Windows 365 es un servicio basado en la nube que puede usar para obtener instancias informáticas de Windows altamente optimizadas y personalizadas, denominadas PC en la nube, creadas específicamente para los requisitos de cada usuario. Los PC en la nube usan una combinación de los siguientes servicios:
- Intune para personalizar, proteger y administrar PC en la nube
- Entra ID para el control de acceso y de identidades
- Azure Virtual Desktop para la conectividad remota
Un PC en la nube es una instancia informática altamente disponible, optimizada y personalizada que proporciona una experiencia enriquecida de escritorio de Windows. Se hospeda en el servicio Windows 365 y es accesible desde cualquier lugar, en cualquier dispositivo.
El modelo de responsabilidad compartida de Windows 365
Windows 365 es una solución de software como servicio (SaaS). Microsoft administra algunos componentes en los servicios de Windows 365 y administra otros componentes. La cantidad de responsabilidad que tiene depende del patrón de arquitectura que elija para la implementación. Las responsabilidades para administrar Windows 365 se dividen en tres partes:
- Implementación: planeación e implementación de los componentes del servicio.
- Ciclo de vida: administración del componente a lo largo de su ciclo de vida, como la aplicación de revisiones y la protección.
- Configuración: configurar el componente para aplicar las opciones según sea necesario para un escenario.
En el diagrama siguiente se muestra la matriz de responsabilidades de una implementación de Windows 365 mediante la red hospedada por Microsoft recomendada, la unión a Microsoft Entra y las imágenes de la galería con Windows Autopatch. Con esta configuración, no es necesario administrar muchos componentes y fases de ciclo de vida. Esta configuración se traduce en las ventajas enumeradas en Patrones de arquitectura recomendados.
Nota:
En el diagrama siguiente se representan las responsabilidades desde la perspectiva de la infraestructura, como configurar el hardware y la red, y mantenerlas. No incluye la configuración de la suscripción de inquilino de Windows 365 o Intune.
Descargue un archivo de PowerPoint de esta arquitectura.
En el diagrama siguiente se muestra una implementación típica de Windows 365 que usa una conexión de red de Azure y muestra los componentes que Microsoft administra y los componentes que usted administra en las fases de ciclo de vida de un PC en la nube.
Descargue un archivo de PowerPoint de esta arquitectura.
Patrón de arquitectura recomendado
Microsoft recomienda implementar Windows 365 con los siguientes componentes para obtener una experiencia de SaaS, lo que le permite tener las máximas ventajas del servicio:
- Unión a Microsoft Entra
- Una red hospedada por Microsoft
- Imágenes de la galería
- Servicio de administración de dispositivos móviles (MDM) basado en Intune con la configuración de aplicaciones y sistemas operativos
- Una aplicación de Windows 365 para el acceso a PC en la nube
Descargue un archivo de PowerPoint de esta arquitectura.
El patrón de arquitectura anterior permite sacar el máximo partido del servicio de Windows 365 y proporciona las siguientes ventajas:
- Implementación simplificada y más rápida
- Dependencias mínimas o nulas
- Compatibilidad total con el marco de confianza cero
- Flujos de solución de problemas simplificados
- Solución de problemas de usuarios de autoservicio
- Baja sobrecarga y administración
- Modelo de madurez más alto de software y entrega de aplicaciones
Arquitectura de servicio de Windows 365
El diagrama siguiente es una representación de todos los componentes que forman parte del servicio de Windows 365. Esta arquitectura usa Intune y Microsoft Entra ID, que son requisitos básicos de Windows 365. También hay componentes opcionales, como Azure Virtual Network.
Descargue un archivo Visio de esta arquitectura.
En el diagrama anterior se muestran las opciones de conexión de red de Azure y red hospedada por Microsoft. Son opciones de arquitectura mutuamente excluyentes. En las secciones siguientes se detallan las opciones de conexión de red de Azure.
