.

A tabela a seguir lista as dependências de uma conexão de rede do Azure para a junção híbrida do Microsoft Entra ou da arquitetura de junção do Microsoft Entra. O Windows 365 executa verificações automáticas de integridade nessas dependências.

Dependência	Verificação do Windows 365	Recomendações
Preparação do locatário do Azure	Verifica se a assinatura do Azure está habilitada, sem restrições de bloqueio e está pronta para uso	- Use uma conta que tenha os privilégios certos para gerenciar as assinaturas do Azure, do Intune e do Windows 365. Para obter mais informações, confira Controle de acesso baseado em função. - Desabilitar ou modificar políticas do Azure que impedem a criação de computadores na nuvem. Para obter mais informações, consulte Restringir SKUs de máquina virtual permitida (VM). - Verifique se a assinatura tem cotas de recursos suficientes para rede e limites gerais com base no número máximo de computadores na nuvem que você deseja criar. Os exemplos incluem o tamanho do gateway de rede, o espaço de endereços IP, o tamanho da rede virtual e a largura de banda necessária. Para obter mais informações, confira Limites de rede e Limites gerais.
Preparação da rede virtual do Azure	Verifica se a rede virtual está em uma região do Windows 365 com suporte	- Crie a rede virtual em uma região do Azure com suporte do Windows 365 para provisionamento de PC na nuvem. - Crie pelo menos uma sub-rede, além da sub-rede padrão, para implantar os adaptadores de rede virtual do PC na Nuvem. – Criar serviços de rede compartilhados, como Firewall do Azure, gateways de VPN ou gateways do ExpressRoute, em uma rede virtual separada para permitir controles de roteamento e expansão da implantação. Em redes virtuais, aplique NSGs (grupos de segurança de rede) que têm exclusões apropriadas para permitir as URLs necessárias para o serviço Windows 365. Para obter mais informações, consulte os requisitos de rede e NSGs.
Uso do endereço IP da sub-rede do Azure	Verifica se há endereços IP suficientes disponíveis	- Crie a rede virtual com endereços IP suficientes para lidar com a criação do PC na nuvem e a reserva de endereço IP temporário durante o reprovisionamento. Recomendamos usar um espaço de endereços IP que seja de 1,5 a 2 vezes o número máximo de PCs na Nuvem que você implanta para a nuvem. Para obter mais informações, confira Requisitos gerais de rede. – Trate a rede virtual do Azure como uma extensão lógica da rede local. Atribua espaço de endereço IP exclusivo em todas as suas redes para evitar conflitos de roteamento.
Conectividade do ponto de extremidade	Verifica se as URLs externas necessárias para o provisionamento de PC na nuvem podem ser acessadas na rede virtual	– Permitir todas as URLs necessárias para o provisionamento de PC na nuvem por meio da rede virtual do Azure. Para obter mais informações, confira Permitir conectividade de rede. – Use o Firewall do Azure para aproveitar as tags de nome de domínio totalmente qualificado (FQDN) do Windows 365, Área de Trabalho Virtual do Azure e Intune. Use as tags para criar regras de aplicação e permitir URLs necessárias para o provisionamento do Windows 365 Cloud PC. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365. – Ignorar ou excluir o tráfego rdp de qualquer dispositivo de inspeção, proxy ou manipulação de rede para evitar problemas de latência e roteamento. Para obter mais informações, confira Tecnologias de interceptação de tráfego. - No dispositivo do usuário e do lado da rede, permita as URLs e portas de serviço do Windows 365 para inspeções de proxy e rede. - Permitir endereços de IP internos do Azure 168.63.129.16 e 169.254.169.254. Esses endereços IP fornecem comunicação com serviços da plataforma Azure, como metadados ou sinal de pulso. Para saber mais, consulte os recursos a seguir: - Endereço IP 168.63.129.16 - Serviço de Metadados de Instância do Azure - Perguntas frequentes sobre rede virtual
