Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Windows 365 fornece instâncias de computação do Windows baseadas em nuvem chamadas PCs de nuvem que fornecem aos usuários experiências de área de trabalho personalizadas e otimizadas. Cada PC na nuvem se integra aos seguintes serviços de Nuvem da Microsoft para fornecer segurança, gerenciamento e conectividade de nível empresarial:
Intune para gerenciamento de dispositivos, políticas de segurança e implantação de aplicativos
Microsoft Entra ID para gerenciamento de identidades e controle de acesso
Área de Trabalho Virtual do Azure para gerenciamento seguro de sessão e conectividade remota
Os PCs de nuvem são executados no serviço windows 365 e fornecem aos usuários experiências consistentes da área de trabalho do Windows que eles podem acessar de qualquer dispositivo, em qualquer lugar. Este artigo se concentra nas implantações do Windows 365 que usam conexões de rede do Azure para se integrarem à infraestrutura de rede existente e aos recursos locais.
O modelo de responsabilidade compartilhada do Windows 365
O Windows 365 é uma solução SaaS (software como serviço). A Microsoft gerencia alguns componentes nos serviços do Windows 365 e você gerencia outros componentes. Seu nível de responsabilidade depende do padrão de arquitetura para implantação.
As responsabilidades de gerenciamento do Windows 365 são divididas em três áreas:
Implantação: Planeje e implante o componente do serviço.
Ciclo de vida: Gerencie o componente durante todo o ciclo de vida, como aplicação de patch e proteção.
Configuração: Defina o componente para aplicar as configurações necessárias para um cenário.
O diagrama a seguir mostra a matriz de responsabilidades de uma implantação do Windows 365 que utiliza a rede recomendada hospedada pela Microsoft, o ingresso do Microsoft Entra e as imagens da galeria com o Microsoft Windows Autopatch. Essa configuração não exige que você gerencie muitos componentes e estágios do ciclo de vida e oferece muitos benefícios.
Observação
O diagrama a seguir representa as responsabilidades da perspectiva da infraestrutura, como configurar o hardware e a rede e mantê-los. Ele não inclui a configuração de assinatura do locatário do Windows 365 ou do Intune.
Baixe um arquivo do PowerPoint dessa arquitetura.
O diagrama a seguir mostra uma implantação típica do Windows 365 que usa uma conexão de rede do Azure. Ele mostra os componentes que a Microsoft gerencia e os componentes que você gerencia nos estágios do ciclo de vida de um PC na nuvem.
Baixe um arquivo do PowerPoint dessa arquitetura.
Padrão de arquitetura recomendada
Recomendamos que você implante o Windows 365 com os seguintes componentes para obter uma experiência de SaaS:
- Ingressar no Microsoft Entra
- Uma rede hospedada pela Microsoft
- Imagens da galeria
- Um serviço de MDM (gerenciamento de dispositivo móvel) baseado no Intune com configuração de aplicativo e sistema operacional
- Um aplicativo do Windows 365 para acesso ao PC na Nuvem
Esse padrão fornece os benefícios máximos do serviço.
Baixe um arquivo do PowerPoint dessa arquitetura.
O padrão de arquitetura anterior maximiza o valor do Windows 365 e fornece os seguintes benefícios:
- Implantação simplificada e mais rápida
- Dependências mínimas a nenhuma
- Suporte total à estrutura de Confiança Zero
- Fluxos de solução de problemas simplificados
- Solução de problemas de usuário por autoatendimento
- Gerenciamento e sobrecarga baixos
- Modelo de maior maturidade de entrega de software e aplicativos
A arquitetura do serviço do Windows 365
O diagrama a seguir representa os componentes no serviço windows 365. Essa arquitetura usa o Intune e o Microsoft Entra ID, que são os principais requisitos do Windows 365. Ele também inclui componentes opcionais, como a Rede Virtual do Azure. Ele mostra a conexão de rede do Azure e as opções de rede hospedadas pela Microsoft, que são mutuamente exclusivas.
Baixe um arquivo do Visio dessa arquitetura.
