Redigera

Dela via

Windows 365 Azure-nätverksanslutning

Azure ExpressRoute
Azure Virtual Desktop
Azure Virtual Machines
Azure Virtual Network

Windows 365 är en molnbaserad tjänst som du kan använda för att leverera mycket optimerade och anpassade Windows-datorinstanser som kallas molndatorer som är specialbyggda för varje användares krav. Molndatorer använder en kombination av följande tjänster:

  • Intune för att anpassa, skydda och hantera molndatorer
  • Entra-ID för identitets- och åtkomstkontroll
  • Azure Virtual Desktop för fjärranslutning

En molndator är en mycket tillgänglig, optimerad och personlig datorinstans som ger dig en omfattande Windows-skrivbordsmiljö. Den finns i Windows 365-tjänsten och är tillgänglig var som helst, på valfri enhet.

Modellen för delat ansvar i Windows 365

Windows 365 är en SaaS-lösning (programvara som en tjänst). Microsoft hanterar vissa komponenter i Windows 365-tjänster och du hanterar andra komponenter. Hur mycket ansvar du har beror på vilket arkitekturmönster du väljer för distributionen. Ansvaret för att hantera Windows 365 är uppdelat i tre delar:

  • Distribution: Planera och distribuera komponenterna i tjänsten.
  • Livscykel: Hantering av komponenten under hela livscykeln, till exempel korrigering och skydd.
  • Konfiguration: Konfigurera komponenten så att den tillämpar inställningarna efter behov för ett scenario.

Följande diagram visar ansvarsmatrisen för en Windows 365-distribution med hjälp av det rekommenderade Microsoft-värdbaserade nätverket, Microsoft Entra-anslutning och galleribilder med Windows Autopatch. Med den här konfigurationen behöver du inte hantera många komponenter och livscykelsteg. Den här konfigurationen innebär de fördelar som anges i Rekommenderade arkitekturmönster.

Kommentar

Följande diagram representerar ansvarsområdena ur infrastrukturperspektivet, till exempel att konfigurera maskinvaran och nätverket och underhålla dem. Den innehåller inte prenumerationskonfigurationen för Windows 365- eller Intune-klientorganisationen.

Ett diagram över ansvarsmatrisen som visar en distribution som använder det Microsoft-värdbaserade nätverket.Ladda ned en PowerPoint-fil med den här arkitekturen.

Följande diagram visar en typisk Windows 365-distribution som använder en Azure-nätverksanslutning och visar de komponenter som Microsoft hanterar och de komponenter som du hanterar under livscykelstegen för en molndator.

Ett diagram över ansvarsmatrisen som visar en distribution med hjälp av en Azure-nätverksanslutning.Ladda ned en PowerPoint-fil med den här arkitekturen.

Microsoft rekommenderar att du distribuerar Windows 365 med följande komponenter för att få en SaaS-upplevelse, så att du kan ha maximala fördelar med tjänsten:

  • Microsoft Entra-anslutning
  • Ett Microsoft-värdbaserat nätverk
  • Galleribilder
  • Intune-baserad MDM-tjänst (hantering av mobila enheter) med app- och OS-konfiguration
  • En Windows 365 aplikacija för åtkomst till Cloud PC

Ett diagram över ett arkitekturmönster som visar fördelarna med Windows 365-tjänsten.Ladda ned en PowerPoint-fil med den här arkitekturen.

Med det föregående arkitekturmönstret kan du få ut mesta möjliga av Windows 365-tjänsten och ger följande fördelar:

  • Förenklad och snabbare distribution
  • Minimala till noll beroenden
  • Fullständigt stöd för Nulta pouzdanost ramverk
  • Förenklade felsökningsflöden
  • Felsökning av självbetjäningsanvändare
  • Låg omkostnad och hantering
  • Högsta mognadsmodell för programvaru- och programleverans

Windows 365-tjänstarkitekturen

Följande diagram är en representation av alla komponenter som ingår i Windows 365-tjänsten. Den här arkitekturen använder Intune och Microsoft Entra ID, som är grundläggande krav för Windows 365. Det finns även valfria komponenter som Azure Virtual Network.