Virtual Desktop
Virtual Desktop es una solución de infraestructura de escritorio virtual (VDI) basada en Azure. Microsoft administra Virtual Desktop. Proporciona una solución de estilo de plataforma como servicio (PaaS). Windows 365 usa los componentes de administración de red necesarios para conectarse a sus PC en la nube. Los componentes incluyen el servicio de puerta de enlace de Virtual Desktop, un servicio de agente de conexión y un servicio cliente web. Estos servicios permiten una conexión fluida con los PC en la nube de Windows 365.
Para más información, consulte Azure Virtual Desktop para la empresa.
Descargue un archivo Visio de esta arquitectura.
Nota:
Windows 365 utiliza los componentes titulados "Plano de control de Windows Virtual Desktop" en el diagrama anterior para facilitar las conexiones de usuario y PC en la nube y, como tal, hereda la mayoría de las funcionalidades relacionadas con la conexión de Azure Virtual Desktop. Después, familiarizarse con el funcionamiento de las redes de Azure Virtual Desktop resulta esencial para diseñar la arquitectura de conexión a la red Azure que se detalla en este documento.
Microsoft Intune
Intune es una solución de administración de puntos de conexión basada en la nube que permite ver y consumir informes y administrar:
- Entrega de aplicaciones
- Actualizaciones de Windows
- Configuraciones de administración de dispositivos
- Directivas de seguridad
Intune simplifica la administración de aplicaciones y dispositivos en muchos dispositivos, incluidos dispositivos móviles, equipos de escritorio y puntos de conexión virtuales.
Puede proteger el acceso y los datos en dispositivos personales y propiedad de la organización. Intune también tiene características de cumplimiento e informes que admiten el modelo de seguridad de confianza cero. Para más información, consulte Creación de un perfil de configuración de dispositivo.
Patrones de arquitectura
Un patrón de arquitectura describe los componentes e ilustra las configuraciones con las que se implementa un servicio o producto. Para más información, consulte Arquitectura Hosted on behalf of.
Consulte los siguientes patrones de conexión de red de Azure:
Conexión de red de Azure con la unión a Microsoft Entra: en este patrón, los PC en la nube unidos a Microsoft Entra usan la conexión de red de Azure para conectarse a recursos en entornos locales, como aplicaciones de línea de negocio (LOB), recursos compartidos de archivos y otras aplicaciones que no necesitan autenticación Kerberos o de Windows New Technology LAN Manager (NTLM).
Conexión de red de Azure con la unión híbrida de Microsoft Entra: en este patrón, los PC en la nube unidos a Microsoft Entra usan la conexión de red de Azure para unirse a un dominio con un controlador de dominio de Microsoft Entra ID local. El PC en la nube se autentica con el controlador de dominio local cuando los usuarios acceden al PC en la nube, las aplicaciones locales o las aplicaciones en la nube que necesitan autenticación Kerberos o NTLM.
Patrones de arquitectura de conexión de red de Azure
Para algunos patrones, el servicio Windows 365 se conecta a entornos locales a través de Virtual Network mediante Azure ExpressRoute o una VPN de sitio a sitio. Este método de conectividad se representa mediante la conexión de red de Azure, que es un objeto de Intune. Esta conexión permite que los PC en la nube se conecten a recursos locales, como Active Directory o aplicaciones LOB.
Esta conexión de red, representada por la conexión de red de Azure, la usa el servicio Windows 365 durante el aprovisionamiento de PC en la nube para la unión a un dominio local de Microsoft Entra, comprobaciones de estado para la preparación del aprovisionamiento de PC en la nube.
En las tablas siguientes se enumeran las dependencias de la conexión de red de Azure. Windows 365 ejecuta comprobaciones automáticas de estado en estas dependencias.
