Partilhar via

Arquitetura do Windows 365

  • Artigo

O Windows 365 fornece um modelo de licença por usuário por mês hospedando PCs na nuvem em nome de clientes no Microsoft Azure. Nesse modelo, não há necessidade de considerar o armazenamento, a arquitetura da infraestrutura de computação nem os custos. A arquitetura do Windows 365 também permite que você use seus investimentos existentes em rede e segurança do Azure. Cada PC na Nuvem é provisionado de acordo com a configuração que você define na seção Windows 365 do centro de administração Microsoft Intune.

Conectividade da rede virtual

Cada PC na nuvem tem um adaptador de rede virtual no Microsoft Azure. Você tem duas opções de gerenciamento da NIC:

  • Se você usar Microsoft Entra ingressar e uma rede hospedada pela Microsoft, não precisará trazer uma assinatura do Azure ou gerenciar a NIC.
  • Se você trouxer sua própria rede e usar uma conexão de rede do Azure (ANC), as NICs serão criadas pelo Windows 365 em sua assinatura do Azure.

As NICs são anexados a uma Rede Virtual do Azure com base na configuração da conexão de rede do Azure (ANC).

O Windows 365 tem suporte em muitas regiões do Azure. Você pode controlar qual região do Azure é usada de duas maneiras:

  • Selecionando a rede hospedada pela Microsoft e uma região do Azure.
  • Selecionando uma rede virtual do Azure em sua assinatura do Azure ao criar uma ANC.

A região da rede virtual do Azure determina onde o PC na nuvem é criado e hospedado.

Ao usar sua própria rede virtual, você pode estender o acesso entre suas regiões atuais do Azure para outras regiões do Azure compatíveis com o Windows 365. Para estender a outras regiões, você pode usar o emparelhamento de rede virtual do Azure ou a WAN Virtual.

Usando sua própria rede virtual do Azure, o Windows 365 permite usar recursos de segurança e roteamento de Rede Virtual, incluindo:

Dica

Para filtragem da Web e proteção de rede em PCs na nuvem, considere o uso dos recursos de Proteção de Rede e Proteção da Web do Microsoft Defender para Ponto de Extremidade. Esses recursos podem ser implantados em pontos de extremidade físicos e virtuais usando o centro de administração Microsoft Intune.

Microsoft Intune integração

Microsoft Intune é usado para gerenciar todos os PCs de Nuvem. Microsoft Intune e componentes associados do Windows têm vários pontos de extremidade de rede que devem ser permitidos por meio do Rede Virtual. Os pontos de extremidade Apple e Android podem ser ignorados com segurança se você não usar Microsoft Intune para gerenciar esses tipos de dispositivo.

Dica

Certifique-se de permitir o acesso ao WNS (Windows Notification Services). Talvez você não note nenhum impacto imediatamente caso o acesso esteja bloqueado. No entanto, o WNS permite que Microsoft Intune acione ações em pontos de extremidade do Windows imediatamente, em vez de aguardar intervalos normais de sondagem de política nesses dispositivos ou sondagem de política no comportamento de inicialização/logon. O WNS recomenda a conectividade direta do cliente Windows ao WNS.

Você só precisa conceder acesso a um subconjunto de pontos de extremidade com base em seu Microsoft Intune local de locatário. Para localizar seu local de locatário (ou ASU (Unidade de Escala do Azure), entre no centro de administração Microsoft Intune, escolhaDetalhes do locatário de administração> do locatário. Em Localização do locatário, você verá algo semelhante a "América do Norte 0501" ou "Europa 0202". As linhas na documentação Microsoft Intune são diferenciadas por região geográfica. As regiões são indicadas pelas duas primeiras letras nos nomes (na = América do Norte, eu = Europa, ap = Pacífico Asiático). Já que os locatários podem ser realocados em uma região, é melhor permitir o acesso a uma região inteira em vez de um ponto de extremidade específico nessa região.

Para obter mais informações sobre Microsoft Intune regiões de serviço e informações de localização de dados, consulte Armazenamento de dados e processamento em Intune.

Serviços de identidade

Windows 365 usa Microsoft Entra ID e Active Directory local Domain Services (AD DS). Microsoft Entra ID fornece:

  • Autenticação de usuário do Windows 365 (como com qualquer outro serviço do Microsoft 365).
  • Serviços de identidade de dispositivo para Microsoft Intune por meio Microsoft Entra junção híbrida ou Microsoft Entra junção.

Ao configurar PCs de Nuvem para usar Microsoft Entra junção híbrida, o AD DS fornece:

  • Ingresso no domínio local para os PCs na Nuvem.
  • Autenticação do usuário para as conexões RDP (Protocolo de Área de Trabalho Remota).

Ao configurar computadores de nuvem para usar Microsoft Entra junção, Microsoft Entra ID fornece:

  • O mecanismo de ingresso no domínio para os PCs na Nuvem.
  • Autenticação do usuário para conexões RDP.

Para obter mais informações sobre como os serviços de identidade afetam a implantação, o gerenciamento e o uso de PCs na Nuvem, confira identidade e autenticação.