Inscrição no Intune	Verifica se o Intune permite o registro do Windows	– Certifique-se de definir restrições de registro de tipo de dispositivo do Intune para permitir a plataforma MDM do Windows para registro corporativo. – Para a junção híbrida do Microsoft Entra, configure os dispositivos automaticamente, configurando o ponto de conexão de serviço para cada domínio no Microsoft Entra Connect ou utilizando o modelo de implantação direcionada. Para obter mais informações, confira Configurar ingresso híbrido Microsoft e Implantação direcionada de ingresso híbrido do Microsoft Entra.
Permissões de aplicativo da Microsoft	Verifica o aplicativo Windows 365 para permissões na assinatura do Azure do cliente, no grupo de recursos e nos níveis de rede virtual.	– Verifique se a conta usada para configurar a conexão de rede do Azure tem permissões de leitura na assinatura do Azure em que você cria a rede virtual do Azure. – Verifique se a assinatura do Azure não tem políticas que bloqueiam permissões para o aplicativo gerenciado pela Microsoft do Windows 365. O aplicativo deve ter permissões na assinatura, no grupo de recursos e nos níveis de rede virtual. Para obter mais informações, confira Requisitos do Azure.
Pacote de idiomas de localização	Verifica se os locais de download do pacote de idiomas podem ser acessados	– Verifique se as regras de firewall na rede virtual do Azure permitem URLs necessárias para a versão apropriada das imagens do Windows. Para obter mais informações, confira Fornecer uma experiência localizada do Windows.
Shortpath RDP	Verifica se as configurações do UDP (User Datagram Protocol) estão configuradas para você se conectar	- Habilite o Shortpath de RDP para acesso ao PC na Nuvem a fim de aproveitar a resiliência do UDP. Para obter mais informações, confira Usar o Shortpath de RDP para redes públicas com o Windows 365 e Usar o Shortpath de RDP para redes privadas com o Windows 365.
Licença do Intune	Verifica se o locatário tem licenças apropriadas do Intune para usar o Windows	– Verifique se você tem as licenças adequadas do Intune atribuídas a você de acordo com os requisitos de licenciamento.
Verificação de SSO (logon único)	Verifica se o objeto do servidor Kerberos foi criado no Active Directory do Windows Server e sincronizado com a ID do Microsoft Entra	– Verifique se você selecionou a opção SSO na política de provisionamento. Essa opção permite se conectar ao PC na Nuvem da política usando credenciais de entrada de um dispositivo físico gerenciado pelo Intune que ingressou no domínio ou ingressou no Microsoft Entra. Para obter mais informações, confira Continuar criando políticas de provisionamento.
Resolução de nomes do Sistema de Nomes de Domínio (DNS)	Verifica se o DNS na conexão de rede do Azure pode resolver o domínio local do Active Directory	– Configure a rede virtual do Azure com a resolução de nomes de um domínio local do Microsoft Entra usando um DNS personalizado, um DNS privado ou um resolvedor privado. Para obter mais informações, consulte o DNS do Azure. – Verifique se os servidores DNS configurados na rede virtual residem na mesma região e podem registrar computadores de nuvem provisionados recentemente sem atraso. Evite referências ou redirecionamentos de DNS para impedir atrasos de propagação, que podem resultar em atrasos ou falhas de provisionamento.
União ao domínio do Microsoft Entra	Verifica se as credenciais fornecidas para o ingresso no domínio do Microsoft Entra são válidas e os PCs na nuvem podem ser ingressados no domínio	– Verifique se a conta de ingresso no domínio do Microsoft Entra tem permissões na unidade organizacional do Microsoft Entra especificada na configuração de conexão de rede do Azure. – Verifique se a conta não é uma conta de usuário padrão com uma limitação de ingresso no domínio. Para obter mais informações, consulte o limite padrão para o número de estações de trabalho que um usuário pode ingressar no domínio. – Verifique se a conta é sincronizada com a ID do Microsoft Entra. – Verifique se a unidade organizacional especificada na conexão de rede do Azure não tem limites de objeto. Para obter mais informações, confira Aumentar o limite da conta de computador na unidade organizacional.