| Dependencia | Microsoft Entra Connect: comprueba si Microsoft Entra Connect está configurado y finaliza correctamente. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Configure el intervalo de sincronización de Microsoft Entra Connect con el valor predeterminado o más bajo. Los intervalos de sincronización más largos aumentan la posibilidad de que se produzca un error en el aprovisionamiento de PC en la nube debido a un tiempo de espera. Para obtener más información, consulte Error de unión híbrida de Microsoft Entra. - Configure la replicación del Controlador de dominio de Active Directory desde un servidor del mismo centro de datos que la conexión de red de Azure de Windows 365 para proporcionar una replicación más rápida. - Configure la replicación del controlador de dominio de Microsoft Entra ID con un valor predeterminado. |
| Dependencia | Preparación del inquilino de Azure: comprueba si la suscripción de Azure está habilitada, sin restricciones de bloqueo y está lista para su uso. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Use una cuenta con los privilegios adecuados para administrar las suscripciones de Azure, Intune y Windows 365. Para más información, consulte Control de acceso basado en rol (RBAC). - Deshabilite o modifique las directivas de Azure que impidan la creación de PC en la nube. Para más información, consulte Restricción de las SKU de máquina virtual permitidas. - Asegúrese de que la suscripción tiene suficientes cuotas de recursos para las redes y los límites generales en función del número máximo de PC en la nube que se van a crear. Algunos ejemplos son el tamaño de la puerta de enlace de red, el espacio de direcciones IP, el tamaño de la red virtual y el ancho de banda necesarios. Para más información, consulte Límites de redes y Límites generales. |
| Dependencia | Preparación de la red virtual de Azure: comprueba si la red virtual está en una región de Windows 365 compatible. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Cree la red virtual en una de las Regiones de Azure para el aprovisionamiento de PC en la nube compatibles con Windows 365. - Cree al menos una subred, además de la subred predeterminada, para implementar los adaptadores de red virtual de PC en la nube. - Siempre que sea posible, cree servicios de red compartidos, como Azure Firewall, puertas de enlace de VPN o puertas de enlace de ExpressRoute, en una red virtual independiente para permitir controles de enrutamiento y expansión de la implementación. En las redes virtuales, aplique grupos de seguridad de red (NSG) con exclusiones adecuadas para permitir las direcciones URL necesarias para el servicio Windows 365. Para más información, consulte Requisitos de redes y Grupos de seguridad de red. |
| Dependencia | Uso de direcciones IP de subred de Azure: comprueba si hay suficientes direcciones IP disponibles. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Cree la red virtual con suficientes direcciones IP para controlar la creación de PC en la nube y la reserva de direcciones IP temporales durante el reaprovisionamiento. Se recomienda usar un espacio de direcciones IP de 1,5 a 2 veces el máximo de PC en la nube que implemente para la nube. Para más información, consulte Requisitos de red generales. - Trate la red virtual de Azure como una extensión lógica de la red local y asigne un espacio de direcciones IP único en todas las redes para evitar conflictos de enrutamiento. |
| Dependencia | Conectividad de punto de conexión: comprueba si las direcciones URL externas necesarias para el aprovisionamiento de PC en la nube son accesibles desde la red virtual. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Permita todas las direcciones URL necesarias para el aprovisionamiento de PC en la nube a través de la red virtual de Azure. Para más información, consulte Permitir conectividad de red. - Use Azure Firewall para aprovechar las etiquetas de FQDN de Windows 365, Azure Virtual Desktop e Intune para crear reglas de aplicación y permitir las direcciones URL necesarias para el aprovisionamiento de PC en la nube de Windows 365. Para más información, consulte Uso de Azure Firewall para administrar y proteger entornos de Windows 365. - Omita o excluya el tráfico del Protocolo de escritorio remoto (RDP) de cualquier dispositivo de inspección, proxy o manipulación de la red para evitar problemas de latencia y enrutamiento. Para más información, consulte Tecnologías de interceptación de tráfico. - Desde el dispositivo de usuario final y el lado de red, permita las direcciones URL y puertos de servicio de Windows 365 para las inspecciones de proxy y red. - Permita las direcciones IP internas de Azure 168.63.129.16 y 169.254.169.254, ya que estas direcciones IP se usan para la comunicación con servicios de la plataforma Azure, como metadatos o latidos. Para más información, consulte ¿Qué es la dirección IP 168.63.129.16?, Instance Metadata Service de Azure y Preguntas más frecuentes sobre Virtual Network. |
