Aracılığıyla paylaş

ağ dağıtımı seçeneklerini Windows 365

  • Makale

Windows 365 hizmetinin ağ dağıtımı için iki seçeneğiniz vardır:

  • Microsoft tarafından barındırılan bir ağ kullanma
    • Önerilen seçenek.
    • Basitlik, güvenilirlik ve ölçeklenebilirlik Windows 365 Hizmet Olarak Yazılım (SaaS) özellikleri için idealdir.
    • Microsoft Entra birleştirme kimlik modelini destekler.
    • Azure aboneliği veya uzmanlığı gerekmez.
  • Azure Ağ Bağlantılarını (ANC) kullanma
    • Hem Microsoft Entra birleştirmeyi hem de karma birleşim kimliği modellerini Microsoft Entra destekler.

Microsoft tarafından barındırılan ağ

Microsoft'un hizmeti gerçek bir SaaS yaklaşımıyla sağladığı Cloud PC bağlantısı sunan bu seçenek basit, güvenilir ve ölçeklenebilirdir. Bu seçenekle, Microsoft:

  • Kullanıcılarınıza işlevsel Bulut bilgisayarları sunmak için gereken altyapıyı ve ilgili hizmetleri ayarlar ve tam olarak yönetir.
  • Bulut bilgisayarların kapsadığını ağı yönetir.
  • Son Kullanıcı Bilgi İşlem (EUC) ortamının Sıfır Güven Framework ile uyumlu bir modelini sağlar. Daha fazla bilgi için bkz. Buluta özel uç noktalar hakkında daha fazla bilgi edinin.

Müşterinin tek sorumluluğu Bulut bilgisayarların yapılandırması ve yönetimidir.

Microsoft, müşterilerin Windows 365 dağıtımları için bu seçeneği kullanmasını önerir.

Kendi Azure aboneliklerinizi getirmeniz, altyapıyı planlamanız, tasarlamanız, dağıtmanız veya yönetmeniz gerekmez. Müşteriler, EUC ekiplerini, Intune tarafından sağlanan tek bir yönetim konsolundan Bulut BILGISAYAR yapılandırmalarını ve güvenliğini yönetmeye odaklanmaya ayırabilir.

Bu seçenek, çalışana evde kullanması için bir dizüstü bilgisayar sağlamakla benzerdir. Bir kuruluş olarak cihazın üzerinde yer alan ağı siz denetlemezsiniz. Windows cihazının nasıl yapılandırıldığını, güvenli hale getirilip şirket içi ağınıza nasıl bağlanıldığını tam olarak denetlersiniz. Windows 365 ile bu denetim, uçtan uca Sıfır Güven Güvenlik Çerçevesi ile uyumlu uyarlamalı güvenlik denetimleri ve yapılandırmaları sayesinde mümkündür.

Örneğin, kullanıcıların kimlik doğrulaması Microsoft Entra Koşullu Erişim uyarlamalı denetimleriyle yapılabilir. Şirket bağlantısı VPN kullanılarak teslim edilebilir. İnternet güvenliği bulut tabanlı güvenli bir web ağ geçidi (SWG) kullanabilir. Bunun avantajı, cihazların yüksek bant genişliğine ve dayanıklı ağa ihtiyaç duyulduğu zaman kısa bir zaman diliminde uygun ölçekte dağıtılabilmesidir.

Diyagram: Microsoft tarafından barındırılan ağ seçeneği - yalnızca katılma Microsoft Entra

Bu diyagramda, Microsoft tarafından yönetilen bir abonelik içinde Bulut bilgisayar ve sanal ağ kartı ile Microsoft tarafından barındırılan ağ gösterilmektedir.

