O Windows 365 é um serviço baseado em nuvem que pode ser usado para fornecer instâncias de computação do Windows altamente otimizadas e personalizadas, chamadas PCs na Nuvem, que são criadas especificamente para atender aos requisitos de cada usuário. Os PCs na Nuvem usam uma combinação dos seguintes serviços:
- Intune para personalizar, proteger e gerenciar PCs na Nuvem
- Entra ID para controle de identidade e acesso
- Área de Trabalho Virtual do Azure para conectividade remota
Um PC na Nuvem é uma instância de computação altamente disponível, otimizada e personalizada que proporciona uma experiência de área de trabalho avançada do Windows. Ele é hospedado no serviço do Windows 365 e pode ser acessado de qualquer lugar, em qualquer dispositivo.
O modelo de responsabilidade compartilhada do Windows 365
O Windows 365 é uma solução SaaS (software como serviço). A Microsoft gerencia alguns componentes nos serviços do Windows 365 e você gerencia outros componentes. A quantidade de responsabilidade que você tem depende do padrão de arquitetura escolhido para implantação. As responsabilidades de gerenciamento do Windows 365 são divididas em três partes:
- Implantação: planejamento e implantação dos componentes do serviço.
- Ciclo de vida: gerenciamento do componente durante todo o seu ciclo de vida, como aplicação de patches e proteção.
- Configuração: configuração do componente para aplicar as definições conforme necessário para um cenário.
O diagrama a seguir mostra a matriz de responsabilidades de uma implantação do Windows 365 usando a rede recomendada hospedada pela Microsoft, o ingresso do Microsoft Entra e as imagens da galeria com o Windows Autopatch. Com essa configuração, você não precisa gerenciar muitos componentes e estágios do ciclo de vida. Essa configuração se traduz nos benefícios listados em Padrões de arquitetura recomendados.
Observação
O diagrama a seguir representa as responsabilidades do ponto de vista da infraestrutura, como configurar o hardware e a rede e mantê-los. Ele não inclui a configuração de assinatura do locatário do Windows 365 ou do Intune.
Baixe um arquivo do PowerPoint dessa arquitetura.
O diagrama a seguir mostra uma implantação típica do Windows 365 que usa uma conexão de rede do Azure e mostra os componentes que a Microsoft gerencia e os componentes que você gerencia nos estágios do ciclo de vida de um PC na Nuvem.
Baixe um arquivo do PowerPoint dessa arquitetura.
Padrão de arquitetura recomendada
A Microsoft recomenda a implantação do Windows 365 com os seguintes componentes para obter uma experiência SaaS, permitindo que você tenha o máximo de benefícios do serviço:
- Microsoft Entra Join
- Uma rede hospedada pela Microsoft
- Imagens da galeria
- Serviço de MDM (gerenciamento de dispositivo móvel) baseado no Intune com configuração de aplicativo e sistema operacional
- Um aplicativo do Windows 365 para acesso ao PC na Nuvem
Baixe um arquivo do PowerPoint dessa arquitetura.
O padrão de arquitetura anterior permite que você aproveite ao máximo o serviço do Windows 365 e fornece os seguintes benefícios:
- Implantação simplificada e mais rápida
- Dependências mínimas a nenhuma
- Suporte total à estrutura de Confiança Zero
- Fluxos de solução de problemas simplificados
- Solução de problemas de usuário por autoatendimento
- Gerenciamento e sobrecarga baixos
- Modelo de maior maturidade de entrega de software e aplicativos
A arquitetura do serviço do Windows 365
O diagrama a seguir é uma representação de todos os componentes que fazem parte do serviço do Windows 365. Essa arquitetura usa o Intune e o Microsoft Entra ID, que são os principais requisitos do Windows 365. Há também componentes opcionais, como a Rede Virtual do Azure.
Baixe um Arquivo Visio dessa arquitetura.
O diagrama anterior mostra a conexão de rede do Azure e as opções de rede hospedadas pela Microsoft. São opções de arquitetura mutuamente exclusivas. As seções a seguir elaboram as opções de conexão de rede do Azure.