| Dependencia | Inscripción de Intune: comprueba si Intune permite la inscripción de Windows. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Asegúrese de que las restricciones de inscripción de tipos de dispositivo de Intune estén establecidas para permitir la plataforma de administración de dispositivos móviles (MDM) de Windows para la inscripción corporativa. - Para la unión híbrida de Microsoft Entra, configure los dispositivos automáticamente mediante la configuración del punto de conexión de servicio (SCP) para cada dominio de Microsoft Entra Connect o mediante el modelo de implementación de destino. Para más información, consulte Configurar la unión híbrida de Microsoft e Implementación dirigida para la unión híbrida de Microsoft Entra. |
| Dependencia | Permisos de aplicación de primera entidad: comprueba la aplicación de Windows 365 para obtener permisos en los niveles de suscripción, grupo de recursos y red virtual del cliente de Azure. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Asegúrese de que la cuenta usada para configurar la conexión de red de Azure tiene permisos de lectura en la suscripción de Azure en la que se crea la red virtual de Azure. - Asegúrese de que en la suscripción de Azure no haya ninguna directiva que bloquee los permisos de la aplicación de primera entidad de Windows 365. La aplicación debe tener permisos en el nivel de suscripción, grupo de recursos y red virtual. Para más información, consulte Requisitos de Azure. |
| Dependencia | Paquete de idioma de localización: comprueba si se puede acceder a las ubicaciones de descarga del paquete de idioma. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Asegúrese de que las direcciones URL necesarias para la versión adecuada de las imágenes de Windows se permiten a través de reglas de firewall que se usan en la red virtual de Azure. Para más información, consulte Proporcionar una experiencia localizada de Windows. |
| Dependencia | RDP Shortpath: comprueba si las configuraciones del Protocolo de Datagramas de Usuario (UDP) están preparadas para su conexión. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Habilite RDP Shortpath para el acceso al PC en la nube para aprovechar la resistencia de UDP. Para más información, consulte Uso de RDP Shortpath para redes públicas con Windows 365 y Uso de RDP Shortpath para redes privadas con Windows 365. |
| Dependencia | Licencia de Intune: comprueba si el inquilino tiene las licencias de Intune adecuadas para usar Windows. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Asegúrese de que las licencias de Intune se le asignan de acuerdo con los requisitos de licencia. |
| Dependencia | Comprobación del inicio de sesión único (SSO): comprueba si el objeto de servidor Kerberos se crea en Active Directory y se sincroniza con Microsoft Entra ID. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Asegúrese de que la opción SSO está seleccionada en la directiva de aprovisionamiento. Esta opción le permite conectarse al PC en la nube de la directiva mediante credenciales de inicio de sesión desde un dispositivo físico administrado por Intune unido al dominio o unido a Microsoft Entra. Para más información, consulte Continuar con la creación de directivas de aprovisionamiento. |
| Dependencia | Resolución de nombres DNS: comprueba si el DNS de la conexión de red de Azure puede resolver el dominio de Active Directory local. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Asegúrese de que la red virtual de Azure está configurada con la resolución de nombres de un dominio local de Microsoft Entra mediante un DNS personalizado, un DNS privado o una resolución privada. Para más información, vea ¿Qué es Azure DNS? - Asegúrese de que los servidores DNS configurados en la red virtual están en la misma geografía y tienen la capacidad de registrar PC en la nube recién aprovisionados sin retrasos. Evite las referencias o redirecciones de DNS para evitar retrasos de propagación, lo que puede dar lugar a retrasos de aprovisionamiento o errores. |
| Dependencia | Unión a un dominio de Microsoft Entra: comprueba que las credenciales proporcionadas para la unión a un dominio de Microsoft Entra son válidas y que los PC en la nube pueden estar unidos a un dominio. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Asegúrese de que la cuenta proporcionada para la unión a un dominio de Microsoft Entra tiene permisos en la unidad organizativa de Microsoft Entra especificada en la configuración de conexión de red de Azure. - Asegúrese de que la cuenta proporcionada no es una cuenta de usuario estándar con una limitación de unión a un dominio. Para más información, consulte Límite predeterminado para el número de estaciones de trabajo que un usuario puede unir al dominio. - Asegúrese de que la cuenta especificada está sincronizada con Microsoft Entra ID. - Asegúrese de que la unidad organizativa especificada en la conexión de red de Azure no tiene ningún límite de objetos. Para más información, consulte Aumento del límite de cuentas de equipo en la unidad organizativa. |
Para más información, consulte Comprobaciones de estado de conexión de red de Azure en Windows 365.
