Windows 365网络部署选项

  • 项目

有两个选项可用于Windows 365服务的网络部署:

  • 使用 Microsoft 托管的网络
    • 建议的选项。
    • 非常适合Windows 365软件即服务 (SaaS) 简单、可靠性和可伸缩性的功能。
    • 支持Microsoft Entra联接标识模型。
    • 不需要 Azure 订阅或专业知识。
  • 使用 AZURE 网络连接 (ANC)
    • 支持Microsoft Entra联接和Microsoft Entra混合联接标识模型。

Microsoft 托管的网络

此选项简单、可靠且可缩放,提供云电脑连接,其中 Microsoft 以真正的 SaaS 方法提供服务。 使用此选项,Microsoft:

  • 设置并完全管理向用户交付功能性云电脑所需的基础结构和相关服务。
  • 管理云电脑占用的网络。
  • 提供最终用户计算 (EUC) 环境的零信任框架对齐模型。 有关详细信息,请参阅 了解有关云原生终结点的详细信息

客户的唯一责任是云电脑的配置和管理。

Microsoft 建议客户将此选项用于其Windows 365部署。

无需引入自己的 Azure 订阅 () 、规划、设计、部署或管理基础结构。 客户可以指定其 EUC 团队,专注于通过 Intune 提供的单个管理控制台管理云电脑配置和安全性。

此选项类似于为员工提供可在家使用的笔记本电脑。 作为组织,你无法控制设备所在的网络。 你可以完全控制如何配置、保护 Windows 设备,以及如何连接到本地网络。 借助Windows 365,可以通过端到端零信任安全框架一致的自适应安全控制和配置实现此控制。

例如,可以使用Microsoft Entra条件访问的自适应控件对用户进行身份验证。 可以使用 VPN 传递企业连接。 Internet 安全性可以使用基于云的安全 Web 网关 (SWG) 。 其优点是,每当需要高带宽、可复原的网络时,都可以在短时间内大规模部署设备。

关系图:Microsoft 托管的网络选项 - 仅Microsoft Entra加入

此图显示了 Microsoft 托管的网络,其中云电脑和虚拟网络卡由 Microsoft 管理的订阅。

Microsoft 托管的网络选项示意图

Microsoft 托管网络选项的优点

  • 不需要 Azure 订阅。 Microsoft 提供并完全管理云电脑运行所需的基础结构。 只需要所需的许可证。
  • 网络基础结构不产生额外费用。 (VNet) 和虚拟设备运行自己的虚拟网络的 Azure 成本不适用。 Microsoft 负责网络基础结构。
  • 不需要 Azure 网络专业知识或管理。 VNet 完全由 Microsoft 管理。
  • 低复杂性和快速部署。 由于对客户端元素的依赖关系最小,因此部署的复杂性较低。
  • 零信任对齐。 用户、终结点、工作负载和数据信号的零信任操作模型用于验证,而不是将信任应用于网络位置。
  • 更简单的故障排除和操作。 可以更轻松地排查和查明网络问题,并采用基于 Intune 策略、安全控制和内置报告功能的新式设备管理。

注意事项

在使用 Microsoft 托管的网络选项之前,请查看以下注意事项:

  • 此选项与Microsoft Entra混合联接模型不兼容。 此选项是仅限云的部署,与本地 Active Directory 域服务基础结构没有连接。 如果组策略无法转换为 Intune 的基于对象的管理策略,则此选项不适合你。
  • 无法控制 VNet。 虚拟 NIC 由 Microsoft 管理。 因此,必须在云电脑上实现所有网络控制,类似于在家办公场景中的物理设备。
  • 无法直接访问本地资源。 访问这些资源需要 VPN 或专用访问解决方案。 将 VPN 与云电脑配合使用时,请使用 拆分隧道 来确保 RDP 流量不会通过 VPN 路由。
  • 需要云原生管理操作模型(如 Intune)。
  • 端口 25 已阻止。
  • Ping/ICMP 被阻止。
  • 阻止云电脑之间的本地网络通信。
  • 云电脑无法建立直接入站连接。
  • 管理员无法控制分配给云电脑的 IP 地址范围和/或地址空间。 Windows 365自动处理 IP 地址。