Área de Trabalho Virtual
A Área de Trabalho Virtual é uma solução VDI (Virtual Desktop Infrastructure) baseada no Azure. A Microsoft gerencia a Área de Trabalho Virtual. Ela fornece um solução no estilo PaaS (plataforma como serviço). O Windows 365 usa os componentes de gerenciamento de rede necessários para que você se conecte aos seus PCs na Nuvem. Os componentes incluem o serviço de gateway da Área de Trabalho Virtual, um serviço de agente de conexão e um serviço de cliente Web. Esses serviços permitem uma conexão perfeita com os PCs na Nuvem com Windows 365.
Para obter mais informações, confira Área de Trabalho Virtual do Azure para a empresa.
Baixe um Arquivo Visio dessa arquitetura.
Observação
O Windows 365 utiliza os componentes intitulados "Plano de Controle da Área de Trabalho Virtual do Windows" no diagrama anterior para facilitar as conexões do usuário e do PC na Nuvem e, como tal, herda a maioria dos recursos relacionados à conexão da Área de Trabalho Virtual do Azure. Familiarizar-se com o funcionamento da rede de Área de Trabalho Virtual torna-se essencial para projetar a arquitetura de conexão de rede do Azure detalhada neste documento.
Microsoft Intune
O Intune é uma solução de gerenciamento de ponto de extremidade baseada em nuvem que permite exibir e consumir relatórios e gerenciar:
- A entrega de aplicativos
- Atualizações do Windows
- As configurações do gerenciamento de dispositivos
- Políticas de segurança
O Intune simplifica o gerenciamento de aplicativos e dispositivos em vários dispositivos, incluindo dispositivos móveis, computadores desktop e pontos de extremidade virtuais.
Você pode proteger o acesso e os dados em dispositivos de propriedade da organização e pessoais. O Intune também tem recursos de conformidade e relatório que dão suporte ao modelo de segurança de Confiança Zero. Para obter mais informações, confira Criar um perfil de configuração de dispositivo.
Padrões de arquitetura
Um padrão de arquitetura descreve componentes e ilustra as configurações com as quais um serviço ou produto é implantado. Para obter mais informações, consulte a arquitetura Hospedado em nome de.
Consulte os seguintes padrões de conexão de rede do Azure:
Conexão de rede do Azure com o ingresso do Microsoft Entra – nesse padrão, os PCs na Nuvem ingressados no Microsoft Entra usam a conexão de rede do Azure para se conectar a recursos em ambientes locais, como aplicativos LOB (linha de negócios), compartilhamentos de arquivos e outros aplicativos que não precisam de autenticação Kerberos ou Windows NTLM (New Technology LAN Manager).
Conexão de rede do Azure com ingresso híbrido do Microsoft Entra – nesse padrão, os PCs na Nuvem com ingresso híbrido no Microsoft Entra usam a conexão de rede do Azure para ingresso no domínio com um controlador de domínio do Microsoft Entra ID local. O PC na Nuvem autentica-se com o controlador de domínio local quando os usuários acessam o PC na Nuvem, aplicativos locais ou aplicativos na nuvem que necessitam de autenticação Kerberos ou NTLM.
Padrões de arquitetura de conexão de rede do Azure
Para alguns padrões, o serviço do Windows 365 se conecta a ambientes locais por meio da Rede Virtual usando o Azure ExpressRoute ou uma VPN site a site. Esse método de conectividade é representado pela conexão de rede do Azure, que é um objeto do Intune. Essa conexão permite que os PCs na Nuvem se conectem a recursos locais, como aplicativos LOB ou do Active Directory.
Essa conexão de rede, representada pela conexão de rede do Azure, é usada pelo serviço Windows 365 durante o provisionamento do PC na Nuvem para ingresso no domínio do Microsoft Entra local, verificações de integridade para prontidão de provisionamento do PC na Nuvem.
