Distributionsalternativ för Windows 365-nätverk

Du har två alternativ för nätverksdistribution av Windows 365-tjänsten:

• Använda ett Microsoft-värdbaserat nätverk
  • Rekommenderat alternativ.
  • Perfekt för SaaS-funktioner (Programvara som en tjänst) i Windows 365 med enkelhet, tillförlitlighet och skalbarhet.
  • Stöder Microsoft Entra-anslutningsidentitetsmodellen.
  • Inget krav på Azure-prenumeration eller expertis.
• Använda Azure-nätverksanslutningar (ANC)
  • Har stöd för både Microsoft Entra-anslutnings- och Microsoft Entra hybridanslutningsidentitetsmodeller.

Microsoft-värdbaserat nätverk

Det här alternativet är enkelt, tillförlitligt och skalbart och erbjuder Cloud PC-anslutning där Microsoft tillhandahåller tjänsten i en sann SaaS-metod. Med det här alternativet, Microsoft:

• Konfigurerar och hanterar fullständigt den infrastruktur och relaterade tjänster som krävs för att leverera funktionella molndatorer till dina användare.
• Hanterar det nätverk som molndatorerna upptar.
• Tillhandahåller en noll förtroenderamverksjusterad modell för en EUC-miljö (End User Computing). Mer information finns i Läs mer om molnbaserade slutpunkter.

Kundens enda ansvar är konfigurationen och hanteringen av molndatorerna.

Microsoft rekommenderar att kunder använder det här alternativet för sin Windows 365-distribution.

Du behöver inte använda dina egna Azure-prenumerationer, planera, utforma, distribuera eller hantera infrastrukturen. Kunder kan dedikera sitt EUC-team för att fokusera på att hantera Cloud PC-konfigurationer och säkerhet från en enda hanteringskonsol som tillhandahålls av Intune.

Det här alternativet är detsamma som att ge en anställd en bärbar dator att använda hemma. Du som organisation styr inte nätverket som enheten finns på. Du styr fullständigt hur Windows-enheten konfigureras, skyddas och hur den ansluter till ditt lokala nätverk. Med Windows 365 är den här kontrollen möjlig tack vare de anpassningsbara anpassningsbara säkerhetskontrollerna och konfigurationerna i Zero Trust Security Framework från slutpunkt till slutpunkt.

Användare kan till exempel autentiseras med anpassningsbara kontroller för villkorsstyrd åtkomst i Microsoft Entra. Företagsanslutningar kan levereras med hjälp av VPN. Internetsäkerhet kan använda en molnbaserad säker webbgateway (SWG). Fördelen är att enheter kan distribueras i stor skala på kort tid när det behövs i ett motståndskraftigt nätverk med hög bandbredd.

Diagram: Microsoft-värdbaserat nätverksalternativ – Endast Microsoft Entra-anslutning

Det här diagrammet visar det Microsoft-värdbaserade nätverket med Cloud PC och det virtuella nätverkskortet i en prenumeration som hanteras av Microsoft.

Fördelar med det Microsoft-värdbaserade nätverksalternativet

• Ingen Azure-prenumeration krävs. Microsoft tillhandahåller och hanterar fullständigt den infrastruktur som krävs för att molndatorn ska fungera. Allt du behöver är de licenser som krävs.
• Inga ytterligare kostnader för nätverksinfrastruktur. Azure-kostnaderna för att driva ditt eget virtuella nätverk (VNet) och virtuella installationer gäller inte. Microsoft tar hand om nätverksinfrastrukturen.
• Ingen kunskap eller hantering av Azure-nätverk krävs. Det virtuella nätverket hanteras fullständigt av Microsoft.
• Låg komplexitet och snabb distribution. Distributionen har låg komplexitet på grund av minimala beroenden för element på kundsidan.
• Noll förtroendejustering. Åtgärdsmodellen Noll förtroende för användare, slutpunkt, arbetsbelastning och datasignaler används för verifiering i stället för att tillämpa förtroende på nätverksplatsen.
• Enklare felsökning och åtgärder. Det är enklare att felsöka och identifiera nätverksproblem och använda modern enhetshantering baserat på Intune-principer, säkerhetskontroller och inbyggda rapporteringsfunktioner.

Överväganden

Innan du använder alternativet Microsoft-värdbaserat nätverk bör du läsa följande överväganden:

• Det här alternativet är inte kompatibelt med Hybridanslutningsmodellen för Microsoft Entra. Det här alternativet är en molnbaserad distribution utan anslutning till den lokala Active Directory Domain Services-infrastrukturen. Om du har grupprincipobjektbaserade hanteringsprinciper som inte kan konverteras till Intune är det här alternativet inte rätt för dig.
• Ingen kontroll över det virtuella nätverket. Det virtuella nätverkskortet är Microsoft-hanterat. Därför måste alla nätverkskontroller implementeras på själva molndatorn, ungefär som fysiska enheter i ett arbets-från-hem-scenario.
• Ingen direkt åtkomst till lokala resurser. En VPN- eller privat åtkomstlösning krävs för att få åtkomst till dessa resurser. När du använder VPN med en molndator använder du delade tunnlar för att se till att RDP-trafik inte dirigeras via VPN.
• Kräver en molnbaserad hanteringsåtgärdsmodell som Intune.
• Port 25 är blockerad.
• Ping/ICMP blockeras.
• Lokal nätverkskommunikation mellan molndatorer blockeras.
• Det går inte att ansluta direkt till molndatorer.
• Administratörer kan inte styra IP-adressintervall och/eller adressutrymme som tilldelats till molndatorerna. Windows 365 hanterar IP-adresserna automatiskt.

