Bearbeiten

Freigeben über

Windows 365: Azure-Netzwerkverbindung

Azure ExpressRoute
Azure Virtual Desktop
Azure Virtual Machines
Azure Virtual Network

Windows 365 ist ein cloudbasierter Dienst, mit dem Sie hochgradig optimierte und personalisierte Windows-Computerinstanzen bereitstellen können, die als Cloud-PCs bezeichnet werden und speziell auf die Anforderungen einzelner Benutzer*innen zugeschnitten sind. Cloud-PCs verwenden eine Kombination der folgenden Dienste:

  • Intune zum Anpassen, Schützen und Verwalten von Cloud-PCs
  • Entra ID für Identitäts- und Zugriffssteuerung
  • Azure Virtual Desktop für Remotekonnektivität

Ein Cloud-PC ist eine hochverfügbare, optimierte und personalisierte Computerinstanz, die eine umfassende Windows-Desktopumgebung bereitstellt. Sie wird im Windows 365-Dienst gehostet und ist von überall aus auf jedem Gerät erreichbar.

Das Modell der gemeinsamen Verantwortung in Windows 365

Windows 365 ist eine SaaS-Lösung (Software-as-a-Service). Microsoft verwaltet einige Komponenten in Windows 365-Diensten, während Sie andere Komponenten verwalten. Ihre Verantwortung hängt vom Architekturmuster ab, das Sie für die Bereitstellung auswählen. Die Verantwortlichkeiten für die Verwaltung von Windows 365 sind in drei Teile unterteilt:

  • Bereitstellung: Planen und Bereitstellen der Komponenten des Diensts
  • Lebenszyklus: Verwalten der Komponente während des gesamten Lebenszyklus, z. B. durch Patches und Sicherungen
  • Konfiguration: Konfigurieren der Komponente zum Anwenden von Einstellungen nach Bedarf und Szenario

Das folgende Diagramm zeigt die Verantwortungsmatrix einer Windows 365-Bereitstellung mithilfe des empfohlenen von Microsoft gehosteten Netzwerks, mit Microsoft Entra-Einbindung und Katalogimages mit Windows Autopatch. Mit dieser Konfiguration müssen Sie nur wenige Komponenten und Lebenszyklusphasen verwalten. Diese Konfiguration weist die Vorteile in Empfohlene Architekturmuster aufgeführten Vorteile auf.

Hinweis

Das folgende Diagramm stellt die Verantwortlichkeiten aus Infrastrukturperspektive dar, z. B. für das Einrichten der Hardware und des Netzwerks und die Aufrechterhaltung dieser Komponenten. Dies umfasst nicht die Einrichtung von Windows 365 oder des Intune-Mandantenabonnements.

Ein Diagramm der Verantwortungsmatrix, das eine Bereitstellung zeigt, die das von Microsoft gehostete Netzwerk verwendet.Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Das folgende Diagramm zeigt eine typische Windows 365-Bereitstellung, die eine Azure-Netzwerkverbindung verwendet. Es zeigt die Komponenten, die über die Lebenszyklusphasen eines Cloud-PCs von Microsoft bzw. von Ihnen verwaltet werden.

Ein Diagramm der Verantwortungsmatrix, das eine Bereitstellung mit einer Azure-Netzwerkverbindung zeigt.Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Microsoft empfiehlt die Bereitstellung von Windows 365 mit den folgenden Komponenten, um eine SaaS-Erfahrung zu erhalten, mit der Sie die Vorteile des Diensts optimal nutzen können:

  • Microsoft Entra-Beitritt
  • Ein von Microsoft gehostetes Netzwerk
  • Katalogimages
  • Intune-basierter MDM-Dienst (Mobile Device Management, Verwaltung mobiler Geräte) mit App- und Betriebssystemkonfiguration
  • Eine Windows 365-App für Cloud-PC-Zugriff

Ein Diagramm eines Architekturmusters, das die Vorteile des Windows 365-Dienstes zeigt.Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Mit obigem Architekturmuster können Sie den Windows 365-Dienst optimal nutzen und profitieren von den folgenden Vorteile:

  • Vereinfachte und schnellere Bereitstellung
  • Minimale bis gar keine Abhängigkeiten
  • Vollständige Unterstützung für das Zero Trust-Framework
  • Vereinfachte Problembehandlung
  • Self-Service-Problembehandlung durch Benutzer*innen
  • Reduzierung von Mehraufwand und Verwaltung
  • Maximale Stabilität bei Software- und Anwendungsbereitstellung

Die Architektur des Windows 365-Diensts

Im folgenden Diagramm sind alle Komponenten dargestellt, die Teil des Windows 365-Diensts sind. Diese Architektur verwendet Intune und Microsoft Entra ID, die Kernanforderungen von Windows 365 sind. Es gibt darüber hinaus optionale Komponenten wie Azure Virtual Network.

Ein Diagramm der Azure-Netzwerkverbindung und der Microsoft Hosted Network-Optionen.Laden Sie eine Visio-Datei dieser Architektur herunter.

Das vorherige Diagramm zeigt die Azure-Netzwerkverbindung und die von Microsoft gehosteten Netzwerkoptionen. Diese beiden Architekturoptionen schließen sich gegenseitig aus. In den folgenden Abschnitten werden die Azure-Netzwerkverbindungsoptionen genauer erläutert.

