Windows 365 è un servizio basato sul cloud che è possibile usare per offrire istanze di windows computing altamente ottimizzate e personalizzate, denominate PC cloud appositamente creati per i requisiti di ogni utente. I PC cloud usano una combinazione dei servizi seguenti:
- Intune per personalizzare, proteggere e gestire PC cloud
- ENTRA ID per identità e controllo di accesso
- Desktop virtuale Azure per la connettività remota
Un CLOUD PC è un'istanza di elaborazione a disponibilità elevata, ottimizzata e personalizzata che offre un'esperienza desktop di Windows avanzata. È ospitato nel servizio Windows 365 ed è accessibile da qualsiasi luogo, in qualsiasi dispositivo.
Modello di responsabilità condivisa di Windows 365
Windows 365 è una soluzione SaaS (Software as a Service). Microsoft gestisce alcuni componenti nei servizi Windows 365 e si gestiscono altri componenti. La quantità di responsabilità dipende dal modello di architettura scelto per la distribuzione. Le responsabilità di gestire Windows 365 sono suddivise in tre parti:
- Distribuzione: pianificazione e distribuzione dei componenti del servizio.
- Ciclo di vita: gestione del componente durante il ciclo di vita, ad esempio l'applicazione di patch e la protezione.
- Configurazione: configurazione del componente per applicare le impostazioni in base alle esigenze per uno scenario.
Il diagramma seguente mostra la matrice di responsabilità di una distribuzione di Windows 365 usando la rete ospitata da Microsoft consigliata, l'aggiunta a Microsoft Entra e le immagini della raccolta con Windows Autopatch. Con questa configurazione non è necessario gestire molti componenti e fasi del ciclo di vita. Questa configurazione si traduce nei vantaggi elencati in Modelli di architettura consigliati.
Nota
Il diagramma seguente rappresenta le responsabilità dal punto di vista dell'infrastruttura, ad esempio la configurazione dell'hardware e della rete e la relativa gestione. Non include la configurazione della sottoscrizione tenant di Windows 365 o Intune.
Scaricare un file PowerPoint di questa architettura.
Il diagramma seguente illustra una tipica distribuzione di Windows 365 che usa una connessione di rete di Azure e mostra i componenti gestiti da Microsoft e i componenti gestiti nelle fasi del ciclo di vita di un CLOUD PC.
Scaricare un file PowerPoint di questa architettura.
Modello di architettura consigliato
Microsoft consiglia di distribuire Windows 365 con i componenti seguenti per ottenere un'esperienza SaaS, consentendo di usufruire dei vantaggi massimi del servizio:
- Microsoft Entra unisce
- Una rete ospitata da Microsoft
- Immagini della raccolta
- Servizio di gestione dei dispositivi mobili (MDM) basato su Intune con configurazione dell'app e del sistema operativo
- Un App Windows 365 per l'accesso a Cloud PC
Scaricare un file PowerPoint di questa architettura.
Il modello di architettura precedente consente di sfruttare al meglio il servizio Windows 365 e offre i vantaggi seguenti:
- Distribuzione semplificata e veloce
- Dipendenze da minimo a zero
- Supporto completo del framework Zero Trust
- Flussi di risoluzione dei problemi semplificati
- Risoluzione dei problemi utente self-service
- Basso sovraccarico e gestione
- Modello di maturità più elevato di software e distribuzione di applicazioni
Architettura del servizio Windows 365
Il diagramma seguente è una rappresentazione di tutti i componenti che fanno parte del servizio Windows 365. Questa architettura usa Intune e Microsoft Entra ID, che sono requisiti di base di Windows 365. Sono disponibili anche componenti facoltativi, ad esempio Azure Rete virtuale.
Scaricare un file di Visio di questa architettura.
Il diagramma precedente mostra la connessione di rete di Azure e le opzioni di rete ospitate da Microsoft. Si tratta di opzioni di architettura che si escludono a vicenda. Le sezioni seguenti illustrano le opzioni di connessione di rete di Azure.
Desktop virtuale
Desktop virtuale è una soluzione VDI (Virtual Desktop Infrastructure) basata su Azure. Microsoft gestisce Desktop virtuale. Offre una soluzione di stile PaaS (Platform-as-a-Service). Windows 365 usa i componenti di gestione della rete necessari per connettersi ai PC cloud. I componenti includono il servizio gateway Desktop virtuale, un servizio gestore connessioni e un servizio client Web. Questi servizi consentono una connessione senza problemi ai PC Windows 365 Cloud.
Per altre informazioni, vedere Desktop virtuale Azure per l'organizzazione.
Scaricare un file di Visio di questa architettura.
Nota
Windows 365 usa i componenti denominati "Piano di controllo desktop virtuale Windows" nel diagramma precedente per facilitare le connessioni utente e Cloud PC e, di conseguenza, eredita la maggior parte delle funzionalità correlate alla connessione di Desktop virtuale Azure. Acquisire familiarità con il funzionamento della rete di Desktop virtuale diventa quindi essenziale per progettare l'architettura di connessione di rete di Azure descritta in dettaglio in questo documento.
Microsoft Intune
Intune è una soluzione di gestione degli endpoint basata sul cloud che consente di visualizzare e utilizzare report e gestire:
- Recapito delle app
- Aggiornamenti di Windows
- Configurazioni di gestione dei dispositivi
- Criteri di sicurezza
Intune semplifica la gestione di app e dispositivi in molti dispositivi, tra cui dispositivi mobili, computer desktop ed endpoint virtuali.