Microsoft tarafından barındırılan ağ seçeneğinin diyagramı

Microsoft tarafından barındırılan ağ seçeneğinin avantajları

  • Azure aboneliği gerekmez. Microsoft, Bulut bilgisayarın çalışması için gereken altyapıyı sağlar ve tam olarak yönetir. Tek ihtiyacınız olan gerekli lisanslardır.
  • Ağ altyapısı için ek maliyet yoktur. Kendi sanal ağınızı (VNet) ve sanal gereçleri çalıştırmanın Azure maliyetleri geçerli değildir. Microsoft, ağ altyapısını üstlenir.
  • Azure ağ uzmanlığı veya yönetimi gerekmez. Sanal ağ, Microsoft tarafından tamamen yönetilir.
  • Düşük karmaşıklık ve hızlı dağıtım. Müşteri tarafı öğelerine çok az bağımlılık olduğundan dağıtımda düşük karmaşıklık vardır.
  • Sıfır güven hizalaması. Kullanıcı, uç nokta, iş yükü ve veri sinyalleri için Sıfır Güven işlem modeli, ağ konumuna güven uygulamak yerine doğrulama için kullanılır.
  • Daha basit sorun giderme ve işlemler. Ağ sorunlarını gidermek ve saptamak ve Intune ilkelerine, güvenlik denetimlerine ve yerleşik raporlama özelliklerine göre modern cihaz yönetimini benimsemek daha kolaydır.

Husus -lar

Microsoft tarafından barındırılan ağ seçeneğini kullanmadan önce şu noktaları gözden geçirin:

  • Bu seçenek Microsoft Entra karma birleştirme modeliyle uyumlu değildir. Bu seçenek, şirket içi Active Directory Etki Alanı Hizmetleri altyapısına bağlantısı olmayan yalnızca bulut dağıtımıdır. Intune'a dönüştürülemez grup ilkesi Nesne tabanlı yönetim ilkeleriniz varsa, bu seçenek sizin için doğru seçenek değildir.
  • Sanal ağ denetimi yok. Sanal NIC, Microsoft tarafından yönetilir. Bu nedenle, tüm ağ denetimleri, evden çalışma senaryosundaki fiziksel cihazlara benzer şekilde Bulut bilgisayarın kendisinde uygulanmalıdır.
  • Şirket içi kaynaklara doğrudan erişim yoktur. Bu kaynaklara erişmek için bir VPN veya özel erişim çözümü gereklidir. VPN'leri bulut bilgisayarla kullanırken RDP trafiğinin VPN üzerinden yönlendirilemediğinden emin olmak için bölünmüş tünel kullanın.
  • Intune gibi bir bulut yerel yönetim işlemi modeli gerektirir.
  • Bağlantı noktası 25 engellendi.
  • Ping/ICMP engellendi.
  • Bulut bilgisayarlar arasındaki yerel ağ iletişimi engellenir.
  • Bulut bilgisayarlara doğrudan gelen bağlantı mümkün değildir.
  • Yöneticilerin Bulut bilgisayarlara atanan IP adresi aralıklarını ve/veya adres alanını denetlemesi mümkün değildir. Windows 365 IP adreslerini otomatik olarak işler.

Azure Ağ Bağlantısı seçeneği

Azure Ağ Bağlantısı (ANC) dağıtım seçeneğiyle sanal ağdan ve yapılandırmasından tamamen siz sorumlu olursunuz. karma birleştirme modeli Microsoft Entra kullanıyorsanız bu dağıtım seçeneğini kullanmanız gerekir. Bu seçenek, şirket içi Azure Dizini kaynaklarınıza görüş çizgisi sağlar ve aşağıdaki gibi ağ ve güvenlik hedeflerini özelleştirmenize olanak tanır:

  • Trafik yolları.
  • Bağlantı noktaları ve protokoller.
  • Active Directory DS ve iş kolu uygulaması bağlantısı.
  • VPN veya ExpressRoute kullanan ağ geçidi bağlantıları.
  • Bulut bilgisayarlar tarafından kullanılan adres alanı.
  • Bulut bilgisayarlar arasındaki iletişim izinleri.
  • RDP bağlantılarını Bulut bilgisayarlara yönlendirin.

Azure aboneliğinizdekilerden sanal ağı seçersiniz. Sanal ağınızda Bulut bilgisayarları oluşturan sağlama ilkelerini yapılandıracaksınız. Sanal ağdan gelen tüm doğrudan çıkışlar ve istenen İnternet erişim yolu da dahil olmak üzere Bulut bilgisayar bağlantısını yöneteceksiniz.

Azure Ağ Bağlantısı iki kimlik dağıtım modeli destekler:

  • Microsoft Entra katılma
  • Karma birleştirmeyi Microsoft Entra

Microsoft Entra katılma

Microsoft Entra birleştirme kullanırken sanal ağdan şirket içi ağınıza bağlantı oluşturmanız gerekmez. Yalnızca gerekli uç noktalara giden İnternet bağlantısı olduğundan emin olmanız gerekir. Ancak, şirket içi dosya sunucularınızda ve uygulamalarınızda bulunan kaynaklara erişmek için şirket içi bağlantı eklemek isteyebilirsiniz. ExpressRoute veya siteden siteye VPN kullanarak bağlantı oluşturabilirsiniz, ancak bu seçenekler fazladan maliyet ve karmaşıklık sunar.