Recomendaciones de bloques de creación de conexiones de red de Azure
En esta sección se proporciona el desglose de los bloques de creación del patrón de arquitectura de conexión de red de Azure de Windows 365.
Suscripción de Azure
El uso de Windows 365 en un patrón de arquitectura de conexión de red de Azure implica dos tipos de suscripciones de Azure, una suscripción de Microsoft y una suscripción de cliente
Windows 365 usa el modelo Hosted on behalf of (hospedado en nombre de) para prestar servicios a los clientes de Windows 365. En este modelo, el PC en la nube se aprovisiona y se ejecuta en suscripciones de Azure propiedad de Microsoft, mientras que el adaptador de red del PC en la nube se aprovisiona en la suscripción de Azure de un cliente. En los diagramas siguientes se muestran dos patrones de arquitectura de conexión de red de Azure. Los clientes usan su propia suscripción y red virtual de Azure.
Descargue un archivo Visio de esta arquitectura.
El patrón de arquitectura anterior usa la identidad de unión a Microsoft Entra para administrar el PC en la nube.
Descargue un archivo Visio de esta arquitectura.
El patrón de arquitectura anterior usa la identidad de unión híbrida de Microsoft Entra para administrar el PC en la nube y requiere una comunicación de red de línea de visión con controladores de dominio de Active Directory Domain Services (AD DS) en entornos locales.
| Componente | Suscripción de Azure: suscripción de Azure que hospeda la red virtual que se usa para proporcionar conectividad para un PC en la nube a un entorno local e Internet. |
|---|---|
| Patrones de arquitectura | Conexión de red de Azure para la unión a Microsoft Entra, conexión de red de Azure para la unión híbrida a Microsoft Entra |
| Recomendaciones | - Cree o use una suscripción que tenga una red virtual y ExpressRoute o puertas de enlace de VPN para proporcionar una conexión a un entorno local. - Cree un grupo de recursos dedicado para un PC en la nube para proporcionar permisos y administración de recursos. - Excluya los grupos de recursos de PC en la nube y la red virtual de las directivas de Azure que impiden la creación y eliminación automática de objetos de tarjeta de interfaz de red virtual (vNIC) y la asignación o liberación de direcciones IP. Para más información, consulte Bloqueo de los recursos para proteger la infraestructura y Requisitos de Azure. - Cree redes virtuales dedicadas para abordar mejor la administración de las direcciones IP y los controles de enrutamiento. |
Red virtual y conexión híbrida
Los patrones de arquitectura basados en la conexión de red de Azure de Windows 365 requieren una o varias redes virtuales de Azure. Las redes virtuales proporcionan conectividad a entornos locales y a través de Internet para aprovisionar un PC en la nube. El adaptador de red virtual del PC en la nube se aprovisiona en la red virtual de Azure de la suscripción propiedad del cliente, tal como se describe en la sección Suscripción de Azure.
Las redes de Azure se pueden implementar con una sofisticación de diseño variable, en función de las redes locales existentes o las redes de Azure. Para empezar a trabajar con un diseño básico de red híbrida, consulte Implementación de una red híbrida segura.
Tenga en cuenta los siguientes factores al diseñar una arquitectura de red virtual de Azure:
Espacio de direcciones IP: el tamaño del espacio de direcciones IP depende del número de PC en la nube que se admitirán. Planee al menos 1,5 veces el número máximo de PC en la nube que se implementan. La cuenta de direcciones IP adicionales para las direcciones IP usadas durante el aprovisionamiento y desaprovisionamiento de PC en la nube.