Virtual Desktop

Virtual Desktop ist eine auf Azure basierende VDI-Lösung (Virtual Desktop Infrastructure). Microsoft verwaltet Virtual Desktop. Es bietet eine PaaS-Lösung (Platform-as-a-Service). Windows 365 verwendet die Netzwerkverwaltungskomponenten, die für die Verbindung mit Ihren Cloud-PCs erforderlich sind. Zu den Komponenten gehören der Virtual Desktop-Gatewaydienst, ein Verbindungsbrokerdienst und ein Webclientdienst. Diese Dienste sorgen für eine nahtlose Verbindung mit Windows 365-Cloud-PCs.

Weitere Informationen finden Sie unter Azure Virtual Desktop für Unternehmen.

Ein Diagramm der Komponenten der Windows Virtual Desktop Control Plane.Laden Sie eine Visio-Datei dieser Architektur herunter.

Hinweis

Windows 365 verwendet die Komponenten mit dem Titel „Windows Virtual Desktop-Steuerungsebene“ im vorherigen Diagramm, um Benutzer- und Cloud-PC-Verbindungen bereitzustellen, und übernimmt daher die meisten Verbindungsfunktionen von Azure Virtual Desktop. Wenn Sie sich mit der Funktionsweise von Virtual Desktop-Netzwerken vertraut machen, ist es wichtig, die in diesem Dokument beschriebene Azure-Netzwerkverbindungsarchitektur anzuwenden.

Microsoft Intune

Intune ist eine cloudbasierte Endpunktverwaltungslösung, mit der Sie Berichte anzeigen und nutzen und Folgendes verwalten können:

  • App-Bereitstellung
  • Windows-Updates
  • Geräteverwaltungskonfigurationen
  • Sicherheitsrichtlinien

Intune vereinfacht die App- und Geräteverwaltung auf vielen Geräten, einschließlich mobiler Geräte, Desktopcomputer und virtueller Endpunkte.

Sie können den Zugriff und die Daten auf unternehmenseigenen und persönlichen Geräten schützen. Intune verfügt außerdem über Compliance- und Berichterstellungsfeatures, die das Zero Trust-Sicherheitsmodell unterstützen. Weitere Informationen finden Sie unter Erstellen eines Gerätekonfigurationsprofils.

Architekturmuster

Ein Architekturmuster beschreibt Komponenten und veranschaulicht die Konfigurationen, mit denen ein Dienst oder Produkt bereitgestellt wird. Weitere Informationen finden Sie unter Gehostet im Auftrag von-Architektur.

Sehen Sie sich die folgenden Muster für Azure-Netzwerkverbindungen an:

Azure-Netzwerkverbindung mit Microsoft Entra-Einbindung: Bei diesem Muster verwenden in Microsoft Entra eingebundene Cloud-PCs die Azure-Netzwerkverbindung, um eine Verbindung mit Ressourcen in lokalen Umgebungen herzustellen, z. B. Branchenanwendungen, Dateifreigaben und andere Anwendungen, die keine Kerberos- oder NTLM-Authentifizierung (Windows New Technology LAN Manager) benötigen.

Azure-Netzwerkverbindung mit der Microsoft Entra-Hybrideinbindung: Bei diesem Muster Cloud-PCs mit Microsoft Entra-Hybrideinbindung die Azure-Netzwerkverbindung für den Domänenbeitritt über einen lokalen Microsoft Entra ID-Domänencontroller. Der Cloud-PC authentifiziert sich beim lokalen Domänencontroller, wenn Benutzer*innen auf den Cloud-PC, lokale Apps oder Cloud-Apps zugreifen, die Kerberos- oder NTLM-Authentifizierung benötigen.

Architekturmuster mit Azure-Netzwerkverbindung

Bei einigen Mustern stellt der Windows 365-Dienst eine Verbindung mit lokalen Umgebungen über das virtuelle Netzwerk mithilfe von Azure ExpressRoute oder einem Site-to-Site-VPN bereit. Diese Konnektivitätsmethode wird durch die Azure-Netzwerkverbindung (ein Intune-Objekt) dargestellt. Diese Verbindung ermöglicht den Cloud-PCs, eine Verbindung mit lokalen Ressourcen wie Active Directory- oder branchenspezifischen Apps herzustellen.

Diese Netzwerkverbindung wird durch die Azure-Netzwerkverbindung dargestellt und vom Windows 365-Dienst während der Cloud-PC-Bereitstellung für den Beitritt zur lokalen Microsoft Entra-Domäne dazu verwendet, Integritätsprüfungen für die Bereitstellungsbereitschaft von Cloud-PCs durchzuführen.

In den folgenden Tabellen sind die Abhängigkeiten für die Azure-Netzwerkverbindung aufgeführt. Windows 365 führt automatische Integritätsprüfungen für diese Abhängigkeiten aus.

