Windows 365 是一种基于云的服务,可用于提供高度优化和个性化的 Windows 计算实例(称为云电脑),这些实例专为满足每个用户的需求而构建。 云电脑使用以下服务的组合:
- 用于自定义、保护和管理云电脑的 Intune
- 用于标识和访问控制的 Entra ID
- 用于远程连接的 Azure 虚拟桌面
云电脑是一个高度可用、已优化和个性化的计算实例,可提供丰富的 Windows 桌面体验。 它托管在 Windows 365 服务中,并可从任何设备的任何位置访问。
Windows 365 共享责任模型
Windows 365 是一种服务型软件 (SaaS) 解决方案。 Microsoft 管理 Windows 365 服务中的某些组件,而客户管理其他组件。 客户承担的责任量取决于为部署选择的体系结构模式。 管理 Windows 365 的责任分为三个部分:
- 部署:规划和部署服务的组件。
- 生命周期:在整个生命周期内管理组件,例如修补和保护安全。
- 配置:配置组件以根据需要为方案应用相关设置。
下图显示了通过使用建议的 Microsoft 托管网络、Microsoft Entra 联接和 Windows 自动更新库映像形成的 Windows 365 部署的责任矩阵。 利用此配置,便无需管理多个组件和生命周期阶段。 此配置将转化为建议的体系结构模式中列出的优势。
注意
下图表示从基础结构角度而言的职责,例如设置硬件和网络,并加以维护。 不包括 Windows 365 或 Intune 租户订阅设置。
下载此体系结构的 PowerPoint 文件。
下图显示了使用 Azure 网络连接的典型 Windows 365 部署,还显示了在整个云电脑生命周期内由 Microsoft 管理的组件以及由客户管理的组件。
下载此体系结构的 PowerPoint 文件。
建议的体系结构模式
Microsoft 建议将 Windows 365 和以下组件一起部署以获取 SaaS 体验,这样能够获得服务的最大权益:
- Microsoft Entra 联接
- Microsoft 托管的网络
- 库映像
- 带有应用和操作系统配置的基于 Intune 的移动设备管理 (MDM) 服务
- 适用于云电脑访问的 Windows 365 应用
下载此体系结构的 PowerPoint 文件。
通过上述体系结构模式,客户可以充分利用 Windows 365 服务并获得以下权益:
- 更简单、更快速的部署
- 尽可能实现零依赖
- 完全零信任框架支持
- 简化的故障排除流
- 自助用户故障排除
- 削减开销和管理
- 软件和应用程序交付的最高成熟度模型
Windows 365 服务体系结构
下图展示了属于 Windows 365 服务一部分的所有组件。 此体系结构使用 Windows 365 的核心要求(Intune 和 Microsoft Entra ID)。 还有一些可选组件,例如 Azure 虚拟网络。
下载此体系结构的 Visio 文件。
上图显示了 Azure 网络连接和 Microsoft 托管的网络选项。 它们是相互排斥的体系结构选项。 以下部分详细说明了 Azure 网络连接选项。
虚拟桌面
虚拟桌面是基于 Azure 的虚拟桌面基础结构 (VDI) 解决方案。 Microsoft 管理着虚拟桌面。 虚拟桌面提供平台即服务 (PaaS) 样式解决方案。 Windows 365 使用必需的网络管理组件来连接到其云电脑。 这些组件包括虚拟桌面网关服务、连接代理服务和 Web 客户端服务。 这些服务促成了与 Windows 365 云电脑的无缝连接。
有关详细信息,请参阅 Azure 虚拟桌面企业版。
下载此体系结构的 Visio 文件。
注意
Windows 365 利用上图中名为“Windows 虚拟桌面控制平面”的组件来促进用户和云电脑的连接,因此它继承了 Azure 虚拟桌面的大部分连接相关功能。 请熟悉虚拟桌面网络的运作方式,这对于设计本文档中详细介绍的 Azure 网络连接体系结构而言至关重要。
Microsoft Intune
Intune 是一种基于云的终结点管理解决方案,可允许查看和使用报告并管理:
- 应用交付
- Windows 更新
- 设备管理配置
- 安全策略
Intune 简化了跨许多设备(包括移动设备、台式计算机和虚拟终结点)的应用和设备管理。
可以在组织拥有的设备和个人设备上对访问和数据进行保护。 Intune 还具有支持零信任安全模型的合规性和报告功能。 有关详细信息,请参阅创建设备配置文件。
体系结构模式
体系结构模式描述组件,并说明用于部署服务或产品的配置。 有关详细信息,请参阅代理托管体系结构。