Ett diagram över alternativen för Azure-nätverksanslutning och Microsoft Hosted Network.Ladda ned en Visio-fil med den här arkitekturen.

I föregående diagram visas alternativ för Azure-nätverksanslutning och Microsoft-värdbaserat nätverk. De är ömsesidigt uteslutande arkitekturalternativ. I följande avsnitt beskrivs alternativen för Azure-nätverksanslutning.

Virtuellt skrivbord

Virtual Desktop är en Azure-baserad VDI-lösning (Virtual Desktop Infrastructure). Microsoft hanterar Virtual Desktop. Den tillhandahåller en PaaS-lösning (plattform som en tjänst). Windows 365 använder de nätverkshanteringskomponenter som krävs för att du ska kunna ansluta till deras molndatorer. Komponenterna omfattar virtual desktop-gatewaytjänsten, en anslutningsutjämningstjänst och en webbklienttjänst. Dessa tjänster möjliggör sömlös anslutning till Windows 365 Računar u oblaku.

Mer information finns i Azure Virtual Desktop för företaget.

Ett diagram över Windows Virtual Desktop Control Plane-komponenter.Ladda ned en Visio-fil med den här arkitekturen.

Kommentar

Windows 365 använder komponenterna "Windows Virtual Desktop Control Plane" i föregående diagram för att underlätta anslutningar mellan användare och molndatorer och ärver därför de flesta anslutningsrelaterade funktioner i Azure Virtual Desktop. Att bekanta sig med hur Virtual Desktop-nätverk fungerar blir sedan viktigt för att utforma Azure-nätverksanslutningsarkitekturen som beskrivs i det här dokumentet.

Microsoft Intune

Intune är en molnbaserad lösning för slutpunktshantering som gör att du kan visa och använda rapporter och hantera:

  • Appleverans
  • Windows-uppdateringar
  • Enhetshanteringskonfigurationer
  • Säkerhetsprinciper

Intune förenklar app- och enhetshantering på många enheter, inklusive mobila enheter, stationära datorer och virtuella slutpunkter.

Du kan skydda åtkomst och data på organisationsägda och personliga enheter. Intune har även efterlevnads- och rapporteringsfunktioner som stöder Nulta pouzdanost säkerhetsmodell. Mer information finns i Skapa en enhetskonfigurationsprofil.

Arkitekturmönster

Ett arkitekturmönster beskriver komponenter och illustrerar de konfigurationer som en tjänst eller produkt distribueras med. Mer information finns i Värdhanterad för arkitekturens räkning.

Se följande mönster för Azure-nätverksanslutning:

Azure-nätverksanslutning med Microsoft Entra-anslutning – I det här mönstret använder Microsoft Entra-anslutna molndatorer Azure-nätverksanslutning för att ansluta till resurser i lokala miljöer, till exempel verksamhetsspecifika program (LOB), filresurser och andra program som inte behöver Kerberos- eller Windows New Technology LAN Manager-autentisering (NTLM).

Azure-nätverksanslutning med Microsoft Entra-hybridanslutning – I det här mönstret använder Microsoft Entra hybridanslutna molndatorer Azure-nätverksanslutning till domänanslutning med en lokal Microsoft Entra ID-domänkontrollant. Cloud PC autentiserar med den lokala domänkontrollanten när användare får åtkomst till Cloud PC, lokala appar eller molnappar som behöver Kerberos- eller NTLM-autentisering.

Arkitekturmönster för Azure-nätverksanslutning

För vissa mönster ansluter Windows 365-tjänsten till lokala miljöer via virtuellt nätverk med hjälp av Azure ExpressRoute eller ett plats-till-plats-VPN. Den här anslutningsmetoden representeras av Azure-nätverksanslutningen, som är ett Intune-objekt. Med den här anslutningen kan molndatorerna ansluta till lokala resurser som Active Directory eller LOB-appar.

Den här nätverksanslutningen, som representeras av Azure-nätverksanslutningen, används av Windows 365-tjänsten under Etablering av molndatorer för lokal Microsoft Entra-domänanslutning, hälsokontroller för etableringsberedskap för molndatorer.