Para obter mais informações, confira Verificações de integridade da conexão de rede do Azure no Windows 365.

Recomendações de blocos de construção de conexão de rede do Azure

Esta seção descreve os blocos de construção do padrão de arquitetura de conexão de rede do Azure do Windows 365.

Assinatura do Azure

O uso do Windows 365 em um padrão de arquitetura de conexão de rede do Azure envolve dois tipos de assinaturas do Azure, uma assinatura da Microsoft e uma assinatura de cliente.

O Windows 365 usa o hospedado em nome do modelo para fornecer serviços aos clientes do Windows 365. Esse modelo provisiona e executa o PC na nuvem em assinaturas do Azure que a Microsoft possui. O adaptador de rede do PC na nuvem é provisionado na assinatura do Azure de um cliente. Os diagramas a seguir mostram dois padrões de arquitetura da conexão de rede do Azure. Você usa sua própria assinatura e rede virtual do Azure.

O padrão de arquitetura a seguir usa uma identidade de junção do Microsoft Entra para gerenciar o PC na nuvem.

Este diagrama mostra um fluxo de rede. Um componente gerenciado pela Microsoft em uma rede virtual da assinatura do cliente conecta-se a um ambiente de cliente local e à ID do Microsoft Entra. O componente aponta para a conectividade com o usuário e tem uma conexão bidirecional com os dispositivos do usuário.

Baixe um arquivo do Visio dessa arquitetura.

O padrão de arquitetura a seguir usa a identidade de junção híbrida do Microsoft Entra para gerenciar o PC na nuvem. Essa arquitetura requer comunicação de rede de linha de visão com controladores de domínio dos Serviços de Domínio Active Directory (AD DS) em ambientes locais.

Este diagrama mostra o mesmo fluxo de rede que o diagrama anterior, exceto que um controlador de domínio substitui o ambiente do cliente. Um componente gerenciado pela Microsoft em uma rede virtual da assinatura do cliente conecta-se a um controlador de domínio local e à ID do Microsoft Entra. O componente aponta para a conectividade do usuário e tem uma conexão bidirecional com dispositivos do usuário.

Baixe um arquivo do Visio dessa arquitetura.

Componente	Uma assinatura do Azure que hospeda a rede virtual que fornece conectividade para o Cloud PC a um ambiente local e à Internet.
Padrões de arquitetura	– Conexão de rede do Azure para ingresso no Microsoft Entra - Conexão de rede do Azure para ingresso híbrido do Microsoft Entra
Recomendações	- Crie ou use uma assinatura que tenha uma rede virtual e gateways de VPN ou do ExpressRoute para fornecer uma conexão de volta com um ambiente local. – Crie um grupo de recursos dedicado para um PC na nuvem para fornecer permissão e gerenciamento de recursos. – Exclua grupos de recursos de PC na nuvem e redes virtuais das políticas do Azure que impedem a criação e exclusão automática de objetos de cartão de interface de rede virtual ou a atribuição e a liberação de endereços IP. Para obter mais informações, consulte Bloquear recursos para proteger a infraestrutura e Requisitos do Azure. - Crie redes virtuais dedicadas para melhor gerenciamento de endereços IP e controles de roteamento.

Rede virtual e conexão híbrida

Os padrões de arquitetura do Windows 365 baseados em uma conexão de rede do Azure exigem uma ou mais redes virtuais do Azure. Essas redes virtuais fornecem conectividade a ambientes locais e à Internet para provisionamento de PC na nuvem. O adaptador de rede virtual do PC na nuvem é provisionado na rede virtual do Azure da assinatura de propriedade do cliente.

Você pode implantar a rede do Azure com uma sofisticação de design variável com base na rede local existente ou na rede do Azure. Para obter mais informações sobre um design de rede híbrida básico, consulte Implementar uma rede híbrida segura.

Considere os seguintes fatores ao projetar uma arquitetura de rede virtual do Azure:

• Espaço de endereço IP: O tamanho do espaço de endereço IP depende do número de computadores na nuvem. Planeje pelo menos 1,5 vezes o número máximo de computadores na nuvem implantados. Você usa os endereços IP extras ao provisionar e desprovisionar computadores na nuvem.

• Resolução de nomes: Os PCs de nuvem usam um processo de DNS para resolver o nome de domínio local em uma implantação de associação híbrida com o Microsoft Entra ou para resolver recursos da Internet ou recursos do Azure em um modelo de implantação de associação com o Microsoft Entra.

  • Para usar sua infraestrutura DNS local existente, configure os endereços IP de um ou mais servidores DNS para resolução de nomes. Para saber mais, confira Requisitos de DNS.

  • Verifique se os endereços IP do servidor DNS configurados na rede virtual do Azure residem na mesma região que o PC na nuvem. Evite redirecionar solicitações de registro DNS para outras regiões. O redirecionamento pode resultar em implantações atrasadas ou com falha e verificações de integridade de conexão de rede do Azure.