Resolución de nombres: el proceso de DNS que usa el PC en la nube para resolver el nombre de dominio local en una implementación de unión híbrida de Microsoft Entra o para resolver recursos de Internet o recursos de Azure en un modelo de implementación de unión a Microsoft Entra.
- Para usar la infraestructura DNS local existente, configure las direcciones IP de uno o varios servidores DNS para la resolución de nombres. Para más información, consulte Requisitos de DNS.
- Asegúrese de que la dirección IP del servidor DNS usada en la red virtual de Azure pertenece a la misma geografía que el PC en la nube y que no redirige las solicitudes de registro DNS a otra región. De lo contrario, da como resultado implementaciones retrasadas o con errores y comprobaciones de estado de conexión de red de Azure.
- Para la resolución de nombres basada en DNS de Azure, use la opción de Azure DNS pública o privada o la resolución privada. Para más información, consulte la Documentación de Azure DNS.
Topología de red: las redes de Azure admiten topologías para dar cabida a diferentes casos de uso.
- Topología en estrella tipo hub-and-spoke con emparejamiento de redes virtuales: esta topología es la forma más sencilla de proporcionar un aislamiento de servicios con sus propias redes virtuales de radios y centros de conectividad. Los servicios compartidos incluyen Azure Firewall y puertas de enlace de red. Elija esta topología si tiene un diseño sencillo y de un solo sitio para implementar un PC en la nube en una o varias redes virtuales radiales. Para obtener más información, consulte Topología de red en estrella tipo hub-and-spoke.
- Topología en estrella tipo hub-and-spoke con Azure Virtual WAN: Virtual WAN es un servicio de red de Azure que reúne funcionalidades de red, seguridad y administración que permiten satisfacer requisitos de red complejos. Use esta topología para implementaciones en varios sitios y regiones con requisitos específicos de firewall y enrutamiento. Para más información, consulte Topología en estrella tipo hub-and-spoke con Virtual WAN.
Puerta de enlace de red: las puertas de enlace de red de Azure proporcionan conectividad desde una red virtual a una red local. Hay puertas de enlace de red ExpressRoute y VPN. Asegúrese de que se tienen en cuenta los requisitos máximos de ancho de banda de un PC en la nube antes de decidir el método de conectividad de ExpressRoute o VPN. Tanto las puertas VPN como ExpressRoute se ofrecen en niveles, o SKU, que difieren en la cantidad de ancho de banda proporcionado y otras métricas. Para más información, consulte Extensión de una red local mediante ExpressRoute y Conexión de una red local a Azure mediante ExpressRoute.
Configuraciones de enrutamiento
El servicio de conexión de red de Azure de Windows 365 usa comprobaciones de estado automatizadas para determinar el estado y la preparación del entorno del cliente para aprovisionar la unión a Microsoft Entra o los PC en la nube de unión híbrida de Microsoft Entra en una arquitectura basada en conexión de red de Azure. Sin las configuraciones de enrutamiento adecuadas en la red virtual de Azure y los servicios de red asociados, hay una alta probabilidad de errores o retrasos en la implementación de PC en la nube. Tenga en cuenta las siguientes recomendaciones para optimizar el enrutamiento para la arquitectura de red de Windows 365:
Lista de direcciones URL necesarias para la lista de permitidos: cada PC en la nube implementado en la unión híbrida de Microsoft Entra y el modelo de conexión de red de Azure de unión de Microsoft Entra requiere que se permitan varias direcciones URL a través del antivirus del sistema operativo, firewalls de red y equilibradores de carga. Asegúrese de que se permiten todas las direcciones URL. Para más información, consulte Permitir conectividad de red.
Uso de etiquetas FQDN de Azure: al usar el servicio Azure Firewall, use etiquetas FQDN de Azure para permitir las direcciones URL necesarias para Azure Virtual Desktop, Windows 365 e Intune. Para más información, consulte Uso de Azure Firewall para administrar y proteger entornos de Windows 365.