请参阅以下 Azure 网络连接模式:
Azure 网络连接与 Microsoft Entra 联接 – 在此模式中,Microsoft Entra 联接的云电脑使用 Azure 网络连接连接到本地环境中的资源,如业务线 (LOB) 应用程序、文件共享和其他不需要 Kerberos 或 Windows 新技术 LAN 管理器 (NTLM) 身份验证的应用程序。
Azure 网络连接与 Microsoft Entra 混合联接 – 在此模式中,Microsoft Entra 混合联接的云电脑使用 Azure 网络连接与本地 Microsoft Entra ID 域控制器进行域联接。 当用户访问云电脑、本地应用或云应用,需要 Kerberos 或 NTLM 身份验证时,云电脑会向本地域控制器进行身份验证。
Azure 网络连接体系结构模式
对于某些模式,Windows 365 服务使用 Azure ExpressRoute 或站点到站点 VPN 通过虚拟网络连接到本地环境。 此连接方法由 Azure 网络连接表示,这是一个 Intune 对象。 这种连接允许云电脑连接到本地资源,例如 Active Directory 或 LOB 应用。
此网络连接(由 Azure 网络连接表示)由 Windows 365 服务在云电脑预配期间使用,用于本地 Microsoft Entra 域加入、对云电脑预配就绪情况进行健康状况检查。
下表列出了 Azure 网络连接的依赖项。 Windows 365 会对这些依赖项运行自动健康状况检查。
| 依赖项 | Microsoft Entra Connect - 检查是否已设置并成功完成 Microsoft Entra Connect。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 将 Microsoft Entra Connect 同步间隔设置默认值或最小值。 较长的同步间隔会增加由于超时导致云电脑预配在生产中失败的可能性。 有关详细信息,请参阅 Microsoft Entra 混合联接失败。 - 从与 Windows 365 Azure 网络连接位于同一数据中心的服务器设置 Active Directory 域控制器复制,以提供更快的复制速度。 - 使用默认值设置 Microsoft Entra ID 域控制器复制。 |
| 依赖项 | Azure 租户就绪情况 - 检查 Azure 订阅是否已启用,无阻止限制,且已准备就绪。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 使用具有适当权限的帐户来管理 Azure、Intune 和 Windows 365 订阅。 有关详细信息,请参阅基于角色的访问控制(RBAC)。 - 禁用或修改任何阻止创建云电脑的 Azure 策略。 有关详细信息,请参阅限制允许的虚拟机 SKU。 - 确保订阅具有足够的网络资源配额,以及基于要创建云电脑的最大数量进行的常规限制。 示例包括网关大小、IP 地址空间、虚拟网络大小和所需的带宽。 有关详细信息,请参阅网络限制和常规限制。 |
| 依赖项 | Azure 虚拟网络就绪情况 – 检查虚拟网络是否位于受支持的 Windows 365 区域中。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 在 Windows 365 支持的用于云电脑预配的 Azure 区域中创建虚拟网络。 - 除了默认子网之外,至少创建一个子网来部署云电脑虚拟网络适配器。 - 尽可能地在单独的虚拟网络中创建共享网络服务(如 Azure 防火墙、VPN 网关或 ExpressRoute 网关),以允许路由控制和部署扩展。 在虚拟网络中,应用具有适当排除项的网络安全组 (NSG),以允许 Windows 365 服务访问所需的 URL。 有关详细信息,请参阅网络要求和网络安全组。 |
| 依赖项 | Azure 子网 IP 地址使用情况 – 检查是否提供了足够的 IP 地址。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 创建具有足够 IP 地址的虚拟网络,以处理云电脑的创建和在重新预配期间临时预留 IP 地址。 建议使用的 IP 地址空间是为云部署的最大云电脑的 1.5 到 2 倍。 有关详细信息,请参阅常规网络要求。 - 将 Azure 虚拟网络视为本地网络的逻辑扩展,并且跨所有网络分配唯一的 IP 地址空间,以避免路由冲突。 |