Kolaylık olması için, Microsoft Entra katılımı kullanırken daha önce açıklanan Microsoft tarafından barındırılan ağ seçeneğini kullanmanızı öneririz. Bu durumda, kurumsal kaynaklara erişmek için İnternet üzerinden bir VPN veya özel erişim çözümü kullanabilirsiniz.

Diyagram: ANC seçeneği - Microsoft Entra birleştirme

ANC Microsoft Entra birleştirme seçeneğinin diyagramı

Karma birleştirmeyi Microsoft Entra

Karma birleştirme Microsoft Entra, sanal ağdan şirket içi ağa bağlantı gerekir. Orada bulunan DC altyapısına ulaşmanın tek yolu ANC dağıtım seçeneğini kullanmaktır. Bu bağlantı kritik bir bileşen olduğundan güvenilirlik ve yedeklilik sağlamak için dikkatli olunmalıdır.

Diyagram: ANC seçeneği - karma birleştirme Microsoft Entra

ANC Microsoft Entra karma birleştirme seçeneğinin diyagramı

ANC seçeneğinin avantajları

  • Sanal ağın tam denetimi. Cloud PC'nin NIC'i kendi yönetilen sanal ağınızda yer alır.
  • Şirket içi altyapıya doğrudan görüş alanı. Sanal ağ, Azure Directory altyapısına veya orada bulunan hizmetlere ve uygulamalara doğrudan bağlantı için şirket içi ağa yönelik siteden siteye VPN veya ExpressRoute bağlantısıyla yapılandırılabilir.
  • Şirket içi bir konumda olduğu gibi çalışan bulut bilgisayar. Şirket ağının vNet'e uzantısı, Bulut bilgisayarın kurumsal ağ sınırları içinde gibi çalışabileceği anlamına gelir.
  • Diğer sanal ağlarla basit eşleme. Bulut PC sanal ağı ile Azure'daki diğer sanal ağlar arasında basit çapraz bağlantı. Bu, kuruluşun kullandığı diğer Azure tarafından barındırılan kaynaklara doğrudan bağlantıyı destekler.

Husus -lar

ANC dağıtım seçeneğini kullanmadan önce şu noktaları gözden geçirin:

  • Azure aboneliği gereklidir. Bu senaryoda kullanılan sanal ağ kendi Azure aboneliğinizdedir. Bu nedenle, bir Azure aboneliğiniz ve gerekli lisanslarınız olmalıdır.
  • Çıkış maliyetleri. Sanal ağ kendi Azure hesabınızla ilişkilendirildiğinden, Azure aboneliğinize tüm çıkış maliyetleri yansıtılır.
  • Ağ altyapısı için ek maliyetler. Kendi sanal ağınızı çalıştırmanın Azure maliyetleri, sanal ağ ile ilişkili aboneliğe uygulanır.
  • Azure ağ uzmanlığı veya yönetimi gereklidir. Sanal ağınızı korumak için uzmanlık ve yönetim sağlamanız gerekir.
  • Daha yüksek karmaşıklık. Microsoft tarafından barındırılan bir ağ kullanmaktan daha karmaşık bir görev olan ağınızı yönetmeli ve bakımını gerçekleştirmelisiniz.
  • Daha uzun dağıtım. Dağıtım genellikle Microsoft tarafından barındırılan ağ seçeneğinden daha uzundur. Bu ek süre, önce yapılandırılması gereken çok sayıda müşteri tarafı öğesinden kaynaklanır.
  • Daha Yüksek Risk. ANC dağıtımı, Microsoft tarafından barındırılan ağ dağıtımından daha karmaşıktır. Bu karmaşıklık, bağlantı sorunları riskini artırır.

Aynı anda seçenekler

Microsoft tarafından barındırılan ağ ve ANC seçenekleri aynı anda kullanılabilir. Örneğin, benzersiz eski gereksinimlere sahip dağıtımlarınızın bir alt kümesi için ANC seçeneğini kullanabilirsiniz. Dağıtımınızın geri kalanında bu gereksinimler olmadan Microsoft tarafından barındırılan ağ seçeneğini kullanabilirsiniz.

Sonraki adımlar

Dağıtım işlemi hakkında daha fazla bilgi edinin.