As seções a seguir expandem as opções de conexão de rede do Azure.
Área de Trabalho Virtual
A Área de Trabalho Virtual é uma solução de infraestrutura de área de trabalho virtual baseada no Azure. A Microsoft gerencia a Área de Trabalho Virtual. Oferece uma solução no estilo PaaS (plataforma como serviço). O Windows 365 usa os componentes de gerenciamento de rede da Área de Trabalho Virtual para habilitar a conectividade com computadores em nuvem hospedados pela Microsoft. Esses componentes incluem o serviço de gateway de Área de Trabalho Virtual, um serviço de agente de conexão e um serviço de cliente Web. Eles fornecem uma conexão perfeita com computadores de nuvem do Windows 365.
Para obter mais informações, consulte Área de Trabalho Virtual para a empresa.
Baixe um arquivo do Visio dessa arquitetura.
Observação
O Windows 365 usa os componentes no plano de controle da Área de Trabalho Virtual para facilitar conexões de usuário e pc na nuvem. Portanto, ele herda a maioria dos recursos relacionados à conexão da Área de Trabalho Virtual do Azure. Familiarize-se com o funcionamento da rede da Área de Trabalho Virtual ao projetar a arquitetura de conexão de rede do Azure neste artigo.
Intune
O Intune é uma solução de gerenciamento de ponto de extremidade baseada em nuvem que você pode usar para exibir e consumir relatórios e gerenciar os seguintes elementos:
- A entrega de aplicativos
- Atualizações do Windows
- As configurações do gerenciamento de dispositivos
- Políticas de segurança
O Intune simplifica o gerenciamento de aplicativos e dispositivos em vários dispositivos, incluindo dispositivos móveis, computadores desktop e pontos de extremidade virtuais.
Você pode usar o Intune para proteger o acesso e os dados em dispositivos pessoais e de propriedade da organização. O Intune também tem recursos de conformidade e relatório que dão suporte ao modelo de segurança de Confiança Zero. Para obter mais informações, confira Criar um perfil de configuração de dispositivo.
Padrões de arquitetura
Um padrão de arquitetura descreve os componentes e mostra as configurações que você pode usar para implantar um serviço ou produto. Para obter mais informações, consulte arquitetura "Hospedado em nome de.
Consulte os seguintes padrões de conexão de rede do Azure:
Conexão de rede do Azure com a Ingressão do Microsoft Entra: Nesse padrão, os PCs de nuvem ingressados ao Microsoft Entra usam uma conexão de rede do Azure para se conectar a recursos em ambientes locais que não exigem autenticação Kerberos ou NTLM (Windows New Technology LAN Manager). Por exemplo, os PCs de nuvem podem se conectar a aplicativos LOB (linha de negócios), compartilhamentos de arquivos ou outros aplicativos.
Conexão de rede do Azure com ingresso híbrido do Microsoft Entra – nesse padrão, os PCs na Nuvem com ingresso híbrido no Microsoft Entra usam uma conexão de rede do Azure para ingresso no domínio com um controlador de domínio do Microsoft Entra ID local. O PC na nuvem é autenticado com o controlador de domínio local quando os usuários acessam o PC na nuvem, aplicativos locais ou aplicativos de nuvem que exigem autenticação Kerberos ou NTLM.
Padrões de arquitetura de conexão de rede do Azure
Para alguns padrões, o serviço do Windows 365 se conecta a ambientes locais por meio da Rede Virtual usando o Azure ExpressRoute ou uma VPN site a site. Uma conexão de rede do Azure, que é um objeto do Intune, representa esse método de conectividade. A conexão de rede do Azure permite que os computadores de nuvem se conectem a recursos locais, como aplicativos do Windows Server Active Directory ou LOB.
O serviço Windows 365 utiliza essa conexão durante o provisionamento de PCs na Nuvem para integrá-los a um domínio local do Microsoft Entra e realizar verificações de integridade, garantindo a prontidão no provisionamento.