As tabelas a seguir listam dependências da conexão de rede do Azure. O Windows 365 executa verificações automáticas de integridade nessas dependências.
| Dependência | Microsoft Entra Connect - verifica se o Microsoft Entra Connect está configurado e é encerrado com êxito. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
| Recomendações | - Configure o intervalo de sincronização do Microsoft Entra Connect com o valor padrão ou mais baixo. Intervalos de sincronização mais longos aumentam a possibilidade de falha do provisionamento do PC na Nuvem na produção devido a um tempo limite. Para obter mais informações, consulte Falha no ingresso híbrido do Microsoft Entra. - Configure a replicação do Controlador de Domínio do Active Directory em um servidor no mesmo datacenter que a conexão de rede do Azure no Windows 365 para fornecer replicação mais rápida. - Configure a replicação do controlador de domínio Microsoft Entra ID com um valor padrão. |
| Dependência | Preparação do locatário do Azure - verifica se a assinatura do Azure está habilitada, sem restrições de bloqueio e se está pronta para uso. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Use uma conta com os privilégios certos para gerenciar as assinaturas do Azure, Intune e Windows 365. Para obter mais informações, consulte RBAC (controle de acesso baseado em função). - Desabilite ou modifique quaisquer políticas do Azure que impeçam a criação de PCs na Nuvem. Para obter mais informações, confira Restringir SKUs de VM permitidas. - Verifique se a assinatura tem cotas de recursos suficientes para rede e limites gerais com base no número máximo de PCs na Nuvem a serem criados. Os exemplos incluem o tamanho do gateway de rede, o espaço de endereços IP, o tamanho da rede virtual e a largura de banda necessária. Para obter mais informações, confira Limites de rede e Limites gerais. |
| Dependência | Preparação da rede virtual do Azure – verifica se a rede virtual está em uma região do Windows 365 com suporte. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Crie a rede virtual em uma região do Azure com suporte do Windows 365 para provisionamento de PC na Nuvem. - Crie pelo menos uma sub-rede, além da sub-rede padrão, para implantar os adaptadores de rede virtual do PC na Nuvem. - Sempre que possível, crie serviços de rede compartilhados, como Firewall do Azure, gateways de VPN ou gateways do ExpressRoute, em uma rede virtual separada para permitir controles de roteamento e expansão da implantação. Em redes virtuais, aplique NSG (grupos de segurança de rede) com exclusões apropriadas de modo a permitir as URLs necessárias para o serviço do Windows 365. Para obter mais informações, confira Requisitos de rede e Grupos de segurança de rede. |
| Dependência | Uso do endereço IP da sub-rede do Azure – verifica se há endereços IP suficientes disponíveis. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Crie a rede virtual com endereços IP suficientes para lidar com a criação do PC na Nuvem e a reserva temporária de endereços IP durante o reprovisionamento. É recomendável usar um espaço de endereços IP que seja de 1,5 a 2 vezes o número máximo de PCs na Nuvem que você implanta para a nuvem. Para obter mais informações, confira Requisitos gerais de rede. - Trate a rede virtual do Azure como uma extensão lógica da sua rede local e atribua espaço de endereços IP exclusivo em todas as suas redes para evitar conflitos de roteamento. |
| Dependência | Conectividade de ponto de extremidade – verifica se as URLs externas necessárias para o provisionamento do PC na Nuvem podem ser acessadas pela rede virtual. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Permita todas as URLs necessárias para o provisionamento do PC na Nuvem por meio da rede virtual do Azure. Para obter mais informações, confira Permitir conectividade de rede. - Use o Firewall do Azure para aproveitar o Windows 365, a Área de Trabalho Virtual do Azure e as marcas de FQDN do Intune para criar regras de aplicativo e permitir URLs necessárias para o provisionamento do PC na Nuvem do Windows 365. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365. - Ignore ou exclua o tráfego do protocolo RDP de qualquer dispositivo de manipulação, proxy ou inspeção de rede para evitar problemas de latência e roteamento. Para obter mais informações, confira Tecnologias de interceptação de tráfego. - No dispositivo do usuário final e do lado da rede, permita as URLs e portas de serviço do Windows 365 para inspeções de proxy e rede. - Permita os endereços IP internos do Azure 168.63.129.16 e 169.254.169.254, pois esses endereços IP são usados para comunicação com serviços da plataforma Azure, como metadados ou pulsação. Para obter mais informações, confira O que é o endereço IP 168.63.129.16?, Serviço de Metadados de Instância do Azure e Perguntas frequentes sobre a Rede Virtual. |
