Upravit

Sdílet prostřednictvím

Síťové připojení Windows 365 Azure

Azure ExpressRoute
Azure Virtual Desktop
Azure Virtual Machines
Azure Virtual Network

Windows 365 je cloudová služba, kterou můžete použít k poskytování vysoce optimalizovaných a přizpůsobených instancí výpočetních prostředí Windows označovaných jako cloudové počítače, které jsou účelově vytvořené pro požadavky jednotlivých uživatelů. Cloudové počítače používají kombinaci následujících služeb:

  • Intune pro přizpůsobení, zabezpečení a správu cloudových počítačů
  • Entra ID pro identitu a řízení přístupu
  • Azure Virtual Desktop pro vzdálené připojení

Cloud PC je vysoce dostupná, optimalizovaná a přizpůsobená výpočetní instance, která poskytuje bohaté desktopové prostředí Windows. Je hostovaná ve službě Windows 365 a je přístupná odkudkoli a na libovolném zařízení.

Model sdílené odpovědnosti systému Windows 365

Windows 365 je řešení typu software jako služba (SaaS). Microsoft spravuje některé komponenty ve službách Windows 365 a spravujete jiné součásti. Množství odpovědnosti, které máte, závisí na modelu architektury, který zvolíte pro nasazení. Odpovědnost za správu Windows 365 je rozdělená do tří částí:

  • Nasazení: Plánování a nasazení součástí služby
  • Životní cyklus: Správa komponenty v průběhu životního cyklu, jako jsou opravy a zabezpečení.
  • Konfigurace: Konfigurace komponenty tak, aby v případě potřeby použila nastavení.

Následující diagram znázorňuje matici odpovědnosti nasazení Windows 365 pomocí doporučené sítě hostované Microsoftem, připojení Microsoft Entra a imagí galerie pomocí automatického opravy Systému Windows. Díky této konfiguraci nemusíte spravovat mnoho součástí a fází životního cyklu. Tato konfigurace se překládá na výhody uvedené v doporučených vzorech architektury.

Poznámka:

Následující diagram znázorňuje zodpovědnosti z hlediska infrastruktury, jako je například nastavení hardwaru a sítě a jejich údržba. Nezahrnuje nastavení předplatného tenanta Windows 365 ani Intune.

Diagram matice odpovědnosti znázorňující nasazení, které používá síť hostované MicrosoftemStáhněte si soubor PowerPointu této architektury.

Následující diagram znázorňuje typické nasazení Windows 365, které používá síťové připojení Azure, a ukazuje komponenty, které spravuje Microsoft, a komponenty, které spravujete ve fázích životního cyklu cloudového počítače.

Diagram matice odpovědnosti znázorňující nasazení pomocí síťového připojení AzureStáhněte si soubor PowerPointu této architektury.

Microsoft doporučuje nasadit Windows 365 s následujícími komponentami, abyste získali prostředí SaaS, abyste měli maximální výhody služby:

  • Připojení Microsoft Entra
  • Síť hostovaná Microsoftem
  • Obrázky galerie
  • Služba správy mobilních zařízení (MDM) založená na Intune s konfigurací aplikací a operačního systému
  • Aplikace Windows 365 pro přístup ke cloudovým počítačům

Diagram modelu architektury znázorňující výhody služby Windows 365Stáhněte si soubor PowerPointu této architektury.

Předchozí model architektury umožňuje využívat službu Windows 365 na maximum a poskytuje následující výhody:

  • Zjednodušené a rychlejší nasazení
  • Minimální až nula závislostí
  • Úplná podpora architektury nulová důvěra (Zero Trust)
  • Zjednodušené toky řešení potíží
  • Řešení potíží se samoobslužným uživatelem
  • Nízká režie a správa
  • Model nejvyšší vyspělosti softwaru a doručování aplikací

Architektura služby Windows 365

Následující diagram představuje všechny součásti, které jsou součástí služby Windows 365. Tato architektura používá Intune a Microsoft Entra ID, což jsou základní požadavky Windows 365. K dispozici jsou také volitelné komponenty, jako je Azure Virtual Network.

Diagram síťového připojení Azure a možností hostované sítě MicrosoftuStáhněte si soubor aplikace Visio s touto architekturou.

