Nätverkskrav

Windows 365 är en molnbaserad tjänst som låter användare ansluta via Internet från valfri enhet, från valfri plats, till ett Windows Desktop som körs i Azure. För att stödja dessa internetanslutningar måste du följa de nätverkskrav som anges i den här artikeln.

Varje kund har sina specifika krav baserat på den arbetsbelastning de använder för att beräkna nätverkskraven för sin Cloud PC-miljö.

Obs!

Den här artikeln gäller endast om du planerar att etablera molndatorer i ditt eget virtuella Azure-nätverk, till skillnad från ett Microsoft-värdbaserat nätverk.

Allmänna nätverkskrav

Windows 365 Enterprise

Om du vill använda ditt eget nätverk och etablera Microsoft Entra-anslutna molndatorer måste du uppfylla följande krav:

• Virtuellt Azure-nätverk: Du måste ha ett virtuellt nätverk (vNET) i din Azure-prenumeration i samma region som där Windows 365-skrivborden skapas.
• Nätverksbandbredd: Se Riktlinjerna för Azure-nätverk.
• Ett undernät i det virtuella nätverket och tillgängligt IP-adressutrymme.

Om du vill använda ditt eget nätverk och etablera Microsoft Entra Hybrid-anslutna molndatorer måste du uppfylla ovanstående krav och följande krav:

• Det virtuella Azure-nätverket måste kunna matcha DNS-poster för din Active Directory Domain Services-miljö (AD DS). För att stödja den här lösningen definierar du DINA AD DS DNS-servrar som DNS-servrar för det virtuella nätverket.
• Det virtuella Azure-nätverket måste ha nätverksåtkomst till en företagsdomänkontrollant, antingen i Azure eller lokalt.

Windows 365 Government

Alla allmänna nätverkskrav för Windows 365 Enterprise gäller för Windows 365 Government med följande tillägg:

Microsoft Entra-anslutna molndatorer

Om du vill använda ditt eget nätverk och etablera Microsoft Entra-anslutna molndatorer måste du uppfylla följande krav:

• Kunden måste ha en prenumeration i Azure Government-miljön.
• Virtuellt Azure-nätverk: Du måste ha ett virtuellt nätverk (vNET) i din Azure Government-prenumeration i samma region som där Windows 365 Cloud-datorerna skapas. För Government Community Cloud (GCC) och Government Community Cloud High (GCCH) är det här nätverket en US Gov-region.
• Nätverksbandbredd: Se Riktlinjerna för Azure-nätverk.
• Ett undernät i det virtuella nätverket och tillgängligt IP-adressutrymme.

Microsoft Entra Hybrid-anslutna molndatorer

Om du vill använda ditt eget nätverk och etablera Microsoft Entra Hybrid-anslutna molndatorer måste du uppfylla ovanstående krav och följande krav:

• Kunden måste ha en prenumeration i Azure Government-miljön.
• Det virtuella Azure-nätverket måste kunna matcha DNS-poster för din Active Directory Domain Services-miljö (AD DS). För att stödja den här lösningen definierar du DINA AD DS DNS-servrar som DNS-servrar för det virtuella nätverket.
• Det virtuella Azure-nätverket måste ha nätverksåtkomst till en företagsdomänkontrollant, antingen i Azure eller lokalt.

Tillåt nätverksanslutning

Windows 365 Enterprise

Du måste tillåta trafik i nätverkskonfigurationen till följande tjänst-URL:er och portar för att stödja etablering och hantering av molndatorer och för fjärranslutning med molndatorer. Även om det mesta av konfigurationen är för Cloud PC-nätverket sker slutanvändaranslutningen från en fysisk enhet. Därför måste du också följa anslutningsriktlinjerna för det fysiska enhetsnätverket.

Enhet eller tjänst	Nödvändiga URL:er och portar för nätverksanslutning	Kommentar
Fysisk enhet	Länk	För anslutning och uppdateringar av fjärrskrivbordsklienten.
Microsoft Intune-tjänst	Länk	För Intune-molntjänster som enhetshantering, programleverans och slutpunktsanalys.
Virtuell Azure Virtual Desktop-sessionsvärd för virtuell dator	Länk	För fjärranslutning mellan molndatorer och serverdelens Azure Virtual Desktop-tjänst.
Windows 365-tjänsten	Länk	För etablering och hälsokontroller.