A tabela a seguir lista uma dependência de uma conexão de rede do Azure para a arquitetura de junção híbrida do Microsoft Entra. O Windows 365 executa uma verificação automática de integridade nessa dependência.
Dependência | Verificação do Windows 365 | Recomendações |
---|---|---|
Microsoft Entra Connect | Verifica se o Microsoft Entra Connect está configurado e termina com êxito | - Configure o intervalo de sincronização do Microsoft Entra Connect com o valor padrão ou mais baixo. Intervalos de sincronização mais longos aumentam a possibilidade de uma falha no provisionamento do Cloud PC na produção devido a um tempo limite. Para mais informações, consulte Falha no ingresso híbrido do Microsoft Entra. - Configure a replicação do controlador de domínio para o Windows Server Active Directory a partir de um servidor no mesmo datacenter que a conexão de rede do Windows 365 Azure. Esse método fornece replicação mais rápida. - Configure a replicação do controlador de domínio Microsoft Entra ID com um valor padrão. |
A tabela a seguir lista as dependências de uma conexão de rede do Azure para a junção híbrida do Microsoft Entra ou da arquitetura de junção do Microsoft Entra. O Windows 365 executa verificações automáticas de integridade nessas dependências.
Dependência | Verificação do Windows 365 | Recomendações |
---|---|---|
Preparação do locatário do Azure | Verifica se a assinatura do Azure está habilitada, sem restrições de bloqueio e está pronta para uso | - Use uma conta que tenha os privilégios certos para gerenciar as assinaturas do Azure, do Intune e do Windows 365. Para obter mais informações, confira Controle de acesso baseado em função. - Desabilitar ou modificar políticas do Azure que impedem a criação de computadores na nuvem. Para obter mais informações, consulte Restringir SKUs de máquina virtual permitida (VM). - Verifique se a assinatura tem cotas de recursos suficientes para rede e limites gerais com base no número máximo de computadores na nuvem que você deseja criar. Os exemplos incluem o tamanho do gateway de rede, o espaço de endereços IP, o tamanho da rede virtual e a largura de banda necessária. Para obter mais informações, confira Limites de rede e Limites gerais. |
Preparação da rede virtual do Azure | Verifica se a rede virtual está em uma região do Windows 365 com suporte | - Crie a rede virtual em uma região do Azure com suporte do Windows 365 para provisionamento de PC na nuvem. - Crie pelo menos uma sub-rede, além da sub-rede padrão, para implantar os adaptadores de rede virtual do PC na Nuvem. – Criar serviços de rede compartilhados, como Firewall do Azure, gateways de VPN ou gateways do ExpressRoute, em uma rede virtual separada para permitir controles de roteamento e expansão da implantação. Em redes virtuais, aplique NSGs (grupos de segurança de rede) que têm exclusões apropriadas para permitir as URLs necessárias para o serviço Windows 365. Para obter mais informações, consulte os requisitos de rede e NSGs. |
Uso do endereço IP da sub-rede do Azure | Verifica se há endereços IP suficientes disponíveis | - Crie a rede virtual com endereços IP suficientes para lidar com a criação do PC na nuvem e a reserva de endereço IP temporário durante o reprovisionamento. Recomendamos usar um espaço de endereços IP que seja de 1,5 a 2 vezes o número máximo de PCs na Nuvem que você implanta para a nuvem. Para obter mais informações, confira Requisitos gerais de rede. – Trate a rede virtual do Azure como uma extensão lógica da rede local. Atribua espaço de endereço IP exclusivo em todas as suas redes para evitar conflitos de roteamento. |
Conectividade do ponto de extremidade | Verifica se as URLs externas necessárias para o provisionamento de PC na nuvem podem ser acessadas na rede virtual | – Permitir todas as URLs necessárias para o provisionamento de PC na nuvem por meio da rede virtual do Azure. Para obter mais informações, confira Permitir conectividade de rede. – Use o Firewall do Azure para aproveitar as tags de nome de domínio totalmente qualificado (FQDN) do Windows 365, Área de Trabalho Virtual do Azure e Intune. Use as tags para criar regras de aplicação e permitir URLs necessárias para o provisionamento do Windows 365 Cloud PC. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365. – Ignorar ou excluir o tráfego rdp de qualquer dispositivo de inspeção, proxy ou manipulação de rede para evitar problemas de latência e roteamento. Para obter mais informações, confira Tecnologias de interceptação de tráfego. - No dispositivo do usuário e do lado da rede, permita as URLs e portas de serviço do Windows 365 para inspeções de proxy e rede. - Permitir endereços de IP internos do Azure 168.63.129.16 e 169.254.169.254 . Esses endereços IP fornecem comunicação com serviços da plataforma Azure, como metadados ou sinal de pulso. Para saber mais, consulte os recursos a seguir: - Endereço IP 168.63.129.16 - Serviço de Metadados de Instância do Azure - Perguntas frequentes sobre rede virtual |