| Dependência | Registro do Intune – verifica se o Intune permite o registro do Windows. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Certifique-se de que as restrições de registro de tipo de dispositivo do Intune estejam definidas para permitir a plataforma Windows MDM (gerenciamento de dispositivo móvel) para registro corporativo. - Para ingresso híbrido no Microsoft Entra, configure os dispositivos automaticamente definindo o SCP (ponto de conexão de serviço) para cada domínio no Microsoft Entra Connect ou usando o modelo de implantação de destino. Para obter mais informações, confira Configurar ingresso híbrido Microsoft e Implantação direcionada de ingresso híbrido do Microsoft Entra. |
| Dependência | Permissões de aplicativo interno – verifica o aplicativo do Windows 365 do cliente em busca de permissões nos níveis de assinatura, grupo de recursos e rede virtual do Azure. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Verifique se a conta usada para configurar a conexão de rede do Azure tem permissões de leitura na assinatura do Azure na qual a rede virtual do Azure é criada. - Certifique-se de que na assinatura do Azure não haja políticas em vigor que bloqueiem as permissões para o aplicativo interno do Windows 365. O aplicativo deve ter permissões no nível de assinatura, grupo de recursos e rede virtual. Para obter mais informações, confira Requisitos do Azure. |
| Dependência | Pacote de idiomas para localização – verifica se os locais para download do pacote de idiomas estão acessíveis. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Verifique se as URLs necessárias para a versão apropriada das imagens do Windows são permitidas pelas regras de firewall usadas na rede virtual do Azure. Para obter mais informações, confira Fornecer uma experiência localizada do Windows. |
| Dependência | Shortpath de RDP – verifica se as configurações do protocolo UDP estão em vigor para você se conectar. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Habilite o Shortpath de RDP para acesso ao PC na Nuvem a fim de aproveitar a resiliência do UDP. Para obter mais informações, confira Usar o Shortpath de RDP para redes públicas com o Windows 365 e Usar o Shortpath de RDP para redes privadas com o Windows 365. |
| Dependência | Licença do Intune – verifica se o locatário tem licenças apropriadas do Intune para usar o Windows. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Certifique-se de que as licenças do Intune sejam atribuídas a você de acordo com os requisitos de licenciamento. |
| Dependência | Verificação de SSO (logon único) – verifica se o objeto de servidor Kerberos é criado no Active Directory e sincronizado com o Microsoft Entra ID. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Certifique-se de que a opção SSO esteja selecionada na política de provisionamento. Essa opção permite que você se conecte ao PC na Nuvem da política usando credenciais de entrada de um dispositivo físico gerenciado pelo Intune que ingressou no domínio ou ingressou no Microsoft Entra. Para obter mais informações, confira Continuar criando políticas de provisionamento. |
| Dependência | Resolução de nomes DNS – verifica se o DNS na conexão de rede do Azure pode resolver o domínio do Active Directory local. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Verifique se a rede virtual do Azure está configurada com a resolução de nome de um domínio local do Microsoft Entra usando um DNS personalizado, um DNS privado ou um resolvedor privado. Para obter mais informações, confira O que é o DNS do Azure? - Certifique-se de que os servidores DNS configurados na rede virtual estejam na mesma região geográfica e tenham a capacidade de registrar PCs na Nuvem recém-provisionados sem atrasos. Evite referências ou redirecionamentos de DNS para impedir atrasos de propagação, que podem resultar em atrasos ou falhas de provisionamento. |
| Dependência | Ingresso no domínio do Microsoft Entra – verifica se as credenciais fornecidas para ingresso no domínio do Microsoft Entra são válidas e se os PCs na Nuvem podem ser ingressados no domínio. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Verifique se a conta fornecida para ingresso no domínio do Microsoft Entra tem permissões na unidade organizacional do Microsoft Entra especificada na configuração de conexão de rede do Azure. - Certifique-se de que a conta fornecida não é uma conta de usuário padrão com uma limitação de ingresso no domínio. Para obter mais informações, confira Limite padrão para o número de estações de trabalho que um usuário pode ingressar no domínio. - Verifique se a conta especificada está sincronizada com o Microsoft Entra ID. - Verifique se a OU especificada na conexão de rede do Azure não tem limites de objeto. Para obter mais informações, confira Aumentar o limite da conta de computador na unidade organizacional. |
Para obter mais informações, confira Verificações de integridade da conexão de rede do Azure no Windows 365.