Windows 365-tjänsten

Följande URL:er och portar krävs för etablering av molndatorer och hälsokontroller för Azure-nätverksanslutning (ANC):

• *.infra.windows365.microsoft.com
• *.cmdagent.trafficmanager.net
• Registreringsslutpunkter
  • login.microsoftonline.com
  • login.live.com
  • enterpriseregistration.windows.net
  • global.azure-devices-provisioning.net (443 & 5671 utgående)
  • hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 utgående)
  • hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 utgående)

Alla slutpunkter ansluter via port 443 om inget annat anges.

Port 3389

Port 3389 är inaktiverad som standard för alla nyligen etablerade molndatorer. Microsoft rekommenderar att du håller port 3389 stängd. Men om du behöver port 3389 för att vara öppen för eventuella ometablerade eller nyligen etablerade molndatorer med distributionsalternativet Azure Network Connection (ANC) kan du granska följande alternativ:

• Säkerhetsbaslinjer för Windows 365. Kunder kan använda Säkerhetsbaslinjer för Windows 365 för att effektivt hantera port 3389 för Windows 365-molndatorer. Dessa baslinjer innehåller omfattande verktyg och konfigurationer som utformats för att förbättra säkerhetsåtgärder samtidigt som nödvändig åtkomst tillåts. Genom att justera brandväggsinställningar och ställa in standardåtgärden för inkommande trafik för offentlig profil till Tillåt kan organisationer se till att port 3389 är korrekt konfigurerad för att uppfylla driftsbehoven. Granska och anpassa de här inställningarna enligt dina specifika organisationskrav.
• Skapa en anpassad brandväggsregel i Microsoft Intune. Kunder kan använda anpassade brandväggsregler i Microsoft Intune för att konfigurera port 3389 för Windows 365 Cloud-datorer. Det här alternativet omfattar att skapa en anpassad regel i Intunes säkerhetsprinciper som är skräddarsydda för att tillåta inkommande trafik på port 3389, som används för åtkomst till molndatorer. Genom att definiera regelparametrar som portnummer, protokoll (TCP) och begränsa specifika IP-adresser eller nätverk kan du se till att åtkomsten till port 3389 är strikt kontrollerad och begränsad till endast auktoriserade entiteter.

De här alternativen gäller inte för kunder som använder ett Microsoft-värdbaserat nätverk.

Windows 365 Government

Du måste tillåta trafik i din Azure-nätverkskonfiguration att:

• Tjänst-URL:er och portar som anges i det här avsnittet.
• Slutpunkterna för Microsoft Intune och Azure Virtual Desktop.

Alla slutpunkter ansluter via port 443 om inget annat anges.

• GCC: Nätverksslutpunkter för Microsoft Intune.
• GCC: Url-lista som krävs för Azure Virtual Desktop.
• GCCH: Microsoft Intune-nätverksslutpunkter för amerikanska myndighetsdistributioner.
• GCCH: Nödvändiga URL:er för Azure Virtual Desktop för amerikanska myndighetsdistributioner.

Nödvändiga URL:er för Cloud PC

Adress:Port	Krävs för
*.infra.windows365.microsoft.us	GCC, GCCH
*.cmdagent.usgovtrafficmanager.net	GCC, GCCH

Intune-beroende URL:er

Adress:Port	Krävs för
portal.manage.microsoft.us:443	GCCH
m.manage.microsoft.us:443	GCCH
mam.manage.microsoft.us:443	GCCH
wip.mam.manage.microsoft.us:443	GCCH
Fef.FXPASU01.manage.microsoft.us:443	GCCH
portal.manage.microsoft.com:443	GCC
m.manage.microsoft.com:443	GCC
fef.msuc03.manage.microsoft.com:443	GCC
mam.manage.microsoft.com:443	GCC
wip.mam.manage.microsoft.com:443	GCC