Předchozí diagram znázorňuje síťové připojení Azure a možnosti sítě hostované Microsoftem. Vzájemně se vylučují možnosti architektury. Následující části jsou podrobně popsány v možnostech síťového připojení Azure.

Virtual Desktop

Virtual Desktop je řešení infrastruktury virtuálních klientských počítačů (VDI) založené na Azure. Microsoft spravuje Službu Virtual Desktop. Poskytuje řešení typu platforma jako služba (PaaS). Windows 365 používá komponenty pro správu sítě potřebné pro připojení k jejich cloudovým počítačům. Součástí jsou služba brány služby Virtual Desktop, služba zprostředkovatele připojení a webová klientská služba. Tyto služby umožňují bezproblémové připojení ke cloudovým počítačům s Windows 365.

Další informace najdete v tématu Azure Virtual Desktop pro podnik.

Diagram součástí řídicí roviny virtuální plochy windowsStáhněte si soubor aplikace Visio s touto architekturou.

Poznámka:

Systém Windows 365 využívá komponenty s názvem "Řídicí rovina virtuální plochy Windows" v předchozím diagramu pro usnadnění připojení uživatelů a cloudových počítačů a například dědí většinu možností souvisejících s připojením služby Azure Virtual Desktop. Znalost fungování sítí služby Virtual Desktop se pak stane zásadním předpokladem návrhu architektury síťového připojení Azure podrobně popsané v tomto dokumentu.

Microsoft Intune

Intune je cloudové řešení pro správu koncových bodů, které umožňuje zobrazovat a využívat sestavy a spravovat:

  • Doručování aplikací
  • Windows aktualizace
  • Konfigurace správy zařízení
  • Zásady zabezpečení

Intune zjednodušuje správu aplikací a zařízení napříč mnoha zařízeními, včetně mobilních zařízení, stolních počítačů a virtuálních koncových bodů.

Přístup a data můžete chránit na zařízeních vlastněných organizacím a osobních zařízeních. Intune má také funkce dodržování předpisů a vytváření sestav, které podporují model zabezpečení nulová důvěra (Zero Trust). Další informace najdete v tématu Vytvoření konfiguračního profilu zařízení.

Vzory architektury

Model architektury popisuje komponenty a znázorňuje konfigurace, se kterými se služba nebo produkt nasazuje. Další informace najdete v tématu Hostované jménem architektury.

Projděte si následující vzory síťového připojení Azure:

Síťové připojení Azure s připojením Microsoft Entra – V tomto vzoru cloudové počítače připojené k Microsoft Entra používají síťové připojení Azure k připojení k prostředkům v místních prostředích, jako jsou obchodní aplikace, sdílené složky a další aplikace, které nepotřebují ověřování Kerberos nebo Windows New Technology LAN Manager (NTLM).

Připojení k síti Azure s hybridním připojením Microsoft Entra – v tomto vzoru používají hybridní cloudové počítače připojené ke službě Microsoft Entra síťové připojení Azure k připojení k doméně s místním řadičem domény Microsoft Entra ID. Cloud PC se ověřuje v místním řadiči domény, když uživatelé přistupují ke cloudovým počítačům, místním aplikacím nebo cloudovým aplikacím, které potřebují ověřování Kerberos nebo NTLM.

Vzory architektury síťového připojení Azure

U některých vzorů se služba Windows 365 připojuje k místním prostředím prostřednictvím virtuální sítě pomocí Azure ExpressRoute nebo vpn typu site-to-site. Tato metoda připojení je reprezentována síťovým připojením Azure, což je objekt Intune. Toto připojení umožňuje cloudovým počítačům připojit se k místním prostředkům, jako jsou active directory nebo obchodní aplikace.

Toto síťové připojení, které je reprezentované síťovým připojením Azure, používá služba Windows 365 během zřizování cloudových počítačů pro připojení k místní doméně Microsoft Entra, kontroly stavu připravenosti zřizování Cloud PC.

Následující tabulky uvádějí závislosti pro síťové připojení Azure. Windows 365 na těchto závislostech spouští automatické kontroly stavu.