Recomendações de blocos de construção de conexão de rede do Azure
Esta seção fornece o detalhamento dos blocos de construção do padrão de arquitetura da conexão de rede do Azure no Windows 365.
Assinatura do Azure
O uso do Windows 365 em um padrão de arquitetura da conexão de rede do Azure envolve dois tipos de assinatura do Azure, uma assinatura da Microsoft e uma assinatura do cliente
O Windows 365 usa o modelo Hospedado em nome de para fornecer serviços aos clientes do Windows 365. Nesse modelo, o PC na Nuvem é provisionado e executado em assinaturas do Azure de propriedade da Microsoft, enquanto o adaptador de rede do PC na Nuvem é provisionado na assinatura do Azure de um cliente. Os diagramas a seguir mostram dois padrões de arquitetura da conexão de rede do Azure. Os clientes usam sua própria assinatura do Azure e rede virtual.
Baixe um Arquivo Visio dessa arquitetura.
O padrão de arquitetura anterior usa a identidade de ingresso do Microsoft Entra para gerenciar o PC na Nuvem.
Baixe um Arquivo Visio dessa arquitetura.
O padrão de arquitetura anterior usa a identidade de ingresso híbrido do Microsoft Entra para gerenciar o PC na Nuvem e requer uma comunicação de rede de linha de visão com controladores de domínio do Active Directory Domain Service (AD DS) em ambientes locais.
| Componente | Assinatura do Azure – assinatura do Azure que hospeda a rede virtual usada para fornecer conectividade para um PC na Nuvem a um ambiente local e à Internet. |
|---|---|
| Padrões de arquitetura | Conexão de rede do Azure para ingresso no Microsoft Entra, conexão de rede do Azure para ingresso híbrido no Microsoft Entra |
| Recomendações | - Crie ou use uma assinatura que tenha uma rede virtual e gateways de VPN ou do ExpressRoute para fornecer uma conexão de volta com um ambiente local. - Crie um grupo de recursos dedicado para um PC na Nuvem a fim de fornecer gerenciamento de recursos e permissão. - Exclua a rede virtual e os grupos de recursos do PC na Nuvem das políticas do Azure que impedem a criação e exclusão automáticas de objetos de vNIC (placa de interface de rede virtual), bem como a atribuição ou liberação de endereço IP. Para obter mais informações, consulte Bloquear recursos para proteger a infraestrutura e Requisitos do Azure. - Crie redes virtuais dedicadas para melhor gerenciamento de endereços IP e controles de roteamento. |
Rede virtual e conexão híbrida
Os padrões de arquitetura baseados em conexão de rede do Azure no Windows 365 exigem uma ou mais redes virtuais do Azure. As redes virtuais fornecem conectividade com ambientes locais e pela Internet para provisionamento de um PC na Nuvem. O adaptador de rede virtual do PC na Nuvem é provisionado na rede virtual do Azure da assinatura de propriedade do cliente, conforme descrito na seção Assinatura do Azure.
A rede do Azure pode ser implantada com sofisticação de design variada, com base na rede local existente ou na rede do Azure. Para começar a usar um design básico de rede híbrida, confira Implementar uma rede híbrida segura.
Considere os seguintes fatores ao projetar uma arquitetura de rede virtual do Azure:
Espaço de endereços IP: o tamanho do espaço de endereço IP depende do número de PCs na Nuvem a serem suportados. Planeje pelo menos 1,5 vezes o número máximo de PCs na Nuvem implantados. Os endereços IP adicionais correspondem aos endereços IP usados durante o provisionamento e o desprovisionamento de PCs na Nuvem.
