Параметры сетевого развертывания Windows 365
У вас есть два варианта сетевого развертывания службы Windows 365:
- Использование сети, размещенной в Майкрософт
- Рекомендуемый параметр.
- Идеально подходит для функций Программного обеспечения как услуги (SaaS) Windows 365, которые включают простоту, надежность и масштабируемость.
- Поддерживает модель удостоверений присоединения к Microsoft Entra.
- Не требуется подписка Azure или опыт.
- Использование сетевых подключений Azure (ANC)
- Поддерживает модели удостоверений гибридного присоединения к Microsoft Entra и Microsoft Entra.
Сеть, размещенная в Майкрософт
Это простой, надежный и масштабируемый вариант, предоставляющий возможность подключения к облачному компьютеру, где корпорация Майкрософт предоставляет службу в рамках настоящего подхода SaaS. При использовании этого параметра корпорация Майкрософт:
- Настраивает и полностью управляет инфраструктурой и связанными службами, необходимыми для предоставления пользователям функциональных облачных компьютеров.
- Управляет сетью, занимаемой облачными компьютерами.
- Предоставляет модель, согласованную с платформой "Никому не доверяй" среды конечных пользователей (EUC). Дополнительные сведения см. в статье Дополнительные сведения об облачных конечных точках.
Единственной ответственностью клиента является настройка облачных компьютеров и управление ими.
Корпорация Майкрософт рекомендует клиентам использовать этот параметр для развертывания Windows 365.
Вам не нужно создавать собственные подписки Azure, планировать, проектировать, развертывать инфраструктуру или управлять ею. Клиенты могут посвятить свою команду EUC сосредоточиться на управлении конфигурациями облачных компьютеров и безопасностью с помощью одной консоли управления, предоставляемой Intune.
Этот вариант аналогиен предоставлению сотруднику ноутбука для использования дома. Вы, как организация, не управляете сетью, в которую находится устройство. Вы полностью контролируете настройку, защиту и подключение устройства с Windows к локальной сети. В Windows 365 это управление возможно благодаря комплексной настройке адаптивных элементов управления безопасностью и конфигураций, согласованных с платформой "Никому не доверяй".
Например, пользователи могут пройти проверку подлинности с помощью адаптивных элементов управления условного доступа Microsoft Entra. Корпоративное подключение можно обеспечить с помощью VPN. Для обеспечения безопасности в Интернете можно использовать облачный защищенный веб-шлюз (SWG). Преимущество заключается в том, что устройства можно развертывать в большом масштабе в течение короткого периода времени, когда это необходимо для отказоустойчивой сети с высокой пропускной способностью.
Схема: параметр сети, размещенный в Майкрософт, — только присоединение к Microsoft Entra
На этой схеме показана сеть, размещенная корпорацией Майкрософт, с облачным компьютером и виртуальной сетевой картой в рамках подписки, управляемой корпорацией Майкрософт.
Преимущества параметра сети, размещенной в Майкрософт
- Подписка Azure не требуется. Корпорация Майкрософт предоставляет инфраструктуру, необходимую для работы облачного компьютера, и полностью управляет ею. Все, что вам нужно, — это необходимые лицензии.
- Нет дополнительных затрат на сетевую инфраструктуру. Затраты Azure на управление собственной виртуальной сетью (VNet) и виртуальными устройствами не применяются. Корпорация Майкрософт отвечает за сетевую инфраструктуру.
- Не требуется опыт работы или управление сетями Azure. Виртуальная сеть полностью управляется корпорацией Майкрософт.
- Низкая сложность и быстрое развертывание. Развертывание выполняется с низкой сложностью из-за минимальных зависимостей от элементов на стороне клиента.
- Выравнивание "Никому не доверяй". Модель "Никому не доверяй" для пользователя, конечной точки, рабочей нагрузки и сигналов данных используется для проверки, а не для применения доверия к сетевому расположению.
- Упрощение устранения неполадок и операций. Проще устранять и устранять проблемы с сетью, а также внедрять современное управление устройствами на основе политик Intune, элементов управления безопасностью и встроенных возможностей создания отчетов.
Рекомендации
Прежде чем использовать параметр сети, размещенной в Майкрософт, ознакомьтесь со следующими рекомендациями:
- Этот параметр несовместим с моделью гибридного присоединения Microsoft Entra. Это развертывание только в облаке без подключения к локальной инфраструктуре доменных служб Active Directory. Если у вас есть политики управления на основе объектов групповой политики, которые не могут быть преобразованы в Intune, этот параметр не подходит для вас.
- Нет контроля над виртуальной сетью. Виртуальный сетевой адаптер управляется корпорацией Майкрософт. Таким образом, все элементы управления сетью должны быть реализованы на самом облачном компьютере, аналогично физическим устройствам в сценарии работы из дома.
- Нет прямого доступа к локальным ресурсам. Для доступа к этим ресурсам требуется VPN-подключение или частное решение. При использовании VPN с облачным компьютером используйте раздельное туннелирование , чтобы убедиться, что трафик RDP не направляется через VPN.
- Требуется собственная облачная модель управления, например Intune.
- Порт 25 заблокирован.
- Ping/ICMP заблокирован.
- Обмен данными между облачными компьютерами в локальной сети блокируется.