Dependency Microsoft Entra Connect – zkontroluje, jestli je microsoft Entra Connect nastavený a úspěšně se dokončí.
Vzory architektury Připojení k síti Azure pro hybridní připojení Microsoft Entra
Doporučení – Nastavte interval synchronizace Microsoft Entra Connect s výchozí nebo nejnižší hodnotou. Delší intervaly synchronizace zvyšují možnost selhání zřizování cloudových počítačů v produkčním prostředí kvůli vypršení časového limitu. Další informace naleznete v tématu Selhání hybridního připojení Microsoft Entra.
– Nastavte replikaci kontroleru Doména služby Active Directory ze serveru ve stejném datacentru jako síťové připojení Windows 365 Azure, abyste zajistili rychlejší replikaci.
– Nastavte replikaci řadiče domény Microsoft Entra ID s výchozí hodnotou.
Dependency Připravenost tenanta Azure – Kontroluje, jestli je povolené předplatné Azure, bez blokujících omezení a je připravené k použití.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ke správě předplatných Azure, Intune a Windows 365 použijte účet se správnými oprávněními. Další informace najdete v tématu Řízení přístupu na základě role (RBAC).
– Zakažte nebo upravte všechny zásady Azure, které brání vytváření cloudových počítačů. Další informace najdete v tématu Omezení povolených skladových položek virtuálních počítačů.
– Ujistěte se, že předplatné má dostatečné kvóty prostředků pro sítě a obecné limity na základě maximálního počtu cloudových počítačů, které se mají vytvořit. Mezi příklady patří velikost síťové brány, adresní prostor IP adres, velikost virtuální sítě a požadovaná šířka pásma. Další informace najdete v tématu Omezení sítě a Obecné limity.
Dependency Připravenost virtuální sítě Azure – Kontroluje, jestli je virtuální síť v podporované oblasti Windows 365.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Vytvořte virtuální síť v oblastech Azure podporovaných ve Windows 365 pro zřizování Cloud PC.
– Vytvořte aspoň jednu podsíť, kromě výchozí podsítě, abyste nasadí adaptéry virtuální sítě Cloud PC.
– Pokud je to možné, vytvořte sdílené síťové služby, jako jsou brány Azure Firewall, brány VPN nebo brány ExpressRoute, v samostatné virtuální síti, aby bylo možné řídit směrování a rozšíření nasazení.
Ve virtuálních sítích použijte skupiny zabezpečení sítě (NSG) s příslušnými vyloučeními, abyste povolili požadované adresy URL pro službu Windows 365. Další informace najdete v tématu Požadavky na sítě a skupiny zabezpečení sítě.
Dependency Využití IP adres podsítě Azure – Kontroluje, jestli je k dispozici dostatek IP adres.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Vytvořte virtuální síť s dostatečnými IP adresami pro zpracování vytváření cloudových počítačů a dočasné rezervace IP adres během opětovného zřízení. Doporučujeme použít adresní prostor IP adres, který je 1,5 až 2krát maximální počet cloudových počítačů, které nasadíte pro cloud. Další informace najdete v tématu Obecné požadavky na síť.
– Zachází s virtuální sítí Azure jako s logickým rozšířením vaší místní sítě a přiřaďte jedinečný adresní prostor IP adres ve všech sítích, abyste se vyhnuli konfliktům směrování.
Dependency Připojení ke koncovému bodu – Zkontroluje, jestli jsou externí adresy URL potřebné pro zřizování cloudových počítačů dostupné z virtuální sítě.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Povolte všechny adresy URL potřebné pro zřizování cloudových počítačů prostřednictvím virtuální sítě Azure. Další informace najdete v tématu Povolení připojení k síti.
– Pomocí služby Azure Firewall můžete využít značky plně kvalifikovaného názvu domény windows 365, Azure Virtual Desktopu a Intune k vytvoření pravidel aplikací a povolení adres URL potřebných pro zřizování cloudových počítačů s Windows 365. Další informace najdete v tématu Použití služby Azure Firewall ke správě a zabezpečení prostředí Windows 365.
– Obejití nebo vyloučení provozu protokolu RDP (Remote Desktop Protocol) z jakéhokoli zařízení kontroly sítě, proxy serveru nebo manipulace se zařízením, aby se zabránilo problémům s latencí a směrováním. Další informace naleznete v tématu Technologie zachycení provozu.
– Na straně koncového uživatele a sítě povolte adresy URL a porty služby Windows 365 pro kontrolu proxy serveru a sítě.
– Povolte interní IP adresy Azure 168.63.129.16 a 169.254.169.254, protože tyto IP adresy se používají ke komunikaci se službami platformy Azure, jako jsou metadata nebo prezenční signál. Další informace najdete v tématu Co je IP adresa 168.63.129.16?, Azure Instance Metadata Service a Nejčastější dotazy k virtuální síti.