Habilitar tránsito: Windows 365 usa el protocolo RDP, que es sensible a la latencia introducida por dispositivos de inspección de tráfico, como un firewall o un dispositivo de descifrado SSL. Esta latencia puede dar lugar a una mala experiencia, por lo que deshabilite la inspección del tráfico de estas direcciones URL y, en su lugar, habilite el tránsito. Para más información, consulte Tecnologías de interceptación de tráfico.
Omitir proxy: los servicios de proxy tradicionales y en la nube, aunque que son adecuados para el acceso a Internet, introducen latencia en las conexiones RDP. Esta latencia se produce cuando la conexión desde el dispositivo físico del usuario final o desde el PC en la nube se fuerza a través de un proxy y da lugar a desconexiones frecuentes, retrasos y tiempos de respuesta lentos. Establezca *.wvd.microsoft.com e intervalos IP de la puerta de enlace de Windows 365 para omitir los servicios proxy en el dispositivo físico del usuario, la red a la que está conectado el dispositivo físico y en el PC en la nube.
Para más información, consulte Optimización de la conectividad RDP para Windows 365.
Enrutamiento de ruta de acceso más corto: asegúrese de que el tráfico RDP desde un PC en la nube llega a los puntos de conexión de servicio de Virtual Desktop a través de la ruta de acceso más corta. La ruta de acceso ideal es desde una red virtual, directamente a la dirección IP de puerta de enlace de Virtual Desktop a través de Internet. Asegúrese también de que el tráfico RDP del dispositivo físico del usuario final llegue directamente a la dirección IP de la puerta de enlace de Virtual Desktop. Esta configuración garantiza un enrutamiento óptimo y no degrada la experiencia del usuario. Evite enrutar el tráfico RDP a Internet a través de servicios proxy en la nube o redes locales.
RDP Shortpath: habilite el acceso basado en RDP Shortpath para redes de usuarios finales, redes de Azure y PC en la nube. RDP Shortpath usa UDP para transmitir tráfico RDP. A diferencia de TCP, es resistente a las conexiones de red de alta latencia. UDP también aprovecha al máximo el ancho de banda de red disponible para transferir eficazmente paquetes RDP, lo que da lugar a una experiencia de usuario mejorada. Para más información, consulte Usar RDP Shortpath para redes públicas con Windows 365.
Ubicación de PC en la nube: para obtener una experiencia de usuario óptima y un rendimiento de enrutamiento, determine dónde están los clientes en relación con las aplicaciones de trabajo o la red a las que acceden. Tenga en cuenta también el tiempo que pasan los clientes accediendo a las aplicaciones LOB en comparación con el tiempo total que acceden a otras aplicaciones. Consulte las dos opciones de implementación posibles siguientes:
El siguiente modelo de implementación puede ser óptimo si los clientes pasan la mayor parte de su tiempo de trabajo accediendo a las aplicaciones LOB en lugar de trabajar en aplicaciones instaladas localmente, como las aplicaciones de Microsoft 365. Este modelo optimiza la latencia de las aplicaciones LOB frente a Latencia de acceso al PC en la nube colocando el PC en la nube en la misma región que la aplicación LOB (Geografía B). Esta optimización se produce aunque la puerta de enlace esté geográficamente más cerca del usuario final (Geografía A). En el diagrama siguiente se muestra el posible flujo de tráfico desde el usuario final a las aplicaciones LOB.
Descargue un archivo de PowerPoint de esta arquitectura.Si los clientes acceden ocasionalmente a las aplicaciones LOB en la Geografía B, implementar un PC en la nube más cerca de los clientes podría ser óptimo porque optimiza la latencia de acceso al PC en la nube frente a la latencia de acceso a las aplicaciones LOB. En el diagrama siguiente se muestra cómo puede fluir el tráfico en este escenario.
Descargue un archivo de PowerPoint de esta arquitectura.
Recomendaciones de AD DS
En una arquitectura de unión híbrida de Microsoft Entra, una infraestructura de AD DS local actúa como origen de identidad de autoridad. Disponer de una infraestructura AD DS correctamente configurada y en buen estado es un paso crucial para que la implementación de Windows 365 sea un éxito.