  • Para a resolução de nomes baseada em DNS do Azure, use a opção DNS pública ou privada do Azure ou a opção Resolvedor Privado DNS do Azure. Para obter mais informações, confira a documentação do DNS do Azure.

• Topologia de rede: A rede do Azure dá suporte a topologias para acomodar diferentes casos de uso.

  • Topologia hub-spoke com emparelhamento de rede virtual: Essa topologia simples isola os serviços em redes virtuais de hub e spoke dedicadas. Os serviços compartilhados incluem o Firewall do Azure e gateways de rede. Use essa topologia se você implantar Cloud PCs em uma ou mais redes virtuais do tipo spoke em um ambiente simples de local único. Para obter mais informações, consulte a topologia de rede hub-spoke.

  • Topologia hub-spoke com WAN Virtual do Azure: a WAN Virtual é um serviço de rede do Azure que combina recursos de rede, segurança e gerenciamento que permitem requisitos de rede complexos. Use essa topologia para implantações de vários sites e várias regiões que têm requisitos específicos de firewall e roteamento. Para obter mais informações, confira Topologia de rede hub-spoke com WAN Virtual.

• Gateways de rede: Os gateways de rede do Azure fornecem conectividade de uma rede virtual para uma rede local. Você pode escolher entre gateways de rede VPN e ExpressRoute. Antes de determinar seu método de conectividade, considere os requisitos máximos de largura de banda do computador na nuvem. Os gateways VPN e ExpressRoute têm várias camadas, ou SKUs, que fornecem diferentes quantidades de largura de banda e outras métricas. Para obter mais informações, consulte Conectar uma rede local ao Azure usando o ExpressRoute.

Configuração de roteamento

O serviço de conexão de rede do Azure no Windows 365 usa verificações de integridade automatizadas para determinar a integridade e a prontidão do seu ambiente do cliente para provisionamento de PCs na Nuvem de ingresso no Microsoft Entra ou ingresso híbrido no Microsoft Entra em uma arquitetura baseada em conexão de rede do Azure. Sem configurações de roteamento adequadas em sua rede virtual do Azure e serviços de rede associados, as implantações de PC em nuvem provavelmente sofrerão atrasos ou falhas.

Para otimizar o roteamento para a arquitetura de rede do Windows 365, siga estas recomendações:

• Adicione os URLs necessárias à lista de permissões: Nos modelos de conexão de rede Microsoft Entra hybrid join e Microsoft Entra join Azure, certifique-se de que o antivírus do sistema operacional, os firewalls de rede e os balanceadores de carga permitam as URLs necessárias para cada PC na nuvem. Para obter mais informações, confira Permitir conectividade de rede.

• Use marcas de FQDN do Azure: ao usar o serviço de Firewall do Azure, aplique as marcas de FQDN do Azure para permitir URLs necessárias para a Área de Trabalho Virtual do Azure, o Windows 365 e o Intune. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365.

• Habilite a passagem: O Windows 365 usa o RDP, que é sensível à latência de dispositivos de inspeção de tráfego, como um firewall ou um dispositivo de descriptografia SSL (Secure Sockets Layer). A latência pode resultar em uma experiência ruim. Desabilite a inspeção de tráfego dessas URLs e habilite a passagem. Para obter mais informações, confira Tecnologias de interceptação de tráfego.

• Ignore o proxy: os serviços de proxy tradicionais e em nuvem são úteis para o acesso à Internet, mas introduzem latência nas conexões RDP. Essa latência ocorre quando a conexão do dispositivo físico do usuário ou do PC na nuvem é forçada por meio de um proxy. Isso resulta em desconexões frequentes, atrasos e tempos de resposta lentos. Defina os intervalos de endereços IP do gateway .wvd.microsoft.com e do Windows 365 para ignorar os serviços proxy nos seguintes componentes:

  • O dispositivo físico do usuário
  • A rede à qual o dispositivo físico se conecta
  • O PC na nuvem

  Para obter mais informações, consulte Otimizar a conectividade RDP para Windows 365.

