Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure Güvenlik Duvarı kullanarak Windows 365 ortamınızı basitleştirme ve koruma açıklanmaktadır. Burada açıklanan örnek mimari, doğrudan ve iyileştirilmiş bir bağlantı yolu aracılığıyla gerekli uç noktalara düşük bakım ve otomatik erişim sağlar. Bu mimari örneğini ortamınızda çoğaltmak için Azure Güvenlik Duvarı ağ kurallarını ve tam etki alanı adı (FQDN) etiketlerini kullanabilirsiniz.
Not
Bu makale, Azure ağ bağlantıları (ANC) ile Windows 365 dağıtan müşteriler için geçerlidir. Temel alınan güvenlik ve bağlantıyı Microsoft yönettiğinden, bu makale Microsoft tarafından barındırılan ağları kullanan ortamlar için geçerli değildir. Her bir ağ dağıtımı hakkında daha fazla bilgi için bkz. Windows 365 ağ dağıtım seçenekleri.
Windows 365 hizmeti, çoğu Microsoft'un altyapısında bulunan kritik hizmet uç noktalarına iyileştirilmiş ve uyumlu olmayan bağlantı gerektirir. İnternet üzerinden şirket içi ağları kullanarak bu kaynaklara bağlanmak verimli değildir ve önerilmez. Bu tür bağlantıların yapılandırılması ve yönetilmesi de karmaşık olabilir.
Örneğin, ANC dağıtım modelini kullanan bazı Windows 365 müşterilerinin ExpressRoute veya Siteden Siteye VPN kullanan bir şirket içi ortama doğrudan bağlantısı olabilir. Giden trafik, şirket içi trafikle aynı şekilde mevcut bir ara sunucu kullanılarak yönlendirilebilir. Bu bağlantı stratejisi Windows 365 ortamlar için iyileştirilmemiştir ve performansta önemli bir etki yaratma olasılığı vardır.
Bunun yerine, en iyi duruma getirilmiş, güvenli, düşük bakım ve otomatik erişim sağlamak için ANC Windows 365 ortamlarınızla Azure Güvenlik Duvarı kullanabilirsiniz. Güvenli bir web ağ geçidine gidenler gibi kritik uzak masaüstü protokolü (RDP) trafiğini ve diğer uzun ömürlü bağlantıları iyileştirmek için doğrudan bir yol da kullanabilirsiniz.
Windows 365 için gerekli uç noktalar
Windows 365 aşağıdaki uç noktalara erişim gerektirir:
Ayrıca, ortamdan iyileştirilmiş bağlantıyı yapılandırırken diğer Microsoft hizmetlerine (Office 365 gibi) erişimi de göz önünde bulundurabilirsiniz.
Belirli hizmetlere yönelik FQDN etiketleri, bu kuralların basit bir şekilde yapılandırılmasına ve korunmasına yardımcı olmak amacıyla Azure Güvenlik Duvarı için kullanılabilir ve bu belgenin ilerleyen bölümlerinde ele alınmaktadır.
Azure Güvenlik Duvarı ve FQDN etiketlerini kullanan örnek mimari
Azure'da ağı yapılandırmanın birçok yolu vardır. Burada şunları kullanırız:
- Giden erişimi yönetmeye Azure Güvenlik Duvarı sahip tek bir sanal ağ.
- RDP trafiğini doğrudan Microsoft'a göndermek için iyileştirme.
- VNet'i şirket içi ortama geri bağlamak için bir ExpressRoute bağlantı hattı.
Bu diyagramdaki trafik akışı:
- Contoso Kurumsal Ağ: Bu şirket içi IP alt ağı, ExpressRoute ağ geçidi aracılığıyla sanal ağa tanıtılır. Bu aralığa giden tüm trafik (10.0.0.0/8) ExpressRoute bağlantı hattı üzerinden gönderilir.
- Windows 365 alt ağından gelen diğer tüm trafik, 0.0.0.0/0 kullanıcı tanımlı bir yol (UDR) yoluyla Azure güvenlik duvarına gönderilir. Sonraki atlama IP'si Azure Güvenlik Duvarı özel IP'sine ayarlanır.
- Güvenlik Duvarı'nın uygulama kuralları (ve FQDN etiketleri) ve gerekli Windows 365 uç noktaları için yapılandırılmış ağ kuralları vardır. Kurallara uyan trafiğe izin verilir. Açıkça izin verilmeyen diğer tüm trafik engellenir.
- Başka bir UDR, SONRAKI atlama "İnternet" olarak ayarlanmış rdp bağlantısı için IP aralıklarını taşıyan "WindowsVirtualDesktop" hizmet etiketini işaret eder. Bu UDR, RDP trafiğinin güvenlik duvarından geçmesini engeller ve doğrudan Microsoft'un ağına yerleştirilir.
RDP bağlantı iyileştirmesi
Bu örnek yapılandırmada RDP, "WindowsVirtualDesktop" hizmet etiketini "internet" olarak işaret etmek için belirli bir UDR ile yapılandırılır. Bu yapılandırma, bu yüksek hacimli ve gecikmeye duyarlı trafiğin altyapıya yönelik doğrudan ve yüksek verimli bir yola sahip olduğu ve güvenlik duvarına gereksiz yük yerleştirmekten kaçındığı anlamına gelir. RDP için en yüksek performanslı ve güvenilir yolu sağlamak için bu yapılandırmanın uygulanması önerilir. Bu UDR'nin hedefi "İnternet" olsa da, bu trafik Microsoft uç noktalarına yönelik olsa da, Bulut bilgisayardan RDP altyapısına gelen bu trafik İnternet'e ulaşmaz ancak Microsoft omurgası içinde kalır.