Alternativ för Azure-nätverksanslutning

Med distributionsalternativet Azure Network Connection (ANC) ansvarar du helt för det virtuella nätverket och dess konfiguration. Om du använder en hybridanslutningsmodell för Microsoft Entra måste du använda det här distributionsalternativet. Det här alternativet ger tillgång till dina lokala Azure Directory-resurser och gör att du kan anpassa nätverks- och säkerhetsmål som:

• Förbindelseleder.
• Portar och protokoll.
• Active Directory DS och verksamhetsspecifik programanslutning.
• Gatewayanslutningar med VPN eller ExpressRoute.
• Adressutrymme som används av molndatorer.
• Kommunikationsbehörigheter mellan molndatorer.
• Dirigera RDP-anslutningar till molndatorer.

Du väljer det virtuella nätverket bland dem i din Azure-prenumeration. Du konfigurerar etableringsprinciper som skapar molndatorerna i ditt virtuella nätverk. Du hanterar Cloud PC-anslutningen, inklusive eventuella direkta utgående trafik från det virtuella nätverket och önskad internetåtkomstsökväg.

Azure-nätverksanslutning stöder två modeller för identitetsdistribution:

• Microsoft Entra-anslutning
• Microsoft Entra-hybridanslutning

Microsoft Entra-anslutning

När du använder Microsoft Entra-anslutning behöver du inte skapa en anslutning från det virtuella nätverket till ditt lokala nätverk. Du måste bara se till att det finns utgående Internetanslutning till de slutpunkter som krävs. Men du kanske vill lägga till en lokal anslutning för åtkomst till resurser som finns på dina lokala filservrar och program. Du kan skapa anslutningen med hjälp av ExpressRoute eller plats-till-plats-VPN, men de här alternativen medför extra kostnad och komplexitet.

För enkelhetens skull, när du använder Microsoft Entra-anslutning, rekommenderar vi att du använder det Microsoft-värdbaserade nätverksalternativ som tidigare beskrivits. I så fall kan du använda en VPN- eller privat åtkomstlösning via Internet för att få åtkomst till företagets resurser.

Diagram: ANC-alternativ – Microsoft Entra-anslutning

Microsoft Entra-hybridanslutning

Med Microsoft Entra-hybridanslutning krävs en anslutning till det lokala nätverket från det virtuella nätverket. Det enda sättet att nå DC-infrastrukturen där är att använda ANC-distributionsalternativet. Den här anslutningen är en viktig komponent, så du bör vara noga med att säkerställa tillförlitlighet och redundans.

Diagram: ANC-alternativ – Microsoft Entra-hybridanslutning

Fördelar med ANC-alternativet

• Fullständig kontroll över det virtuella nätverket. Cloud PC:s nätverkskort finns i ditt eget hanterade virtuella nätverk.
• Direkt siktlinje till lokal infrastruktur. Det virtuella nätverket kan konfigureras med en plats-till-plats-VPN- eller ExpressRoute-anslutning tillbaka till det lokala nätverket för direktanslutning till Azure Directory-infrastruktur eller -tjänster och program som finns där.
• Molndatorn fungerade som den är på en lokal plats. Tillägget av företagsnätverket till det virtuella nätverket innebär att molndatorn kan fungera som om den är inom företagets nätverksgränser.
• Enkel peering till andra virtuella nätverk. Enkel korsanslutning mellan det virtuella cloud pc-nätverket och andra virtuella nätverk i Azure. Detta stöder direktanslutning till andra Azure-värdbaserade resurser som organisationen använder.

Överväganden

Innan du använder distributionsalternativet ANC bör du läsa följande överväganden:

• Azure-prenumeration krävs. Det virtuella nätverk som används i det här scenariot finns i din egen Azure-prenumeration. Därför måste du ha en Azure-prenumeration och nödvändiga licenser.
• Utgående kostnader. Eftersom det virtuella nätverket är associerat med ditt eget Azure-konto uppstår eventuella utgående kostnader för din Azure-prenumeration.
• Extra kostnader för nätverksinfrastruktur. Azure-kostnaderna för att använda ditt eget VNet tillämpas på den prenumeration som är associerad med det virtuella nätverket.
• Azure-nätverksexpertis eller hantering krävs. Du måste tillhandahålla expertis och hantering för att underhålla ditt virtuella nätverk.
• Högre komplexitet. Du måste hantera och underhålla nätverket, vilket är mer komplext än att använda ett Microsoft-värdbaserat nätverk.
• Längre distribution. Distributionen är vanligtvis längre än med alternativet Microsoft-värdbaserat nätverk. Den här extra tiden orsakas av det stora antalet element på kundsidan som måste konfigureras först.
• Högre risk. En ANC-distribution är mer komplex än en Microsoft-värdbaserad nätverksdistribution. Den här komplexiteten ökar risken för anslutningsproblem.

Samtidiga alternativ

Microsofts värdbaserade nätverk och ANC-alternativ kan användas samtidigt. Du kan till exempel använda ANC-alternativet för en delmängd av dina distributioner som har unika äldre krav. För resten av distributionen utan dessa krav kan du använda alternativet Microsoft-värdbaserat nätverk.

Nästa steg

Läs mer om distributionsprocessen.