• Verifique o roteamento de caminho mais curto: Verifique se o tráfego RDP de um PC na nuvem segue a rota mais direta para pontos de extremidade de serviço da Área de Trabalho Virtual. O caminho ideal é de uma rede virtual para o endereço IP do gateway de Área de Trabalho Virtual por meio da Internet. Verifique também se o tráfego RDP do dispositivo físico do usuário atinge diretamente o endereço IP do gateway da Área de Trabalho Virtual. Essa configuração garante o roteamento ideal e não degrada a experiência do usuário. Evite rotear o tráfego RDP para a Internet por meio de serviços de proxy na nuvem ou redes locais.

• Habilitar o Shortpath RDP: Habilite o acesso baseado em Shortpath RDP para redes de usuário, redes do Azure e computadores de nuvem. O Shortpath de RDP usa UDP para transmitir o tráfego RDP. Ao contrário do Protocolo de Controle de Transmissão (TCP), o UDP é resiliente a conexões de rede de alta latência. O UDP também aproveita ao máximo a largura de banda de rede disponível para transferir pacotes RDP com eficiência, o que leva a uma experiência de usuário aprimorada. Para obter mais informações, confira Usar Shortpath de RDP para redes públicas com o Windows 365.

• Avaliar o posicionamento do PC na nuvem: Para obter uma experiência de usuário ideal e desempenho de roteamento, determine onde os clientes residem em relação aos aplicativos de trabalho ou à rede que acessam. Considere também o tempo que os clientes gastam acessando aplicativos LOB em comparação com o tempo geral em que acessam outros aplicativos.

  Considere as seguintes opções de implantação para o posicionamento do PC na nuvem:

  • Opção de implantação 1: Quando os clientes trabalham principalmente em aplicativos LOB, como aplicativos do Microsoft 365, esse modelo reduz a latência desses aplicativos colocando o PC na nuvem na mesma região que os aplicativos LOB (Geografia B). Essa configuração prioriza o desempenho para acesso a LOB, mesmo que o gateway esteja fisicamente mais próximo de um usuário em uma região diferente (Geografia A). O diagrama a seguir mostra um fluxo de tráfego do usuário para os aplicativos LOB.

    

    O diagrama tem duas seções, geografia A e B. Geografia A contém a região A do Azure e uma rede de usuário, que se conectam entre si por meio da Internet e de um gateway de Área de Trabalho Virtual. A geografia B contém a região B do Azure e aplicativos LOB. A região B do Azure contém a Área de Trabalho Virtual e uma rede virtual. Os aplicativos LOB se conectam à rede virtual por meio de uma conexão VPN ou ExpressRoute. Um fluxo de usuário vai de um usuário no Geography A, para uma rede de usuário, para a Internet, para o gateway de Área de Trabalho Virtual, pelo backbone do Azure até a Geografia B, para a Área de Trabalho Virtual, para uma rede virtual e, por fim, para os aplicativos LOB.

    Baixe um arquivo do PowerPoint dessa arquitetura.

  • Opção de implantação 2: Se os clientes ocasionalmente acessarem aplicativos LOB no Geography B, implantar um PC na nuvem mais próximo dos clientes otimizará a latência de acesso do PC na nuvem em relação à latência de acesso de aplicativos LOB. O diagrama a seguir mostra um fluxo de tráfego para esse cenário.

    

    O diagrama tem duas seções, geography A e B. Geography A contém a região A do Azure e uma rede de usuário, que se conectam entre si por meio de um gateway de Área de Trabalho Virtual e uma conexão VPN ou ExpressRoute. A geografia B contém a região B do Azure e aplicativos LOB. A região B do Azure contém uma rede virtual. Os aplicativos LOB se conectam à rede virtual por meio de uma conexão VPN ou ExpressRoute. Um fluxo de usuário vai de um usuário em Geografia A, para uma rede de usuário, para a conexão VPN ou ExpressRoute, para o gateway de Área de Trabalho Virtual, pelo backbone do Azure para a Geografia B, para uma rede virtual e, por fim, para os aplicativos LOB.

    Baixe um arquivo do PowerPoint dessa arquitetura.

Recomendações do AD DS

Em uma arquitetura de ingresso híbrido no Microsoft Entra, uma infraestrutura do AD DS local serve como a fonte de identidade de autoridade. Uma infraestrutura do AD DS adequadamente configurada e íntegra melhora o sucesso de uma implantação do Windows 365.

O AD DS local dá suporte a muitas configurações que têm vários níveis de complexidade. As recomendações a seguir abrangem apenas as práticas recomendadas de linha de base.

