Azure 网络连接概述

azure 网络连接 (ANC) 是Microsoft Intune管理中心中的一个对象，它为云电脑预配配置文件提供连接到基于网络的资源所需的信息。 使用 ANC：

• 最初预配云电脑时。
• Windows 365 定期检查与本地基础结构的连接以确保最佳最终用户体验时。

网络连接类型

基于其加入类型，有两种 ANC。 这两者都能让你管理流量和云电脑对基于网络的资源的访问，但它们具有不同的连接要求。

• Microsoft Entra加入：不需要连接到 Windows Server Active Directory (AD) 域。
• 混合Microsoft Entra联接：需要连接到Windows Server AD域。 创建 ANC 时，必须提供 AD 域详细信息。

预配

预配云电脑后，预配策略将使用 ANC 中的信息在 Azure 子网中预配云电脑。 ANC 中所需的信息包括：

• 网络详细信息：将与云电脑关联的 Azure 订阅、资源组、虚拟网络和子网。 预配策略运行时，它将在 Microsoft 托管的 Azure 订阅中创建云电脑。 要连接到客户本地网络，虚拟网络接口卡 (vNic) 将注入客户提供的 Azure 虚拟网络 (vNet)。 若要创建此 vNic，Windows 365 需要有对 Azure 订阅足够的访问权限。
• Active Directory 域：要加入的 Active Directory 域、计算机对象的组织单位 (OU) 目标和具有足够权限执行域加入的 Active Directory 用户凭据。 预配策略运行时，将云电脑加入到此 Azure Directory 域。 凭据将安全地存储在 Windows 365 服务中。

在预配期间，云电脑连接到 Azure 子网，并加入域 (Windows Server Active Directory或Microsoft Entra ID) 。 此过程将产生一台云电脑，即：

• 在你的网络上。
• 注册到Microsoft Entra ID。
• 注册到 Microsoft Intune。
• 准备接受用户登录请求。

预配时，ANC 设置仅应用于云电脑。

备用 ANC

为了帮助在极少数情况下预配云电脑更可靠，可以向预配策略分配备用 ANC。 可以定义策略将使用的 ANC 的优先级顺序。 如果第一个 ANC 不可用，策略将自动使用优先级列表中的第二个 ANC。 如果第二个不可用，它将转到下一个，依此进行。 这使管理员可以在不同的 Azure 区域中准备多个 ANC，从而使预配更加可靠。 不必使用多个 ANC。 有关在创建预配策略时使用备用 ANC 的详细信息，请参阅 创建预配策略。

首次运行状况检查

ANC 中包含的信息用于预配云电脑。 若要成功进行预配，ANC 中引用的资源必须运行正常且可访问。 创建 ANC 对象后，Windows 365 验证:

• ANC 引用的对象运行正常。
• 可建立与这些对象的连接。

这些运行状况检查使用提供的 ANC 信息预配云电脑。 有关检查的完整列表，请参阅 Azure 网络连接运行状况检查。

当首次 ANC 运行状况检查正在进行时，你不能将其分配到预配策略。 运行状况检查完成且成功后，可以将 ANC 分配到一个或多个预配策略。

定期运行状况检查

预配后，ANC 中的信息也用于监视：

• 基于网络的资源之间的连接运行状况
• 托管在 Microsoft 托管订阅中的云电脑

Windows 365 将报告可能导致预配失败或较差最终用户体验的配置问题。 此监视可以减少管理开销。 有关这些定期检查的详细信息，请参阅 Azure 网络连接运行状况检查。

运行状况检查频率

ANC 检查每隔一到六小时执行一次。

全面的端到端运行状况检查可能需要长达 30 分钟的时间。 运行状况检查在临时 Azure 虚拟机上运行，此虚拟机是专为此目的自动创建的。 此虚拟机自动创建，并在运行状况检查完成时被删除。 该虚拟机连接到指定的 vNet，然后检查将执行以确保预配成功。

完成检查后，结果将发布到Microsoft Intune管理中心的“Azure 网络连接”窗格中。 有关检查结果的信息，请参阅 Azure 网络连接运行状况检查。

重试运行状况检查

若要手动触发完整运行状况检查，请登录到Microsoft Intune管理中心，选择“设备>”Windows 365 (在“预配) >Azure 网络连接>”下选择“Azure 网络连接>重试”。

Azure 网络连接所需的权限

ANC 向导需要访问 Azure 和本地域资源 (可选)。 ANC 需要以下权限:

• Intune管理员、Windows 365管理员或全局管理员角色。
• 具有足够的权限将 AD 域加入此组织单位的 Active Directory 用户帐户， (Microsoft Entra 混合加入 ANC 仅) 。

若要创建或编辑 ANC，至少必须在与 ANC 关联的 VNET 所在的 Azure 订阅中具有订阅读取者角色。

有关要求的完整列表，请参阅 Windows 365 要求。

更改 Azure 网络连接

更改 ANC 中的设置不会影响以前使用该 ANC 预配的云电脑。 只有在对 ANC 进行更改后预配的云电脑才能反映此类后续更改。

如果要更改以前预配的云电脑上的 ANC 相关设置，则必须重新预配该云电脑。 重新预配是一种破坏性的操作，因此请确保你确实想要执行此操作。 有关详细信息，请参阅重新预配。

删除 Azure 网络连接

无法删除正在使用的 ANC。 必须先对使用此 ANC 的每个预配策略执行以下操作之一，然后才能删除对象：

• 更改策略以使用不同的 ANC。
• 删除策略。 有关详细信息，请 删除 Azure 网络连接。

完成这些操作中的任意一项后，便可以删除 ANC。

最大 Azure 网络连接

每个租户的 Azure 网络连接数限制为 10。 如果组织需要多于 10 个 Azure 网络连接，请联系支持人员。

用户登录

当用户尝试登录到其云电脑时，将进行用户身份验证。

对于Microsoft Entra混合加入 ANC，ANC 用于将身份验证请求路由到域控制器。 如果 ANC 或与域的网络连接不正常，则用户登录无法进行。 Windows 缓存的凭据无法通过远程桌面通道使用，因此域控制器可用性至关重要。 请确保网络稳定，或将域控制器服务器置于与云电脑相同的子网中。

对于Microsoft Entra加入 ANC，ANC 用于将身份验证请求路由到Microsoft Entra ID。 无法通过远程桌面通道使用 Windows 缓存凭据，因此与Microsoft Entra ID 的连接至关重要。

后续步骤

了解设备图像。

创建 Azure 网络连接