Följande tabeller visar beroenden för Azure-nätverksanslutning. Windows 365 kör automatiska hälsokontroller av dessa beroenden.

Dependency Microsoft Entra Connect – kontrollerar om Microsoft Entra Connect har konfigurerats och slutförts.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Konfigurera synkroniseringsintervallet för Microsoft Entra Connect med standardvärdet eller det lägsta värdet. Längre synkroniseringsintervall ökar risken för att etableringen av molndatorer misslyckas i produktionen på grund av en tidsgräns. Mer information finns i Microsoft Entra hybridanslutning misslyckas.
– Konfigurera Active Directory-domänkontrollantreplikering från en server i samma datacenter som Windows 365 Azure-nätverksanslutningen för att ge snabbare replikering.
– Konfigurera Microsoft Entra ID-domänkontrollantreplikering med ett standardvärde.
Dependency Beredskap för Azure-klientorganisation – Kontrollerar om Azure-prenumerationen är aktiverad, utan blockeringsbegränsningar och är redo att användas.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Använd ett konto med rätt behörighet för att hantera Azure-, Intune- och Windows 365-prenumerationerna. Mer information finns i Rollbaserad åtkomstkontroll (RBAC).
– Inaktivera eller ändra alla Azure-principer som förhindrar att molndatorer skapas. Mer information finns i Begränsa tillåtna VM-SKU:er.
– Kontrollera att prenumerationen har tillräckliga resurskvoter för nätverk och allmänna gränser baserat på det maximala antalet molndatorer som ska skapas. Exempel är nätverksgatewayens storlek, IP-adressutrymme, storleken på det virtuella nätverket och den bandbredd som krävs. Mer information finns i Nätverksgränser och Allmänna gränser.
Dependency Beredskap för virtuella Azure-nätverk – kontrollerar om det virtuella nätverket finns i en Windows 365-region som stöds.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Skapa det virtuella nätverket i en Azure-region som stöds av Windows 365 för etablering av molndatorer.
– Skapa minst ett undernät, utöver standardundernätet, för att distribuera de virtuella nätverksadaptererna för Cloud PC.
– Skapa om möjligt delade nätverkstjänster, till exempel Azure Firewall, VPN-gatewayer eller ExpressRoute-gatewayer, i ett separat virtuellt nätverk för att möjliggöra routningskontroller och distributionsutökning.
I virtuella nätverk tillämpar du nätverkssäkerhetsgrupper (NSG) med lämpliga undantag för att tillåta nödvändiga URL:er för Windows 365-tjänsten. Mer information finns i Nätverkskrav och Nätverkssäkerhetsgrupper.
Dependency Ip-adressanvändning i Azure-undernätet – Kontrollerar om det finns tillräckligt med tillgängliga IP-adresser.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Skapa det virtuella nätverket med tillräckligt med IP-adresser för att hantera skapande av molndatorer och tillfällig IP-adressreservation under ometablering. Vi rekommenderar att du använder ett IP-adressutrymme som är 1,5 till 2 gånger det högsta antalet molndatorer som du distribuerar för molnet. Mer information finns i Allmänna nätverkskrav.
– Behandla det virtuella Azure-nätverket som ett logiskt tillägg för ditt lokala nätverk och tilldela unikt IP-adressutrymme i alla dina nätverk för att undvika routningskonflikter.
Dependency Slutpunktsanslutning – kontrollerar om de externa URL:er som behövs för etableringen av molndatorer kan nås från det virtuella nätverket.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Tillåt alla URL:er som behövs för etablering av molndatorer via det virtuella Azure-nätverket. Mer information finns i Tillåt nätverksanslutning.
– Använd Azure Firewall för att dra nytta av taggarna Windows 365, Azure Virtual Desktop och Intune FQDN för att skapa programregler och tillåta URL:er som behövs för Windows 365 Računar u oblaku etablering. Mer information finns i Använda Azure Firewall för att hantera och skydda Windows 365-miljöer.
– Kringgå eller exkludera RDP-trafik (Remote Desktop Protocol) från alla nätverksinspektioner, proxykörningar eller manipulationsenheter för att undvika problem med svarstid och routning. Mer information finns i Tekniker för trafikavlyssning.
– Från slutanvändarens enhet och nätverkssida tillåter du URL:er och portar för Windows 365-tjänsten för proxy- och nätverksinspektioner.
– Tillåt azure-interna IP-adresser 168.63.129.16 och 169.254.169.254, eftersom dessa IP-adresser används för kommunikation med Azure-plattformstjänster som metadata eller pulsslag. Mer information finns i Vad är IP-adress 168.63.129.16?, Azure Instance Metadata Service och Vanliga frågor och svar om virtuella nätverk.