Dependency Registrace Do Intune – Zkontroluje, jestli Intune umožňuje registraci Zařízení s Windows.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ujistěte se, že jsou omezení registrace typu zařízení v Intune nastavená tak, aby umožňovala platformu správy mobilních zařízení (MDM) s Windows pro podnikovou registraci.
– Pro hybridní připojení Microsoft Entra nastavte zařízení automaticky tak, že nakonfigurujete spojovací bod služby (SCP) pro každou doménu v Microsoft Entra Connect nebo pomocí cílového modelu nasazení. Další informace najdete v tématu Konfigurace hybridního připojení Microsoftu a cílového nasazení hybridního připojení Microsoft Entra.
Dependency Oprávnění aplikace první strany – zkontroluje Aplikace Windows 365 oprávnění k předplatnému Azure zákazníka, skupině prostředků a úrovním virtuální sítě.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ujistěte se, že účet použitý k nastavení síťového připojení Azure má oprávnění ke čtení v předplatném Azure, ve kterém se vytvoří virtuální síť Azure.
– Ujistěte se, že v předplatném Azure nejsou žádné zásady, které blokují oprávnění pro aplikaci Windows 365 první strany. Aplikace musí mít oprávnění na úrovni předplatného, skupiny prostředků a virtuální sítě. Další informace najdete v požadavcích Azure.
Dependency Lokalizační jazyková sada – Kontroluje, jestli jsou dostupná umístění pro stahování jazykových sad.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ujistěte se, že adresy URL potřebné pro příslušnou verzi imagí Windows jsou povolené prostřednictvím pravidel brány firewall používaných ve virtuální síti Azure. Další informace naleznete v tématu Poskytnutí lokalizovaného prostředí systému Windows.
Dependency Krátká cesta RDP – Zkontroluje, jestli jsou nakonfigurované protokol UDP (User Datagram Protocol) pro připojení.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Povolte zkratku protokolu RDP pro přístup ke cloudovým počítačům, abyste mohli využívat odolnost PROTOKOLU UDP. Další informace naleznete v tématu Použití zkratky RDP pro veřejné sítě s Windows 365 a použití RDP Shortpath pro privátní sítě s Windows 365.
Dependency Licence Intune – Zkontroluje, jestli má tenant odpovídající licence Intune pro použití Windows.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ujistěte se, že máte licence Intune přiřazené v souladu s licenčními požadavky.
Dependency Kontrola jednotného přihlašování – Zkontroluje, jestli se v Active Directory vytvoří objekt serveru Kerberos a synchronizuje se s Microsoft Entra ID.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ujistěte se, že je v zásadách zřizování vybraná možnost jednotného přihlašování. Tato možnost umožňuje připojit se ke cloudovému počítači zásad pomocí přihlašovacích údajů z fyzického zařízení spravovaného přes Intune, které je připojené k doméně nebo ke službě Microsoft Entra. Další informace najdete v tématu Pokračování vytváření zásad zřizování.
Dependency Překlad názvů DNS – Zkontroluje, jestli dns v síťovém připojení Azure dokáže přeložit místní Active Directory doménu.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ujistěte se, že je virtuální síť Azure nakonfigurovaná s překladem názvů místní domény Microsoft Entra pomocí vlastního DNS, privátního DNS nebo privátního překladače. Další informace najdete v tématu Co je Azure DNS?
– Ujistěte se, že servery DNS nakonfigurované ve virtuální síti jsou ve stejné zeměpisné oblasti a mají možnost bez zpoždění zaregistrovat nově zřízené cloudové počítače. Vyhněte se doporučení DNS nebo přesměrování, abyste zabránili zpoždění šíření, což může vést ke zpožděním nebo selháním zřizování.
Dependency Připojení k doméně Microsoft Entra – kontroluje, zda jsou přihlašovací údaje zadané pro připojení k doméně Microsoft Entra platné a cloudové počítače mohou být připojené k doméně.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Ujistěte se, že účet zadaný pro připojení k doméně Microsoft Entra má oprávnění k organizační jednotce Microsoft Entra zadané v konfiguraci síťového připojení Azure.
– Ujistěte se, že zadaný účet není standardním uživatelským účtem s omezením připojení k doméně. Další informace najdete v tématu Výchozí limit počtu pracovních stanic, ke které se uživatel může připojit k doméně.
– Ujistěte se, že zadaný účet je synchronizovaný s ID Microsoft Entra.
– Ujistěte se, že organizační jednotky zadané v síťovém připojení Azure nemají žádné limity objektů. Další informace najdete v tématu Zvýšení limitu účtu počítače v organizační jednotce.