Inscrição no Intune | Verifica se o Intune permite o registro do Windows | – Certifique-se de definir restrições de registro de tipo de dispositivo do Intune para permitir a plataforma MDM do Windows para registro corporativo. – Para a junção híbrida do Microsoft Entra, configure os dispositivos automaticamente, configurando o ponto de conexão de serviço para cada domínio no Microsoft Entra Connect ou utilizando o modelo de implantação direcionada. Para obter mais informações, confira Configurar ingresso híbrido Microsoft e Implantação direcionada de ingresso híbrido do Microsoft Entra. |
Permissões de aplicativo da Microsoft | Verifica o aplicativo Windows 365 para permissões na assinatura do Azure do cliente, no grupo de recursos e nos níveis de rede virtual. | – Verifique se a conta usada para configurar a conexão de rede do Azure tem permissões de leitura na assinatura do Azure em que você cria a rede virtual do Azure. – Verifique se a assinatura do Azure não tem políticas que bloqueiam permissões para o aplicativo gerenciado pela Microsoft do Windows 365. O aplicativo deve ter permissões na assinatura, no grupo de recursos e nos níveis de rede virtual. Para obter mais informações, confira Requisitos do Azure. |
Pacote de idiomas de localização | Verifica se os locais de download do pacote de idiomas podem ser acessados | – Verifique se as regras de firewall na rede virtual do Azure permitem URLs necessárias para a versão apropriada das imagens do Windows. Para obter mais informações, confira Fornecer uma experiência localizada do Windows. |
Shortpath RDP | Verifica se as configurações do UDP (User Datagram Protocol) estão configuradas para você se conectar | - Habilite o Shortpath de RDP para acesso ao PC na Nuvem a fim de aproveitar a resiliência do UDP. Para obter mais informações, confira Usar o Shortpath de RDP para redes públicas com o Windows 365 e Usar o Shortpath de RDP para redes privadas com o Windows 365. |
Licença do Intune | Verifica se o locatário tem licenças apropriadas do Intune para usar o Windows | – Verifique se você tem as licenças adequadas do Intune atribuídas a você de acordo com os requisitos de licenciamento. |
Verificação de SSO (logon único) | Verifica se o objeto do servidor Kerberos foi criado no Active Directory do Windows Server e sincronizado com a ID do Microsoft Entra | – Verifique se você selecionou a opção SSO na política de provisionamento. Essa opção permite se conectar ao PC na Nuvem da política usando credenciais de entrada de um dispositivo físico gerenciado pelo Intune que ingressou no domínio ou ingressou no Microsoft Entra. Para obter mais informações, confira Continuar criando políticas de provisionamento. |
Resolução de nomes do Sistema de Nomes de Domínio (DNS) | Verifica se o DNS na conexão de rede do Azure pode resolver o domínio local do Active Directory | – Configure a rede virtual do Azure com a resolução de nomes de um domínio local do Microsoft Entra usando um DNS personalizado, um DNS privado ou um resolvedor privado. Para obter mais informações, consulte o DNS do Azure. – Verifique se os servidores DNS configurados na rede virtual residem na mesma região e podem registrar computadores de nuvem provisionados recentemente sem atraso. Evite referências ou redirecionamentos de DNS para impedir atrasos de propagação, que podem resultar em atrasos ou falhas de provisionamento. |
União ao domínio do Microsoft Entra | Verifica se as credenciais fornecidas para o ingresso no domínio do Microsoft Entra são válidas e os PCs na nuvem podem ser ingressados no domínio | – Verifique se a conta de ingresso no domínio do Microsoft Entra tem permissões na unidade organizacional do Microsoft Entra especificada na configuração de conexão de rede do Azure. – Verifique se a conta não é uma conta de usuário padrão com uma limitação de ingresso no domínio. Para obter mais informações, consulte o limite padrão para o número de estações de trabalho que um usuário pode ingressar no domínio. – Verifique se a conta é sincronizada com a ID do Microsoft Entra. – Verifique se a unidade organizacional especificada na conexão de rede do Azure não tem limites de objeto. Para obter mais informações, confira Aumentar o limite da conta de computador na unidade organizacional. |
Para obter mais informações, confira Verificações de integridade da conexão de rede do Azure no Windows 365.