Dependency Intune-registrering – Kontrollerar om Intune tillåter Windows-registrering.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Se till att registreringsbegränsningar för Intune-enhetstyp har angetts för att tillåta MDM-plattformen (Hantering av mobila enheter) i Windows för företagsregistrering.
– Konfigurera enheter automatiskt för Microsoft Entra-hybridanslutning genom att konfigurera tjänstanslutningspunkten (SCP) för varje domän i Microsoft Entra Connect eller med hjälp av den riktade distributionsmodellen. Mer information finns i Konfigurera Microsoft hybridanslutning och Microsoft Entra hybridanslutning riktad distribution.
Dependency Appbehörigheter från första part – Kontrollerar Windows 365 aplikacija efter behörigheter för kundens Azure-prenumeration, resursgrupp och virtuella nätverksnivåer.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Se till att kontot som används för att konfigurera Azure-nätverksanslutningen har läsbehörighet för Den Azure-prenumeration där det virtuella Azure-nätverket skapas.
– Kontrollera i Azure-prenumerationen att det inte finns några principer som blockerar behörigheter för windows 365-appen från första part. Appen måste ha behörigheter på prenumerations-, resursgrupps- och virtuell nätverksnivå. Mer information finns i Azure-krav.
Dependency Språkpaket för lokalisering – kontrollerar om nedladdningsplatserna för språkpaketet kan nås.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Se till att url:erna som behövs för rätt version av Windows-avbildningar tillåts via brandväggsregler som används i det virtuella Azure-nätverket. Mer information finns i Tillhandahålla en lokaliserad Windows-upplevelse.
Dependency RDP Shortpath – kontrollerar om UDP-konfigurationerna (User Datagram Protocol) finns på plats för att ansluta.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Aktivera RDP Shortpath for Cloud PC-åtkomst för att dra nytta av UDP:s motståndskraft. Mer information finns i Använda RDP Shortpath för offentliga nätverk med Windows 365 och Använd RDP Shortpath för privata nätverk med Windows 365.
Dependency Intune-licens – kontrollerar om klientorganisationen har lämpliga Intune-licenser för att använda Windows.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Se till att Intune-licenser tilldelas dig i enlighet med licenskraven.
Dependency Kontroll av enkel inloggning (SSO) – Kontrollerar om Kerberos-serverobjektet har skapats i Active Directory och synkroniserats med Microsoft Entra-ID.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Se till att alternativet enkel inloggning har valts i etableringsprincipen. Med det här alternativet kan du ansluta till principens molndator genom att använda inloggningsuppgifter från en Intune-hanterad fysisk enhet som är domänansluten eller Microsoft Entra-ansluten. Mer information finns i Fortsätt att skapa etableringsprinciper.
Dependency DNS-namnmatchning – Kontrollerar om DNS i Azure-nätverksanslutningen kan matcha lokalni Active Directory domän.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Kontrollera att det virtuella Azure-nätverket har konfigurerats med namnmatchningen för en lokal Microsoft Entra-domän med hjälp av en anpassad DNS, en privat DNS eller en privat matchare. Mer information finns i Vad är Azure DNS?
– Se till att DNS-servrarna som konfigurerats i det virtuella nätverket finns i samma geografiska område och har möjlighet att registrera nyligen etablerade molndatorer utan fördröjningar. Undvik DNS-hänvisningar eller omdirigeringar för att förhindra spridningsfördröjningar, vilket kan leda till etableringsfördröjningar eller fel.
Dependency Microsoft Entra-domänanslutning – Kontrollerar att autentiseringsuppgifterna för Microsoft Entra-domänanslutning är giltiga och att molndatorer kan vara domänanslutna.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Se till att kontot som tillhandahålls för Microsoft Entra-domänanslutningen har behörigheter för den Microsoft Entra-organisationsenhet som anges i Konfiguration av Azure-nätverksanslutning.
– Kontrollera att det angivna kontot inte är ett standardanvändarkonto med en begränsning för domänanslutning. Mer information finns i Standardgräns för antal arbetsstationer som en användare kan ansluta till domänen.
– Kontrollera att det angivna kontot är synkroniserat med Microsoft Entra-ID.
– Kontrollera att organisationsenheten som anges i Azure-nätverksanslutningen inte har några objektgränser. Mer information finns i Öka gränsen för datorkonto i organisationsenheten.

