Compartilhar via


Requisitos de rede

O Windows 365 é um serviço baseado em nuvem que permite que os usuários se conectem pela Internet de qualquer dispositivo, de qualquer lugar, a uma área de trabalho do Windows em execução no Azure. Para suportar estas ligações à Internet, tem de seguir os requisitos de rede listados neste artigo.

Cada cliente tem os seus requisitos específicos com base na carga de trabalho que utiliza para calcular os requisitos de rede do respetivo ambiente de PC na Cloud.

Observação

Este artigo só se aplica se você planeja provisionar PCs na Nuvem em sua própria rede virtual do Azure, em vez de uma rede hospedada pela Microsoft.

Requisitos gerais de rede

Para utilizar a sua própria rede e aprovisionar PCs cloud associados ao Microsoft Entra, tem de cumprir os seguintes requisitos:

  • Rede virtual do Azure: você precisa ter uma VNet (rede virtual) em sua assinatura do Azure na mesma região em que as áreas de trabalho do Windows 365 são criadas.
  • Largura de banda de rede: confira as Diretrizes de rede do Azure.
  • Uma sub-rede dentro da VNet e o espaço de endereços IP disponível.

Para utilizar a sua própria rede e aprovisionar PCs na Cloud associados ao Microsoft Entra híbridos, tem de cumprir os requisitos acima indicados e os seguintes requisitos:

  • A rede virtual do Azure precisa ser capaz de resolver entradas DNS para o seu ambiente do AD DS (Active Directory Domain Services). Para dar suporte a essa resolução, defina seus servidores DNS do AD DS como servidores DNS para rede virtual.
  • A vNet do Azure deve ter acesso à rede para um controlador de domínio corporativo, seja no Azure ou localmente.

Permitir conectividade de rede

Tem de permitir o tráfego na configuração de rede para os seguintes URLs e portas de serviço para suportar o aprovisionamento e a gestão de PCs na Cloud e para conectividade remota com PCs na Cloud. Embora a maior parte da configuração seja para a rede do CLOUD PC, a conectividade do utilizador final ocorre a partir de um dispositivo físico. Por conseguinte, também tem de seguir as diretrizes de conectividade na rede de dispositivos físicos.

Dispositivo ou serviço URLs e portas necessários para a conectividade de rede Notas
Dispositivo físico Link Para conectividade e atualizações do cliente de Ambiente de Trabalho Remoto.
Serviço Microsoft Intune Link Para serviços cloud do Intune, como a gestão de dispositivos, a entrega de aplicações e a análise de pontos finais.
Máquina virtual do anfitrião de sessões do Azure Virtual Desktop Link Para conectividade remota entre PCs na Cloud e o serviço de back-end do Azure Virtual Desktop.
Serviço do Windows 365 Link Para aprovisionamento e verificações de estado de funcionamento.

Serviço do Windows 365

Os seguintes URLs e portas são necessários para o aprovisionamento de PCs na Cloud e as verificações de estado de funcionamento da Ligação de Rede do Azure (ANC):

  • *.infra.windows365.microsoft.com
  • *.cmdagent.trafficmanager.net
  • Pontos de extremidade de registro
    • login.microsoftonline.com
    • login.live.com
    • enterpriseregistration.windows.net
    • global.azure-devices-provisioning.net (443 e 5671 outbound)
    • hm-iot-in-prod-prap01.azure-devices.net (saídas 443 e 5671)
    • hm-iot-in-prod-prau01.azure-devices.net (saídas 443 e 5671)
    • hm-iot-in-prod-preu01.azure-devices.net (saídas 443 e 5671)
    • hm-iot-in-prod-prna01.azure-devices.net (saídas 443 e 5671)
    • hm-iot-in-prod-prna02.azure-devices.net (saída 443 & 5671)
    • hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 de saída)
    • hm-iot-in-2-prod-prna01.azure-devices.net (saída 443 & 5671)
    • hm-iot-in-3-prod-preu01.azure-devices.net (saída 443 & 5671)
    • hm-iot-in-3-prod-prna01.azure-devices.net (saída 443 & 5671)
    • hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 de saída)

Todos os pontos finais ligam-se através da porta 443, salvo especificação em contrário.

