Düzenle

Aracılığıyla paylaş

Windows 365 Azure ağ bağlantısı

Azure ExpressRoute
Azure Virtual Desktop
Azure Virtual Machines
Azure Virtual Network

Windows 365, bulut tabanlı bir hizmettir ve her kullanıcının gereksinimleri için özel olarak oluşturulmuş Bulut bilgisayarlar olarak adlandırılan yüksek oranda iyileştirilmiş ve kişiselleştirilmiş Windows bilgi işlem örnekleri sunmak için kullanabilirsiniz. Bulut bilgisayarlar aşağıdaki hizmetlerin bir bileşimini kullanır:

  • Bulut bilgisayarları özelleştirmek, güvenliğini sağlamak ve yönetmek için Intune
  • Kimlik ve erişim denetimi için Entra Kimliği
  • Uzak bağlantı için Azure Sanal Masaüstü

Bulut bilgisayar, size zengin bir Windows masaüstü deneyimi sunan yüksek oranda kullanılabilir, iyileştirilmiş ve kişiselleştirilmiş bir bilgi işlem örneğidir. Windows 365 hizmetinde barındırılır ve her yerden, her cihazdan erişilebilir.

Windows 365 paylaşılan sorumluluk modeli

Windows 365 bir hizmet olarak yazılım (SaaS) çözümüdür. Microsoft, Windows 365 hizmetlerindeki bazı bileşenleri yönetirken diğer bileşenleri de siz yönetirsiniz. Sahip olduğunuz sorumluluk miktarı, dağıtım için seçtiğiniz mimari düzenine bağlıdır. Windows 365'i yönetme sorumlulukları üç bölüme ayrılır:

  • Dağıtım: Hizmetin bileşenlerini planlama ve dağıtma.
  • Yaşam Döngüsü: Bileşenin düzeltme eki uygulama ve güvenli hale getirme gibi yaşam döngüsü boyunca yönetimi.
  • Yapılandırma: Bir senaryo için gereken ayarları uygulamak üzere bileşeni yapılandırma.

Aşağıdaki diyagramda Önerilen Microsoft tarafından barındırılan ağ, Microsoft Entra katılımı ve Windows Autopatch ile galeri görüntüleri kullanılarak bir Windows 365 dağıtımının sorumluluk matrisi gösterilmektedir. Bu yapılandırmayla, birçok bileşeni ve yaşam döngüsü aşamasını yönetmeniz gerekmez. Bu yapılandırma, Önerilen mimari desenlerinde listelenen avantajlara çevrilir.

Not

Aşağıdaki diyagram, donanım ve ağı ayarlama ve bunların bakımını yapma gibi altyapı açısından sorumlulukları temsil eder. Windows 365 veya Intune kiracı aboneliği kurulumunu içermez.

Microsoft tarafından barındırılan ağı kullanan bir dağıtımı gösteren sorumluluk matrisinin diyagramı.Bu mimarinin PowerPoint dosyasını indirin.

Aşağıdaki diyagramda Azure ağ bağlantısı kullanan tipik bir Windows 365 dağıtımı gösterilmektedir ve Microsoft'un yönettiği bileşenleri ve bir Bulut bilgisayarın yaşam döngüsü aşamalarında yönettiğiniz bileşenleri gösterir.

Azure ağ bağlantısı kullanan dağıtımı gösteren sorumluluk matrisinin diyagramı.Bu mimarinin PowerPoint dosyasını indirin.

Microsoft, SaaS deneyimi elde etmek için Windows 365'in aşağıdaki bileşenlerle dağıtılmasını önererek hizmetin en yüksek avantajlarından yararlanmanızı sağlar:

  • Microsoft Entra ortamına katılma
  • Microsoft tarafından barındırılan bir ağ
  • Galeri görüntüleri
  • Uygulama ve işletim sistemi yapılandırmasıyla Intune tabanlı mobil cihaz yönetimi (MDM) hizmeti
  • Bulut bilgisayar erişimi için bir Windows 365 uygulaması

Windows 365 hizmetinin avantajlarını gösteren bir mimari deseni diyagramı.Bu mimarinin PowerPoint dosyasını indirin.

Yukarıdaki mimari düzeni, Windows 365 hizmetinden en iyi şekilde yararlanmanızı sağlar ve aşağıdaki avantajları sağlar:

  • Basitleştirilmiş ve daha hızlı dağıtım
  • Minimumdan sıfıra bağımlılıklar
  • Tam Sıfır Güven çerçevesi desteği
  • Basitleştirilmiş sorun giderme akışları
  • Self servis kullanıcı sorunlarını giderme
  • Düşük ek yük ve yönetim
  • Yazılım ve uygulama tesliminin en yüksek olgunluk modeli

Windows 365 hizmet mimarisi

Aşağıdaki diyagram, Windows 365 hizmetinin parçası olan tüm bileşenlerin bir gösterimidir. Bu mimaride, Windows 365'in temel gereksinimleri olan Intune ve Microsoft Entra Id kullanılır. Azure Sanal Ağ gibi isteğe bağlı bileşenler de vardır.