Mer information finns i Hälsokontroller för Azure-nätverksanslutningar i Windows 365.

Byggblocksrekommendationer för Azure-nätverksanslutningar

Det här avsnittet innehåller detaljerad information om byggstenar i arkitekturmönstret för Windows 365 Azure-nätverksanslutning.

Azure-prenumeration

Windows 365-användning i ett azure-nätverksanslutningsarkitekturmönster omfattar två typer av Azure-prenumerationer, en Microsoft-prenumeration och en kundprenumeration

Windows 365 använder hosted för modellens räkning för att leverera tjänster till Windows 365-kunder. I den här modellen etableras och körs molndatorn i Azure-prenumerationer som ägs av Microsoft, medan nätverkskortet för molndatorn etableras i en kunds Azure-prenumeration. Följande diagram visar två arkitekturmönster för Azure-nätverksanslutning. Kunder använder en egen Azure-prenumeration och ett virtuellt nätverk.

Ett diagram över arkitekturmönstret med hjälp av Microsoft Entra-kopplingsidentiteten.Ladda ned en Visio-fil med den här arkitekturen.

Det tidigare arkitekturmönstret använder Microsoft Entra-kopplingsidentiteten för att hantera molndatorn.

Ett diagram över arkitekturmönstret med hjälp av Microsoft Entra-hybridanslutningsidentiteten.Ladda ned en Visio-fil med den här arkitekturen.

Det tidigare arkitekturmönstret använder Microsoft Entra hybridanslutningsidentitet för att hantera molndatorn och kräver en nätverkskommunikation med Usluge domena aktivnog direktorijuma domänkontrollanter (AD DS) i lokala miljöer.

Komponent Azure-prenumeration – Azure-prenumeration som är värd för det virtuella nätverk som används för att tillhandahålla anslutning för en molndator till en lokal miljö och Internet.
Arkitekturmönster Azure-nätverksanslutning för Microsoft Entra-anslutning, Azure-nätverksanslutning för Microsoft Entra-hybridanslutning
Rekommendationer – Skapa eller använda en prenumeration som har ett virtuellt nätverk och ExpressRoute- eller VPN-gatewayer för att tillhandahålla en anslutning tillbaka till en lokal miljö.
– Skapa en dedikerad resursgrupp för en molndator för att ge behörighet och resurshantering.
– Undanta Cloud PC-resursgrupper och virtuella nätverk från Azure-principer som förhindrar automatisk skapande och borttagning av virtuella nätverkskortobjekt (vNIC) och TILLDELNING eller lansering av IP-adresser. Mer information finns i Lås dina resurser för att skydda din infrastruktur och Dina Azure-krav.
– Skapa dedikerade virtuella nätverk för bättre ip-adresshantering och routningskontroller.

Virtuellt nätverk och hybridanslutning

Windows 365 Azure-nätverksanslutningsbaserade arkitekturmönster kräver ett eller flera virtuella Azure-nätverk. De virtuella nätverken tillhandahåller anslutning till lokala miljöer och via Internet för etablering av en molndator. Molndatorns virtuella nätverkskort etableras i det virtuella Azure-nätverket för den kundägda prenumerationen enligt beskrivningen i avsnittet Azure-prenumeration .

Azure-nätverk kan distribueras med varierande designsynfistikering, baserat på befintliga lokala nätverk eller Azure-nätverk. Information om hur du kommer igång med en grundläggande hybridnätverksdesign finns i Implementera ett säkert hybridnätverk.