Resolução de nomes: o processo DNS usado pelo PC na Nuvem para resolver o nome de domínio local em uma implantação de ingresso híbrido do Microsoft Entra, ou para resolver recursos da Internet ou recursos do Azure em um modelo de implantação de ingresso do Microsoft Entra.
- Para usar sua infraestrutura DNS local existente, configure os endereços IP de um ou mais servidores DNS para resolução de nomes. Para saber mais, confira Requisitos de DNS.
- Verifique se o IP do servidor DNS usado na rede virtual do Azure pertence à mesma região geográfica que o PC na Nuvem e se ele não redireciona solicitações de registro DNS para outra região. Caso contrário, isso resultará em atrasos e falhas nas implantações e verificações de integridade da conexão de rede do Azure.
- Para resolução de nomes baseada em DNS do Azure, use o DNS do Azure público ou privado, ou a opção de resolvedor privado. Para obter mais informações, confira a documentação do DNS do Azure.
Topologia de rede: a rede do Azure dá suporte a topologias para acomodar diferentes casos de uso.
- Topologia hub-spoke com emparelhamento de rede virtual: essa topologia é a maneira mais simples de fornecer um isolamento de serviços com suas próprias redes virtuais spoke e hub. Os serviços compartilhados incluem o Firewall do Azure e gateways de rede. Escolha essa topologia se você tiver um design simples de site único para implantar um PC na Nuvem em uma ou mais redes virtuais spoke. Para obter mais informações, confira Topologia de rede hub-and-spoke.
- Topologia hub-spoke com WAN Virtual do Azure: a WAN Virtual é um serviço de rede do Azure que reúne recursos de rede, segurança e gerenciamento que permitem requisitos de rede complexos. Use essa topologia para implantações multissite e várias regiões com requisitos específicos de firewall e roteamento. Para obter mais informações, confira Topologia de rede hub-spoke com WAN Virtual.
Gateway de rede: os gateways de rede do Azure fornecem conectividade de uma rede virtual para uma rede local. Existem gateways de rede VPN e ExpressRoute. Certifique-se de que os requisitos máximos de largura de banda de um PC na Nuvem sejam considerados antes de decidir sobre o método de conectividade ExpressRoute ou VPN. Os gateways de VPN e ExpressRoute são oferecidos em camadas, ou SKUs, que diferem na quantidade de largura de banda fornecida e em outras métricas. Para obter mais informações, confira Estender uma rede local usando o ExpressRoute e Conectar uma rede local ao Azure usando o ExpressRoute.
Configuração de roteamento
O serviço de conexão de rede do Azure no Windows 365 usa verificações de integridade automatizadas para determinar a integridade e a prontidão do ambiente do cliente para provisionamento de PCs na Nuvem de ingresso no Microsoft Entra ou ingresso híbrido no Microsoft Entra em uma arquitetura baseada em conexão de rede do Azure. Sem configurações de roteamento em sua rede virtual do Azure e serviços de rede associados adequados, há uma alta probabilidade de falhas ou atrasos na implantação do PC na Nuvem. Considere as seguintes recomendações para otimizar o roteamento para a arquitetura de rede do Windows 365:
URLs necessárias da lista de permitidos: cada PC na Nuvem implantado no modelo de conexão de rede do Azure de ingresso híbrido no Microsoft Entra e ingresso no Microsoft Entra requer que várias URLs sejam permitidas por meio de antivírus do sistema operacional, firewalls de rede e balanceadores de carga. Verifique se todas as URLs são permitidas. Para obter mais informações, confira Permitir conectividade de rede.
Use marcas de FQDN do Azure: ao usar o serviço de Firewall do Azure, use as marcas de FQDN do Azure para permitir URLs necessárias para a Área de Trabalho Virtual do Azure, o Windows 365 e o Intune. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365.
Habilite a passagem: o Windows 365 usa o protocolo RDP, que é sensível à latência introduzida por dispositivos de inspeção de tráfego, como um firewall ou um dispositivo de descriptografia SSL. Essa latência pode resultar em uma experiência ruim. Portanto, desabilite a inspeção de tráfego dessas URLs e habilite a passagem. Para obter mais informações, confira Tecnologias de interceptação de tráfego.