Porta 3389

A porta 3389 está desativada por predefinição para todos os PCs cloud recentemente aprovisionados. A Microsoft recomenda que mantenha a porta 3389 fechada. No entanto, se precisar que a porta 3389 esteja aberta para quaisquer PCs cloud reaprovisionados ou recentemente aprovisionados com a opção de implementação da Ligação de Rede do Azure (ANC), pode rever as seguintes opções:

  • Linhas de Base de Segurança do Windows 365. Os clientes podem utilizar as Linhas de Base de Segurança do Windows 365 para gerir eficazmente a porta 3389 para PCs na Cloud do Windows 365. Estas linhas de base fornecem ferramentas e configurações abrangentes concebidas para melhorar as medidas de segurança, ao mesmo tempo que permitem o acesso necessário. Ao ajustar as Definições da Firewall e definir a Ação de Entrada Predefinida para Perfil Público como Permitir, as organizações podem certificar-se de que a porta 3389 está devidamente configurada para satisfazer as necessidades operacionais. Reveja e personalize estas definições de acordo com os seus requisitos organizacionais específicos.
  • Crie uma regra de Firewall personalizada no Microsoft Intune. Os clientes podem utilizar regras de Firewall personalizadas no Microsoft Intune para configurar a porta 3389 para PCs na Cloud do Windows 365. Esta opção envolve a criação de uma regra personalizada nas políticas de segurança do Intune adaptadas para permitir o tráfego de entrada na porta 3389, que é utilizada para aceder a PCs na Cloud. Ao definir os parâmetros da regra, como o número da porta, o protocolo (TCP) e a restrição de endereços IP ou redes específicos, pode certificar-se de que o acesso à porta 3389 é controlado rigorosamente e limitado apenas a entidades autorizadas.

Estas opções não são aplicáveis aos clientes que utilizam uma rede alojada na Microsoft.

Utilizar etiquetas FQDN para pontos finais através do Azure Firewall

As etiquetas de nome de domínio completamente qualificado (FQDN) do Windows 365 facilitam a concessão de acesso aos pontos finais de serviço necessários do Windows 365 através de uma firewall do Azure. Para obter mais informações, veja Utilizar o Azure Firewall para gerir e proteger ambientes do Windows 365.

Pontos de extremidade do serviço de agente do protocolo RDP.

A conectividade direta com os pontos de extremidade do serviço do agente RDP da Área de Trabalho Virtual do Azure é fundamental para reduzir o desempenho de um computador na nuvem. Esses pontos de extremidade afetam a conectividade e a latência. Para alinhar com os princípios de conectividade de rede do Microsoft 365, categorize esses pontos de extremidade como Otimizar pontos de extremidade. Recomendamos que você use um caminho direto da sua rede virtual do Azure nesses pontos de extremidade.

Para facilitar a configuração dos controles de segurança de rede, use as marcas de serviço da Área de Trabalho Virtual do Azure para identificar esses pontos de extremidade para roteamento direto usando uma UDR (Rota Definida do Usuário) de Rede do Azure. Uma UDR resulta no encaminhamento direto entre a rede virtual e o mediador RDP para uma latência mais baixa. Para obter mais informações sobre as Marcas de Serviço do Azure, consulte Visão geral das marcas de serviço do Azure.

Alterar as rotas de rede de um PC na nuvem (na camada de rede ou na camada de computador de nuvem como VPN) pode interromper a conexão entre o PC na nuvem e o agente RDP da Área de Trabalho Virtual do Azure. Em caso afirmativo, o utilizador final é desligado do PC na Cloud até que seja restabelecida uma ligação.

Requisitos de DNS

Como parte dos requisitos de associação híbrida do Microsoft Entra, os seus PCs na Cloud têm de conseguir aderir ao Active Directory no local. Isso requer que os computadores de nuvem possam resolver registros DNS para seu ambiente do AD local.

Configure sua Rede Virtual do Azure onde os Cloud PCs são provisionados da seguinte forma:

  1. Certifique-se de que sua Rede Virtual do Azure tenha conectividade de rede com servidores DNS que possam resolver seu domínio do Active Directory.
  2. Na página de Configurações da Rede Virtual do Azure, selecione Servidores DNS e escolha Personalizado.
  3. Insira o endereço IP dos servidores DNS desse ambiente que podem resolver seu domínio AD DS.

Dica

Adicionar pelo menos dois servidores DNS, como faria com um computador físico, ajuda a reduzir o risco de um único ponto de falha na resolução de nomes.

Para obter mais informações, confira Definindo Configurações de Redes Virtuais do Azure.

Requisitos de Protocolo de Área de Trabalho Remota

O Windows 365 usa o protocolo RDP (Área de Trabalho Remota).