Další informace najdete v tématu Kontroly stavu připojení k síti Azure ve Windows 365.

Doporučení k stavebním blokům připojení k síti Azure

Tato část obsahuje rozpis stavebních bloků architektury síťového připojení Azure pro Windows 365.

Předplatné Azure

Využití Windows 365 v architektuře síťového připojení Azure zahrnuje dva typy předplatných Azure, předplatné Microsoftu a zákaznické předplatné.

Windows 365 používá hostované jménem modelu k poskytování služeb zákazníkům s Windows 365. V tomto modelu se cloudový počítač zřídí a spustí v předplatných Azure vlastněných Microsoftem, zatímco síťový adaptér cloudového počítače se zřídí v předplatném Azure zákazníka. Následující diagramy znázorňují dva vzory architektury síťového připojení Azure. Zákazníci používají vlastní předplatné Azure a virtuální síť.

Diagram modelu architektury s využitím identity microsoft Entra joinStáhněte si soubor aplikace Visio s touto architekturou.

Předchozí model architektury používá identitu připojení Microsoft Entra ke správě cloudových počítačů.

Diagram modelu architektury využívající identitu hybridního spojení Microsoft EntraStáhněte si soubor aplikace Visio s touto architekturou.

Předchozí model architektury používá identitu hybridního připojení Microsoft Entra ke správě cloudového počítače a vyžaduje komunikaci sítě s řadiči domény Doména služby Active Directory Services (AD DS) v místních prostředích.

Komponenta Předplatné Azure – Předplatné Azure, které hostuje virtuální síť používanou k poskytování připojení cloudového počítače k místnímu prostředí a internetu.
Vzory architektury Síťové připojení Azure pro připojení k Microsoft Entra, síťové připojení Azure pro hybridní připojení Microsoft Entra
Doporučení – Vytvořte nebo použijte předplatné, které má virtuální síť a brány ExpressRoute nebo VPN k poskytnutí připojení zpět k místnímu prostředí.
– Vytvořte vyhrazenou skupinu prostředků pro Cloud PC, která poskytuje oprávnění a správu prostředků.
– Vylučte skupiny prostředků Cloud PC a virtuální síť ze zásad Azure, které brání automatickému vytvoření a odstranění objektů virtuální síťové karty (vNIC) a přiřazení nebo uvolnění IP adres. Další informace najdete v tématu Uzamčení prostředků za účelem ochrany infrastruktury a požadavků Na Azure.
– Vytvořte vyhrazené virtuální sítě pro lepší správu IP adres a řízení směrování.

Virtuální síť a hybridní připojení

Vzory architektury založené na síťovém připojení Azure pro Windows 365 vyžadují jednu nebo více virtuálních sítí Azure. Virtuální sítě poskytují připojení k místním prostředím a přes internet pro zřízení cloudového počítače. Virtuální síťový adaptér cloudového počítače je zřízený ve virtuální síti Azure předplatného vlastněného zákazníkem, jak je popsáno v části předplatného Azure.

Sítě Azure je možné nasadit s různou sofistikovaností návrhu na základě stávajících místních sítí nebo sítí Azure. Pokud chcete začít se základním návrhem hybridní sítě, přečtěte si téma Implementace zabezpečené hybridní sítě.