Azure ağ bağlantısı ve Microsoft Barındırılan Ağ seçeneklerinin diyagramı.Bu mimarinin bir Visio dosyasını indirin.

Önceki diyagramda Azure ağ bağlantısı ve Microsoft tarafından barındırılan ağ seçenekleri gösterilmektedir. Bunlar birbirini dışlayan mimari seçenekleridir. Aşağıdaki bölümlerde Azure ağ bağlantısı seçenekleri ayrıntılı olarak açıklanmaktadır.

Sanal Masaüstü

Sanal Masaüstü, Azure tabanlı bir sanal masaüstü altyapısı (VDI) çözümüdür. Microsoft, Sanal Masaüstü'nü yönetir. Hizmet olarak platform (PaaS) stili bir çözüm sağlar. Windows 365, Bulut bilgisayarlarına bağlanmanız için gereken ağ yönetimi bileşenlerini kullanır. Bileşenler arasında Sanal Masaüstü ağ geçidi hizmeti, bağlantı aracısı hizmeti ve bir web istemci hizmeti bulunur. Bu hizmetler Windows 365 Bulut PC sorunsuz bağlantı sağlar.

Daha fazla bilgi için bkz . Kuruluş için Azure Sanal Masaüstü.

Windows Sanal Masaüstü Denetim Düzlemi bileşenlerinin diyagramı.Bu mimarinin bir Visio dosyasını indirin.

Not

Windows 365, kullanıcı ve Bulut Bilgisayar bağlantılarını kolaylaştırmak için önceki diyagramda yer alan "Windows Sanal Masaüstü Denetim Düzlemi" adlı bileşenleri kullanır ve bu nedenle Azure Sanal Masaüstü'ndeki bağlantıyla ilgili özelliklerin çoğunu devralır. Sanal Masaüstü ağlarının nasıl çalıştığı hakkında bilgi sahibi olmak, bu belgede ayrıntılı olarak belirtilen Azure ağ bağlantısı mimarisini tasarlamak için gerekli hale gelir.

Microsoft Intune

Intune, raporları görüntülemenize, kullanmanıza ve yönetmenize olanak tanıyan bulut tabanlı bir uç nokta yönetim çözümüdür:

  • Uygulama teslimi
  • Windows güncelleştirmeleri
  • Cihaz yönetimi yapılandırmaları
  • Güvenlik ilkeleri

Intune, mobil cihazlar, masaüstü bilgisayarlar ve sanal uç noktalar dahil olmak üzere birçok cihazda uygulama ve cihaz yönetimini basitleştirir.

Kuruluşa ait ve kişisel cihazlardaki erişimi ve verileri koruyabilirsiniz. Intune ayrıca Sıfır Güven güvenlik modelini destekleyen uyumluluk ve raporlama özelliklerine sahiptir. Daha fazla bilgi için bkz . Cihaz yapılandırma profili oluşturma.

Mimari desenleri

Mimari deseni bileşenleri açıklar ve bir hizmet veya ürünün dağıtıldığı yapılandırmaları gösterir. Daha fazla bilgi için bkz. Mimari adına barındırılan.

Aşağıdaki Azure ağ bağlantısı desenlerine bakın:

Microsoft Entra join ile Azure ağ bağlantısı – Bu düzende, Microsoft Entra'ya katılmış Bulut bilgisayarlar, şirket içi ortamlardaki kaynaklara (iş kolu (LOB) uygulamaları, dosya paylaşımları ve Kerberos veya Windows Yeni Teknoloji LAN Yöneticisi (NTLM) kimlik doğrulaması gerektirmeyen diğer uygulamalara bağlanmak için Azure ağ bağlantısını kullanır.

Microsoft Entra karma katılımı ile Azure ağ bağlantısı – Bu düzende, Microsoft Entra karmasına katılmış Bulut bilgisayarlar, şirket içi Microsoft Entra ID etki alanı denetleyicisiyle etki alanına katılmak için Azure ağ bağlantısını kullanır. Bulut bilgisayar, kullanıcılar Bulut bilgisayara, şirket içi uygulamalara veya Kerberos veya NTLM kimlik doğrulaması gerektiren bulut uygulamalarına eriştiğinde şirket içi etki alanı denetleyicisiyle kimlik doğrulaması yapar.

Azure ağ bağlantısı mimarisi desenleri

Bazı desenler için Windows 365 hizmeti, Azure ExpressRoute veya siteden siteye VPN kullanarak Sanal Ağ aracılığıyla şirket içi ortamlara bağlanır. Bu bağlantı yöntemi, bir Intune nesnesi olan Azure ağ bağlantısı ile temsil edilir. Bu bağlantı, Bulut bilgisayarların Active Directory veya LOB uygulamaları gibi şirket içi kaynaklara bağlanmasına olanak tanır.