Ignore o proxy: os serviços de proxy tradicionais e em nuvem, embora adequados para acesso à Internet, introduzem latência em conexões RDP. Essa latência acontece quando a conexão do dispositivo físico do usuário final ou do PC na Nuvem é forçada por meio de um proxy e resulta em desconexões frequentes, atrasos e tempos de resposta lentos. Defina *.wvd.microsoft.com e Intervalos de IP de gateway do Windows 365 para ignorar os serviços de proxy no dispositivo físico do usuário, na rede à qual o dispositivo físico está conectado e no PC na Nuvem.
Para obter mais informações, confira Otimizando a conectividade RDP para o Windows 365.
Roteamento de caminho mais curto: garanta que o tráfego RDP de um PC na Nuvem chegue aos pontos de extremidade de serviço da Área de Trabalho Virtual pelo caminho mais curto. O caminho ideal é de uma rede virtual diretamente para o IP do gateway da Área de Trabalho Virtual via Internet. Certifique-se também de que o tráfego RDP do dispositivo físico do usuário final acesse o IP do gateway da Área de Trabalho Virtual diretamente. Essa configuração garante o roteamento ideal e não degrada a experiência do usuário. Evite rotear o tráfego RDP para a Internet por meio de serviços de proxy na nuvem ou redes locais.
Shortpath de RDP: habilite o acesso baseado no Shortpath de RDP para redes de usuário final, redes do Azure e PCs na Nuvem. O Shortpath de RDP usa UDP para transmitir o tráfego RDP. Ao contrário do TCP, ele é resistente a conexões de rede de alta latência. O UDP também aproveita ao máximo a largura de banda de rede disponível para transferir pacotes RDP com eficiência, o que leva a uma experiência de usuário aprimorada. Para obter mais informações, confira Usar Shortpath de RDP para redes públicas com o Windows 365.
Posicionamento do PC na Nuvem: para ter uma experiência de usuário e desempenho de roteamento ideais, determine onde os clientes estão em relação aos aplicativos de trabalho ou à rede que acessam. Considere também o tempo que os clientes gastam acessando os aplicativos LOB em comparação com o tempo total que eles acessam outros aplicativos. Veja as duas opções de implantação possíveis a seguir:
O modelo de implantação a seguir poderá ser ideal se os clientes passarem a maior parte do tempo de trabalho acessando os aplicativos LOB em vez de trabalhar em aplicativos instalados localmente, como aplicativos no Microsoft 365. Esse modelo otimiza a latência para aplicativos LOB em relação à latência de acesso ao PC na Nuvem ao colocar o PC na Nuvem na mesma região que o aplicativo LOB (Geografia B). Essa otimização ocorre mesmo que o gateway esteja geograficamente mais próximo do usuário final (Geografia A). O diagrama a seguir mostra o possível fluxo de tráfego do usuário final para os aplicativos LOB.
Baixe um arquivo do PowerPoint dessa arquitetura.Se os clientes ocasionalmente acessarem os aplicativos LOB na Geografia B, a implantação de um PC na Nuvem mais próximo dos clientes poderá ser ideal, pois otimiza a latência de acesso ao PC na Nuvem em detrimento da latência de acesso a aplicativos LOB. O diagrama a seguir mostra como o tráfego pode fluir em tal cenário.
Baixe um arquivo do PowerPoint dessa arquitetura.
Recomendações do AD DS
Em uma arquitetura de ingresso híbrido no Microsoft Entra, uma infraestrutura do AD DS local atua como a fonte de identidade de autoridade. Ter uma infraestrutura do AD DS corretamente configurada e íntegra é uma etapa fundamental para tornar a implantação do Windows 365 bem-sucedida.
O AD DS local dá suporte a muitas configurações e níveis variados de complexidade, de modo que as recomendações fornecidas abrangem apenas as práticas recomendadas de linha de base.