Abhängigkeit Microsoft Entra Connect: überprüft, ob Microsoft Entra Connect eingerichtet und erfolgreich abgeschlossen wurde.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Richten Sie das Microsoft Entra Connect-Synchronisierungsintervall mit dem Standardwert oder dem niedrigsten Wert ein. Längere Synchronisierungsintervalle erhöhen die Möglichkeit, dass die Cloud-PC-Bereitstellung in der Produktion Fehler aufgrund eines Timeouts verursacht. Weitere Informationen finden Sie unter Fehler bei der Microsoft Entra-Hybrideinbindung.
- Richten Sie die Replikation der Active Directory-Domänencontroller von einem Server im selben Rechenzentrum wie die Windows 365 Azure-Netzwerkverbindung ein, um eine schnellere Replikation zu ermöglichen.
- Richten Sie die Replikation der Microsoft Entra ID-Domänencontroller mit einem Standardwert ein.
Abhängigkeit Azure-Mandantenbereitschaft: überprüft, ob das Azure-Abonnement aktiviert wurde, keine blockierenden Einschränkungen aufweist und verwendet werden kann.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Verwenden Sie ein Konto mit den erforderlichen Berechtigungen zum Verwalten der Azure-, Intune- und Windows 365-Abonnements. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC).
- Deaktivieren oder ändern Sie alle Azure-Richtlinien, die das Erstellen von Cloud-PCs verhindern. Weitere Informationen finden Sie unter Einschränken der zulässigen VM-SKUs.
- Stellen Sie sicher, dass das Abonnement über ausreichende Ressourcenkontingente das Netzwerk verfügt und dann die allgemeinen Grenzwerte auf der maximalen Anzahl von Cloud-PCs basieren, die erstellt werden sollen. Beispiele hierfür sind die Netzwerkgatewaygröße, der IP-Adressraum, die Größe des virtuellen Netzwerks und die erforderliche Bandbreite. Weitere Informationen finden Sie unter Grenzwerte für Netzwerke und Allgemeine Grenzwerte.
Abhängigkeit Bereitschaft des virtuellen Azure-Netzwerks: überprüft, ob sich das virtuelle Netzwerk in einer von Windows 365 unterstützten Region befindet.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Erstellen Sie das virtuelle Netzwerk in einer von Windows 365 unterstützten Azure-Region für die Bereitstellung von Cloud-PCs.
- Erstellen Sie zusätzlich zum Standardsubnetz mindestens ein Subnetz, um die virtuellen Netzwerkadapter des Cloud-PCs bereitzustellen.
- Erstellen Sie nach Möglichkeit gemeinsame Netzwerkdienste wie Azure Firewall, VPN-Gateways oder ExpressRoute-Gateways in einem separaten virtuellen Netzwerk, um das Routing steuern zu können und eine Erweiterung der Bereitstellung zu ermöglichen.
Wenden Sie in virtuellen Netzwerken Netzwerksicherheitsgruppen (NSG) mit geeigneten Ausschlüssen an, um die erforderlichen URLs für den Windows 365-Dienst zuzulassen. Weitere Informationen finden Sie unter Netzwerkanforderungen und Netzwerksicherheitsgruppen.
Abhängigkeit IP-Adressnutzung im Azure-Subnetz: überprüft, ob genügend IP-Adressen verfügbar sind.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Erstellen Sie das virtuelle Netzwerk mit ausreichenden IP-Adressen, um die Erstellung von Cloud-PCs und die temporäre IP-Adressreservierung während einer erneuten Bereitstellung zu ermöglichen. Es wird empfohlen, einen IP-Adressraum zu verwenden, der 1,5- bis 2-mal größer als die maximale Anzahl der Cloud-PCs ist, die Sie in der Cloud bereitstellen. Weitere Informationen finden Sie unter Allgemeine Netzwerkanforderungen.
- Behandeln Sie das virtuelle Azure-Netzwerk wie eine logische Erweiterung Ihres lokalen Netzwerks, und weisen Sie in allen Netzwerken eindeutige IP-Adressräume zu, um Routingkonflikte zu vermeiden.
Abhängigkeit Endpunktkonnektivität: überprüft, ob die für die Cloud-PC-Bereitstellung erforderlichen externen URLs aus dem virtuellen Netzwerk erreichbar sind.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Lassen Sie alle URLs zu, die für die Cloud-PC-Bereitstellung über das virtuelle Azure-Netzwerk erforderlich sind. Weitere Informationen finden Sie unter Zulassen von Netzwerkkonnektivität.
- Verwenden Sie Azure Firewall, um die Vorteile von FQDN-Tags für Windows 365, Azure Virtual Desktop und Intune zu nutzen, indem Sie Anwendungsregeln erstellen und URLs zulassen, die für die Bereitstellung von Windows 365 Cloud-PCs erforderlich sind. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Verwalten und Schützen von Windows 365-Umgebungen.
- Stellen Sie sicher, dass RDP-Datenverkehr (Remote Desktop Protocol) von allen Netzwerküberprüfungs-, Proxy- oder sonstigen Verarbeitungsgeräten ignoriert oder ausgeschlossen werden, um Latenz- und Routingprobleme zu vermeiden. Weitere Informationen finden Sie unter Technologien zum Abfangen von Datenverkehr.
- Lassen Sie auf der Seite der Endbenutzergeräte und -netzwerke alle Windows 365-Dienst-URLs und -Ports für Proxy- und Netzwerküberprüfungen zu.
- Lassen Sie die Azure-internen IP-Adressen 168.63.129.16 und 169.254.169.254 zu, da diese IP-Adressen für die Kommunikation mit Azure-Plattformdiensten wie Metadaten oder Takt verwendet werden. Weitere Informationen finden Sie unter Wofür dient die IP-Adresse 168.63.129.16?, Azure Instance Metadata Service und Häufig gestellte Fragen zu Virtual Network.
