网络要求
Windows 365 是一项基于云的服务,使用户能够通过 Internet 从任何设备、从任何位置连接到在 Azure 中运行的 Windows 桌面。 若要支持这些 Internet 连接,必须遵循本文中列出的网络要求。
每个客户都有其特定要求,具体取决于他们用于计算其云电脑环境的网络要求的工作负荷。
注意
本文仅适用于你计划在自己的 Azure 虚拟网络(而不是 Microsoft 托管的网络)上预配云电脑的情况。
常规网络要求
若要使用自己的网络并预配已加入 Entra 的云电脑Microsoft,必须满足以下要求:
- Azure 虚拟网络:必须在创建 Windows 365 桌面的同一区域的 Azure 订阅中拥有虚拟网络 (vNET)。
- 网络带宽:请参阅 Azure 网络指南。
- vNet 中的子网和可用的 IP 地址空间。
若要使用自己的网络并预配Microsoft Entra 混合加入的云电脑,必须满足上述要求和以下要求:
- Azure 虚拟网络必须能够解析 Active Directory 域服务环境 (AD DS) 的 DNS 条目。 若要支持此解决方案,请定义 AD DS DNS 服务器作为虚拟网络的 DNS 服务器。
- Azure vNet 必须对 Azure 中或本地的企业域控制器具有网络访问权限。
允许网络连接
必须允许网络配置中的流量流向以下服务 URL 和端口,以支持云电脑的预配和管理以及与云电脑的远程连接。 尽管大部分配置适用于云电脑网络,但最终用户连接来自物理设备。 因此,还必须遵循物理设备网络上的连接准则。
| 设备或服务 | 网络连接所需的 URL 和端口 | 注释 |
|---|---|---|
| 物理设备 | 链接 | 对于远程桌面客户端连接和更新。 |
| Microsoft Intune 服务 | 链接 | 适用于 Intune 云服务,例如设备管理、应用程序交付和终结点分析。 |
| Azure 虚拟桌面会话主机虚拟机 | 链接 | 用于云电脑与后端 Azure 虚拟桌面服务之间的远程连接。 |
| Windows 365 服务 | 链接 | 用于预配和运行状况检查。 |
Windows 365 服务
预配云电脑和 Azure 网络连接 (ANC) 运行状况检查时需要以下 URL 和端口:
- *.infra.windows365.microsoft.com
- *.cmdagent.trafficmanager.net
- 注册终结点
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net(443 和 5671 出站)
- hm-iot-in-prod-prap01.azure-devices.net(443 和 5671 出站)
- hm-iot-in-prod-prau01.azure-devices.net(443 和 5671 出站)
- hm-iot-in-prod-preu01.azure-devices.net(443 和 5671 出站)
- hm-iot-in-prod-prna01.azure-devices.net(443 和 5671 出站)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 出站)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 出站)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 出站)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 出站)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 出站)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 出站)
除非另行指定,否则所有终结点都通过端口 443 进行连接。
端口 3389
默认情况下,所有新预配的云电脑都禁用端口 3389。 Microsoft建议将端口 3389 保持关闭状态。 但是,如果需要为任何使用 Azure 网络连接 (ANC) 部署选项重新预配或新预配的云电脑打开端口 3389,可以查看以下选项:
- Windows 365 安全基线。 客户可以使用 Windows 365 安全基线有效地管理 Windows 365 云电脑的端口 3389。 这些基线提供了全面的工具和配置,旨在增强安全措施,同时允许必要的访问。 通过调整防火墙设置并将 “公共配置文件的默认入站操作” 设置为 “允许”,组织可以确保端口 3389 已正确配置以满足操作需求。 根据特定的组织要求查看和自定义这些设置。
- 在 Microsoft Intune 中创建自定义防火墙规则。 客户可以使用 Microsoft Intune 中的自定义防火墙规则为 Windows 365 云电脑配置端口 3389。 此选项涉及在 Intune 的安全策略中创建自定义规则,以允许端口 3389 上的入站流量,该端口用于访问云电脑。 通过定义规则参数(例如端口号、协议 (TCP) )并限制特定的 IP 地址或网络,可以确保对端口 3389 的访问受到严格控制,并且仅限于授权实体。
这些选项不适用于使用Microsoft托管网络的客户。
通过 Azure 防火墙对终结点使用 FQDN 标记
使用 Windows 365 完全限定的域名 (FQDN) 标记,可以更轻松地通过 Azure 防火墙授予对 Windows 365 所需服务终结点的访问权限。 有关详细信息,请参阅 使用 Azure 防火墙管理和保护 Windows 365 环境。