Azure ağ bağlantısı tarafından temsil edilen bu ağ bağlantısı, Bulut BILGISAYAR tarafından şirket içi Microsoft Entra etki alanına katılım için Bulut BILGISAYAR sağlama sırasında Windows 365 hizmeti tarafından kullanılır ve Bulut BILGISAYAR sağlama hazırlığı için sistem durumu denetimleri yapılır.

Aşağıdaki tablolarda Azure ağ bağlantısı için bağımlılıklar listelanmaktadır. Windows 365, bu bağımlılıklar üzerinde otomatik sistem durumu denetimleri çalıştırır.

Dependency Microsoft Entra Connect - Microsoft Entra Connect'in ayarlanıp ayarlanmadığını ve başarıyla tamamlanıp tamamlanmayacağını denetler.
Mimari desenleri Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Microsoft Entra Connect eşitleme aralığını varsayılan veya en düşük değerle ayarlayın. Daha uzun eşitleme aralıkları, bulut bilgisayarı sağlama işleminin zaman aşımı nedeniyle üretimde başarısız olma olasılığını artırır. Daha fazla bilgi için bkz . Microsoft Entra karma birleştirme başarısız oluyor.
- Daha hızlı çoğaltma sağlamak için Windows 365 Azure ağ bağlantısıyla aynı veri merkezinde bulunan bir sunucudan Active Directory Etki Alanı Denetleyicisi çoğaltmasını ayarlayın.
- Microsoft Entra Id etki alanı denetleyicisi çoğaltmayı varsayılan değerle ayarlayın.
Dependency Azure kiracı hazırlığı - Engelleme kısıtlaması olmadan Azure aboneliğinin etkinleştirilip etkinleştirilmediğini ve kullanıma hazır olup olmadığını denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Azure, Intune ve Windows 365 aboneliklerini yönetmek için doğru ayrıcalıklara sahip bir hesap kullanın. Daha fazla bilgi için bkz . Rol tabanlı erişim denetimi (RBAC).
- Bulut bilgisayarların oluşturulmasını engelleyen tüm Azure ilkelerini devre dışı bırakın veya değiştirin. Daha fazla bilgi için bkz . İzin verilen VM SKU'larını kısıtlama.
- Aboneliğin ağ için yeterli kaynak kotalarına ve oluşturulacak en fazla Bulut bilgisayar sayısına göre genel sınırlara sahip olduğundan emin olun. Örnek olarak ağ geçidi boyutu, IP adresi alanı, sanal ağın boyutu ve gereken bant genişliği verilebilir. Daha fazla bilgi için bkz . Ağ sınırları ve Genel sınırlar.
Dependency Azure sanal ağ hazırlığı – Sanal ağın desteklenen bir Windows 365 bölgesinde olup olmadığını denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Bulut bilgisayar sağlama için Windows 365 Desteklenen Azure bölgelerinde sanal ağı oluşturun.
- Cloud PC sanal ağ bağdaştırıcılarını dağıtmak için varsayılan alt ağa ek olarak en az bir alt ağ oluşturun.
- Mümkün olduğunda, yönlendirme denetimlerine ve dağıtımın genişletilmesine izin vermek için ayrı bir sanal ağda Azure Güvenlik Duvarı, VPN ağ geçitleri veya ExpressRoute ağ geçitleri gibi paylaşılan ağ hizmetleri oluşturun.
Sanal ağlarda, Windows 365 hizmeti için gerekli URL'lere izin vermek için uygun dışlamalara sahip ağ güvenlik grupları (NSG) uygulayın. Daha fazla bilgi için bkz . Ağ gereksinimleri ve Ağ güvenlik grupları.
Dependency Azure alt ağ IP adresi kullanımı – Kullanılabilir yeterli IP adresi olup olmadığını denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Yeniden sağlama sırasında Bulut Bilgisayar oluşturma ve geçici IP adresi ayırma işlemlerini işlemek için yeterli IP adreslerine sahip sanal ağı oluşturun. Bulut için dağıttığınız maksimum Bulut bilgisayar sayısı 1,5 ile 2 kat daha fazla olan bir IP adresi alanı kullanmanız önerilir. Daha fazla bilgi için bkz . Genel ağ gereksinimleri.
- Azure sanal ağını şirket içi ağınızın mantıksal bir uzantısı olarak değerlendirin ve yönlendirme çakışmalarını önlemek için tüm ağlarınızda benzersiz IP adresi alanı atayın.
Dependency Uç nokta bağlantısı – Bulut bilgisayar sağlama için gereken dış URL'lere sanal ağdan ulaşılıp ulaşılmadığını denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Azure sanal ağı üzerinden Bulut bilgisayar sağlama için gereken tüm URL'lere izin verin. Daha fazla bilgi için bkz . Ağ bağlantısına izin verme.
- Uygulama kuralları oluşturmak ve Windows 365 Bulut PC sağlama için gereken URL'lere izin vermek üzere Windows 365, Azure Sanal Masaüstü ve Intune FQDN etiketlerinden yararlanmak için Azure Güvenlik Duvarı kullanın. Daha fazla bilgi için bkz. Windows 365 ortamlarını yönetmek ve güvenliğini sağlamak için Azure Güvenlik Duvarı kullanma.
- Gecikme ve yönlendirme sorunlarını önlemek için Uzak Masaüstü Protokolü (RDP) trafiğini herhangi bir ağ denetimi, ara sunucu veya işleme cihazından atlayabilir veya hariç tutabilirsiniz. Daha fazla bilgi için bkz . Trafik kesme teknolojileri.
- Son kullanıcı cihazından ve ağ tarafından ara sunucu ve ağ denetimleri için Windows 365 hizmet URL'lerine ve bağlantı noktalarına izin verin.