Abhängigkeit Intune-Registrierung: überprüft, ob Intune die Windows-Registrierung zulässt.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Stellen Sie sicher, dass die Einschränkungen für die Intune-Gerätetypregistrierung so festgelegt sind, dass die Windows MDM-Plattform (Mobile Device Management) für die Registrierung im Unternehmen zugelassen wird.
- Richten Sie für die Microsoft Entra-Hybrideinbindung die automatische Geräteeinrichtung ein, indem Sie den Dienstverbindungspunkt (Service Connection Point, SCP) für jede Domäne in Microsoft Entra Connect konfigurieren oder das zielorientierte Bereitstellungsmodell verwenden. Weitere Informationen finden Sie unter Konfigurieren der Microsoft-Hybrideinbindung und Zielorientierte Bereitstellung mit Microsoft Entra-Hybrideinbindung.
Abhängigkeit App-Berechtigungen von Erstanbietern: überprüft die Windows 365-App auf Berechtigungen im Azure-Abonnement der Kund*innen, die Ressourcengruppe und die virtuellen Netzwerkebenen.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Stellen Sie sicher, dass das Konto, das für die Einrichtung der Azure-Netzwerkverbindung verwendet wird, Leseberechtigungen für das Azure-Abonnement hat, in dem das virtuelle Azure-Netzwerk erstellt wird.
- Stellen Sie im Azure-Abonnement sicher, dass keine Richtlinien vorhanden sind, die Berechtigungen für die Windows 365-Erstanbieter-App blockieren. Die App muss über Berechtigungen auf den Ebenen des Abonnements, der Ressourcengruppe und des virtuellen Netzwerks verfügen. Weitere Informationen finden Sie in den Azure-Anforderungen.
Abhängigkeit Language Pack für die Lokalisierung: überprüft, ob die Downloadspeicherorte für das Language Pack erreichbar sind.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Stellen Sie sicher, dass die für die jeweilige Version von Windows-Images erforderlichen URLs von den Firewallregeln zugelassen werden, die im virtuellen Azure-Netzwerk verwendet werden. Weitere Informationen finden Sie unter Bereitstellen einer lokalisierten Windows-Umgebung.
Abhängigkeit RDP Shortpath: überprüft, ob UDP-Konfigurationen (User Datagram Protocol) vorhanden sind, damit Sie eine Verbindung herstellen können.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Aktivieren Sie RDP Shortpath für den Cloud-PC-Zugriff, um die Resilienz von UDP zu nutzen. Weitere Informationen finden Sie unter Verwenden von RDP Shortpath für öffentliche Netzwerke mit Windows 365 und Verwenden von RDP Shortpath für private Netzwerke mit Windows 365.
Abhängigkeit Intune-Lizenz: überprüft, ob der Mandant über die erforderlichen Intune-Lizenzen für die Verwendung von Windows verfügt.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Vergewissern Sie sich, dass Ihnen Intune-Lizenzen gemäß den Lizenzierungsanforderungen zugewiesen wurden.
Abhängigkeit SSO-Überprüfung (Single Sign-On, einmaliges Anmelden): überprüft, ob das Kerberos-Serverobjekt in Active Directory erstellt und mit Microsoft Entra ID synchronisiert wurde.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Stellen Sie sicher, dass die SSO-Option in der Bereitstellungsrichtlinie ausgewählt wurde. Mit dieser Option können Sie eine Verbindung mit dem Cloud-PC der Richtlinie herstellen, indem Sie Anmeldeinformationen von einem von Intune verwalteten physischen Gerät verwenden, das einer Domäne beigetreten oder in Microsoft Entra eingebunden ist. Weitere Informationen finden Sie unter Erstellen von Bereitstellungsrichtlinien (Forts.).
Abhängigkeit DNS-Namensauflösung: überprüft, ob das DNS in der Azure-Netzwerkverbindung die lokale Active Directory-Domäne auflösen kann.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Stellen Sie sicher, dass das virtuelle Azure-Netzwerk mit der Namensauflösung einer lokalen Microsoft Entra-Domäne mithilfe eines benutzerdefinierten DNS, eines privaten DNS oder eines privaten Resolvers konfiguriert ist. Weitere Informationen finden Sie unter Was ist Azure DNS?.
- Stellen Sie sicher, dass sich die im virtuellen Netzwerk konfigurierten DNS-Server in derselben Geografie befinden und die Möglichkeit haben, neu bereitgestellte Cloud-PCs ohne Verzögerungen zu registrieren. Vermeiden Sie DNS-Weiterleitungen oder -Umleitungen, um Verzögerungen bei der Verteilung zu vermeiden, die zu Verzögerungen oder sogar Fehlern bei der Bereitstellung führen können.
Abhängigkeit Microsoft Entra-Domäneneinbindung: überprüft, ob die für den Microsoft Entra-Domänenbeitritt bereitgestellten Anmeldeinformationen gültig sind und Cloud-PCs in die Domäne eingebunden werden können.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Stellen Sie sicher, dass das für den Microsoft Entra-Domänenbeitritt bereitgestellte Konto über Berechtigungen für die Microsoft Entra-Organisationseinheit verfügt, die in der Verbindungskonfiguration für das Azure-Netzwerk angegeben ist.
- Stellen Sie sicher, dass das bereitgestellte Konto kein Standardbenutzerkonto mit Einschränkungen beim Domänenbeitritt ist. Weitere Informationen finden Sie unter Standardgrenzwerte für die Anzahl von Arbeitsstationen, die Benutzer*innen in eine Domäne einbinden können.
- Stellen Sie sicher, dass das angegebene Konto mit Microsoft Entra ID synchronisiert wird.
- Stellen Sie sicher, dass die in der Azure-Netzwerkverbindung angegebene Organisationseinheit keine Objektbeschränkungen aufweist. Weitere Informationen finden Sie unter Erhöhen des Grenzwerts für Computerkonten in einer Organisationseinheit.