| 依赖项 | 终结点连接 – 检查是否需要外部 URL 用以从虚拟网络访问云电脑预配。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 允许所需的所有 URL 以通过 Azure 虚拟网络预配云电脑。 有关详细信息,请参阅允许网络连接。 - 利用 Azure 防火墙使用 Windows 365、Azure 虚拟桌面和 Intune FQDN 标记来创建应用程序规则,并允许所需的 URL 以预配 Windows 365 云电脑。 有关详细信息,请参阅利用 Azure 防火墙来管理和保护 Windows 365 环境。 - 使远程桌面协议 (RDP) 流量绕过或排除任何网络检查、代理或操作设备,以避免产生延迟和路由问题。 有关详细信息,请参阅流量拦截技术。 - 从最终用户设备和网络端,允许 Windows 365 服务 URL 和端口用于代理和网络检查。 - 允许使用 Azure 内部 IP 地址 168.63.129.16 和 169.254.169.254,因为这些 IP 地址用于与 Azure 平台服务(如元数据或检测信号)通信。 有关详细信息,请参阅什么是 IP 地址 168.63.129.16?、Azure 实例元数据服务和虚拟网络常见问题解答。 |
| 依赖项 | Intune 注册 – 检查 Intune 是否允许 Windows 注册。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 确保将 Intune 设备类型注册限制设置为允许使用 Windows 移动设备管理 (MDM) 平台进行公司注册。 - 对于 Microsoft Entra 混合联接,请通过为 Microsoft Entra Connect 中的每个域配置服务连接点 (SCP) 或通过使用目标部署模型来自动设置设备。 有关详细信息,请参阅配置 Microsoft 混合联接和 Microsoft Entra 混合联接目标部署。 |
| 依赖项 | 第一方应用权限 – 检查 Windows 365 应用是否在客户 Azure 订阅、资源组和虚拟网络级别上具有权限。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 确保用于设置 Azure 网络连接的帐户对 Azure 订阅(在其中创建了 Azure 虚拟网络)具有读取权限。 - 确保 Azure 订阅中没有已经实施的策略来阻止 Windows 365 第一方应用的权限。 该应用必须在订阅、资源组和虚拟网络级别上拥有权限。 有关详细信息,请参阅 Azure 要求。 |
| 依赖项 | 本地化语言包 – 检查语言包下载位置是否可以访问。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 确保通过 Azure 虚拟网络中使用的防火墙规则允许适当版本的 Windows 映像所需的 URL。 有关详细信息,请参阅提供 Windows 本地化体验。 |
| 依赖项 | RDP 短路径 – 检查用户数据报协议 (UDP) 配置是否已准备就绪,以便进行连接。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 为云电脑访问启用 RDP 短路径,利用 UDP 的复原能力。 有关详细信息,请参阅将 RDP 短路径用于具有 Windows 365 的公共网络将 RDP 短路径用于具有 Windows 365 的专用网络。 |
| 依赖项 | Intune 许可证 – 检查租户是否具有适当的 Intune 许可证以使用 Windows。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 确保根据 许可要求向你分配 Intune 许可证。 |
| 依赖项 | 单一登录 (SSO) 检查 - 检查 Kerberos 服务器对象是否在 Active Directory 中创建并同步到 Microsoft Entra ID。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 确保在预配策略中选择了 SSO 选项。 此选项允许从 Intune 托管的物理设备(已加入域或已加入 Microsoft Entra)中使用登录凭据连接到该策略的云电脑。 有关详细信息,请参阅继续创建预配策略。 |