- Azure iç IP adresleri 168.63.129.16 ve 169.254.169.254'e izin verin, bu IP adresleri meta veriler veya sinyal gibi Azure platform hizmetleriyle iletişim için kullanıldığından. Daha fazla bilgi için bkz. IP adresi 168.63.129.16 nedir?, Azure Örnek Meta Veri Hizmeti ve Sanal Ağ SSS.
Dependency Intune kaydı – Intune'un Windows kaydına izin verirseniz denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Intune cihaz türü kayıt kısıtlamalarının Windows mobil cihaz yönetimi (MDM) platformuna kurumsal kayıt için izin verecek şekilde ayarlandığından emin olun.
- Microsoft Entra karma katılımı için, Microsoft Entra Connect'teki her etki alanı için hizmet bağlantı noktasını (SCP) yapılandırarak veya hedeflenen dağıtım modelini kullanarak cihazları otomatik olarak ayarlayın. Daha fazla bilgi için bkz . Microsoft karma katılımını ve Microsoft Entra karma birleştirme hedefli dağıtımı yapılandırma.
Dependency Birinci taraf uygulama izinleri – müşteri Azure aboneliği, kaynak grubu ve sanal ağ düzeylerindeki izinler için Windows 365 uygulaması denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Azure ağ bağlantısını ayarlamak için kullanılan hesabın, Azure sanal ağının oluşturulduğu Azure aboneliğinde okuma izinlerine sahip olduğundan emin olun.
- Azure aboneliğinde Windows 365 birinci taraf uygulaması için izinleri engelleyen hiçbir ilke olmadığından emin olun. Uygulamanın abonelik, kaynak grubu ve sanal ağ düzeyinde izinleri olmalıdır. Daha fazla bilgi için bkz . Azure gereksinimleri.
Dependency Yerelleştirme dil paketi – Dil paketi indirme konumlarının erişilebilir olup olmadığını denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Windows görüntülerinin uygun sürümü için gereken URL'lere Azure sanal ağında kullanılan güvenlik duvarı kuralları aracılığıyla izin verildiğinden emin olun. Daha fazla bilgi için bkz . Yerelleştirilmiş Windows deneyimi sağlama.
Dependency RDP Shortpath – Bağlanmanız için Kullanıcı Veri Birimi Protokolü (UDP) yapılandırmalarının yerinde olup olmadığını denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - UDP'nin dayanıklılığından yararlanmak için Bulut BILGISAYAR için RDP Kısa Yolu erişimini etkinleştirin. Daha fazla bilgi için bkz. Windows 365 ile genel ağlar için RDP Shortpath kullanma ve Windows 365 ile özel ağlar için RDP Shortpath kullanma.
Dependency Intune lisansı – Kiracının Windows kullanmak için uygun Intune lisanslarına sahip olup olmadığını denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Intune lisanslarının lisanslama gereksinimlerine uygun olarak size atandığından emin olun.
Dependency Çoklu oturum açma (SSO) denetimi – Kerberos sunucu nesnesinin Active Directory'de oluşturulup oluşturulmadiğini ve Microsoft Entra Id ile eşitlenip eşitlenmediğini denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Sağlama ilkesinde SSO seçeneğinin belirlendiğinden emin olun. Bu seçenek, etki alanına katılmış veya Microsoft Entra'ya katılmış Intune tarafından yönetilen bir fiziksel cihazdan oturum açma kimlik bilgilerini kullanarak ilkenin Bulut bilgisayarına bağlanmanızı sağlar. Daha fazla bilgi için bkz . Sağlama ilkeleri oluşturmaya devam etme.
Dependency DNS ad çözümlemesi – Azure ağ bağlantısındaki DNS'nin şirket içi Active Directory etki alanını çözümleyebildiğini denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Azure sanal ağının özel DNS, özel DNS veya özel çözümleyici kullanarak şirket içi Microsoft Entra etki alanının ad çözümlemesiyle yapılandırıldığından emin olun. Daha fazla bilgi için bkz. Azure DNS nedir?
- Sanal ağda yapılandırılan DNS sunucularının aynı coğrafyada olduğundan ve yeni sağlanan Bulut bilgisayarlarını gecikme olmadan kaydedediğinden emin olun. Sağlama gecikmelerine veya hatalarına neden olabilecek yayma gecikmelerini önlemek için DNS başvurusundan veya yeniden yönlendirmelerden kaçının.
Dependency Microsoft Entra etki alanına katılma – Microsoft Entra etki alanına katılım için sağlanan kimlik bilgilerinin geçerli olduğunu ve Bulut bilgisayarların etki alanına katılabileceğini denetler.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Microsoft Entra etki alanına katılma için sağlanan hesabın Azure ağ bağlantısı yapılandırmasında belirtilen Microsoft Entra kuruluş birimi üzerinde izinlere sahip olduğundan emin olun.
- Sağlanan hesabın etki alanına katılma sınırlaması olan standart bir kullanıcı hesabı olmadığından emin olun. Daha fazla bilgi için bkz . Kullanıcının etki alanına katabileceği iş istasyonu sayısı için varsayılan sınır.
- Belirtilen hesabın Microsoft Entra Id ile eşitlendiğinden emin olun.
- Azure ağ bağlantısında belirtilen OU'nun nesne sınırı olmadığından emin olun. Daha fazla bilgi için bkz . Kuruluş birimindeki bilgisayar hesabı sınırını artırma.

