Windows 365 варианты развертывания в сети

У вас есть два варианта сетевого развертывания службы Windows 365:

  • Использование сети, размещенной в Майкрософт
    • Рекомендуемый параметр.
    • Идеально подходит для Windows 365 функций SaaS (программное обеспечение как услуга) простоты, надежности и масштабируемости.
    • Поддерживает модель удостоверений Microsoft Entra присоединения.
    • Не требуется подписка Azure или опыт.
  • Использование сетевых подключений Azure (ANC)
    • Поддерживает модели удостоверений Microsoft Entra присоединения и Microsoft Entra гибридных подключений.

Сеть, размещенная в Майкрософт

Это простой, надежный и масштабируемый вариант, предоставляющий возможность подключения к облачному компьютеру, где корпорация Майкрософт предоставляет службу в рамках настоящего подхода SaaS. При использовании этого параметра корпорация Майкрософт:

  • Настраивает и полностью управляет инфраструктурой и связанными службами, необходимыми для предоставления пользователям функциональных облачных компьютеров.
  • Управляет сетью, занимаемой облачными компьютерами.
  • Предоставляет модель, согласованную с платформой "Никому не доверяй" среды конечных пользователей (EUC). Дополнительные сведения см. в статье Дополнительные сведения об облачных конечных точках.

Единственной ответственностью клиента является настройка облачных компьютеров и управление ими.

Корпорация Майкрософт рекомендует клиентам использовать этот параметр для развертывания Windows 365.

Вам не нужно создавать собственные подписки Azure, планировать, проектировать, развертывать инфраструктуру или управлять ею. Клиенты могут посвятить свою команду EUC сосредоточиться на управлении конфигурациями облачных компьютеров и безопасностью с помощью одного консоль управления, предоставляемого Intune.

Этот вариант аналогиен предоставлению сотруднику ноутбука для использования дома. Вы, как организация, не управляете сетью, в которую находится устройство. Вы полностью контролируете настройку, защиту и подключение устройства с Windows к локальной сети. Благодаря Windows 365 это управление возможно благодаря комплексным элементам управления безопасностью "Никому не доверяй", согласованным с адаптивными элементами управления безопасностью и конфигурациями.

Например, пользователи могут пройти проверку подлинности с помощью адаптивных элементов управления Microsoft Entra условного доступа. Корпоративное подключение можно обеспечить с помощью VPN. Для обеспечения безопасности в Интернете можно использовать облачный защищенный веб-шлюз (SWG). Преимущество заключается в том, что устройства можно развертывать в большом масштабе в течение короткого периода времени, когда это необходимо для отказоустойчивой сети с высокой пропускной способностью.

Схема: параметр сети, размещенный в Майкрософт, — только Microsoft Entra присоединение

На этой схеме показана сеть, размещенная корпорацией Майкрософт, с облачным компьютером и виртуальной сетью, карта в рамках подписки, управляемой корпорацией Майкрософт.

Схема параметра сети, размещенного в Майкрософт

Преимущества параметра сети, размещенной в Майкрософт

  • Подписка Azure не требуется. Корпорация Майкрософт предоставляет инфраструктуру, необходимую для работы облачного компьютера, и полностью управляет ею. Все, что вам нужно, — это необходимые лицензии.
  • Нет дополнительных затрат на сетевую инфраструктуру. Затраты Azure на управление собственной виртуальной сетью (VNet) и виртуальными устройствами не применяются. Корпорация Майкрософт отвечает за сетевую инфраструктуру.
  • Не требуется опыт работы или управление сетями Azure. Виртуальная сеть полностью управляется корпорацией Майкрософт.
  • Низкая сложность и быстрое развертывание. Развертывание выполняется с низкой сложностью из-за минимальных зависимостей от элементов на стороне клиента.
  • Выравнивание "Никому не доверяй". Модель "Никому не доверяй" для пользователя, конечной точки, рабочей нагрузки и сигналов данных используется для проверки, а не для применения доверия к сетевому расположению.
  • Упрощение устранения неполадок и операций. Проще устранять и устранять проблемы с сетью, а также внедрять современное управление устройствами на основе политик Intune, элементов управления безопасностью и встроенных возможностей создания отчетов.

Рекомендации

Прежде чем использовать параметр сети, размещенной в Майкрософт, ознакомьтесь со следующими рекомендациями:

  • Этот параметр несовместим с моделью гибридного соединения Microsoft Entra. Это развертывание только в облаке без подключения к локальная служба Active Directory Доменные службы инфраструктуре. Если у вас есть групповая политика политики управления на основе объектов, которые невозможно преобразовать в Intune, то этот вариант не подходит для вас.
  • Нет контроля над виртуальной сетью. Виртуальный сетевой адаптер управляется корпорацией Майкрософт. Таким образом, все элементы управления сетью должны быть реализованы на самом облачном компьютере, аналогично физическим устройствам в сценарии работы из дома.
  • Нет прямого доступа к локальным ресурсам. Для доступа к этим ресурсам требуется VPN-подключение или частное решение. При использовании VPN с облачным компьютером используйте раздельное туннелирование , чтобы убедиться, что трафик RDP не направляется через VPN.
  • Требуется собственная облачная модель управления, например Intune.
  • Порт 25 заблокирован.
  • Ping/ICMP заблокирован.
  • Обмен данными между облачными компьютерами в локальной сети блокируется.
  • Прямое входящее подключение к облачным компьютерам невозможно.
  • Администраторы не могут управлять диапазонами IP-адресов и (или) адресным пространством, назначенным облачным компьютерам. Windows 365 автоматически обрабатывает IP-адреса.