Microsoft Entra ID

Microsoft Entra ID fornece autenticação e autorização do usuário para o portal da Web Windows 365 e para os aplicativos cliente da Área de Trabalho Remota. Ambos dão suporte à autenticação moderna, o que significa que Microsoft Entra Acesso Condicional pode ser integrado para fornecer:

  • autenticação multifator
  • restrições baseadas na localização
  • gerenciamento de riscos de entrada
  • limites de sessão, incluindo:
    • frequência de entrada para clientes da Área de Trabalho Remota e para o portal da Web do Windows 365
    • persistência de cookie para o portal da Web do Windows 365
  • controles de conformidade do dispositivo

Para obter mais informações sobre como usar Microsoft Entra Acesso Condicional com Windows 365, consulte Definir políticas de acesso condicional.

Serviços de Domínio do Active Directory

Windows 365 PCs de Nuvem podem ser Microsoft Entra ingressados híbridos ou Microsoft Entra ingressados. Ao usar Microsoft Entra junção híbrida, os PCs de nuvem devem ingressar no domínio de um domínio do AD DS. Esse domínio deve ser sincronizado com Microsoft Entra ID. Os controladores de domínio podem ser hospedados no Azure ou localmente. Se forem hospedados localmente, a conectividade precisará ser estabelecida do Azure para o ambiente local. A conectividade pode estar na forma de Rota Expressa do Azure ou de uma VPN site a site. Para obter mais informações sobre como estabelecer conectividade de rede híbrida, confira Implementar uma rede híbrida segura. A conectividade precisa permitir a comunicação dos PCs na nuvem para os controladores de domínio exigidos pelo Active Directory. Para obter mais informações, confira Configurar o firewall para domínio e relações de confiança do AD.

Conectividade do usuário

A conectividade do PC na nuvem é fornecida pela Área de Trabalho Virtual do Azure. Nenhuma conexão de entrada direta da Internet é feita para o PC na nuvem. Em vez disso, as conexões são feitas de:

  • O PC na Nuvem para os pontos de extremidade da Área de Trabalho Virtual do Azure.
  • Os clientes da Área de Trabalho Remota para pontos de extremidade da Área de Trabalho Virtual do Azure.

Para obter mais informações sobre essas portas, confira a lista de URL necessária para a Área de Trabalho Virtual do Azure. Para facilitar a configuração de controles de segurança de rede, use Marcas de Serviço para a Área de Trabalho Virtual do Azure para identificar esses pontos de extremidade. Para obter mais informações sobre as Marcas de Serviço do Azure, consulte Visão geral das marcas de serviço do Azure.

Não é necessário configurar seus PCs na Nuvem para fazer essas conexões. O Windows 365 integra perfeitamente os componentes de conectividade de Área de Trabalho Virtual do Azure à galeria ou às imagens personalizadas.

Para obter mais informações sobre a arquitetura de rede da Área de Trabalho Virtual do Azure, confira Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure.

Os PCs na nuvem com o Windows 365 não suportam agentes de conexão de terceiros.

Arquitetura "hospedado em nome de"

A arquitetura "hospedado em nome de" permite que serviços da Microsoft, depois de receberem permissões apropriadas e com escopo correto para determinada rede virtual por um proprietário de assinatura, anexem os serviços do Azure hospedados a uma assinatura de cliente. Esse modelo de conectividade permite que um serviço da Microsoft forneça serviços licenciados para o usuário e de software como serviço, em vez dos serviços baseados em consumo padrão.

Os diagramas a seguir mostram a arquitetura lógica de uma configuração de junção Microsoft Entra usando uma rede hospedada da Microsoft, uma configuração de junção Microsoft Entra usando a conexão de rede de um cliente ("traga sua própria rede") e uma Microsoft Entra configuração de junção híbrida usando um ANC, respectivamente.

Captura de tela da arquitetura de junção Microsoft Entra com a rede hospedada da Microsoft

Captura de tela da arquitetura de junção Microsoft Entra com a rede BYO

Captura de tela da arquitetura de junção híbrida Microsoft Entra

Toda a conectividade de PC na nuvem é fornecida pelo adaptador de rede virtual. A arquitetura "hospedada em nome de" significa que os PCs na Nuvem existem na assinatura de propriedade da Microsoft. Portanto, a Microsoft incorre em custos para executar e gerenciar essa infraestrutura.

O Windows 365 gerencia a capacidade e a disponibilidade na região nas assinaturas do Windows 365. O Windows 365 determina o tamanho e o tipo de VM com base na licença que você atribui ao usuário. O Windows 365 determina a região do Azure para hospedar seus PCs na nuvem com base na rede virtual selecionada ao criar uma conexão de rede local.

O Windows 365 se alinha com Microsoft 365 de proteção de dados. Os dados do cliente nos serviços de nuvem empresarial da Microsoft são protegidos por várias tecnologias e processos:

  • Várias formas de criptografia.
  • Isolados logicamente de outros locatários.
  • Acessíveis para um conjunto limitado, controlado e protegido de usuários de clientes específicos.
  • Protegidos para acesso usando controles de acesso baseado em função.
  • Replicados em vários servidores, pontos de extremidade de armazenamento e data centers para redundância.
  • Monitorados para acesso não autorizado, consumo excessivo de recursos e disponibilidade.

Para obter mais informações sobre a criptografia do PC na nuvem do Windows 365, consulte Criptografia de dados no Windows 365.

Próximas etapas

Saiba mais sobre identidade e autenticação do Windows 365.