Microsoft Entra ID-beroende URL:er

Adress:Port	Krävs för
login.microsoftonline.us	GCCH
login.live.com:443	GCCH, GCC
login.microsoftonline.com:443	GCC
global.azure-devices-provisioning.us (port 443 och 5671)	GCC, GCCH
hm-iot-in-ghp-ghp01.azure-devices.us (port 443 och 5671)	GCCH
hm-iot-in-gcp-gcp01.azure-devices.us (port 443 och 5671)	GCC
hm-iot-in-gcb-gcb01.azure-devices.us (port 443 och 5671)	GCC
hm-iot-in-ghb-ghb01.azure-devices.us (port 443 och 5671)	GCCH
enterpriseregistration.windows.net	GCCH
enterpriseregistration.microsoftonline.us	GCCH

Azure Virtual Device-beroende URL:er

Adress:Port	Krävs för
rdweb.wvd.azure.us:443	GCCH
rdbroker.wvd.azure.us:443	GCCH
rdweb.wvd.microsoft.com:443	GCC
rdbroker.wvd.microsoft.com:443	GCC

Lokaliseringspaket

Adress:Port	Krävs för
download.microsoft.com:443	GCCH, GCC
software-download.microsoft.com:443	GCCH, GCC

Använda FQDN-taggar för slutpunkter via Azure Firewall

Windows 365-taggar för fullständigt kvalificerade domännamn (FQDN) gör det enklare att bevilja åtkomst till tjänstslutpunkter som krävs för Windows 365 via en Azure-brandvägg. Mer information finns i Använda Azure Firewall för att hantera och skydda Windows 365-miljöer.

Tjänstslutpunkter för fjärrskrivbordsprotokoll (RDP)

Direktanslutning till Azure Virtual Desktop RDP-koordinatortjänstslutpunkter är avgörande för fjärrkommunikationsprestanda till en molndator. Dessa slutpunkter påverkar både anslutning och svarstid. Om du vill anpassa dig till principerna för Nätverksanslutning i Microsoft 365 bör du kategorisera dessa slutpunkter som Optimera slutpunkter. Vi rekommenderar att du använder en direkt sökväg från ditt virtuella Azure-nätverk till dessa slutpunkter.

Om du vill göra det enklare att konfigurera nätverkssäkerhetskontroller använder du Azure Virtual Desktop-tjänsttaggar för att identifiera dessa slutpunkter för direkt routning med hjälp av en användardefinierad väg för Azure-nätverk (UDR). En UDR resulterar i direkt routning mellan ditt virtuella nätverk och RDP-asynkron meddelandekö för lägsta svarstid. Mer information om Azure-tjänsttaggar finns i Översikt över Azure-tjänsttaggar.

Om du ändrar nätverksvägarna för en molndator (i nätverksskiktet eller i Cloud PC-lagret som VPN) kan anslutningen mellan Cloud PC och Azure Virtual Desktop RDP-koordinatorn brytas. I så fall kopplas slutanvändaren från sin molndator tills en anslutning återupprättas.

DNS-krav

Som en del av kraven för Microsoft Entra-hybridanslutning måste dina molndatorer kunna ansluta till den lokala Active Directory. Det kräver att molndatorerna kan matcha DNS-poster för din lokala AD-miljö.

Konfigurera ditt virtuella Azure-nätverk där molndatorerna etableras på följande sätt:

1. Kontrollera att ditt virtuella Azure-nätverk har nätverksanslutning till DNS-servrar som kan matcha din Active Directory-domän.
2. I Inställningar för det virtuella Azure-nätverket väljer du DNS-servrar och sedan Anpassad.
3. Ange IP-adressen för DNS-servrar som miljö som kan matcha din AD DS-domän.

Tips

Genom att lägga till minst två DNS-servrar, precis som med en fysisk dator, kan du minska risken för en enskild felpunkt i namnmatchningen.

Mer information finns i Konfigurera inställningar för virtuella Azure-nätverk.

Krav för Remote Desktop Protocol

Windows 365 använder Remote Desktop Protocol (RDP).