Daha fazla bilgi için bkz . Windows 365'te Azure ağ bağlantısı sistem durumu denetimleri.

Azure ağ bağlantısı yapı taşları önerileri

Bu bölümde, Windows 365 Azure ağ bağlantısı mimarisi deseninin yapı taşları dökümü sağlanır.

Azure aboneliği

Azure ağ bağlantısı mimarisi deseninde Windows 365 kullanımı iki tür Azure aboneliği, bir Microsoft aboneliği ve bir müşteri aboneliği içerir

Windows 365, Windows 365 müşterilerine hizmet sunmak için model adına barındırılan öğesini kullanır. Bu modelde Cloud PC, Microsoft'un sahip olduğu Azure aboneliklerinde sağlanır ve çalıştırılırken, Cloud PC'nin ağ bağdaştırıcısı müşterinin Azure aboneliğinde sağlanır. Aşağıdaki diyagramlarda iki Azure ağ bağlantısı mimarisi deseni gösterilmektedir. Müşteriler kendi Azure aboneliklerini ve sanal ağlarını kullanır.

Microsoft Entra join kimliğini kullanan mimari deseninin diyagramı.Bu mimarinin bir Visio dosyasını indirin.

Önceki mimari düzeni, Bulut bilgisayarı yönetmek için Microsoft Entra katılım kimliğini kullanır.

Microsoft Entra karma birleştirme kimliğini kullanan mimari deseninin diyagramı.Bu mimarinin bir Visio dosyasını indirin.

Önceki mimari düzeni, Bulut bilgisayarı yönetmek için Microsoft Entra karma birleştirme kimliğini kullanır ve şirket içi ortamlardaki Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicileriyle bir görüş hattı ağ iletişimi gerektirir.

Bileşen Azure aboneliği – Bulut bilgisayar için şirket içi ortama ve İnternet'e bağlantı sağlamak için kullanılan sanal ağı barındıran Azure aboneliği.
Mimari desenleri Microsoft Entra join için Azure ağ bağlantısı, Microsoft Entra karma katılımı için Azure ağ bağlantısı
Öneriler - Şirket içi ortama geri bağlantı sağlamak için sanal ağa ve ExpressRoute veya VPN ağ geçitlerine sahip bir abonelik oluşturun veya kullanın.
- İzin ve kaynak yönetimi sağlamak üzere Bulut bilgisayar için ayrılmış bir kaynak grubu oluşturun.
- Sanal ağ arabirim kartı (vNIC) nesnelerinin otomatik olarak oluşturulmasını ve silinmesini ve IP adresi atamasını veya yayınını önleyen Bulut BILGISAYARı kaynak gruplarını ve sanal ağı Azure ilkelerinden hariç tutun. Daha fazla bilgi için bkz . Altyapınızı ve Azure gereksinimlerinizi korumak için kaynaklarınızı kilitleme.
- Daha iyi IP adresi yönetimi ve yönlendirme denetimleri için ayrılmış sanal ağlar oluşturun.

Sanal Ağ ve karma bağlantı

Windows 365 Azure ağ bağlantısı tabanlı mimari desenleri için bir veya daha fazla Azure sanal ağı gerekir. Sanal ağlar, bulut bilgisayar sağlamak için şirket içi ortamlara ve İnternet üzerinden bağlantı sağlar. Cloud PC'nin sanal ağ bağdaştırıcısı, Azure aboneliği bölümünde açıklandığı gibi müşteriye ait aboneliğin Azure sanal ağında sağlanır.

Azure ağı, mevcut şirket içi ağa veya Azure ağına bağlı olarak çeşitli tasarım karmaşıklıklarıyla dağıtılabilir. Temel karma ağ tasarımını kullanmaya başlamak için bkz . Güvenli karma ağ uygulama.

Azure sanal ağ mimarisi tasarlarken aşağıdaki faktörleri göz önünde bulundurun:

  • IP adresi alanı: IP adresi alanının boyutu, desteklenen Bulut bilgisayar sayısına bağlıdır. Dağıtılan Bulut bilgisayar sayısının en az 1,5 katı kadar planlayın. Ek IP adresleri, Bulut bilgisayarların sağlanması ve sağlamasını kaldırma sırasında kullanılan IP adresleri için hesaba katılır.