Tänk på följande när du utformar en arkitektur för virtuella Azure-nätverk:

  • IP-adressutrymme: Storleken på IP-adressutrymmet beror på antalet molndatorer som ska stödjas. Planera för minst 1,5 gånger det maximala antalet molndatorer som distribueras. Det ytterligare IP-adresskontot för IP-adresser som används vid etablering och avetablering av molndatorer.

  • Namnmatchning: DEN DNS-process som används av molndatorn för att matcha det lokala domännamnet i en Microsoft Entra-hybridanslutningsdistribution eller för att lösa Internetresurser eller Azure-resurser i en Distributionsmodell för Microsoft Entra-anslutning.

    • Om du vill använda din befintliga lokala DNS-infrastruktur konfigurerar du IP-adresserna för en eller flera DNS-servrar för namnmatchning. Mer information finns i DNS-krav.
    • Kontrollera att DNS-serverns IP-adress som används i det virtuella Azure-nätverket tillhör samma geografiska område som molndatorn och att den inte omdirigerar DNS-registreringsbegäranden till en annan region. Annars resulterar det i fördröjda eller misslyckade distributioner och hälsokontroller av Azure-nätverksanslutningar.
    • För Azure DNS-baserad namnmatchning använder du alternativet offentlig eller privat Azure DNS eller den privata matcharen. Mer information finns i Dokumentation om Azure DNS.

  • Nätverkstopologi: Azure-nätverk stöder topologier för olika användningsfall.

    • Topologi med nav-eker med peering för virtuella nätverk: Den här topologin är det enklaste sättet att tillhandahålla en isolering av tjänster med sina egna virtuella eker- och hubbnätverk. Delade tjänster omfattar Azure Firewall och nätverksgatewayer. Välj den här topologin om du har en enkel design med en enda plats för att distribuera en molndator i ett eller flera virtuella ekernätverk. Mer information finns i nätverkstopologin Hub-and-spoke.
    • Topologi med Hub-spoke med Azure Virtual WAN: Virtual WAN är en Azure-nätverkstjänst som sammanför nätverks-, säkerhets- och hanteringsfunktioner som möjliggör komplexa nätverkskrav. Använd den här topologin för distributioner med flera platser i flera regioner med specifika brandväggs- och routningskrav. Mer information finns i Nätverkstopologin Hub-spoke med Virtual WAN.

  • Nätverksgateway: Azure-nätverksgatewayer ger anslutning från ett virtuellt nätverk till ett lokalt nätverk. Det finns VPN- och ExpressRoute-nätverksgatewayer. Se till att de maximala bandbreddskraven för en molndator beaktas innan du beslutar om ExpressRoute- eller VPN-anslutningsmetoden. Både VPN- och ExpressRoute-gatewayer erbjuds på nivåer, eller SKU:er, som skiljer sig åt i mängden bandbredd som tillhandahålls och andra mått. Mer information finns i Utöka ett lokalt nätverk med ExpressRoute och Ansluta ett lokalt nätverk till Azure med Hjälp av ExpressRoute.

Routningskonfigurationer

Windows 365 Azure-nätverksanslutningstjänsten använder automatiserade hälsokontroller för att fastställa hälsotillståndet och beredskapen för kundens miljö för att etablera Microsoft Entra-anslutning eller Microsoft Entra-hybridanslutning av molndatorer i en Azure-nätverksanslutningsbaserad arkitektur. Utan rätt routningskonfigurationer i ditt virtuella Azure-nätverk och associerade nätverkstjänster finns det stor sannolikhet för fel eller fördröjningar i din Cloud PC-distribution. Överväg följande rekommendationer för att optimera routning för Windows 365-nätverksarkitekturen:

  • Tillåtlista nödvändiga URL:er: Varje molndator som distribueras i Microsoft Entra-hybridanslutning och Microsoft Entra-anslutningsmodell för Azure-nätverksanslutning kräver att flera URL:er tillåts via operativsystemets antivirusprogram, nätverksbrandväggar och lastbalanserare. Kontrollera att alla URL:er är tillåtna. Mer information finns i Tillåt nätverksanslutning.