Cenário Modo padrão Modo H.264/AVC 444 Descrição
Ocioso 0,3 Kbps 0,3 Kbps O utilizador fez uma pausa no trabalho e não existem atualizações de ecrã ativas.
Microsoft Word 100-150 Kbps 200-300 Kbps O usuário está trabalhando ativamente no Microsoft Word, digitando, colando gráficos e alternando entre documentos.
Microsoft Excel 150-200 Kbps 400-500 Kbps O usuário está trabalhando ativamente no Microsoft Excel e atualizando várias células com fórmulas e gráficos simultaneamente
Microsoft PowerPoint 4-4,5 Mbps 1,6-1,8 Mbps O usuário está trabalhando ativamente com o Microsoft PowerPoint: digitando, colando, modificando gráficos avançados e usando efeitos de transição de slides.
Navegação na Web 6-6,5 Mbps 0,9-1 Mbps O usuário está trabalhando ativamente com um site graficamente rico que contém várias imagens estáticas e animadas. O usuário rola as páginas horizontal e verticalmente
Galeria de Imagens 3,3-3,6 Mbps 0,7-0,8 Mbps O usuário está trabalhando ativamente com o aplicativo da galeria de imagens: procurando, aplicando zoom, redimensionando e girando imagens
Video playback 8,5-9,5 Mbps 2,5-2,8 Mbps O usuário está assistindo a um vídeo de 30 Fps que consome metade da tela.
Reprodução de vídeo em tela inteira 7,5-8,5 Mbps 2,5-3,1 Mbps O utilizador está a ver um vídeo de 30 FPS maximizado para um ecrã inteiro.

Requisitos do Microsoft Teams

O Microsoft Teams é um dos principais serviços do Microsoft 365 no PC na nuvem. O Windows 365 descarrega o tráfego de áudio e vídeo para seu ponto de extremidade para tornar a experiência de vídeo como o Teams em um computador físico.

A qualidade da rede é importante por cenário. Verifique se você tem a largura de banda adequada disponível para a qualidade que deseja oferecer.

A resolução full HD (1920x1080p) não é compatível com o Microsoft Teams em PCs na nuvem.

Largura de banda (upload/download) Cenários
30 Kbps Chamada de áudio ponto a ponto.
130 Kbps Chamada de áudio ponto a ponto e compartilhamento de tela.
500 Kbps Chamada de vídeo de ponto a ponto de qualidade de 360p a 30 Fps.
1,2 Mbps Chamada de vídeo ponto a ponto de qualidade HD com a resolução HD de 720p a 30 Fps.
500kbps/1Mbps Chamada de vídeo em grupo.

Para obter mais informações sobre os requisitos de rede do Microsoft Teams, veja Considerações de rede.

Tecnologias de interceptação de tráfego

Alguns clientes corporativos usam interceptação de tráfego, descriptografia de SSL, inspeção profunda de pacotes e outras tecnologias semelhantes para que as equipes de segurança monitorem o tráfego de rede. O provisionamento de PC na nuvem pode precisar de acesso direto à máquina virtual. Essas tecnologias de interceptação de tráfego podem causar problemas com a execução de verificações de conexão de rede do Azure ou o provisionamento do PC na nuvem. Certifique-se de que nenhuma interceptação de rede seja imposta para PCs de nuvem provisionados no serviço do Windows 365.

Largura de banda

O Windows 365 usa a infraestrutura de rede do Azure. Uma assinatura do Azure é necessária quando uma rede virtual é selecionada durante a implantação do Windows 365 Enterprise. As taxas de largura de banda para o uso do PC na nuvem incluem:

  • O tráfego de rede para um PC na nuvem é gratuito.
  • O tráfego de saída (saída) incorre em cobranças da assinatura do Azure para a rede virtual.
  • Os dados do Office (como email e sincronização de arquivos do OneDrive for Business) incorrem em custos de saída se o PC na nuvem e os dados de um usuário residirem em regiões diferentes.
  • O tráfego de rede RDP sempre incorre em custos de saída.

Se você trouxer sua própria rede, veja Preços da largura de banda.

Se utilizar uma rede alojada na Microsoft: os dados/mês de saída baseiam-se na RAM do PC na Cloud:
- 2 GB de RAM = 12 GB de dados de saída
- 4 GB ou 8 GB de RAM = dados de saída de 20 GB
- 16 GB de RAM = 40 GB de dados de saída
- 32 GB de RAM = 70 GB de dados de saída
A largura de banda de dados pode ser restrita quando esses níveis são excedidos.

Próximas etapas

Saiba mais sobre o controle de acesso baseado em função do PC na nuvem.