- Para o cenário de ingresso híbrido no Microsoft Entra, você pode implantar o AD DS em VMs do Azure, conforme descrito na referência de arquitetura em Implantar o AD DS em uma rede virtual. Você também pode usar uma conexão de rede híbrida para fornecer uma linha de visão direta ao controlador de domínio do Microsoft Entra local. Para obter mais informações, confira Implementar uma rede híbrida segura.
- Para a implantação do ingresso no Microsoft Entra, siga a arquitetura de referência em Integrar domínios do Microsoft Entra local ao Microsoft Entra ID.
- O Windows 365 usa um serviço de watchdog como parte do teste automatizado que cria uma conta de VM de teste. Essa conta é exibida como desabilitada na unidade organizacional especificada na configuração de conexão de rede do Azure. Não exclua essa conta.
- Qualquer PC na Nuvem desativado no modelo de ingresso híbrido no Microsoft Entra deixa para trás uma conta de computador desabilitada, que precisa ser limpa manualmente no AD DS.
- O Microsoft Entra Domain Services não é aceito como uma fonte de identidade, uma vez que não dá suporte ao ingresso híbrido no Microsoft Entra.
Recomendações de DNS
Em uma arquitetura de implantação de conexão de rede do Azure, os servidores DNS ou outro serviço DNS usado por uma rede virtual do Azure é uma dependência essencial. É importante ter uma infraestrutura íntegra definida.
- Para uma configuração de ingresso híbrido no Microsoft Entra, o DNS deve ser capaz de resolver o domínio no qual o PC na Nuvem precisa ser ingressado. Há várias opções de configuração disponíveis, sendo a mais simples delas especificar o IP do servidor DNS na configuração de rede virtual do Azure. Para obter mais informações, confira Resolução de nome usando seu próprio servidor DNS.
- Dependendo da complexidade da infraestrutura, como uma configuração de várias regiões e vários domínios no Azure e em ambientes locais, você deve usar um serviço como as zonas privadas do DNS do Azure ou o Resolvedor Privado de DNS do Azure.
Recomendações de conexão com do PC na Nuvem
Os PCs na Nuvem implantados devem ser configurados para permitir o fluxo de conexão ininterrupto bidirecional com o serviço de gateway de Área de Trabalho Virtual. Considere as seguintes recomendações ao implantar aplicativos como parte de uma configuração do sistema operacional Windows:
- Certifique-se de que o cliente VPS não seja iniciado quando o usuário entrar, pois ele pode desconectar a sessão quando o túnel VPN for estabelecido. O usuário teria que entrar novamente.
- Configure a VPN, o proxy, o firewall e os aplicativos antivírus e antimalware para permitir ou ignorar o tráfego vinculado aos endereços IP 168.63.129.16 e 169.254.169.254. Esses endereços IP são usados para comunicação com serviços da plataforma Azure, como metadados e pulsação. Para obter mais informações, confira O que é o endereço IP 168.63.129.16?, Serviço de Metadados de Instância do Azure para máquinas virtuais e Perguntas frequentes sobre a Rede Virtual.
- Não modifique manualmente os endereços IP dos PCs na Nuvem, pois isso pode resultar em desconexão permanente. Os endereços IP são atribuídos com uma concessão indefinida e gerenciados durante todo o ciclo de vida do PC na Nuvem pelos serviços de rede do Azure. Para obter mais informações, consulte Métodos de alocação.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Ravishankar Nandagopalan | Gerente de Produto Sênior
Outros colaboradores:
- Paul Collinge | Gerente de Produto Principal
- Claus Emerich | Gerente de Produto Principal
- David Falkus | Gerente de Produto Principal
- Bob Roudebush | Líder Técnico e Tecnólogo de Nuvem/Desenvolvedor
- Matt Shadbolt | Gerente de Produto Principal, Windows Cloud Experiences
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Próximas etapas
Planejar a implantação do seu PC na Nuvem
Identidade e autenticação do Windows 365
Ciclo de vida do PC na Nuvem no Windows 365
Recursos relacionados
Visão geral do Active Directory Domain Services
Criptografia de dados no Windows 365
Noções básicas sobre a conectividade de rede da área de trabalho virtual