Recomendações de blocos de construção de conexão de rede do Azure
Esta seção descreve os blocos de construção do padrão de arquitetura de conexão de rede do Azure do Windows 365.
Assinatura do Azure
O uso do Windows 365 em um padrão de arquitetura de conexão de rede do Azure envolve dois tipos de assinaturas do Azure, uma assinatura da Microsoft e uma assinatura de cliente.
O Windows 365 usa o hospedado em nome do modelo para fornecer serviços aos clientes do Windows 365. Esse modelo provisiona e executa o PC na nuvem em assinaturas do Azure que a Microsoft possui. O adaptador de rede do PC na nuvem é provisionado na assinatura do Azure de um cliente. Os diagramas a seguir mostram dois padrões de arquitetura da conexão de rede do Azure. Você usa sua própria assinatura e rede virtual do Azure.
O padrão de arquitetura a seguir usa uma identidade de junção do Microsoft Entra para gerenciar o PC na nuvem.
Baixe um arquivo do Visio dessa arquitetura.
O padrão de arquitetura a seguir usa a identidade de junção híbrida do Microsoft Entra para gerenciar o PC na nuvem. Essa arquitetura requer comunicação de rede de linha de visão com controladores de domínio dos Serviços de Domínio Active Directory (AD DS) em ambientes locais.
Baixe um arquivo do Visio dessa arquitetura.
Componente | Uma assinatura do Azure que hospeda a rede virtual que fornece conectividade para o Cloud PC a um ambiente local e à Internet. |
---|---|
Padrões de arquitetura | – Conexão de rede do Azure para ingresso no Microsoft Entra - Conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Crie ou use uma assinatura que tenha uma rede virtual e gateways de VPN ou do ExpressRoute para fornecer uma conexão de volta com um ambiente local. – Crie um grupo de recursos dedicado para um PC na nuvem para fornecer permissão e gerenciamento de recursos. – Exclua grupos de recursos de PC na nuvem e redes virtuais das políticas do Azure que impedem a criação e exclusão automática de objetos de cartão de interface de rede virtual ou a atribuição e a liberação de endereços IP. Para obter mais informações, consulte Bloquear recursos para proteger a infraestrutura e Requisitos do Azure. - Crie redes virtuais dedicadas para melhor gerenciamento de endereços IP e controles de roteamento. |
Rede virtual e conexão híbrida
Os padrões de arquitetura do Windows 365 baseados em uma conexão de rede do Azure exigem uma ou mais redes virtuais do Azure. Essas redes virtuais fornecem conectividade a ambientes locais e à Internet para provisionamento de PC na nuvem. O adaptador de rede virtual do PC na nuvem é provisionado na rede virtual do Azure da assinatura de propriedade do cliente.
Você pode implantar a rede do Azure com uma sofisticação de design variável com base na rede local existente ou na rede do Azure. Para obter mais informações sobre um design de rede híbrida básico, consulte Implementar uma rede híbrida segura.