Scenario	Standardläge	H.264/AVC 444-läge	Beskrivning
Overksam	0,3 kbit/s	0,3 kbit/s	Användaren pausade sitt arbete och det finns inga aktiva skärmuppdateringar.
Microsoft Word	100–150 kbit/s	200–300 kbit/s	Användaren arbetar aktivt med Microsoft Word: skriva, klistra in grafik och växla mellan dokument.
Microsoft Excel	150–200 kbit/s	400–500 kbit/s	Användaren arbetar aktivt med Microsoft Excel: flera celler med formler och diagram uppdateras samtidigt
Microsoft PowerPoint	4–4,5 Mbit/s	1,6–1,8 Mbit/s	Användaren arbetar aktivt med Microsoft PowerPoint: skriva, klistra in, ändra omfattande grafik och använda bildövergångseffekter.
Webbsurfning	6–6,5 Mbit/s	0,9–1 Mbit/s	Användaren arbetar aktivt med en grafiskt omfattande webbplats som innehåller flera statiska och animerade bilder. Användaren rullar sidorna både vågrätt och lodrätt
Bildgalleri	3,3–3,6 Mbit/s	0,7–0,8 Mbit/s	Användaren arbetar aktivt med bildgalleriprogrammet: bläddra, zooma, ändra storlek och rotera bilder
Videouppspelning	8,5–9,5 Mbit/s	2,5–2,8 Mbit/s	Användaren tittar på en 30 FPS-video som förbrukar 1/2 av skärmen.
Videouppspelning i helskärmsformat	7,5–8,5 Mbit/s	2,5–3,1 Mbit/s	Användaren tittar på en 30 FPS-video maximerad till helskärmsläge.

Krav för Microsoft Teams

Microsoft Teams är en av de viktigaste Microsoft 365-tjänsterna i Cloud PC. Windows 365 avlastar ljud- och videotrafiken till slutpunkten för att göra videoupplevelsen som Teams på en fysisk dator.

Nätverkskvaliteten är viktig per scenario. Se till att du har rätt bandbredd för den kvalitet som du vill erbjuda.

Full HD (1920x1080p) är inte en lösning som stöds för Microsoft Teams på molndatorer.

Bandbredd (upp/ned)	Scenarier
30 kbps	Peer-to-peer-ljudsamtal.
130 kbps	Peer-to-peer-ljudsamtal och skärmdelning.
500 kbps	Videosamtal av peer-to-peer-kvalitet 360p vid 30 fps.
1,2 Mbit/s	Videosamtal av peer-to-peer-hd-kvalitet med upplösningen HD 720p på 30 fps.
500 kbit/s/1 Mbps	Gruppvideosamtal.

Mer information om nätverkskrav för Microsoft Teams finns i Nätverksöverväganden.

Teknik för trafikavlyssning

Vissa företagskunder använder trafikavlyssning, SSL-dekryptering, djup paketinspektion och andra liknande tekniker för säkerhetsteam för att övervaka nätverkstrafik. Etablering av molndatorer kan behöva direkt åtkomst till den virtuella datorn. Dessa tekniker för trafikavlyssning kan orsaka problem med att köra Azure-nätverksanslutningskontroller eller etablering av molndatorer. Kontrollera att ingen nätverksavlyssning tillämpas för molndatorer som etablerats i Windows 365-tjänsten.

Bandbredd

Windows 365 använder Azure-nätverksinfrastrukturen. En Azure-prenumeration krävs när ett virtuellt nätverk väljs vid distribution av Windows 365 Enterprise. Bandbreddsavgifter för cloud pc-användning inkluderar:

• Nätverkstrafik till en molndator är kostnadsfri.
• Utgående trafik (utgående) medför avgifter för Azure-prenumerationen för det virtuella nätverket.
• Office-data (till exempel e-post och Filsynkronisering för OneDrive för företag) medför utgående avgifter om molndatorn och en användares data finns i olika regioner.
• RDP-nätverkstrafik medför alltid utgående avgifter.

Om du använder ditt eget nätverk läser du Prissättning för bandbredd.

Om du använder ett Microsoft-värdbaserat nätverk: Utgående data/månad baseras på RAM-minnet för molndatorn:
– 2 GB RAM =12 GB utgående data
– 4 GB eller 8 GB RAM =20 GB utgående data
- 16 GB RAM =40 GB utgående data
– 32 GB RAM =70 GB utgående data
Databandbredden kan begränsas när dessa nivåer överskrids.

Nästa steg

Läs mer om rollbaserad åtkomstkontroll i Cloud PC.