Not
Bu örnek tasarım varsayılan giden erişimi kullanır. Eylül 2025'te, yeni dağıtımlar için varsayılan giden erişim kullanımdan kaldırılacaktır. Mevcut dağıtımlar için kullanılabilir olmaya devam edecektir. Kullanımdan kaldırma hakkında daha fazla bilgi için resmi duyuruya bakın. Eylül ayından sonra, bu işlevi sağlamak için yeni dağıtımlarda NAT Ağ Geçidi gibi açık bir NAT biçimi kullanılabilir. Kullanılan alt ağa NAT Ağ Geçidi eklemek, NAT Ağ Geçidi'nin varsayılan giden erişim yerine "İnternet"e yönlendirilen trafik için kullanıldığı anlamına gelir.
Uygulama kurallarını Azure Güvenlik Duvarı
Diyagramdaki ortam aşağıdaki Azure Güvenlik Duvarı uygulama kuralları kullanılarak ayarlanmıştır (açıklama balonu 3'te uygulanır). Contoso şirket içi alt akını hedefleyen tüm trafik güvenlik duvarına yönlendirilir. Bu kurallar tanımlı trafiğin hedefine çıkışını sağlar. Azure Güvenlik Duvarı dağıtma hakkında daha fazla bilgi için bkz. Azure portal kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.
| Kural Açıklaması | Hedef türü | FQDN etiket adı | Protokol | Aktarım Katmanı Güvenliği (TLS) incelemesi | Gerekli/İsteğe Bağlı |
|---|---|---|---|---|---|
| FQDN'leri Windows 365 | FQDN Etiketi | Windows365 | HTTP: 80, HTTPS: 443 | Önerilmez | Gerekli |
| FQDN'leri Intune | FQDN Etiketi | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Önerilmez | Gerekli |
| FQDN'leri Office 365 | FQDN Etiketi | Office365 | HTTP: 80, HTTPS: 443 | İyileştirme & izin ver kategorileri için önerilmez | İsteğe bağlı, ancak önerilir |
| Windows Update | FQDN Etiketi | WindowsUpdate | HTTP: 80, HTTPS: 443 | Önerilmez | İsteğe bağlı |
| Citrix HDX Plus | FQDN Etiketi | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Önerilmez | İsteğe bağlı (yalnızca Citrix HDX Plus kullanılırken gereklidir) |
Azure Güvenlik Duvarı, İnternet'e giden bağlantı sağlamak için genel IP adresleriyle ilişkilendirilebilir. giden Kaynak Ağ Adresi Çevirisi (SNAT) sağlamak için ilk Genel IP rastgele seçilir. Sonraki kullanılabilir genel IP, ilk IP'den tüm SNAT bağlantı noktaları tükendikten sonra kullanılır. Yüksek aktarım hızı gerektiren senaryolarda Azure NAT Ağ Geçidi kullanılması önerilir. NAT Gateway giden bağlantıyı dinamik olarak ölçeklendirir ve bir Azure Güvenlik Duvarı ile tümleştirilebilir. Daha fazla bilgi için bkz. NAT Gateway'i Azure Güvenlik Duvarı öğreticisiyle tümleştirme.
Windows365 etiketi
Windows365 etiketi, el ile girilmesi gereken standart olmayan bağlantı noktalarına sahip uç noktalar dışında gerekli Azure Sanal Masaüstü (AVD) uç noktalarını içerir (Ağ kuralları bölümüne bakın).
Windows365 etiketi Intune içermez. MicrosoftIntune etiketi ayrı olarak kullanılabilir.
Windows365 FQDN etiketi, bu belgenin ayrı satırlarında Gerekli olarak listelenen ve ayrı olarak yapılandırılması gereken uç noktalar dışında tüm gerekli uç noktaları içerir. FQDN etiketleri bir hizmet etiketinden farklıdır. Örneğin, WindowsVirtualDesktop hizmet etiketi yalnızca *.wvd.microsoft.com çözümlediğini IP adreslerini içerir.
Ağ kuralları
Azure Güvenlik Duvarı şu anda FQDN etiketindeki standart olmayan bağlantı noktalarını işlemez. Windows 365 standart olmayan birkaç bağlantı noktası gereksinimi vardır, bu nedenle aşağıdaki kuralların FQDN etiketlerine ek olarak Ağ Kuralları olarak el ile eklenmesi gerekir.
| Kural Açıklaması | Hedef türü | FQDN/IP | Protokol | Bağlantı noktası/sn | TLS denetimi | Gerekli/İsteğe Bağlı |
|---|---|---|---|---|---|---|
| Windows Etkinleştirme | FQDN | azkms.core.windows.net | TCP | 1688 | Önerilmez | Gerekli |
| Kayıt | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| TURN aracılığıyla Kullanıcı Veri Birimi Protokolü (UDP) bağlantısı | IP | 20.202.0.0/16 | UDP | 3478 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Önerilmez | Gerekli |
İş ortağı güvenlik çözümü seçenekleri
Windows 365 ortamınızı korumaya yardımcı olmanın diğer yolları, Windows 365 hizmeti için gerekli uç noktalara erişmek için otomatik kural kümeleri sağlayan iş ortağı güvenlik çözümü seçenekleridir. Bu tür seçenekler şunlardır:
- Check Point Yazılım Teknolojileri Güncelleştirilebilir Nesneleri
Sonraki adımlar
Windows 365 mimarisi hakkında daha fazla bilgi edinin.
FQDNS hakkında daha fazla bilgi edinmek için bkz. FQDN etiketlerine genel bakış.
Hizmet etiketleri hakkında daha fazla bilgi edinmek için bkz. Sanal ağ hizmet etiketleri.