Considere os seguintes fatores ao projetar uma arquitetura de rede virtual do Azure:
Espaço de endereço IP: O tamanho do espaço de endereço IP depende do número de computadores na nuvem. Planeje pelo menos 1,5 vezes o número máximo de computadores na nuvem implantados. Você usa os endereços IP extras ao provisionar e desprovisionar computadores na nuvem.
Resolução de nomes: Os PCs de nuvem usam um processo de DNS para resolver o nome de domínio local em uma implantação de associação híbrida com o Microsoft Entra ou para resolver recursos da Internet ou recursos do Azure em um modelo de implantação de associação com o Microsoft Entra.
Para usar sua infraestrutura DNS local existente, configure os endereços IP de um ou mais servidores DNS para resolução de nomes. Para saber mais, confira Requisitos de DNS.
Verifique se os endereços IP do servidor DNS configurados na rede virtual do Azure residem na mesma região que o PC na nuvem. Evite redirecionar solicitações de registro DNS para outras regiões. O redirecionamento pode resultar em implantações atrasadas ou com falha e verificações de integridade de conexão de rede do Azure.
Para a resolução de nomes baseada em DNS do Azure, use a opção DNS pública ou privada do Azure ou a opção Resolvedor Privado DNS do Azure. Para obter mais informações, confira a documentação do DNS do Azure.
Topologia de rede: A rede do Azure dá suporte a topologias para acomodar diferentes casos de uso.
Topologia hub-spoke com emparelhamento de rede virtual: Essa topologia simples isola os serviços em redes virtuais de hub e spoke dedicadas. Os serviços compartilhados incluem o Firewall do Azure e gateways de rede. Use essa topologia se você implantar Cloud PCs em uma ou mais redes virtuais do tipo spoke em um ambiente simples de local único. Para obter mais informações, consulte a topologia de rede hub-spoke.
Topologia hub-spoke com WAN Virtual do Azure: a WAN Virtual é um serviço de rede do Azure que combina recursos de rede, segurança e gerenciamento que permitem requisitos de rede complexos. Use essa topologia para implantações de vários sites e várias regiões que têm requisitos específicos de firewall e roteamento. Para obter mais informações, confira Topologia de rede hub-spoke com WAN Virtual.
Gateways de rede: Os gateways de rede do Azure fornecem conectividade de uma rede virtual para uma rede local. Você pode escolher entre gateways de rede VPN e ExpressRoute. Antes de determinar seu método de conectividade, considere os requisitos máximos de largura de banda do computador na nuvem. Os gateways VPN e ExpressRoute têm várias camadas, ou SKUs, que fornecem diferentes quantidades de largura de banda e outras métricas. Para obter mais informações, consulte Conectar uma rede local ao Azure usando o ExpressRoute.
Configuração de roteamento
O serviço de conexão de rede do Azure no Windows 365 usa verificações de integridade automatizadas para determinar a integridade e a prontidão do seu ambiente do cliente para provisionamento de PCs na Nuvem de ingresso no Microsoft Entra ou ingresso híbrido no Microsoft Entra em uma arquitetura baseada em conexão de rede do Azure. Sem configurações de roteamento adequadas em sua rede virtual do Azure e serviços de rede associados, as implantações de PC em nuvem provavelmente sofrerão atrasos ou falhas.
Para otimizar o roteamento para a arquitetura de rede do Windows 365, siga estas recomendações:
Adicione os URLs necessárias à lista de permissões: Nos modelos de conexão de rede Microsoft Entra hybrid join e Microsoft Entra join Azure, certifique-se de que o antivírus do sistema operacional, os firewalls de rede e os balanceadores de carga permitam as URLs necessárias para cada PC na nuvem. Para obter mais informações, confira Permitir conectividade de rede.
Use marcas de FQDN do Azure: ao usar o serviço de Firewall do Azure, aplique as marcas de FQDN do Azure para permitir URLs necessárias para a Área de Trabalho Virtual do Azure, o Windows 365 e o Intune. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365.