Azure 网络连接选项

使用 Azure 网络连接 (ANC) 部署选项,可以完全负责 VNet 及其配置。 如果使用Microsoft Entra混合联接模型,则必须使用此部署选项。 此选项提供本地 Azure Directory 资源的视线,并允许自定义网络和安全目标,例如:

  • 交通路线。
  • 端口和协议。
  • Active Directory DS 和业务线应用程序连接。
  • 使用 VPN 或 ExpressRoute 的网关连接。
  • 云电脑使用的地址空间。
  • 云电脑之间的通信权限。
  • 将 RDP 直接连接到云电脑。

从 Azure 订阅中的 VNet 中选择 VNet。 你将配置在 vNet 中创建云电脑的预配策略。 你将管理云电脑连接,包括 VNet 的任何直接出口和所需的 Internet 访问路径。

Azure 网络连接支持两种标识部署模型:

  • Microsoft Entra联接
  • Microsoft Entra混合联接

Microsoft Entra联接

使用Microsoft Entra联接时,无需创建从 VNet 到本地网络的连接。 必须仅确保与所需终结点建立出站 Internet 连接。 但是,你可能希望添加本地连接,以访问位于本地文件服务器和应用程序中的资源。 可以使用 ExpressRoute 或站点到站点 VPN 创建连接,但这些选项会产生额外的成本和复杂性。

为简单起见,使用 Microsoft Entra 联接时,建议使用前面介绍的 Microsoft 托管网络选项。 在这种情况下,可以通过 Internet 使用 VPN 或专用访问解决方案来访问公司资源。

关系图:ANC 选项 - Microsoft Entra联接

ANC Microsoft Entra联接选项的关系图

Microsoft Entra混合联接

使用Microsoft Entra混合联接时,需要从 VNet 连接到本地网络。 访问位于该处的 DC 基础结构的唯一方法是使用 ANC 部署选项。 此连接是一个关键组件,因此应谨慎确保可靠性和冗余。

关系图:ANC 选项 - Microsoft Entra混合联接

ANC Microsoft Entra混合联接选项示意图

ANC 选项的优点

  • 完全控制 VNet。 云电脑的 NIC 位于你自己的托管 VNet 中。
  • 直接定向到本地基础结构。 可以使用站点到站点 VPN 或 ExpressRoute 连接配置 vNet,以返回到本地网络,以便直接连接到位于其中的 Azure Directory 基础结构或服务以及应用程序。
  • 云电脑像在本地位置一样运行。 企业网络扩展到 vNet 意味着云电脑可以像在企业网络边界内一样运行。
  • 与其他 VNet 的简单对等互连。 云电脑 VNet 与 Azure 中的其他 vNet 之间的简单交叉连接。 这支持直接连接到组织使用的其他 Azure 托管资源。

注意事项

在使用 ANC 部署选项之前,请查看以下注意事项:

  • 需要 Azure 订阅。 此方案中使用的 VNet 位于你自己的 Azure 订阅中。 因此,必须具有 Azure 订阅和 所需的许可证
  • 出口成本。 由于 VNet 与你自己的 Azure 帐户相关联,因此 Azure 订阅会产生任何 出口成本
  • 网络基础结构的额外费用。 操作自己的 VNet 的 Azure 成本将应用于与 vNet 关联的订阅。
  • 需要 Azure 网络专业知识或管理。 必须提供专业知识和管理才能维护 VNet。
  • 复杂性更高。 必须管理和维护网络,这比使用 Microsoft 托管的网络更复杂。
  • 部署时间更长。 部署时间通常比使用 Microsoft 托管的网络选项更长。 此额外时间是由必须首先配置的大量客户端元素引起的。
  • 风险较高。 ANC 部署比 Microsoft 托管的网络部署更复杂。 这种复杂性会增加连接问题的风险。

同时选项

Microsoft 托管的网络和 ANC 选项可以同时使用。 例如,可以将 ANC 选项用于具有唯一旧要求的部署子集。 对于没有这些要求的其余部署,可以使用 Microsoft 托管的网络选项。

后续步骤

详细了解部署过程