AD DS local admite muchas configuraciones y distintos niveles de complejidad, por lo que las recomendaciones proporcionadas solo cubren los procedimientos recomendados básicos.
- Para el escenario de unión híbrida de Microsoft Entra, puede implementar AD DS en máquinas virtuales de Azure como se describe en la referencia de arquitectura de Implementar AD DS en una red virtual. También puede usar una conexión de red híbrida para proporcionar una línea directa de visión al controlador de dominio local de Microsoft Entra. Para más información, consulte Implementar una red híbrida segura.
- Para la implementación de la unión a Microsoft Entra, siga la arquitectura de referencia en Integrar dominios locales de Microsoft Entra con Microsoft Entra ID.
- Windows 365 usa un servicio guardián como parte de las pruebas automatizadas que crean una cuenta de máquina virtual de prueba. Esa cuenta se muestra como deshabilitada en la unidad organizativa especificada en la configuración de conexión de red de Azure. No elimine esta cuenta.
- Cualquier PC en la nube que se retire en el modelo de unión híbrida de Microsoft Entra deja atrás una cuenta de equipo deshabilitada, que debe limpiarse manualmente en AD DS.
- Microsoft Entra Domain Services no se admite como origen de identidad porque no admite la unión híbrida de Microsoft Entra.
Recomendaciones de DNS
En una arquitectura de implementación de conexión de red de Azure, los servidores DNS u otro servicio DNS que usa una red virtual de Azure son una dependencia fundamental. Es importante contar con una infraestructura en buen estado.
- Para una configuración de unión híbrida de Microsoft Entra, DNS debe poder resolver el dominio al que se debe unir el PC en la nube. Hay múltiples opciones de configuración disponibles, la más sencilla de ellas es especificar la IP de su servidor DNS en la configuración de la red virtual Azure. Para más información, consulte Resolución de nombres con su propio servidor DNS.
- En función de la complejidad de la infraestructura, como una configuración de varios dominios y varias regiones en Azure y entornos locales, debe usar un servicio como zonas privadas de Azure DNS o Azure DNS Private Resolver.
Recomendaciones de conexión de PC en la nube
Los PC en la nube implementados deben configurarse para permitir el flujo de conexión ininterrumpido hacia y desde el servicio de puerta de enlace de Virtual Desktop. Tenga en cuenta las siguientes recomendaciones al implementar aplicaciones como parte de una configuración del sistema operativo Windows:
- Asegúrese de que el cliente VPS no se inicia cuando el usuario inicia sesión porque puede desconectar la sesión cuando se establece el túnel VPN. El usuario tendría que iniciar sesión una segunda vez.
- Configure las aplicaciones VPN, proxy, firewall, antivirus y antimalware para permitir u omitir el tráfico enlazado a direcciones IP 168.63.129.16 y 169.254.169.254. Estas direcciones IP se usan para la comunicación con servicios de la plataforma Azure, como metadatos y latidos. Para más información, consulte ¿Qué es la dirección IP 168.63.129.16?, Instance Metadata Service de Azure para máquinas virtuales y Preguntas frecuentes sobre redes virtuales.
- No modifique manualmente las direcciones IP de los PC en la nube porque podría dar lugar a una desconexión permanente. Las direcciones IP se asignan con una concesión indefinida y se administran durante todo el ciclo de vida del PC en la nube mediante los servicios de red de Azure. Para más información, vea Métodos de asignación.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Ravishankar Nandagopalan | Director de producto sénior
Otros colaboradores:
- Paul Collinge | Director de producto principal
- Claus Emerich | Director de producto principal
- David Falkus | Director de producto principal
- Bob Roudebush | Responsable técnico y tecnólogo de la nube/desarrollador
- Matt Shadbolt | Director de producto principal, Experiencias en la nube de Windows
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
Planeamiento de la implementación de PC en la nube
Identidad y autenticación de Windows 365
Ciclo de vida de PC en la nube en Windows 365
Recursos relacionados
Introducción a Active Directory Domain Services
Cifrado de datos en Windows 365