Weitere Informationen finden Sie unter Integritätsüberprüfungen für Azure-Netzwerkverbindungen in Windows 365.

Empfehlungen für Bausteine für Azure-Netzwerkverbindungen

Dieser Abschnitt enthält die Bausteine des Architekturmusters für Windows 365 Azure-Netzwerkverbindungen.

Azure-Abonnement

Die Verwendung von Windows 365 in einem Architekturmuster mit Azure-Netzwerkverbindung umfasst zwei Typen von Azure-Abonnements: ein Microsoft-Abonnement und ein Kundenabonnement.

Windows 365 verwendet das Gehostete im Auftrag von-Modell, um Dienste für Windows 365-Kund*innen bereitzustellen. In diesem Modell werden die Cloud-PCs in Azure-Abonnements bereitgestellt und ausgeführt, die sich im Besitz von Microsoft befinden, während die Netzwerkadapter der Cloud-PCs im Azure-Abonnement der Kund*innen bereitgestellt werden. Die folgenden Diagramme zeigen zwei Architekturmuster mit Azure-Netzwerkverbindung. Die Kund*innen verwenden ihr eigenes Azure-Abonnement und virtuelles Netzwerk.

Ein Diagramm des Architekturmusters unter Verwendung der Microsoft Entra Join-Identität.Laden Sie eine Visio-Datei dieser Architektur herunter.

Im obigen Architekturmuster wird die Identität der Microsoft Entra-Einbindung verwendet, um den Cloud-PC zu verwalten.

Ein Diagramm des Architekturmusters unter Verwendung der hybriden Join-Identität von Microsoft Entra.Laden Sie eine Visio-Datei dieser Architektur herunter.

Im obigen Architekturmuster wird die Identität der Microsoft Entra-Hybrideinbindung zum Verwalten des Cloud-PCs verwendet. Es erfordert Netzwerkkommunikation über eine Sichtverbindung mit AD DS-Domänencontrollern (Active Directory Domain Services) in lokalen Umgebungen.

Komponente Azure-Abonnement: Azure-Abonnement, in dem das virtuelle Netzwerk gehostet wird, das für die Bereitstellung der Konnektivität eines Cloud-PCs mit einer lokalen Umgebung und dem Internet verwendet wird.
Architekturmuster Azure-Netzwerkverbindung für die Microsoft Entra-Einbindung, Azure-Netzwerkverbindung für die Microsoft Entra-Hybrideinbindung
Empfehlungen - Erstellen oder verwenden Sie ein Abonnement mit einem virtuellen Netzwerk und ExpressRoute- oder VPN-Gateways, um eine Verbindung mit einer lokalen Umgebung bereitzustellen.
- Erstellen Sie eine dedizierte Ressourcengruppe für einen Cloud-PC, um die Berechtigungs- und Ressourcenverwaltung zu ermöglichen.
- Schließen Sie die Ressourcengruppen und das virtuelle Netzwerk des Cloud-PCs aus Azure-Richtlinien aus, die die automatische Erstellung und Löschung von vNIC-Objekten (Virtual Network Interface Card) und die IP-Adresszuweisung oder -Freigabe verhindern. Weitere Informationen finden Sie unter Sperren von Ressourcen zum Schutz Ihrer Infrastruktur und Azure-Anforderungen.
- Erstellen Sie dedizierte virtuelle Netzwerke für eine bessere IP-Adressverwaltung und Routingsteuerung.

Virtual Network und Hybridverbindung

Architekturmuster, die auf Windows 365 Azure-Netzwerkverbindungen basieren, erfordern mindestens ein virtuelles Azure-Netzwerk. Die virtuellen Netzwerke bieten Konnektivität mit lokalen Umgebungen und über das Internet für die Bereitstellung von Cloud-PCs. Der virtuelle Netzwerkadapter des Cloud-PCs wird im virtuellen Azure-Netzwerk des kundeneigenen Abonnements bereitgestellt, wie im Abschnitt Azure-Abonnement beschrieben.

Azure-Netzwerke können je nach den vorhandenen lokalen Netzwerken oder Azure-Netzwerken mit unterschiedlichen Designs bereitgestellt werden. Informationen zu den ersten Schritten mit einem einfachen Hybridnetzwerkentwurf finden Sie unter Implementieren eines sicheren Hybridnetzwerks.