  • Ad çözümlemesi: Bulut bilgisayar tarafından bir Microsoft Entra karma katılım dağıtımında şirket içi etki alanı adını çözümlemek veya bir Microsoft Entra katılım dağıtım modelindeki internet kaynaklarını veya Azure kaynaklarını çözümlemek için kullanılan DNS işlemi.

    • Mevcut şirket içi DNS altyapınızı kullanmak için, ad çözümlemesi için bir veya daha fazla DNS sunucularının IP adreslerini yapılandırın. Daha fazla bilgi için bkz . DNS gereksinimleri.
    • Azure sanal ağında kullanılan DNS sunucusu IP'sinin Bulut bilgisayarla aynı coğrafyaya ait olduğundan ve DNS kayıt isteklerini başka bir bölgeye yönlendirmediğinden emin olun. Aksi takdirde gecikmeli veya başarısız dağıtımlara ve Azure ağ bağlantısı sistem durumu denetimlerine neden olur.
    • Azure DNS tabanlı ad çözümlemesi için genel veya özel Azure DNS'yi veya özel çözümleyici seçeneğini kullanın. Daha fazla bilgi için bkz . Azure DNS belgeleri.

  • Ağ topolojisi: Azure ağı, farklı kullanım örneklerini barındırmak için topolojileri destekler.

    • Sanal ağ eşlemeli merkez-uç topolojisi: Bu topoloji, kendi uç ve merkez sanal ağlarıyla hizmetlerin yalıtımını sağlamanın en basit yoludur. Paylaşılan hizmetler Azure Güvenlik Duvarı ve ağ geçitlerini içerir. Bulut bilgisayarı bir veya daha fazla uç sanal ağında dağıtmak için basit, tek siteli bir tasarımınız varsa bu topolojiyi seçin. Daha fazla bilgi için bkz . Merkez-uç ağ topolojisi.
    • Azure Sanal WAN ile merkez-uç topolojisi: Sanal WAN, karmaşık ağ gereksinimlerini etkinleştiren ağ, güvenlik ve yönetim özelliklerini bir araya getiren bir Azure ağ hizmetidir. Belirli güvenlik duvarı ve yönlendirme gereksinimlerine sahip çok siteli, çok bölgeli dağıtımlar için bu topolojiyi kullanın. Daha fazla bilgi için bkz. Sanal WAN ile Merkez-uç ağ topolojisi.

  • Ağ geçidi: Azure ağ geçitleri, bir sanal ağdan şirket içi ağa bağlantı sağlar. VPN ve ExpressRoute ağ geçitleri vardır. ExpressRoute veya VPN bağlantı yöntemine karar vermeden önce Bulut bilgisayarın en yüksek bant genişliği gereksinimlerinin dikkate alındığından emin olun. Hem VPN hem de ExpressRoute ağ geçitleri, sağlanan bant genişliği miktarından ve diğer ölçümlerden farklı katmanlarda veya SKU'larda sunulur. Daha fazla bilgi için bkz. ExpressRoute kullanarak şirket içi ağı genişletme ve ExpressRoute kullanarak şirket içi ağı Azure'a bağlama.

Yönlendirme yapılandırmaları

Windows 365 Azure ağ bağlantısı hizmeti, Azure ağ bağlantısı tabanlı mimaride Microsoft Entra katılımı veya Microsoft Entra karma katılımı Bulut bilgisayarlarını sağlamak için müşterinin ortamının sistem durumunu ve hazırlığını belirlemek için otomatik sistem durumu denetimlerini kullanır. Azure sanal ağınızda ve ilişkili ağ hizmetlerinizde uygun yönlendirme yapılandırmaları olmadan, Bulut bilgisayar dağıtımınızda hata veya gecikme olasılığı yüksektir. Windows 365 ağ mimarisi için yönlendirmeyi iyileştirmek için aşağıdaki önerileri göz önünde bulundurun:

  • İzin verilenler listesi için gerekli URL'ler: Microsoft Entra karma katılımı ve Microsoft Entra'ya katılma Azure ağ bağlantısı modelinde dağıtılan her Bulut bilgisayarı, işletim sistemi virüsten koruma, ağ güvenlik duvarları ve yük dengeleyiciler aracılığıyla çeşitli URL'lere izin alınmasını gerektirir. Tüm URL'lere izin verildiğinden emin olun. Daha fazla bilgi için bkz . Ağ bağlantısına izin verme.

  • Azure FQDN etiketlerini kullanma: Azure Güvenlik Duvarı hizmetini kullanırken, Azure Sanal Masaüstü, Windows 365 ve Intune için gerekli URL'lere izin vermek için Azure FQDN etiketlerini kullanın. Daha fazla bilgi için bkz. Windows 365 ortamlarını yönetmek ve güvenliğini sağlamak için Azure Güvenlik Duvarı kullanma.

