使用 Azure 防火牆來管理及保護 Windows 365 環境
本文說明如何使用 Azure 防火牆來簡化及保護您的 Windows 365 環境。 此處所述的範例架構可透過直接和優化的連線路徑,提供對必要端點的低維護和自動化存取。 您可以使用 Azure 防火牆網路規則和完整功能變數名稱 (FQDN) 標籤,在您的環境中複寫此架構範例。
注意事項
本文適用於使用 Azure 網路連線部署 Windows 365 (ANC) 的客戶。 本文不適用於使用Microsoft託管網路的環境。 如需每個功能的詳細資訊,請參閱 Windows 365 網路部署選項。
Windows 365 服務需要對重要服務端點進行優化的非 Proxy 連線,其中許多端點都位於Microsoft的基礎結構內。 透過因特網使用內部部署網路連線到這些資源效率不佳,不建議使用。 這類連線在設定和管理時也相當複雜。
例如,某些使用 ANC 部署模型的 Windows 365 客戶可能會直接連線回使用 ExpressRoute 或站對站 VPN 的內部部署環境。 輸出流量可能會以與內部部署流量相同的方式,使用現有的 Proxy 伺服器來路由傳送。 此連線策略並未針對 Windows 365 環境進行優化,而且可能會對效能造成顯著的影響。
相反地,您可以搭配 ANC Windows 365 環境使用 Azure 防火牆,以提供優化、安全、低維護和自動化存取。
Windows 365 的必要端點
Windows 365 需要存取下列端點:
設定來自環境的優化連線時,您也可以考慮存取其他Microsoft服務 (,例如 Office 365) 。
某些服務的 FQDN 標籤可供 Azure 防火牆使用,以簡單的方式協助設定和維護這些規則,稍後會在本文件中討論。
使用 Azure 防火牆和 FQDN 標籤的範例架構
有許多方式可在 Azure 內設定網路功能。 在這裡,我們會使用:
- 具有管理輸出存取之 Azure 防火牆的單一 VNet。
- 將 VNet 連線回內部部署環境的 ExpressRoute 線路。
此圖表中的流量:
- Contoso 公司網路:此內部部署IP子網會透過ExpressRoute閘道公告至 VNet。 此範圍 (10.0.0.0/8) 的所有流量都會透過 ExpressRoute 線路傳送。
- 來自 Windows 365 子網的所有其他流量都會透過使用者定義路由 (UDR) 路由 0.0.0.0/0 傳送至 Azure 防火牆。 下一個躍點 IP 會設定為 Azure 防火牆的私人 IP。
- 防火牆具有應用程式規則 (和 FQDN 標籤) 以及針對 Windows 365 必要端點設定的網路規則。 允許使用符合規則的流量。系統會封鎖任何其他未明確允許的流量。
Azure 防火牆應用程式規則
圖表中的環境是使用下列 Azure 防火牆應用程式規則所設定, (在圖說文字 3) 中套用。 並非 Contoso 內部部署子網的所有流量都會導向防火牆。 這些規則允許定義的流量輸出至其目的地。 如需部署 Azure 防火牆的詳細資訊,請參閱 使用 Azure 入口網站部署和設定 Azure 防火牆。
| 規則描述 | 目的地類型 | FQDN 標籤名稱 | Protocol (通訊協定) | TLS 檢查 | 必要/選用 |
|---|---|---|---|---|---|
| Windows 365 FQDN | FQDN 標籤 | Windows365 | HTTP:80,HTTPS:443 | 不建議使用 | 必要 |
| Intune FQDN | FQDN 標籤 | MicrosoftIntune | HTTP:80,HTTPS:443 | 不建議使用 | 必要 |
| Office 365 FQDN | FQDN 標籤 | Office365 | HTTP:80,HTTPS:443 | 不建議優化 & 允許類別 | 選擇性,但建議使用 |
| Windows Update | FQDN 標籤 | WindowsUpdate | HTTP:80,HTTPS:443 | 不建議使用 | 選用 |
| Citrix HDX Plus | FQDN 標籤 | CitrixHDXPlusForWindows365 | HTTP:80,HTTPS:443 | 不建議使用 | 只有在使用 Citrix HDX Plus) 時才需要選擇性 ( |
Azure 防火牆可以與公用IP位址相關聯,以提供因特網的輸出連線能力。 系統會隨機選取第一個公用IP以提供 輸出 SNAT。 第一個IP中的所有SNAT埠都用盡之後,將會使用下一個可用的公用IP。 在需要高輸送量的案例中,建議您利用 Azure NAT 閘道。 NAT 閘道會動態調整輸出連線能力,並可 與 Azure 防火牆整合。 如需指引,請參閱 整合 NAT 閘道與 Azure 防火牆教學 課程。
Windows365 標籤
Windows365 標籤包含必要的 Azure 虛擬桌面 (AVD) 連接點,但需要手動輸入非標準埠的端點除外, (請參閱網路規則一節) 。
Windows365 標籤不包含 Intune。 MicrosoftIntune 標籤可以分開使用。
Windows365 FQDN 標籤包含所有必要的端點,但這份文件的個別數據列中列為 [ 必要 ] 的端點除外,這些端點必須個別設定。 FQDN 標籤與服務標籤不同。 例如,WindowsVirtualDesktop 服務標籤只包含 *.wvd.microsoft.com 解析的IP位址。
網路規則
Azure 防火牆目前不會處理 FQDN 標籤中的非標準埠。 Windows 365 有幾個非標準埠需求,因此除了 FQDN 標籤以外,還必須手動新增下列規則作為網路規則。
| 規則描述 | 目的地類型 | FQDN/IP | Protocol (通訊協定) | 埠/秒 | TLS 檢查 | 必要/選用 |
|---|---|---|---|---|---|---|
| Windows 啟用 | FQDN | azkms.core.windows.net | TCP | 1688 | 不建議使用 | 必要 |
| 註冊 | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | 不建議使用 | 必要 |
| 透過 TURN 的 UDP 連線 | IP | 20.202.0.0/16 | UDP | 3478 | 不建議使用 | 必要 |
| TURN 連線能力 | IP | 20.202.0.0/16 | TCP | 443 | 不建議使用 | 必要 |
| 註冊 | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | 不建議使用 | 必要 |
合作夥伴安全性解決方案選項
其他協助保護 Windows 365 環境的方式是合作夥伴安全性解決方案選項,可提供自動化規則集來存取 Windows 365 服務的必要端點。 這類選項包括:
- Check Point Software Technologies 可更新物件
後續步驟
若要深入瞭解 FQDNS,請參閱 FQDN 標籤觀。
若要深入瞭解服務標籤,請參閱 虛擬網路服務標籤。