Berücksichtigen Sie beim Entwerfen einer virtuellen Azure-Netzwerkarchitektur die folgenden Faktoren:

  • IP-Adressraum: Die Größe des IP-Adressraums hängt von der Anzahl der zu unterstützenden Cloud-PCs ab. Planen Sie mindestens das 1,5-Fache der maximalen Anzahl von Cloud-PCs ein, die bereitgestellt werden sollen. Die zusätzlichen IP-Adressen werden während der Bereitstellung und der Aufhebung der Bereitstellung von Cloud-PCs verwendet.

  • Namensauflösung: DNS-Prozess, der vom Cloud-PC verwendet wird, um den lokalen Domänennamen in einer Bereitstellung mit Microsoft Entra-Hybrideinbindung oder Internetressourcen bzw. Azure-Ressourcen in einem Bereitstellungsmodell mit Microsoft Entra-Einbindung aufzulösen.

    • Wenn Sie Ihre vorhandene lokale DNS-Infrastruktur verwenden möchten, konfigurieren Sie die IP-Adressen mindestens eines DNS-Servers für die Namensauflösung. Weitere Informationen finden Sie in den DNS-Anforderungen.
    • Stellen Sie sicher, dass die im virtuellen Azure-Netzwerk verwendete DNS-Server-IP-Adresse zur selben Geografie wie der Cloud-PC gehört und dass DNS-Registrierungsanforderungen nicht in eine andere Region umgeleitet werden. Andernfalls kann es bei Bereitstellungen und Integritätsprüfungen der Azure-Netzwerkverbindung zu Verzögerungen oder Fehlern kommen.
    • Verwenden Sie für die Namensauflösung mit Azure DNS die Option für öffentliches oder privates Azure DNS oder für einen private Resolver. Weitere Informationen finden Sie in der Dokumentation zu Azure DNS.

  • Netzwerktopologie: Azure-Netzwerke unterstützen Topologien für unterschiedliche Anwendungsfälle.

    • Hub-Spoke-Topologie mit Peering virtueller Netzwerke: Diese Topologie stellt die einfachste Möglichkeit dar, eine Isolation von Diensten mit eigenen virtuellen Spoke- und Hubnetzwerken bereitzustellen. Zu den gemeinsamen Diensten gehören Azure Firewall und Netzwerkgateways. Verwenden Sie diese Topologie, wenn Ihr Entwurf eher einfach ist und nur einen Standort aufweist, und Sie Cloud-PCs in einem oder mehreren virtuellen Netzwerken bereitstellen möchten. Weitere Informationen finden Sie unter Hub-and-Spoke-Netzwerktopologie.
    • Hub-Spoke-Topologie mit Azure Virtual WAN: Virtual WAN ist ein Azure-Netzwerkdienst, der Netzwerk-, Sicherheits- und Verwaltungsfunktionen vereint, die komplexe Netzwerkanforderungen ermöglichen. Verwenden Sie diese Topologie für Bereitstellungen an mehreren Standorten und in mehreren Regionen mit spezifischen Firewall- und Routinganforderungen. Weitere Informationen finden Sie unter Hub-Spoke-Netzwerktopologie mit Virtual WAN.

  • Netzwerkgateway: Azure-Netzwerkgateways bieten Konnektivität von einem virtuellen Netzwerk mit einem lokalen Netzwerk. Es gibt VPN- und ExpressRoute-Netzwerkgateways. Sie müssen unbedingt die Anforderungen an die maximale Bandbreite eines Cloud-PCs berücksichtigen, wenn Sie sich zwischen ExpressRoute- oder VPN-Konnektivität entscheiden. Sowohl VPN- als auch ExpressRoute-Gateways werden in Tarifen oder SKUs angeboten, die sich in der bereitgestellten Bandbreite und anderen Metriken unterscheiden. Weitere Informationen finden Sie unter Erweitern eines lokalen Netzwerks mithilfe von ExpressRoute und Verbinden eines lokalen Netzwerks mit Azure mithilfe von ExpressRoute.

Routingkonfigurationen

Der Windows 365 Azure-Netzwerkverbindungsdienst verwendet automatisierte Integritätsüberprüfungen, um die Integrität und Bereitschaft der Umgebung von Kund*innen dafür zu ermitteln, Cloud-PCs mit Microsoft Entra-Einbindung oder Microsoft Entra-Hybrideinbindung in einer auf ein Azure-Netzwerk basierenden Architektur bereitzustellen. Ohne ordnungsgemäße Routingkonfigurationen in Ihrem virtuellen Azure-Netzwerk und den zugehörigen Netzwerkdiensten besteht eine hohe Wahrscheinlichkeit für Fehler oder Verzögerungen bei Ihrer Cloud-PC-Bereitstellung. Beachten Sie die folgenden Empfehlungen zum Optimieren des Routings für die Windows 365-Netzwerkarchitektur:

  • Positivliste der erforderlichen URLs: Für jeden Cloud-PC, der in einem Azure-Netzwerkverbindungsmodell mit Microsoft Entra-Hybrideinbindung und Microsoft Entra-Einbindung bereitgestellt wird, sind mehrere URLs erforderlich, die von Antivirenprogrammen des Betriebssystems, Netzwerkfirewalls und Lastenausgleichsmodulen zugelassen werden müssen. Stellen Sie sicher, dass alle URLs zulässig sind. Weitere Informationen finden Sie unter Zulassen von Netzwerkkonnektivität.