  • Geçişi etkinleştirme: Windows 365, güvenlik duvarı veya SSL şifre çözme aleti gibi trafik denetleme cihazları tarafından sunulan gecikme süresine duyarlı olan RDP protokollerini kullanır. Bu gecikme süresi kötü bir deneyime neden olabilir, bu nedenle bu URL'lerin trafik incelemesini devre dışı bırakın ve bunun yerine geçiş özelliğini etkinleştirin. Daha fazla bilgi için bkz . Trafik kesme teknolojileri.

  • Ara sunucuyu atlama: İnternet erişimine uygun olan bulut ve geleneksel ara sunucu hizmetleri, RDP bağlantılarında gecikme süresine neden olur. Bu gecikme süresi, son kullanıcının fiziksel cihazından veya Bulut bilgisayardan gelen bağlantı bir ara sunucu üzerinden zorlandığında ve sık sık bağlantı kesilmesine, gecikmelere ve yavaş yanıt sürelerine neden olduğunda ortaya çıkar. *.wvd.microsoft.com ve Windows 365 ağ geçidi IP aralıklarını kullanıcının fiziksel cihazındaki, fiziksel cihazın bağlı olduğu ağda ve Bulut bilgisayarda ara sunucu hizmetlerini atlamak için ayarlayın.

Daha fazla bilgi için bkz . Windows 365 için RDP bağlantısını iyileştirme.

  • En kısa yol yönlendirmesi: Bulut bilgisayardan gelen RDP trafiğinin en kısa yol üzerinden Sanal Masaüstü hizmet uç noktalarına ulaştığından emin olun. İdeal yol bir sanal ağdan, doğrudan İnternet üzerinden Sanal Masaüstü ağ geçidi IP'sine gitmektir. Ayrıca son kullanıcının fiziksel cihazından gelen RDP trafiğinin doğrudan Sanal Masaüstü ağ geçidi IP'sine ulaştığından emin olun. Bu yapılandırma en iyi yönlendirmeyi sağlar ve kullanıcı deneyimini düşürmez. RDP trafiğini bulut proxy hizmetleri veya şirket içi ağlar aracılığıyla İnternet'e yönlendirmekten kaçının.

  • RDP Shortpath: Son kullanıcı ağları, Azure ağları ve Bulut bilgisayarları için RDP Kısa Yol tabanlı erişimi etkinleştirin. RDP Shortpath, RDP trafiğini iletmek için UDP kullanır. TCP'nin aksine, yüksek gecikme süreli ağ bağlantılarına dayanıklıdır. UDP ayrıca RDP paketlerini verimli bir şekilde aktarmak için kullanılabilir ağ bant genişliğinden en üst düzeyde yararlanır ve bu da gelişmiş bir kullanıcı deneyimine yol açar. Daha fazla bilgi için bkz . Windows 365 ile genel ağlar için RDP Kısa Yolu kullanma.

  • Bulut bilgisayar yerleşimi: En iyi kullanıcı deneyimi ve yönlendirme performansı için, müşterilerin eriştikleri iş uygulamaları veya ağ ile ilgili olarak nerede olduklarını belirleyin. Ayrıca müşterilerin LOB uygulamalarına erişirken harcadığı süreyi, diğer uygulamalara eriştiği zamana kıyasla düşünün. Aşağıdaki iki olası dağıtım seçeneğine bakın:

    • Aşağıdaki dağıtım modeli, müşterilerin iş zamanının çoğunu Microsoft 365'teki uygulamalar gibi yerel olarak yüklenen uygulamalar üzerinde çalışmak yerine LOB uygulamalarına erişerek harcarsa en uygun olabilir. Bu model, Bulut bilgisayarı LOB uygulamasıyla (Coğrafya B) aynı bölgeye yerleştirerek LOB uygulamaları ile Bulut BILGISAYAR erişim gecikme süresini en iyi duruma getirir. Bu iyileştirme, ağ geçidi coğrafi olarak son kullanıcıya (Coğrafya A) yakın olsa da gerçekleşir. Aşağıdaki diyagramda son kullanıcıdan LOB uygulamalarına olası trafik akışı gösterilmektedir.

      Kullanıcılardan uygulamalara olası trafik akışını gösteren akış grafiği diyagramı.Bu mimarinin PowerPoint dosyasını indirin.

    • Müşteriler zaman zaman B Coğrafyası'ndaki LOB uygulamalarına erişiyorsa, BULUT PC'yi müşterilere daha yakın bir şekilde dağıtmak, LOB uygulamaları erişim gecikmesi üzerinden Bulut bilgisayar erişim gecikme süresini iyileştirdiğinden en uygun olabilir. Aşağıdaki diyagramda, böyle bir senaryoda trafiğin nasıl akabileceği gösterilmektedir.

      Kullanıcılardan uygulamalara olası bir trafik akışını gösteren akış grafiği diyagramı.Bu mimarinin PowerPoint dosyasını indirin.