Při návrhu architektury virtuální sítě Azure zvažte následující faktory:

  • Adresní prostor IP adres: Velikost adresního prostoru IP adres závisí na počtu cloudových počítačů, které se mají podporovat. Naplánujte alespoň 1,5násobek maximálního počtu nasazených cloudových počítačů. Účet dalších IP adres pro IP adresy používané při zřizování a rušení zřizování cloudových počítačů.

  • Překlad názvů: Proces DNS používaný cloudovým počítačem k překladu názvu místní domény v nasazení hybridního připojení Microsoft Entra nebo překlad internetových prostředků nebo prostředků Azure v modelu nasazení Microsoft Entra join.

    • Pokud chcete použít stávající místní infrastrukturu DNS, nakonfigurujte IP adresy jednoho nebo více serverů DNS pro překlad názvů. Další informace najdete v tématu Požadavky NA DNS.
    • Ujistěte se, že IP adresa serveru DNS používaná ve virtuální síti Azure patří do stejné zeměpisné oblasti jako Cloud PC a že nepřesměruje požadavky na registraci DNS do jiné oblasti. V opačném případě výsledkem jsou zpožděná nebo neúspěšná nasazení a kontroly stavu síťového připojení Azure.
    • Pro překlad názvů založených na Azure DNS použijte veřejnou nebo privátní službu Azure DNS nebo možnost privátního překladače. Další informace najdete v dokumentaci k Azure DNS.

  • Síťová topologie: Sítě Azure podporují topologie pro různé případy použití.

    • Hvězdicová topologie s partnerskými vztahy virtuálních sítí: Tato topologie představuje nejjednodušší způsob, jak zajistit izolaci služeb s vlastními paprskovými a centrálními virtuálními sítěmi. Sdílené služby zahrnují bránu Azure Firewall a síťové brány. Tuto topologii vyberte, pokud máte jednoduchý návrh s jednou lokalitou pro nasazení cloudového počítače v jedné nebo více paprskových virtuálních sítích. Další informace najdete v tématu Hvězdicová síťová topologie.
    • Hvězdicová topologie se službou Azure Virtual WAN: Virtual WAN je síťová služba Azure, která spojuje síťové funkce, zabezpečení a správu, které umožňují složité síťové požadavky. Tuto topologii použijte pro nasazení ve více lokalitách s více oblastmi s konkrétními požadavky na bránu firewall a směrování. Další informace najdete v tématu Hvězdicová síťová topologie s virtual WAN.

  • Síťová brána: Síťové brány Azure poskytují připojení z virtuální sítě k místní síti. Existují síťové brány VPN a ExpressRoute. Před rozhodováním o metodě připojení ExpressRoute nebo VPN se ujistěte, že se posudí maximální požadavky na šířku pásma cloudového počítače. Brány VPN i ExpressRoute jsou nabízeny na úrovních nebo skladových úrovních, které se liší v množství poskytované šířky pásma a dalších metrikách. Další informace najdete v tématu Rozšíření místní sítě pomocí ExpressRoute a připojení místní sítě k Azure pomocí ExpressRoute.

Konfigurace směrování

Služba síťového připojení Azure pro Windows 365 používá automatizované kontroly stavu k určení stavu a připravenosti prostředí zákazníka ke zřízení připojení Microsoft Entra nebo hybridního připojení cloudových počítačů Microsoft Entra v architektuře založené na síťovém připojení Azure. Bez správných konfigurací směrování ve virtuální síti Azure a přidružených síťových službách existuje vysoká pravděpodobnost selhání nebo zpoždění nasazení cloudového počítače. Při optimalizaci směrování pro síťovou architekturu Windows 365 zvažte následující doporučení:

  • Požadované adresy URL seznamu povolených: Každý cloudový počítač nasazený v hybridním připojení Microsoft Entra a model síťového připojení Microsoft Entra join Azure vyžaduje několik adres URL, které mají být povolené prostřednictvím antivirového softwaru operačního systému, síťových bran firewall a nástrojů pro vyrovnávání zatížení. Ujistěte se, že jsou povolené všechny adresy URL. Další informace najdete v tématu Povolení připojení k síti.

  • Použijte značky plně kvalifikovaného názvu domény Azure: Pokud používáte službu Azure Firewall, použijte značky plně kvalifikovaného názvu domény Azure k povolení požadovaných adres URL pro Azure Virtual Desktop, Windows 365 a Intune. Další informace najdete v tématu Použití služby Azure Firewall ke správě a zabezpečení prostředí Windows 365.