- Прямое входящее подключение к облачным компьютерам невозможно.
- Администраторы не могут управлять диапазонами IP-адресов и (или) адресным пространством, назначенным облачным компьютерам. Windows 365 обрабатывает IP-адреса автоматически.
Параметр "Сетевое подключение Azure"
При развертывании сетевого подключения Azure (ANC) вы полностью отвечаете за виртуальную сеть и ее конфигурацию. Если вы используете модель гибридного присоединения Microsoft Entra, необходимо использовать этот параметр развертывания. Этот параметр обеспечивает прямой доступ к локальным ресурсам Azure Directory и позволяет настроить цели сети и безопасности, например:
- Маршруты трафика.
- Порты и протоколы.
- Подключение active Directory DS и бизнес-приложений.
- Подключения шлюза с помощью VPN или ExpressRoute.
- Адресное пространство, используемое облачными компьютерами.
- Разрешения на обмен данными между облачными компьютерами.
- Прямые подключения по протоколу RDP к облачным компьютерам.
Вы выбираете виртуальную сеть из подписки Azure. Вы настроите политики подготовки, которые создают облачные компьютеры в виртуальной сети. Вы будете управлять подключением к облачному компьютеру, включая любые прямые исходящие данные из виртуальной сети и требуемый путь доступа к Интернету.
Сетевое подключение Azure поддерживает две модели развертывания удостоверений:
- Присоединение к Microsoft Entra
- Гибридное соединение Microsoft Entra
Присоединение к Microsoft Entra
При использовании присоединения к Microsoft Entra не требуется создавать подключение из виртуальной сети к локальной сети. Необходимо просто убедиться, что к требуемым конечным точкам имеется исходящее подключение к Интернету. Однако может потребоваться добавить локальное подключение для доступа к ресурсам, расположенным на локальных файловых серверах и приложениях. Вы можете создать подключение с помощью ExpressRoute или VPN типа "сеть — сеть", но эти параметры представляют дополнительные затраты и сложность.
Для простоты при использовании присоединения к Microsoft Entra рекомендуется использовать ранее описанный параметр сети, размещенный в Майкрософт. В этом случае для доступа к корпоративным ресурсам можно использовать VPN-подключение или решение для частного доступа через Интернет.
Схема: параметр ANC — присоединение к Microsoft Entra
Гибридное соединение Microsoft Entra
При гибридном присоединении к Microsoft Entra требуется подключение к локальной сети из виртуальной сети. Единственный способ связаться с инфраструктурой контроллера домена, расположенной в ней, — использовать параметр развертывания ANC. Это соединение является критически важным компонентом, поэтому следует проявлять осторожность для обеспечения надежности и избыточности.
Схема: параметр ANC — гибридное соединение Microsoft Entra
Преимущества параметра ANC
- Полный контроль над виртуальной сетью. Сетевой адаптер облачного компьютера находится в вашей собственной управляемой виртуальной сети.
- Прямая прямая видимость к локальной инфраструктуре. Виртуальную сеть можно настроить с vpn-подключением типа "сеть — сеть" или ExpressRoute обратно к локальной сети для прямого подключения к инфраструктуре каталога Azure или службам и приложениям, которые находятся в ней.
- Облачный компьютер работает так же, как в локальном расположении. Расширение корпоративной сети в виртуальную сеть означает, что облачный компьютер может работать так, как если бы он находится в пределах корпоративной сети.
- Простой пиринг с другими виртуальными сетями. Простое перекрестное подключение между виртуальной сетью облачного компьютера и другими виртуальными сетями в Azure. Это поддерживает прямое подключение к другим ресурсам, размещенным в Azure, которые используются организацией.
Рекомендации
Прежде чем использовать вариант развертывания ANC, ознакомьтесь со следующими рекомендациями.
- Требуется подписка Azure. Виртуальная сеть, используемая в этом сценарии, находится в вашей подписке Azure. Поэтому у вас должна быть подписка Azure и необходимые лицензии.
- Затраты на исходящий трафик. Так как виртуальная сеть связана с вашей учетной записью Azure, все затраты на исходящий трафик связаны с вашей подпиской Azure.
- Дополнительные расходы на сетевую инфраструктуру. Затраты Azure на управление собственной виртуальной сетью применяются к подписке, связанной с этой виртуальной сетью.
- Требуется опыт работы с сетями Azure или управление. Необходимо предоставить опыт и управление для обслуживания виртуальной сети.
- Более высокая сложность. Необходимо управлять сетью и поддерживать ее, что является более сложной задачей, чем использование сети, размещенной в Майкрософт.
- Более длительное развертывание. Развертывание обычно дольше, чем при использовании параметра сети, размещенной в Майкрософт. Это дополнительное время вызвано большим количеством клиентских элементов, которые необходимо настроить в первую очередь.
- Более высокий риск. Развертывание ANC является более сложным, чем развертывание сети, размещенной в Майкрософт. Такая сложность повышает риск проблем с подключением.
Варианты одновременного использования
Параметры сети, размещенной в Майкрософт, и параметры ANC можно использовать одновременно. Например, можно использовать параметр ANC для подмножества развертываний с уникальными устаревшими требованиями. Для остальной части развертывания без этих требований можно использовать вариант сети, размещенной в Майкрософт.