Параметр "Сетевое подключение Azure"

При развертывании сетевого подключения Azure (ANC) вы полностью отвечаете за виртуальную сеть и ее конфигурацию. Если вы используете модель гибридного присоединения Microsoft Entra, необходимо использовать этот параметр развертывания. Этот параметр обеспечивает прямой доступ к локальным ресурсам Azure Directory и позволяет настроить цели сети и безопасности, например:

  • Маршруты трафика.
  • Порты и протоколы.
  • Подключение active Directory DS и бизнес-приложений.
  • Подключения шлюза с помощью VPN или ExpressRoute.
  • Адресное пространство, используемое облачными компьютерами.
  • Разрешения на обмен данными между облачными компьютерами.
  • Прямые подключения по протоколу RDP к облачным компьютерам.

Вы выбираете виртуальную сеть из подписки Azure. Вы настроите политики подготовки, которые создают облачные компьютеры в виртуальной сети. Вы будете управлять подключением к облачному компьютеру, включая любые прямые исходящие данные из виртуальной сети и требуемый путь доступа к Интернету.

Сетевое подключение Azure поддерживает две модели развертывания удостоверений:

  • Microsoft Entra присоединение
  • Microsoft Entra гибридное соединение

Microsoft Entra присоединение

При использовании Microsoft Entra присоединения не требуется создавать подключение из виртуальной сети к локальной сети. Необходимо просто убедиться, что к требуемым конечным точкам имеется исходящее подключение к Интернету. Однако может потребоваться добавить локальное подключение для доступа к ресурсам, расположенным на локальных файловых серверах и приложениях. Вы можете создать подключение с помощью ExpressRoute или VPN типа "сеть — сеть", но эти параметры представляют дополнительные затраты и сложность.

Для простоты при использовании Microsoft Entra присоединения рекомендуется использовать ранее описанный параметр сети, размещенный в Майкрософт. В этом случае для доступа к корпоративным ресурсам можно использовать VPN-подключение или решение для частного доступа через Интернет.

Схема: параметр ANC — Microsoft Entra соединение

Схема варианта присоединения Microsoft Entra ANC

Microsoft Entra гибридное соединение

При Microsoft Entra гибридного присоединения требуется подключение к локальной сети из виртуальной сети. Единственный способ связаться с инфраструктурой контроллера домена, расположенной в ней, — использовать параметр развертывания ANC. Это соединение является критически важным компонентом, поэтому следует проявлять осторожность для обеспечения надежности и избыточности.

Схема: параметр ANC — Microsoft Entra гибридное соединение

Схема варианта гибридного соединения MICROSOFT ENTRA ANC

Преимущества параметра ANC

  • Полный контроль над виртуальной сетью. Сетевой адаптер облачного компьютера находится в вашей собственной управляемой виртуальной сети.
  • Прямая прямая видимость к локальной инфраструктуре. Виртуальную сеть можно настроить с vpn-подключением типа "сеть — сеть" или ExpressRoute обратно к локальной сети для прямого подключения к инфраструктуре каталога Azure или службам и приложениям, которые находятся в ней.
  • Облачный компьютер работает так же, как в локальном расположении. Расширение корпоративной сети в виртуальную сеть означает, что облачный компьютер может работать так, как если бы он находится в пределах корпоративной сети.
  • Простой пиринг с другими виртуальными сетями. Простое перекрестное подключение между виртуальной сетью облачного компьютера и другими виртуальными сетями в Azure. Это поддерживает прямое подключение к другим ресурсам, размещенным в Azure, которые используются организацией.

Рекомендации

Прежде чем использовать вариант развертывания ANC, ознакомьтесь со следующими рекомендациями.

  • Требуется подписка Azure. Виртуальная сеть, используемая в этом сценарии, находится в вашей подписке Azure. Поэтому у вас должна быть подписка Azure и необходимые лицензии.
  • Затраты на исходящий трафик. Так как виртуальная сеть связана с вашей учетной записью Azure, все затраты на исходящий трафик связаны с вашей подпиской Azure.
  • Дополнительные расходы на сетевую инфраструктуру. Затраты Azure на управление собственной виртуальной сетью применяются к подписке, связанной с этой виртуальной сетью.
  • Требуется опыт работы с сетями Azure или управление. Необходимо предоставить опыт и управление для обслуживания виртуальной сети.
  • Более высокая сложность. Необходимо управлять сетью и поддерживать ее, что является более сложной задачей, чем использование сети, размещенной в Майкрософт.
  • Более длительное развертывание. Развертывание обычно дольше, чем при использовании параметра сети, размещенной в Майкрософт. Это дополнительное время вызвано большим количеством клиентских элементов, которые необходимо настроить в первую очередь.
  • Более высокий риск. Развертывание ANC является более сложным, чем развертывание сети, размещенной в Майкрософт. Такая сложность повышает риск проблем с подключением.

Варианты одновременного использования

Параметры сети, размещенной в Майкрософт, и параметры ANC можно использовать одновременно. Например, можно использовать параметр ANC для подмножества развертываний с уникальными устаревшими требованиями. Для остальной части развертывания без этих требований можно использовать вариант сети, размещенной в Майкрософт.

Дальнейшие действия

Дополнительные сведения о процессе развертывания.