| 依赖项 | DNS 名称解析 – 检查 Azure 网络连接中的 DNS 是否可以解析本地 Active Directory 域。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 使用自定义 DNS、专用 DNS 或专用解析程序,确保将 Azure 虚拟网络配置为使用本地 Microsoft Entra 域进行名称解析。 有关详细信息,请参阅什么是 Azure DNS? - 确保虚拟网络中配置的 DNS 服务器位于相同的地理位置,并能够在无延迟的情况下注册新预配的云电脑。 避免 DNS 引用或重定向以防止传播延迟,传播延迟可能会导致预配延迟或失败。 |
| 依赖项 | Microsoft Entra 域加入 – 检查为 Microsoft Entra 域加入提供的凭据是否有效,并且云电脑是否可以加入域。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 确保为 Microsoft Entra 域加入提供的帐户具有 Microsoft Entra 组织单位(在 Azure 网络连接配置中指定)的权限。 - 确保提供的帐户不是带有域加入限制的标准用户帐户。 有关详细信息,请参阅默认对用户可加入域的工作站数量限制。 - 确保指定的帐户已同步到 Microsoft Entra ID。 - 确保 Azure 网络连接中指定的 OU 不具有任何对象限制。 有关详细信息,请参阅增加组织单位中的计算机帐户限制。 |
有关详细信息,请参阅 Windows 365 中 Azure 网络连接健康状况检查。
Azure 网络连接构建基块建议
本部分介绍了 Windows 365 Azure 网络连接体系结构模式的构建基块细分。
Azure 订阅
Windows 365 在 Azure 网络连接体系结构模式中的使用情况涉及两种类型的 Azure 订阅:Microsoft 订阅和客户订阅
Windows 365 使用“代理托管”模型向 Windows 365 客户提供服务。 在此模型中,云电脑在 Microsoft 拥有的 Azure 订阅中预配和运行,而云电脑的网络适配器在客户的 Azure 订阅中预配。 下图显示了两种 Azure 网络连接体系结构模式。 客户使用自己的 Azure 订阅和虚拟网络。
下载此体系结构的 Visio 文件。
以前的体系结构模式使用 Microsoft Entra 联接标识来管理云电脑。
下载此体系结构的 Visio 文件。
以前的体系结构模式使用 Microsoft Entra 混合联接标识来管理云电脑,并需要在本地环境中与 Active Directory 域服务 (AD DS) 域控制器进行“视线”网络通信。
| 组件 | Azure 订阅 - 托管虚拟网络的 Azure 订阅,用于为云电脑提供本地环境连接和 Internet 连接。 |
|---|---|
| 体系结构模式 | 用于 Microsoft Entra 联接的 Azure 网络连接、用于 Microsoft Entra 混合联接的 Azure 网络连接 |
| 建议 | - 创建或使用具有虚拟网络和 ExpressRoute 或 VPN 网关的订阅,以提供返回到本地环境的连接。 - 为云电脑创建专用资源组以提供权限和资源管理。 - 将云电脑资源组和虚拟网络从 Azure 策略中排除,以防止自动创建和删除虚拟网络接口卡 (vNIC) 对象、IP 地址分配或释放。 有关详细信息,请参阅锁定资源以保护基础结构和Azure 要求。 - 创建专用虚拟网络,以便更好地管理 IP 地址和路由控制。 |
虚拟网络和混合连接
Windows 365 基于 Azure 网络连接的体系结构模式需要一个或多个 Azure 虚拟网络。 虚拟网络提供本地环境连接以及通过 Internet 连接来预配云电脑。 云电脑的虚拟网络适配器在客户拥有订阅的 Azure 虚拟网络中预配,如 Azure 订阅部分中所述。
Azure 网络可以根据现有的本地网络或 Azure 网络,以不同的设计复杂度进行部署。 若要开始使用基本的混合网络设计,请参阅实现安全的混合网络。
在设计 Azure 虚拟网络体系结构时,请考虑以下因素:
IP 地址空间:IP 地址空间的大小取决于支持的云电脑数量。 规划数量应至少为部署的最大云电脑数量的 1.5 倍。 预配和取消预配云电脑期间会使用 IP 地址的其他地址帐户。
名称解析:云电脑使用的 DNS 进程,用于解析 Microsoft Entra 混合联接部署中的本地域名,或者解析 Microsoft Entra 联接部署模型中的 Internet 资源或 Azure 资源。
- 若要使用现有的本地 DNS 基础结构,请为 IP 地址配置一个或多个 DNS 服务器以进行名称解析。 有关详细信息,请参阅DNS 要求。