AD DS önerileri

Microsoft Entra karma katılım mimarisinde, şirket içi AD DS altyapısı yetkinin kimlik kaynağı olarak görev yapar. Düzgün yapılandırılmış ve iyi durumda bir AD DS altyapısına sahip olmak, Windows 365 dağıtımını başarılı hale getirmek için önemli bir adımdır.

Şirket içi AD DS birçok yapılandırmayı ve farklı karmaşıklık düzeylerini desteklediğinden, sağlanan öneriler yalnızca temel en iyi yöntemleri kapsar.

  • Microsoft Entra karma katılım senaryosu için, AD DS'yi Sanal ağda AD DS'yi dağıtma başlığındaki mimari başvurusunda açıklandığı gibi Azure VM'lerinde dağıtabilirsiniz. Şirket içi Microsoft Entra etki alanı denetleyicinize doğrudan görüş hattı sağlamak için karma ağ bağlantısı da kullanabilirsiniz. Daha fazla bilgi için bkz . Güvenli karma ağ uygulama.
  • Microsoft Entra katılımı dağıtımı için Şirket içi Microsoft Entra etki alanlarını Microsoft Entra Kimliği ile tümleştirme başlığındaki başvuru mimarisini izleyin.
  • Windows 365, test VM hesabı oluşturan otomatik testin bir parçası olarak bir izleme hizmeti kullanır. Bu hesap, Azure ağ bağlantısı yapılandırmasında belirtilen kuruluş biriminde devre dışı olarak gösterilir. Bu hesabı silmeyin.
  • Microsoft Entra karma birleştirme modelinde kullanımdan kaldırılan tüm Bulut bilgisayarlar devre dışı bırakılmış bir bilgisayar hesabının arkasında kalır ve bu hesabın AD DS'de el ile temizlenmesi gerekir.
  • Microsoft Entra Etki Alanı Hizmetleri, Microsoft Entra karma katılımını desteklemediğinden kimlik kaynağı olarak desteklenmez.

DNS önerileri

Azure ağ bağlantısı dağıtım mimarisinde, DNS sunucuları veya Azure sanal ağı tarafından kullanılan başka bir DNS hizmeti çok önemli bir bağımlılıktır. Sağlıklı bir altyapının olması önemlidir.

  • Microsoft Entra karma birleştirme yapılandırması için DNS, Bulut bilgisayarın katılması gereken etki alanını çözümleyebilmelidir. Azure sanal ağ yapılandırmasında DNS sunucu IP'nizi belirtmek için kullanabileceğiniz birden çok yapılandırma seçeneği vardır. Daha fazla bilgi için, bkz. Kendi DNS sunucunuzu kullanan ad çözümlemesi.
  • Azure'da ve şirket içi ortamlarda çok bölgeli, çok etki alanılı kurulum gibi altyapının karmaşıklık düzeyine bağlı olarak, Azure DNS özel bölgeleri veya Azure DNS Özel Çözümleyicisi gibi bir hizmet kullanmalısınız.

Bulut bilgisayar bağlantısı önerileri

Dağıtılan Bulut bilgisayarları, Sanal Masaüstü ağ geçidi hizmetine ve sanal masaüstü ağ geçidi hizmetinden kesintisiz bağlantı akışına izin verecek şekilde yapılandırılmalıdır. Uygulamaları bir Windows işletim sistemi yapılandırmasının parçası olarak dağıtırken aşağıdaki önerileri göz önünde bulundurun:

  • VPN tüneli kurulduğunda oturumun bağlantısını kesebileceğinden, kullanıcı oturum açtığında VPS istemcisinin başlatılmadığından emin olun. Kullanıcının ikinci kez oturum açması gerekir.
  • VPN, proxy, güvenlik duvarı ve virüsten koruma ile kötü amaçlı yazılımdan koruma uygulamalarını 168.63.129.16 ve 169.254.169.254 IP adresleri için trafiğe izin verecek veya bu trafiği atlayacak şekilde yapılandırın. Bu IP adresleri, meta veriler ve sinyal gibi Azure platform hizmetleriyle iletişim için kullanılır. Daha fazla bilgi için bkz. IP adresi 168.63.129.16 nedir?, sanal makineler için Azure Örnek Meta Veri Hizmeti ve Sanal Ağ SSS.
  • Kalıcı bağlantı kesilmesine neden olabileceğinden, Bulut bilgisayarların IP adreslerini el ile değiştirmeyin. IP adresleri süresiz kirayla atanır ve Azure ağ hizmetleri tarafından Bulut bilgisayarın yaşam döngüsü boyunca yönetilir. Daha fazla bilgi için bkz. Tahsisat yöntemleri.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Diğer katkıda bulunanlar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

Cloud PC dağıtımınızı planlama

Windows 365 mimarisi

Windows 365 kimlik ve kimlik doğrulaması

Windows 365'te bulut bilgisayar yaşam döngüsü

Active Directory Etki Alanı Hizmetlerine genel bakış

Windows 365'te veri şifreleme

Sanal masaüstü ağ bağlantısını anlama

Web uygulamaları mimarisi tasarımı