  • Verwenden von Azure-FQDN-Tags: Wenn Sie den Azure Firewall-Dienst verwenden, sollten Sie Azure FQDN-Tags verwenden, um die für Azure Virtual Desktop, Windows 365 und Intune erforderlichen URLs zuzulassen. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Verwalten und Schützen von Windows 365-Umgebungen.

  • Aktivieren von Passthrough: Windows 365 verwendet das RDP-Protokoll, das gegenüber Latenzen durch Datenverkehrsüberprüfungsgeräte wie einer Firewall oder einer SSL-Entschlüsselungs-Appliance empfindlich ist. Eine solche Latenz kann zu schlechten Ergebnissen führen. Deaktivieren Sie daher die Datenverkehrsüberprüfung dieser URLs, und aktivieren Sie stattdessen Passthrough. Weitere Informationen finden Sie unter Technologien zum Abfangen von Datenverkehr.

  • Umgehungsproxy: Cloud- und herkömmliche Proxydienste eignen sich zwar für den Internetzugriff, können aber Latenz bei RDP-Verbindungen verursachen. Solche Latenzen treten auf, wenn die Verbindung von den physischen Geräten der Endbenutzer*innen oder von Cloud-PCs über einen Proxy erzwungen wird und dies zu häufigen Verbindungstrennungen, Verzögerungen und langsamen Reaktionszeiten führt. Legen Sie *.wvd.microsoft.com und Windows 365-Gateway-IP-Adressbereiche fest, damit Proxydienste auf den physischen Geräten der Benutzer*innen das Netzwerk, mit dem die physischen Geräte verbunden sind, und auf Cloud-PCs umgehen.

Weitere Informationen finden Sie unter Optimieren der RDP-Konnektivität für Windows 365.

  • Routing über den kürzesten Pfad: Stellen Sie sicher, dass RDP-Datenverkehr von Cloud-PCs virtuelle Desktop-Dienstendpunkte über den kürzesten Pfad erreicht. Der ideale Pfad verläuft von einem virtuellen Netzwerk direkt zur IP-Adresse des Virtual Desktop-Gateways über das Internet. Stellen Sie außerdem sicher, dass RDP-Datenverkehr von physischen Geräten der Endbenutzer*innen die IP-Adresse des Virtual Desktop-Gateways direkt erreicht. Mit dieser Konfiguration stellen Sie ein optimales Routing sicher, das die Benutzererfahrung nicht beeinträchtigt. Vermeiden Sie das Routing von RDP-Datenverkehr an das Internet über Cloudproxydienste oder lokale Netzwerke.

  • RDP Shortpath: Aktivieren Sie den Zugriff über RDP Shortpath für Endbenutzernetzwerke, Azure-Netzwerke und Cloud-PCs. RDP Shortpath verwendet UDP, um RDP-Datenverkehr zu übertragen. Im Gegensatz zu TCP ist es resilient gegenüber Netzwerkverbindungen mit hoher Latenz. UDP nutzt auch die verfügbare Netzwerkbandbreite, um RDP-Pakete effizient zu übertragen, und verbessert damit die Benutzererfahrung. Weitere Informationen finden Sie unter Verwenden von RDP Shortpath für öffentliche Netzwerke mit Windows 365.

  • Platzierung von Cloud-PCs: Um eine optimale Benutzererfahrung und Routingleistung zu erzielen, ermitteln Sie, von wo aus Ihre Kund*innen die geschäftlichen Apps oder das Netzwerk nutzen. Berücksichtigen Sie auch die Zeit, die Kund*innen für den Zugriff auf die branchenspezifischen Apps benötigen, verglichen mit der Gesamtzeit, die sie auf andere Apps zugreifen. Sehen Sie sich die folgenden beiden möglichen Bereitstellungsoptionen an:

    • Das folgende Bereitstellungsmodell ist möglicherweise optimal, wenn Kund*innen die meiste Zeit mit dem Zugriff auf die branchenspezifischen Apps verbringen, anstatt mit lokal installierten Apps wie Apps in Microsoft 365 zu arbeiten. Dieses Modell optimiert die Latenz für branchenspezifische Apps gegenüber Cloud-PC-Zugriffslatenzen, indem die Cloud-PCs in derselben Region wie die branchenspezifische App (Geografie B) platziert werden. Diese Optimierung erfolgt auch dann, wenn sich das Gateway geografisch näher an den Endbenutzer*innen befindet (Geografie A). Das folgende Diagramm zeigt den möglichen Datenverkehrsfluss von den Endbenutzer*innen zu den branchenspezifischen Apps.

      Ein Diagramm eines Flussdiagramms, das einen möglichen Verkehrsfluss von Benutzern zu Anwendungen zeigt.Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

    • Wenn Kund*innen gelegentlich auf die branchenspezifischen Apps in Geografie B zugreifen, ist die Bereitstellung eines Cloud-PCs näher an den Kund*innen möglicherweise besser, da dies die Cloud-PC-Zugriffslatenz gegenüber den branchenspezifischen Apps optimiert. Das folgende Diagramm zeigt, wie der Datenverkehr in einem solchen Szenario fließen kann.