  • Använd Azure FQDN-taggar: När du använder Azure Firewall-tjänsten använder du Azure FQDN-taggar för att tillåta nödvändiga URL:er för Azure Virtual Desktop, Windows 365 och Intune. Mer information finns i Använda Azure Firewall för att hantera och skydda Windows 365-miljöer.

  • Aktivera direktströmning: Windows 365 använder RDP-protokollet, som är känsligt för svarstid som introduceras av trafikkontrollenheter, till exempel en brandvägg eller en SSL-dekrypteringsenhet. Sådana svarstider kan leda till en dålig upplevelse, så inaktivera trafikkontroll av dessa URL:er och i stället aktivera genomströmning. Mer information finns i Tekniker för trafikavlyssning.

  • Kringgå proxy: Molntjänster och traditionella proxytjänster, även om de är lämpliga för internetåtkomst, introducerar svarstid i RDP-anslutningar. Den här svarstiden inträffar när anslutningen från slutanvändarens fysiska enhet eller från molndatorn tvingas via en proxy och resulterar i frekventa frånkopplingar, fördröjningar och långsamma svarstider. Ange IP-intervall för *.wvd.microsoft.com och Windows 365-gateway för att kringgå proxytjänster på användarens fysiska enhet, nätverket som den fysiska enheten är ansluten till och i molndatorn.

Mer information finns i Optimera RDP-anslutning för Windows 365.

  • Kortaste sökvägsroutning: Se till att RDP-trafik från en molndator når tjänstslutpunkterna för Virtual Desktop via den kortaste sökvägen. Den idealiska sökvägen är från ett virtuellt nätverk, direkt till IP-adressen för Virtual Desktop-gatewayen via Internet. Se också till att RDP-trafik från slutanvändarens fysiska enhet når IP-adressen för Virtual Desktop-gatewayen direkt. Den här konfigurationen säkerställer optimal routning och försämrar inte användarupplevelsen. Undvik att dirigera RDP-trafik till Internet via molnproxytjänster eller lokala nätverk.

  • RDP Shortpath: Aktivera RDP Shortpath-baserad åtkomst för slutanvändarnätverk, Azure-nätverk och molndatorer. RDP Shortpath använder UDP för att överföra RDP-trafik. Till skillnad från TCP är det motståndskraftigt mot nätverksanslutningar med hög svarstid. UDP drar också maximal nytta av den tillgängliga nätverksbandbredden för att effektivt överföra RDP-paket, vilket leder till en förbättrad användarupplevelse. Mer information finns i Använda RDP Shortpath för offentliga nätverk med Windows 365.

  • Placering av molndatorer: För en optimal användarupplevelse och routningsprestanda ska du avgöra var kunderna befinner sig i förhållande till de arbetsappar eller nätverk de har åtkomst till. Tänk också på den tid som kunderna lägger på att komma åt LOB-apparna jämfört med den totala tiden som de får åtkomst till andra appar. Se följande två möjliga distributionsalternativ:

    • Följande distributionsmodell kan vara optimal om kunderna ägnar större delen av sin arbetstid åt LOB-apparna i stället för att arbeta med lokalt installerade appar, till exempel appar i Microsoft 365. Den här modellen optimerar svarstiden för LOB-appar jämfört med molndatorns svarstid genom att placera molndatorn i samma region som LOB-appen (geografi B). Den här optimeringen sker även om gatewayen är geografiskt närmare slutanvändaren (geografi A). Följande diagram visar det möjliga trafikflödet från slutanvändaren till LOB-apparna.

      Ett diagram över ett flödesdiagram som visar ett möjligt trafikflöde från användare till appar.Ladda ned en PowerPoint-fil med den här arkitekturen.

    • Om kunder ibland får åtkomst till LOB-apparna i Geografi B kan det vara optimalt att distribuera en molndator närmare kunderna eftersom den optimerar svarstiden för åtkomst till molndatorer över LOB-appars åtkomstsvarstid. Följande diagram visar hur trafiken kan flöda i ett sådant scenario.

      Ett diagram över ett flödesdiagram som visar ett möjligt trafikflöde från användare till appar.Ladda ned en PowerPoint-fil med den här arkitekturen.