Habilite a passagem: O Windows 365 usa o RDP, que é sensível à latência de dispositivos de inspeção de tráfego, como um firewall ou um dispositivo de descriptografia SSL (Secure Sockets Layer). A latência pode resultar em uma experiência ruim. Desabilite a inspeção de tráfego dessas URLs e habilite a passagem. Para obter mais informações, confira Tecnologias de interceptação de tráfego.
Ignore o proxy: os serviços de proxy tradicionais e em nuvem são úteis para o acesso à Internet, mas introduzem latência nas conexões RDP. Essa latência ocorre quando a conexão do dispositivo físico do usuário ou do PC na nuvem é forçada por meio de um proxy. Isso resulta em desconexões frequentes, atrasos e tempos de resposta lentos. Defina os intervalos de endereços IP do gateway .wvd.microsoft.com e do Windows 365 para ignorar os serviços proxy nos seguintes componentes:
- O dispositivo físico do usuário
- A rede à qual o dispositivo físico se conecta
- O PC na nuvem
Para obter mais informações, consulte Otimizar a conectividade RDP para Windows 365.
Verifique o roteamento de caminho mais curto: Verifique se o tráfego RDP de um PC na nuvem segue a rota mais direta para pontos de extremidade de serviço da Área de Trabalho Virtual. O caminho ideal é de uma rede virtual para o endereço IP do gateway de Área de Trabalho Virtual por meio da Internet. Verifique também se o tráfego RDP do dispositivo físico do usuário atinge diretamente o endereço IP do gateway da Área de Trabalho Virtual. Essa configuração garante o roteamento ideal e não degrada a experiência do usuário. Evite rotear o tráfego RDP para a Internet por meio de serviços de proxy na nuvem ou redes locais.
Habilitar o Shortpath RDP: Habilite o acesso baseado em Shortpath RDP para redes de usuário, redes do Azure e computadores de nuvem. O Shortpath de RDP usa UDP para transmitir o tráfego RDP. Ao contrário do Protocolo de Controle de Transmissão (TCP), o UDP é resiliente a conexões de rede de alta latência. O UDP também aproveita ao máximo a largura de banda de rede disponível para transferir pacotes RDP com eficiência, o que leva a uma experiência de usuário aprimorada. Para obter mais informações, confira Usar Shortpath de RDP para redes públicas com o Windows 365.
Avaliar o posicionamento do PC na nuvem: Para obter uma experiência de usuário ideal e desempenho de roteamento, determine onde os clientes residem em relação aos aplicativos de trabalho ou à rede que acessam. Considere também o tempo que os clientes gastam acessando aplicativos LOB em comparação com o tempo geral em que acessam outros aplicativos.
Considere as seguintes opções de implantação para o posicionamento do PC na nuvem:
Opção de implantação 1: Quando os clientes trabalham principalmente em aplicativos LOB, como aplicativos do Microsoft 365, esse modelo reduz a latência desses aplicativos colocando o PC na nuvem na mesma região que os aplicativos LOB (Geografia B). Essa configuração prioriza o desempenho para acesso a LOB, mesmo que o gateway esteja fisicamente mais próximo de um usuário em uma região diferente (Geografia A). O diagrama a seguir mostra um fluxo de tráfego do usuário para os aplicativos LOB.
Baixe um arquivo do PowerPoint dessa arquitetura.
Opção de implantação 2: Se os clientes ocasionalmente acessarem aplicativos LOB no Geography B, implantar um PC na nuvem mais próximo dos clientes otimizará a latência de acesso do PC na nuvem em relação à latência de acesso de aplicativos LOB. O diagrama a seguir mostra um fluxo de tráfego para esse cenário.
Baixe um arquivo do PowerPoint dessa arquitetura.
Recomendações do AD DS
Em uma arquitetura de ingresso híbrido no Microsoft Entra, uma infraestrutura do AD DS local serve como a fonte de identidade de autoridade. Uma infraestrutura do AD DS adequadamente configurada e íntegra melhora o sucesso de uma implantação do Windows 365.
O AD DS local dá suporte a muitas configurações que têm vários níveis de complexidade. As recomendações a seguir abrangem apenas as práticas recomendadas de linha de base.