  • Povolení průchodu: Systém Windows 365 používá protokol RDP, který je citlivý na latenci zavedenou zařízeními kontroly provozu, jako je brána firewall nebo zařízení pro dešifrování SSL. Taková latence může mít za následek špatné prostředí, takže zakažte kontrolu provozu těchto adres URL a místo toho povolte průchozí přístup. Další informace naleznete v tématu Technologie zachycení provozu.

  • Proxy pro obejití: Cloudové a tradiční proxy služby, které jsou vhodné pro přístup k internetu, zavádějí latenci připojení RDP. K této latenci dochází, když je připojení z fyzického zařízení koncového uživatele nebo z cloudového počítače vynuceno prostřednictvím proxy serveru a vede k častým odpojením, prodlevám a zpožděním odezvy. Nastavte rozsahy IP adres brány *.wvd.microsoft.com a Windows 365 tak, aby obešly proxy služby na fyzickém zařízení uživatele, síť, ke které je fyzické zařízení připojené, a v cloudovém počítači.

Další informace najdete v tématu Optimalizace připojení RDP pro Windows 365.

  • Směrování nejkratší cesty: Ujistěte se, že provoz protokolu RDP z cloudového počítače dosáhne koncových bodů služby Virtual Desktop přes nejkratší cestu. Ideální cesta je z virtuální sítě, přímo k IP adrese brány služby Virtual Desktop přes internet. Také se ujistěte, že provoz protokolu RDP z fyzického zařízení koncového uživatele přímo dosáhne IP adresy brány služby Virtual Desktop. Tato konfigurace zajišťuje optimální směrování a nezhorší uživatelské prostředí. Vyhněte se směrování provozu protokolu RDP na internet přes cloudové proxy služby nebo místní sítě.

  • Krátká cesta RDP: Povolení přístupu na základě krátké cesty protokolu RDP pro sítě koncových uživatelů, sítě Azure a cloudové počítače. Krátká cesta RDP používá protokol UDP k přenosu provozu protokolu RDP. Na rozdíl od protokolu TCP je odolný vůči síťovým připojením s vysokou latencí. UDP také využívá maximální využití dostupné šířky pásma sítě k efektivnímu přenosu paketů RDP, což vede ke zlepšení uživatelského prostředí. Další informace naleznete v tématu Použití zkratky RDP pro veřejné sítě s Windows 365.

  • Umístění v cloudových počítačích: Pro optimální uživatelské prostředí a směrování určete, kde zákazníci pracují v souvislosti s pracovními aplikacemi nebo sítí, ke kterým přistupují. Zvažte také čas, kdy zákazníci tráví přístup k obchodním aplikacím v porovnání s celkovým časem, kdy přistupují k jiným aplikacím. Projděte si následující dvě možné možnosti nasazení:

    • Následující model nasazení může být optimální, pokud zákazníci tráví většinu pracovního času přístupem k obchodním aplikacím, a nepracují na místně nainstalovaných aplikacích, jako jsou aplikace v Microsoftu 365. Tento model optimalizuje latenci obchodních aplikací vs. latenci přístupu ke cloudovým počítačům tak, že umístí Cloud PC do stejné oblasti jako obchodní aplikace (Geography B). K této optimalizaci dochází, i když je brána geograficky blíže koncovému uživateli (Zeměpis A). Následující diagram znázorňuje možný tok provozu od koncového uživatele do obchodních aplikací.

      Diagram vývojového diagramu znázorňující možný tok provozu od uživatelů do aplikacíStáhněte si soubor PowerPointu této architektury.

    • Pokud zákazníci občas přistupují k obchodním aplikacím v zeměpisné oblasti B, může být nasazení cloudového počítače blíže zákazníkům optimální, protože optimalizuje latenci přístupu ke cloudovým počítačům oproti latenci přístupu obchodních aplikací. Následující diagram znázorňuje, jak může provoz v takovém scénáři proudit.

      Diagram vývojového diagramu znázorňující možný tok provozu od uživatelů do aplikacíStáhněte si soubor PowerPointu této architektury.