AD DS-rekommendationer

I en Microsoft Entra-hybridanslutningsarkitektur fungerar en lokal AD DS-infrastruktur som utfärdarens identitetskälla. Att ha en korrekt konfigurerad och felfri AD DS-infrastruktur är ett viktigt steg för att windows 365-distributionen ska lyckas.

Lokal AD DS har stöd för många konfigurationer och varierande komplexitetsnivåer, så de rekommendationer som tillhandahålls omfattar endast bästa praxis för baslinjen.

  • För microsoft entra hybridanslutningsscenario kan du distribuera AD DS på virtuella Azure-datorer enligt beskrivningen i arkitekturreferensen i Distribuera AD DS i ett virtuellt nätverk. Du kan också använda en hybridnätverksanslutning för att tillhandahålla en direkt siktlinje till din lokala Microsoft Entra-domänkontrollant. Mer information finns i Implementera ett säkert hybridnätverk.
  • För distribution av Microsoft Entra Join följer du referensarkitekturen i Integrera lokala Microsoft Entra-domäner med Microsoft Entra-ID.
  • Windows 365 använder en övervakningstjänst som en del av automatiserad testning som skapar ett test-VM-konto. Det kontot visas som inaktiverat i den organisationsenhet som anges i Azure-nätverksanslutningskonfigurationen. Ta inte bort det här kontot.
  • Alla molndatorer som har inaktiverats i Microsoft Entra-hybridanslutningsmodellen lämnar efter sig ett inaktiverat datorkonto som måste rensas manuellt i AD DS.
  • Microsoft Entra Domain Services stöds inte som identitetskälla eftersom det inte stöder Microsoft Entra-hybridanslutning.

DNS-rekommendationer

I en distributionsarkitektur för Azure-nätverksanslutningar är DNS-servrar eller en annan DNS-tjänst som används av ett virtuellt Azure-nätverk ett avgörande beroende. Det är viktigt att ha en felfri infrastruktur på plats.

  • För en Microsoft Entra-hybridanslutningskonfiguration bör DNS kunna matcha den domän som molndatorn måste vara ansluten till. Det finns flera tillgängliga konfigurationsalternativ, det enklaste av dem är att ange DNS-serverns IP-adress i konfigurationen av det virtuella Azure-nätverket. Mer information finns i Namnmatchning som använder din egen DNS-server.
  • Beroende på infrastrukturens komplexitet, till exempel en installation med flera regioner, flera domäner i Azure och lokala miljöer, bör du använda en tjänst som privata Azure DNS-zoner eller Azure DNS Private Resolver.

Rekommendationer för anslutning till molndatorer

Distribuerade molndatorer ska konfigureras för att tillåta oavbrutet anslutningsflöde till och från virtual desktop-gatewaytjänsten. Tänk på följande rekommendationer när du distribuerar appar som en del av en Windows-operativsystemkonfiguration:

  • Se till att VPS-klienten inte startas när användaren loggar in eftersom den kan koppla från sessionen när VPN-tunneln upprättas. Användaren måste logga in en andra gång.
  • Konfigurera VPN-, proxy-, brandväggs- och antivirus- och programprogram för att tillåta eller kringgå trafik som är bunden till IP-adresserna 168.63.129.16 och 169.254.169.254. Dessa IP-adresser används för kommunikation med Azure-plattformstjänster som metadata och pulsslag. Mer information finns i Vad är IP-adress 168.63.129.16?, Azure Instance Metadata Service för virtuella datorer och vanliga frågor och svar om virtuella nätverk.
  • Ändra inte IP-adresserna för molndatorer manuellt eftersom det kan leda till permanent frånkoppling. IP-adresser tilldelas med ett obestämt lån och hanteras under molndatorns livscykel av Azure-nätverkstjänster. Mer information finns i allokeringsmetoder.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

Planera din Cloud PC-distribution

Windows 365-arkitektur

Windows 365-identitet och autentisering

Livscykel för molndatorer i Windows 365

Usluge domena aktivnog direktorijuma översikt

Datakryptering i Windows 365

Förstå nätverksanslutningar för virtuella skrivbord

Arkitekturdesign för webbprogram