Para um cenário de junção híbrida do Microsoft Entra, você pode implantar o AD DS em VMs do Azure. Você também pode usar uma conexão de rede híbrida para fornecer uma linha de visão direta ao controlador de domínio do Microsoft Entra local. Para obter mais informações, confira Implementar uma rede híbrida segura.
Para um cenário de junção do Microsoft Entra, siga a arquitetura de referência que integra domínios do Active Directory local à ID do Microsoft Entra.
O Windows 365 usa um serviço watchdog como parte de testes automatizados. O serviço cria uma conta de VM de teste que é mostrada como desabilitada na unidade organizacional especificada pela configuração de conexão de rede do Azure. Não exclua essa conta.
PCs de nuvem desativados no modelo de junção híbrida do Microsoft Entra deixam para trás contas de computador desabilitadas que exigem limpeza manual no AD DS.
O Microsoft Entra Domain Services não dá suporte à junção híbrida do Microsoft Entra, portanto, ele não pode funcionar como a fonte de identidade nessa configuração.
Recomendações de DNS
Em uma arquitetura de implantação de conexão de rede do Azure, os servidores DNS ou um serviço DNS em uma rede virtual do Azure servem como dependências cruciais. Uma infraestrutura íntegra garante uma operação confiável.
Para uma configuração de junção híbrida do Microsoft Entra, o DNS deve resolver o domínio ao qual o PC na Nuvem se une. Você tem várias opções de configuração. A opção mais simples é especificar o endereço IP do servidor DNS na configuração de rede virtual do Azure. Para obter mais informações, confira Resolução de nome usando seu próprio servidor DNS.
Para infraestruturas complexas, como configurações de várias regiões ou vários domínios em ambientes locais e do Azure, use um serviço como zonas privadas DNS do Azure ou Resolvedor Privado DNS.
Recomendações de conexão com do PC na Nuvem
Configure os PCs na nuvem implantados para permitir um fluxo de conexão ininterrupto de e para o serviço de gateway da Área de Trabalho Virtual. Ao implantar aplicativos como parte de uma configuração do sistema operacional Windows, considere as seguintes recomendações:
Certifique-se de que o cliente VPS não seja iniciado quando o usuário entrar, pois ele pode desconectar a sessão quando o túnel VPN for estabelecido. Em seguida, o usuário deve entrar novamente.
Configure os aplicativos VPN, proxy, firewall e antivírus e antimalware para permitir ou ignorar o tráfego para endereços
168.63.129.16
IP e169.254.169.254
. Essa arquitetura usa esses endereços IP para comunicação com os serviços de plataforma do Azure, como metadados e pulsação.Para obter mais informações, consulte os seguintes recursos:
Não modifique manualmente os endereços IP dos PCs na Nuvem, pois isso pode resultar em desconexão permanente. Os serviços de rede do Azure atribuem endereços IP com uma concessão indefinida e os gerenciam durante todo o ciclo de vida do PC na nuvem. Para obter mais informações, consulte Métodos de alocação.
Contribuidores
A Microsoft mantém este artigo. Os colaboradores a seguir escreveram este artigo.
Autor principal:
- Ravishankar Nandagopalan | Gerente de Produto Sênior
Outros colaboradores:
- Paul Collinge | Gerente de Produto Principal
- Claus Emerich | Gerente de Produto Principal
- David Falkus | Gerente de Produto Principal
- Bob Roudebush | Líder Técnico e Tecnólogo de Nuvem/Desenvolvedor
- Matt Shadbolt | Gerente de Produto Principal, Windows Cloud Experiences
Para ver perfis não públicos no LinkedIn, entre no LinkedIn.
Próximas etapas
- Planejar a implantação do seu PC na Nuvem
- Arquitetura do Windows 365
- Identidade e autenticação do Windows 365
- Ciclo de vida do PC na nuvem no Windows 365
- Visão geral do AD DS
- Criptografia de dados no Windows 365
- Entender a conectividade de rede da Área de Trabalho Virtual