- 确保 Azure 虚拟网络中使用的 DNS 服务器 IP 与云电脑属于同一地理位置,并且该 IP 不会将 DNS 注册请求重定向到另一个区域。 否则,这会导致延迟或部署失败以及 Azure 网络连接健康状况检查。
- 对于基于 Azure DNS 的名称解析,请使用公共或专用 Azure DNS 或专用解析程序选项。 有关详细信息,请参阅 Azure DNS 文档。
网络拓扑:Azure 网络支持多种拓扑以适应不同的用例。
- 具有虚拟网络对等互连的中心辐射型拓扑:此拓扑是使用其自有的辐射虚拟网络和中心虚拟网络提供服务隔离的最简单方法。 共享服务包括 Azure 防火墙和网关。 如果有一个简单的单站点设计,请选择此拓扑在一个或多个辐射虚拟网络中部署云电脑。 有关详细信息,请参阅中心辐射型网络拓扑。
- 使用 Azure 虚拟 WAN 的中心辐射型拓扑:虚拟 WAN 是一种 Azure 网络服务,它将网络、安全性和管理功能结合在一起,可实现复杂的网络需求。 使用此拓扑来进行具有特定防火墙和路由要求的多站点、多区域部署。 有关详细信息,请参阅中心辐射型网络拓扑与虚拟 WAN。
网关:Azure 网关提供从虚拟网络到本地网络的连接。 有 VPN 和 ExpressRoute 两种网关。 请确保在决定使用 ExpressRoute 或 VPN 连接方法之前,先考虑云电脑的最大带宽要求。 VPN 和 ExpressRoute 网关都在不同的层或 SKU 中提供,其带宽量和其他指标有所不同。 有关详细信息,请参阅使用 ExpressRoute 扩展本地网络和使用 ExpressRoute 将本地网络连接到 Azure。
路由配置
Windows 365 Azure 网络连接服务使用自动健康状况检查来确定客户环境的健康状况和准备情况,以便在基于 Azure 网络连接的体系结构中预配 Microsoft Entra 联接或 Microsoft Entra 混合联接云电脑。 如果 Azure 虚拟网络和关联的网络服务中没有正确的路由配置,云电脑部署可能会出现故障或延迟。 请考虑以下建议来优化 Windows 365 网络体系结构的路由:
允许列表必需的 URL:部署在 Microsoft Entra 混合联接和 Microsoft Entra 联接 Azure 网络连接模型中的每台云电脑都需要通过操作系统防病毒软件、网络防火墙和负载均衡器允许若干 URL。 请确保已允许所有 URL。 有关详细信息,请参阅允许网络连接。
使用 Azure FQDN 标记:使用 Azure 防火墙服务时,使用 Azure FQDN 标记以允许 Azure 虚拟桌面、Windows 365 和 Intune 必需的 URL。 有关详细信息,请参阅利用 Azure 防火墙来管理和保护 Windows 365 环境。
启用直通:Windows 365 使用 RDP 协议,该协议对流量检查设备(如防火墙或 SSL 解密设备)引入的延迟很敏感。 这种延迟可能会导致糟糕的体验,因此请禁用对这些 URL 的流量检查,改为启用直通。 有关详细信息,请参阅流量拦截技术。
绕过代理:虽然云和传统代理服务适用于 Internet 访问,但会在 RDP 连接中引入延迟。 当最终用户的物理设备或云电脑通过代理强制进行连接时会发生这种延迟,并会导致频繁断开连接、延迟和响应时间缓慢。 设置 *.wvd.microsoft.com 和 Windows 365 网关 IP 范围,以绕过用户的物理设备上、物理设备连接到的网络上以及云电脑中的代理服务。
有关详细信息,请参阅优化 Windows 365 的 RDP 连接。
最短路径路由:确保来自云电脑的 RDP 流量通过最短路径到达虚拟桌面服务终结点。 理想的路径是从虚拟网络通过 Internet 直接连接到虚拟桌面网关 IP。 此外,确保来自最终用户物理设备的 RDP 流量直接到达虚拟桌面网关 IP。 此配置可确保最佳的路由,而不会降低用户体验。 避免通过云代理服务或本地网络将 RDP 流量路由到 Internet。
RDP 短路径:为最终用户网络、Azure 网络和云电脑启用基于 RDP 短路径的访问。 RDP 短路径使用 UDP 来传输 RDP 流量。 与 TCP 不同,RDP 可以适应高延迟的网络连接。 UDP 还充分利用可用的网络带宽来有效传输 RDP 数据包,从而改善了用户体验。 有关详细信息,请参阅对具有 Windows 365 的公共网络使用 RDP 短路径。
云电脑放置:为了获得最佳用户体验和路由性能,请确定客户与其访问的工作应用或网络的关系。 还需要考虑与访问其他应用的总时间相比,客户访问 LOB 应用所需的时间。 请参阅以下两个可能的部署选项:
如果客户花费大部分工作时间访问 LOB 应用,而不是使用本地安装的应用(如 Microsoft 365 中的应用)工作,则以下部署模型可能是最佳选择。 此模型通过将云电脑放置在 LOB 应用相同的区域(地理位置 B),优化了 LOB 应用对比云电脑访问的延迟情况。 即使网关在地理位置上更靠近最终用户(地理位置 A),此优化也会发生。 下图显示了可能从最终用户流向 LOB 应用的流量。
下载此体系结构的 PowerPoint 文件。如果客户偶尔在地理位置 B 中访问 LOB 应用,那么将云电脑部署到更靠近客户的位置可能是最佳选择,因为这优化了云电脑访问的延迟情况(对比 LOB 应用访问的延迟)。 下图显示了在此类方案中流量可能的流动方式。
下载此体系结构的 PowerPoint 文件。
AD DS 建议
在 Microsoft Entra 混合联接体系结构中,本地 AD DS 基础结构会充当权威的标识源。 拥有正确配置且健康状况良好的 AD DS 基础结构是成功部署 Windows 365 的关键一步。
本地 AD DS 支持多种配置和不同的复杂级别,因此本文提供的建议仅涵盖基线最佳做法。
- 对于 Microsoft Entra 混合联接方案,可以按照在虚拟网络中部署 AD DS 的体系结构参考中所述,在 Azure VM 中部署 AD DS。 还可以使用混合网络连接来提供与本地 Microsoft Entra 域控制器的直接视线通信。 有关详细信息,请参阅实现安全的混合网络。
- 对于 Microsoft Entra 联接部署,请遵循将本地 Microsoft Entra 域与 Microsoft Entra ID 集成的参考体系结构中所述。
- Windows 365 使用监视器服务作为自动测试的一部分,用于创建一个测试 VM 帐户。 在 Azure 网络连接配置中指定的组织单位中,该帐户显示为已禁用。 请勿删除此帐户。
- 在 Microsoft Entra 混合联接模型中停用的任何云电脑都会留下一个禁用的计算机帐户,需要手动在 AD DS 中清理帐户。
- 不支持 Microsoft Entra 域服务作为标识源,因为它不支持 Microsoft Entra 混合联接。
DNS 建议
在 Azure 网络连接部署体系结构中,Azure 虚拟网络所使用的 DNS 服务器或其他 DNS 服务是一个关键依赖项。 重要的是建立一个健康状况良好的基础结构。
- 对于 Microsoft Entra 混合联接配置,DNS 应能够解析云电脑需要联接的域。 有多个配置选项可用,最简单的配置选项是在 Azure 虚拟网络配置中指定自己的 DNS 服务器 IP。 有关详细信息,请参阅使用自己的 DNS 服务器的名称解析。
- 根据基础结构的复杂程度(例如 Azure 和本地环境中的多区域、多域设置),应使用 Azure DNS 专用区域或 Azure DNS 专用解析程序等服务。
云电脑连接建议
应将部署的云电脑配置为允许与虚拟桌面网关服务之间不间断的连接流(流入和流出)。 在将应用部署为 Windows 操作系统配置的一部分时,请考虑以下建议:
- 确保 VPS 客户端不会在用户登录时启动,因为它会在 VPN 隧道建立时断开会话的连接。 而用户必须再次登录。
- 配置 VPN、代理、防火墙和防病毒软件以及反恶意软件应用,以允许或绕过 IP 地址 168.63.129.16 和 169.254.169.254 绑定的流量。 这些 IP 地址用于与 Azure 平台服务(例如元数据和检测信号)进行通信。 有关详细信息,请参阅什么是 IP 地址 168.63.129.16?、适用于虚拟机的 Azure 实例元数据服务以及虚拟网络常见问题解答。
- 请勿手动修改云电脑的 IP 地址,因为这可能会导致永久断开连接。 在云电脑的整个生命周期中,由 Azure 网络服务分配给 IP 地址无限期的租约并加以管理。 有关详细信息,请参阅分配方法。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Ravishankar Nandagopalan | 高级产品经理
其他参与者:
- Paul Collinge | 首席产品经理
- Claus Emerich | 首席产品经理
- David Falkus | 首席产品经理
- Bob Roudebush | 技术主管以及云/开发人员技术专家
- Matt Shadbolt | Windows 云体验首席产品经理
若要查看非公开领英个人资料,请登录领英。