      Ein Diagramm eines Flussdiagramms, das einen möglichen Verkehrsfluss von Benutzern zu Anwendungen zeigt.Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

AD DS-Empfehlungen

In einer Architektur mit Microsoft Entra-Hybrideinbindung fungiert eine lokale AD DS-Infrastruktur als gültige Identitätsquelle. Eine ordnungsgemäß konfigurierte und fehlerfreie AD DS-Infrastruktur ist wichtig, um die Windows 365-Bereitstellung erfolgreich zu gestalten.

Lokale AD DS-Instanzen unterstützen viele Konfigurationen und unterschiedliche Komplexitätsstufen, sodass die Empfehlungen nur die grundlegenden bewährten Methoden abdecken können.

  • Für das Szenario mit Microsoft Entra-Hybrideinbindung können Sie AD DS auf Azure-VMs bereitstellen, wie in der Architekturreferenz unter Bereitstellen von AD DS in einem virtuellen Netzwerk beschrieben. Sie können auch eine Hybridnetzwerkverbindung verwenden, um eine Sichtverbindung mit Ihrem lokalen Microsoft Entra-Domänencontroller bereitzustellen. Weitere Informationen finden Sie unter Implementieren eines sicheren Hybridnetzwerks.
  • Folgen Sie für die Bereitstellung mit Microsoft Entra-Einbindung der Referenzarchitektur unter Integrieren lokaler Microsoft Entra-Domänen mit Microsoft Entra ID.
  • Windows 365 verwendet einen Watchdog-Dienst im Rahmen automatisierter Tests, der ein VM-Testkonto erstellt. Dieses Konto wird in der Organisationseinheit, die in der Azure-Netzwerkverbindungskonfiguration angegeben ist, als deaktiviert angezeigt. Löschen Sie dieses Konto nicht.
  • Jeder Cloud-PC, der nach dem Modell mit Microsoft Entra-Hybrideinbindung außer Betrieb genommen wird, hinterlässt ein deaktiviertes Computerkonto, das manuell in AD DS bereinigt werden muss.
  • Microsoft Entra Domain Services wird nicht als Identitätsquelle unterstützt, da es die Microsoft Entra-Hybrideinbindung nicht unterstützt.

DNS-Empfehlungen

In einer Bereitstellungsarchitektur mit Azure-Netzwerkverbindung stellen DNS-Server oder ein anderer DNS-Dienst, der von einem virtuellen Azure-Netzwerk verwendet wird, eine wichtige Abhängigkeit dar. Eine fehlerfreie Infrastruktur ist von sehr großer Bedeutung.

  • Für eine Konfiguration mit Microsoft Entra-Hybrideinbindung sollte das DNS in der Lage sein, die Domäne aufzulösen, in die der Cloud-PC eingebunden werden soll. Es gibt mehrere Konfigurationsoptionen, wobei die einfachste Option darin besteht, die IP-Adresse Ihres DNS-Servers in der Konfiguration des virtuellen Azure-Netzwerks anzugeben. Weitere Informationen finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.
  • Abhängig von der Komplexität der Infrastruktur (z. B. einem Setup mit mehreren Regionen und Domänen in Azure und lokal) sollten Sie einen Dienst wie private Azure DNS-Zonen oder Azure DNS Private Resolver verwenden.

Empfehlungen für Cloud-PC-Verbindungen

Bereitgestellte Cloud-PCs sollten so konfiguriert werden, dass unterbrechungsfreie Verbindungen mit dem Virtual Desktop-Gatewaydienst möglich sind. Beachten Sie die folgenden Empfehlungen, wenn Sie Apps im Rahmen einer Windows-Betriebssystemkonfiguration bereitstellen:

  • Stellen Sie sicher, dass der VPS-Client nicht gestartet wird, wenn sich Benutzer*innen anmelden, da er die Sitzung trennen kann, wenn der VPN-Tunnel eingerichtet wird. Die Benutzer*innen müssen sich dann ein zweites Mal anmelden.
  • Konfigurieren Sie Apps für VPN, Proxy, Firewall und Antiviren- und Antischadsoftware so, dass Datenverkehr für die IP-Adressen 168.63.129.16 und 169.254.169.254 zugelassen oder umgangen wird. Diese IP-Adressen werden für die Kommunikation mit Azure-Plattformdiensten wie Metadaten und Takt verwendet. Weitere Informationen finden Sie unter Wofür dient die IP-Adresse 168.63.129.16?, Azure Instance Metadata Service für VMs und Häufig gestellte Fragen zu Virtual Network.
  • Ändern Sie die IP-Adressen von Cloud-PCs nicht manuell, da dies zu einer dauerhaften Trennung führen kann. Die IP-Adressen werden während des gesamten Lebenszyklus des Cloud-PCs durch Azure-Netzwerkdienste mit einer unbefristeten Lease zugewiesen und verwaltet. Weitere Informationen finden Sie unter Zuteilungsmethoden.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Andere Mitwirkende:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

Planen der Cloud-PC-Bereitstellung

Windows 365-Architektur

Windows 365: Identität und Authentifizierung

Cloud-PC-Lebenszyklus in Windows 365

Übersicht über Active Directory Domain Services

Datenverschlüsselung in Windows 365

Grundlegendes zur Netzwerkkonnektivität für Azure Virtual Desktop

Architekturentwurf für Webanwendungen