Usar Firewall do Azure para gerenciar e proteger ambientes de Windows 365
Este artigo explica como simplificar e proteger seu ambiente Windows 365 usando Firewall do Azure. A arquitetura de exemplo explicada aqui fornece baixa manutenção e acesso automatizado aos pontos de extremidade necessários por meio de um caminho de conexão direto e otimizado. Você pode usar Firewall do Azure regras de rede e marcas FQDN (nome de domínio totalmente qualificado) para replicar esse exemplo de arquitetura em seu ambiente.
Observação
Este artigo se aplica aos clientes que implantam Windows 365 com ANC (conexões de rede do Azure). Este artigo não se aplica a ambientes que usam redes hospedadas pela Microsoft. Para obter mais informações sobre cada um, consulte Windows 365 opções de implantação de rede.
O serviço Windows 365 requer conectividade otimizada e não proxieda para pontos de extremidade de serviço críticos, muitos dos quais residem na infraestrutura da Microsoft. Conectar-se a esses recursos usando redes locais por meio da Internet é ineficiente e não é recomendado. Essas conexões também podem ser complexas para configurar e gerenciar.
Por exemplo, alguns clientes Windows 365 que usam o modelo de implantação do ANC podem ter uma conexão direta de volta a um ambiente local que usa o ExpressRoute ou VPN site a site. O tráfego de saída pode ser roteado usando um servidor proxy existente da mesma forma que o tráfego local. Essa estratégia de conexão não é otimizada para ambientes Windows 365 e provavelmente introduzirá um impacto significativo no desempenho.
Em vez disso, você pode usar Firewall do Azure com seus ambientes de Windows 365 ANC para fornecer acesso otimizado, seguro, de baixa manutenção e automatizado.
Pontos de extremidade necessários para Windows 365
Windows 365 requer acesso aos seguintes pontos de extremidade:
Você também pode considerar o acesso a outros serviços da Microsoft (como Office 365) ao configurar a conectividade otimizada do ambiente.
As marcas FQDN para determinados serviços estão disponíveis para Firewall do Azure ajudar a configurar e manter essas regras de forma simples e são discutidas posteriormente neste documento.
Arquitetura de exemplo usando marcas Firewall do Azure e FQDN
Há muitas maneiras de configurar a rede no Azure. Aqui, usamos:
- Uma única VNet com Firewall do Azure gerenciando o acesso de saída.
- Um circuito do ExpressRoute para conectar a VNet de volta ao ambiente local.
O fluxo de tráfego neste diagrama:
- Rede Corporativa contoso: essa sub-rede IP local é anunciada na VNet por meio do gateway do ExpressRoute. Todo o tráfego para esse intervalo (10.0.0.0/8) é enviado por meio do circuito do ExpressRoute.
- Todo o tráfego da sub-rede Windows 365 é enviado para o firewall do Azure por meio de uma rota UDR (Rota Definida pelo Usuário) de 0.0.0.0.0/0. O IP do próximo salto é definido como o IP privado do Firewall do Azure.
- O Firewall tem regras de aplicativo (e marcas FQDN) e regras de rede configuradas para o Windows 365 pontos de extremidade necessários. O tráfego que cumpre as regras é permitido. Qualquer outro tráfego não permitido explicitamente é bloqueado.
Firewall do Azure regras de aplicativo
O ambiente no diagrama foi configurado usando as seguintes regras de aplicativo Firewall do Azure (aplicadas no callout 3). Todo o tráfego não destinado à sub-rede local da Contoso é direcionado para o firewall. Essas regras permitem que o tráfego definido entre em saída para seu destino. Para obter mais informações sobre como implantar Firewall do Azure, consulte Implantar e configurar Firewall do Azure usando o portal do Azure.
| Descrição da regra | Tipo de destino | Nome da marca FQDN | Protocolo | Inspeção TLS | Obrigatório/Opcional |
|---|---|---|---|---|---|
| Windows 365 FQDNs | Marca FQDN | Windows365 | HTTP: 80, HTTPS: 443 | Não recomendado | Obrigatório |
| Intune FQDNs | Marca FQDN | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Não recomendado | Obrigatório |
| Office 365 FQDNs | Marca FQDN | Office365 | HTTP: 80, HTTPS: 443 | Não é recomendável otimizar & permitir categorias | Opcional, mas recomendado |
| Windows Update | Marca FQDN | WindowsUpdate | HTTP: 80, HTTPS: 443 | Não recomendado | Opcional |
| Citrix HDX Plus | Marca FQDN | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Não recomendado | Opcional (necessário somente ao usar o Citrix HDX Plus) |
Marca windows365
A marca Windows365 inclui os pontos de extremidade necessários da Área de Trabalho Virtual do Azure (AVD), exceto os pontos de extremidade com portas não padrão que precisam ser inseridas manualmente (consulte a seção Regras de rede).
A marca Windows365 não inclui Intune. A marca MicrosoftIntune pode ser usada separadamente.
A marca FQDN do Windows365 inclui todos os pontos de extremidade necessários, exceto os pontos de extremidade listados como Obrigatórios em linhas separadas deste documento, que devem ser configurados separadamente. As marcas FQDN são diferentes de uma marca de serviço. Por exemplo, a marca de serviço WindowsVirtualDesktop inclui apenas os endereços IP aos quais *.wvd.microsoft.com resolve.
Regras de rede
Firewall do Azure não lida atualmente com portas não padrão em uma marca FQDN. Windows 365 tem alguns requisitos de porta não padrão, portanto, as regras a seguir devem ser adicionadas manualmente como Regras de Rede, além das marcas FQDN.
| Descrição da regra | Tipo de destino | FQDN/IP | Protocolo | Porta/s | Inspeção TLS | Obrigatório/Opcional |
|---|---|---|---|---|---|---|
| Ativação do Windows | FQDN | azkms.core.windows.net | TCP | 1688 | Não recomendado | Obrigatório |
| Registro | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Não recomendado | Obrigatório |
| Conectividade UDP via TURN | IP | 20.202.0.0/16 | UDP | 3478 | Não recomendado | Obrigatório |
| Conectividade TURN | IP | 20.202.0.0/16 | TCP | 443 | Não recomendado | Obrigatório |
| Registro | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Não recomendado | Obrigatório |
Opções de solução de segurança de parceiro
Outras maneiras de ajudar a proteger seu ambiente Windows 365 são opções de solução de segurança de parceiros que fornecem conjuntos de regras automatizados para acessar os pontos de extremidade necessários para o serviço Windows 365. Essas opções incluem:
- objetos updatable do Check Point Software Technologies
Próximas etapas
Saiba mais sobre Windows 365 arquitetura.
Para saber mais sobre o FQDNS, confira Visão geral das marcas FQDN.
Para saber mais sobre marcas de serviço, confira Marcas de serviço de rede virtual.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de