• Para um cenário de junção híbrida do Microsoft Entra, você pode implantar o AD DS em VMs do Azure. Você também pode usar uma conexão de rede híbrida para fornecer uma linha de visão direta ao controlador de domínio do Microsoft Entra local. Para obter mais informações, confira Implementar uma rede híbrida segura.

• Para um cenário de junção do Microsoft Entra, siga a arquitetura de referência que integra domínios do Active Directory local à ID do Microsoft Entra.

• O Windows 365 usa um serviço watchdog como parte de testes automatizados. O serviço cria uma conta de VM de teste que é mostrada como desabilitada na unidade organizacional especificada pela configuração de conexão de rede do Azure. Não exclua essa conta.

• PCs de nuvem desativados no modelo de junção híbrida do Microsoft Entra deixam para trás contas de computador desabilitadas que exigem limpeza manual no AD DS.

• O Microsoft Entra Domain Services não dá suporte à junção híbrida do Microsoft Entra, portanto, ele não pode funcionar como a fonte de identidade nessa configuração.

Recomendações de DNS

Em uma arquitetura de implantação de conexão de rede do Azure, os servidores DNS ou um serviço DNS em uma rede virtual do Azure servem como dependências cruciais. Uma infraestrutura íntegra garante uma operação confiável.

• Para uma configuração de junção híbrida do Microsoft Entra, o DNS deve resolver o domínio ao qual o PC na Nuvem se une. Você tem várias opções de configuração. A opção mais simples é especificar o endereço IP do servidor DNS na configuração de rede virtual do Azure. Para obter mais informações, confira Resolução de nome usando seu próprio servidor DNS.

• Para infraestruturas complexas, como configurações de várias regiões ou vários domínios em ambientes locais e do Azure, use um serviço como zonas privadas DNS do Azure ou Resolvedor Privado DNS.

Recomendações de conexão com do PC na Nuvem

Configure os PCs na nuvem implantados para permitir um fluxo de conexão ininterrupto de e para o serviço de gateway da Área de Trabalho Virtual. Ao implantar aplicativos como parte de uma configuração do sistema operacional Windows, considere as seguintes recomendações:

• Certifique-se de que o cliente VPS não seja iniciado quando o usuário entrar, pois ele pode desconectar a sessão quando o túnel VPN for estabelecido. Em seguida, o usuário deve entrar novamente.

• Configure os aplicativos VPN, proxy, firewall e antivírus e antimalware para permitir ou ignorar o tráfego para endereços 168.63.129.16 IP e 169.254.169.254. Essa arquitetura usa esses endereços IP para comunicação com os serviços de plataforma do Azure, como metadados e pulsação.

  Para obter mais informações, consulte os seguintes recursos:

  • Endereço IP 168.63.129.16
  • Serviço de Metadados de Instância do Azure para máquinas virtuais
  • Perguntas frequentes sobre rede virtual

• Não modifique manualmente os endereços IP dos PCs na Nuvem, pois isso pode resultar em desconexão permanente. Os serviços de rede do Azure atribuem endereços IP com uma concessão indefinida e os gerenciam durante todo o ciclo de vida do PC na nuvem. Para obter mais informações, consulte Métodos de alocação.

Contribuidores

A Microsoft mantém este artigo. Os colaboradores a seguir escreveram este artigo.

Autor principal:

• Ravishankar Nandagopalan | Gerente de Produto Sênior

Outros colaboradores:

• Paul Collinge | Gerente de Produto Principal
• Claus Emerich | Gerente de Produto Principal
• David Falkus | Gerente de Produto Principal
• Bob Roudebush | Líder Técnico e Tecnólogo de Nuvem/Desenvolvedor
• Matt Shadbolt | Gerente de Produto Principal, Windows Cloud Experiences

Para ver perfis não públicos no LinkedIn, entre no LinkedIn.

Próximas etapas

• Planejar a implantação do seu PC na Nuvem
• Arquitetura do Windows 365
• Identidade e autenticação do Windows 365
• Ciclo de vida do PC na nuvem no Windows 365
• Visão geral do AD DS
• Criptografia de dados no Windows 365
• Entender a conectividade de rede da Área de Trabalho Virtual

Recurso relacionado

• Design de arquitetura de aplicativos Web