Doporučení služby AD DS

V architektuře hybridního připojení Microsoft Entra funguje místní infrastruktura SLUŽBY AD DS jako zdroj identity autority. Správné nakonfigurované a v pořádku infrastruktury služby AD DS je zásadním krokem k úspěšnému nasazení Windows 365.

Místní služba AD DS podporuje řadu konfigurací a různé úrovně složitosti, takže uvedená doporučení se týkají jenom základních osvědčených postupů.

  • V případě scénáře hybridního připojení k Microsoft Entra můžete službu AD DS nasadit na virtuální počítače Azure, jak je popsáno v referenčních informacích k architektuře nasazení služby AD DS ve virtuální síti. Pomocí hybridního síťového připojení můžete také poskytnout přímý pohled na místní řadič domény Microsoft Entra. Další informace naleznete v tématu Implementace zabezpečené hybridní sítě.
  • V případě nasazení připojení Microsoft Entra postupujte podle referenční architektury integrace místních domén Microsoft Entra s ID Microsoft Entra.
  • Windows 365 používá službu watchdog jako součást automatizovaného testování, která vytvoří testovací účet virtuálního počítače. Tento účet se v organizační jednotce zadané v konfiguraci síťového připojení Azure zobrazuje jako zakázaný. Tento účet neodstraňovat.
  • Jakýkoli cloudový počítač, který je vyřazený z provozu v modelu hybridního připojení Microsoft Entra, zůstane za zakázaným účtem počítače, který je potřeba vyčistit ručně ve službě AD DS.
  • Služba Microsoft Entra Domain Services není podporována jako zdroj identit, protože nepodporuje hybridní připojení Microsoft Entra.

Doporučení DNS

V architektuře nasazení síťového připojení Azure jsou servery DNS nebo jiná služba DNS používaná virtuální sítí Azure zásadní závislostí. Je důležité mít zavedenou infrastrukturu, která je v pořádku.

  • V případě konfigurace hybridního připojení Microsoft Entra by měl být DNS schopný přeložit doménu, ke které je potřeba připojit cloudový počítač. K dispozici je několik možností konfigurace, nejjednodušší z nich je zadat IP adresu vašeho serveru DNS v konfiguraci virtuální sítě Azure. Další informace najdete v tématu Překlad názvů, který využívá váš vlastní server DNS.
  • V závislosti na složitosti infrastruktury, jako je nastavení více oblastí v Azure a místních prostředích, byste měli použít službu, jako jsou privátní zóny Azure DNS nebo privátní překladač Azure DNS.

Doporučení pro připojení ke cloudovým počítačům

Nasazené cloudové počítače by měly být nakonfigurované tak, aby umožňovaly nepřerušovaný tok připojení do a ze služby brány služby Virtual Desktop. Při nasazování aplikací v rámci konfigurace operačního systému Windows zvažte následující doporučení:

  • Ujistěte se, že se klient VPS nespustí, když se uživatel přihlásí, protože může odpojit relaci při navázání tunelu VPN. Uživatel by se musel přihlásit podruhé.
  • Nakonfigurujte vpn, proxy server, bránu firewall a antivirové a antimalwarové aplikace tak, aby umožňovaly nebo obešly provoz směřující pro IP adresy 168.63.129.16 a 169.254.169.254. Tyto IP adresy se používají ke komunikaci se službami platformy Azure, jako jsou metadata a prezenčních signálů. Další informace najdete v tématu Co je IP adresa 168.63.129.16?, Azure Instance Metadata Service pro virtuální počítače a Nejčastější dotazy k virtuálním sítím.
  • Neupravujte IP adresy cloudových počítačů ručně, protože to může vést k trvalému odpojení. IP adresy se přiřazují s neomezenou zapůjčením a spravují se v průběhu životního cyklu cloudového počítače síťovými službami Azure. Další informace viz téma Metody přidělení.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další přispěvatelé:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Plánování nasazení cloudových počítačů

Architektura Windows 365

Identita a ověřování windows 365

Životní cyklus cloudových počítačů ve Windows 365

Přehled služeb Doména služby Active Directory

Šifrování dat ve Windows 365

Principy připojení k síti virtuálních klientských počítačů

Návrh architektury webových aplikací