远程桌面协议 (RDP) 代理服务终结点
直接连接到 Azure 虚拟桌面 RDP 代理服务终结点对于到云电脑的远程性能至关重要。 这些终结点会影响连接和延迟。 若要符合Microsoft 365 网络连接原则,应将这些终结点分类为“优化”终结点。 我们建议你使用从 Azure 虚拟网络到这些终结点的直接路径。
若要更轻松地配置网络安全控制,请使用 Azure 虚拟桌面服务标记来标识这些终结点,以便使用 Azure 网络用户定义路由(UDR)进行直接路由。 UDR 会导致在虚拟网络和 RDP 代理之间直接路由,以降低延迟。 要了解 Azure 服务标记的详细信息,请参阅 Azure 服务标记概述。
更改云电脑的网络路由(在网络层或云电脑层,如 VPN)可能会中断云电脑与 Azure 虚拟桌面 RDP 代理之间的连接。 如果是这样,则最终用户与云电脑断开连接,直到重新建立连接。
DNS 要求
作为Microsoft Entra 混合加入要求的一部分,云电脑必须能够加入本地 Active Directory。 这要求云电脑能够解析本地 AD 环境的 DNS 记录。
配置 Azure 虚拟网络,其中云电脑按如下所示预配:
- 确保 Azure 虚拟网络与可解析 Active Directory 域的 DNS 服务器建立网络连接。
- 在 Azure 虚拟网络的“设置”中,选择“DNS 服务器”,然后选择“自定义”。
- 输入 DNS 服务器的 IP 地址,该环境可以解析你的 AD DS 域。
提示
与使用物理电脑一样,添加至少两个 DNS 服务器有助于缓解名称解析中单点故障的风险。
有关详细信息,请参阅 配置 Azure 虚拟网络设置。
远程桌面协议要求
Windows 365 使用远程桌面协议 (RDP)。
| 应用场景 | 默认模式 | H.264/AVC 444 模式 | 说明 |
|---|---|---|---|
| 空闲 | 0.3 Kbps | 0.3 Kbps | 用户已暂停其工作,并且没有活动的屏幕更新。 |
| Microsoft Word | 100-150 Kbps | 200-300 Kbps | 用户正在活跃使用 Microsoft Word、打字、粘贴图形,以及在文档之间切换。 |
| Microsoft Excel | 150-200 Kbps | 400-500 Kbps | 用户正在活跃使用 Microsoft Excel:同时更新多个包含公式和图表的单元格 |
| Microsoft PowerPoint | 4-4.5 Mbps | 1.6-1.8 Mbps | 用户正在活跃使用 Microsoft PowerPoint:键入、粘贴、修改丰富的图形以及使用幻灯片转换效果。 |
| Web 浏览 | 6-6.5 Mbps | 0.9-1 Mbps | 用户正在积极使用包含多个静态和动画图像的图形丰富的网站。 用户水平和垂直滚动页面 |
| 映像库 | 3.3-3.6 Mbps | 0.7-0.8 Mbps | 用户正在活跃使用图像库应用程序:浏览、缩放、调整大小以及旋转图像 |
| Video playback | 8.5-9.5 Mbps | 2.5-2.8 Mbps | 用户正在观看一段占用了半个屏幕的 30 FPS 视频。 |
| 全屏视频播放 | 7.5-8.5 Mbps | 2.5-3.1 Mbps | 用户正在观看最大化到全屏的 30 FPS 视频。 |
Microsoft Teams 要求
Microsoft Teams 是云电脑中的 Microsoft 365 核心服务之一。 Windows 365 将音频和视频流量卸载到终结点,使视频体验像物理电脑上的 Teams 一样。
网络质量对于每种方案都很重要。 确保拥有适当的带宽,以达到想要提供的质量。
全高清 (1920x1080p) 不是云电脑上的 Microsoft Teams 支持的解决方案。
| 带宽(向上/向下) | 应用场景 |
|---|---|
| 30 kbps | 点对点音频通话。 |
| 130 kbps | 点对点音频通话和屏幕共享。 |
| 500 kbps | 点对点标清视频通话,360p,每秒 30 帧。 |
| 1.2 Mbps | 点对点高清视频通话,分辨率为高清 720p,每秒 30 帧。 |
| 500kbps/1Mbps | 群视频通话。 |
有关Microsoft Teams 网络要求的详细信息,请参阅 网络注意事项。
流量拦截技术
一些企业客户利用流量拦截、SSL 解密、深度包检测以及其他类似技术,让安全团队监视网络流量。 云电脑预配可能需要直接访问虚拟机。 这些流量拦截技术可能导致运行 Azure 网络连接检查或云电脑预配时出现问题。 确保对 Windows 365 服务中预配的云电脑不强制执行网络拦截。
带宽
Windows 365 使用 Azure 网络基础结构。 在部署 Windows 365 企业版期间选择虚拟网络时,需要 Azure 订阅。 云电脑使用量的带宽费用包括:
- 进入云电脑的网络流量是免费的。
- 出站(流出量)流量会对虚拟网络的 Azure 订阅产生费用。
- 如果云电脑和用户的数据位于不同的区域,则 Office 数据(如电子邮件和OneDrive for Business 文件同步)会产生流出量费用。
- RDP 网络流量将始终产生流出量费用。
如果你自带网络,请参阅带宽定价。
如果使用Microsoft托管的网络:出站数据/月基于云电脑的 RAM:
- 2-GB RAM = 12-GB 出站数据
- 4 GB 或 8 GB RAM = 20-GB 出站数据
- 16-GB RAM = 40-GB 出站数据
- 32-GB RAM = 70-GB 出站数据
超过这些级别时,数据带宽可能会限速。