È possibile proteggere l'accesso e i dati nei dispositivi personali e di proprietà dell'organizzazione. Intune include anche funzionalità di conformità e creazione di report che supportano il modello di sicurezza Zero Trust. Per altre informazioni, vedere Creare un profilo di configurazione del dispositivo.
Modelli di architettura
Un modello di architettura descrive i componenti e illustra le configurazioni con cui viene distribuito un servizio o un prodotto. Per altre informazioni, vedere Ospitato per conto dell'architettura.
Vedere i modelli di connessione di rete di Azure seguenti:
Connessione di rete di Azure con l'aggiunta a Microsoft Entra: in questo modello, i PC Cloud aggiunti a Microsoft Entra usano la connessione di rete di Azure per connettersi alle risorse in ambienti locali, ad esempio applicazioni line-of-business (LOB), condivisioni file e altre applicazioni che non richiedono l'autenticazione Kerberos o Windows New Technology LAN Manager (NTLM).
Connessione di rete di Azure con l'aggiunta ibrida di Microsoft Entra: in questo modello, i PC cloud aggiunti a Microsoft Entra ibrido usano la connessione di rete di Azure per aggiungere un dominio a un controller di dominio Microsoft Entra ID locale. Cloud PC esegue l'autenticazione con il controller di dominio locale quando gli utenti accedono a Cloud PC, app locali o app cloud che richiedono l'autenticazione Kerberos o NTLM.
Modelli di architettura di connessione di rete di Azure
Per alcuni modelli, il servizio Windows 365 si connette agli ambienti locali tramite Rete virtuale usando Azure ExpressRoute o una VPN da sito a sito. Questo metodo di connettività è rappresentato dalla connessione di rete di Azure, ovvero un oggetto Intune. Questa connessione consente ai PC cloud di connettersi a risorse locali, ad esempio Active Directory o app LINEB.
Questa connessione di rete, rappresentata dalla connessione di rete di Azure, viene usata dal servizio Windows 365 durante il provisioning di PC cloud per l'aggiunta al dominio Microsoft Entra locale, i controlli di integrità per la preparazione del provisioning di Cloud PC.
Le tabelle seguenti elencano le dipendenze per la connessione di rete di Azure. Windows 365 esegue controlli di integrità automatici su queste dipendenze.
| Dipendenza | Microsoft Entra Connect: controlla se Microsoft Entra Connect è configurato e termina correttamente. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Configurare l'intervallo di sincronizzazione Microsoft Entra Connect con il valore predefinito o minimo. Gli intervalli di sincronizzazione più lunghi aumentano la possibilità che il provisioning di Cloud PC non riesca nell'ambiente di produzione a causa di un timeout. Per altre informazioni, vedere Errore di aggiunta ibrida a Microsoft Entra. - Configurare la replica Dominio di Active Directory Controller da un server nello stesso data center della connessione di rete di Azure di Windows 365 per offrire una replica più veloce. - Configurare la replica del controller di dominio Microsoft Entra ID con un valore predefinito. |
| Dipendenza | Idoneità del tenant di Azure: controlla se la sottoscrizione di Azure è abilitata, senza restrizioni di blocco ed è pronta per l'uso. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Usare un account con i privilegi appropriati per gestire le sottoscrizioni di Azure, Intune e Windows 365. Per altre informazioni, vedere Controllo degli accessi in base al ruolo. - Disabilitare o modificare i criteri di Azure che impediscono la creazione di PC cloud. Per altre informazioni, vedere Limitare gli SKU consentiti delle macchine virtuali. - Assicurarsi che la sottoscrizione disponga di quote di risorse sufficienti per le reti e i limiti generali in base al numero massimo di PC cloud da creare. Gli esempi includono le dimensioni del gateway di rete, lo spazio degli indirizzi IP, le dimensioni della rete virtuale e la larghezza di banda necessaria. Per altre informazioni, vedere Limiti di rete e Limiti generali. |
| Dipendenza | Idoneità per la rete virtuale di Azure: verifica se la rete virtuale si trova in un'area di Windows 365 supportata. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Creare la rete virtuale in un'area di Azure supportata di Windows 365 per il provisioning di PC cloud. - Creare almeno una subnet, oltre alla subnet predefinita, per distribuire gli adattatori di rete virtuale cloud PC. - Laddove possibile, creare servizi di rete condivisi, ad esempio Firewall di Azure, gateway VPN o gateway ExpressRoute, in una rete virtuale separata per consentire i controlli di routing e l'espansione della distribuzione. Nelle reti virtuali applicare gruppi di sicurezza di rete (NSG) con esclusioni appropriate per consentire gli URL necessari per il servizio Windows 365. Per altre informazioni, vedere Requisiti di rete e Gruppi di sicurezza di rete. |
| Dipendenza | Utilizzo degli indirizzi IP della subnet di Azure: verifica se sono disponibili indirizzi IP sufficienti. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Creare la rete virtuale con indirizzi IP sufficienti per gestire la creazione di Cloud PC e la prenotazione di indirizzi IP temporanei durante il reprovisioning. È consigliabile usare uno spazio indirizzi IP da 1,5 a 2 volte il numero massimo di PC cloud distribuiti per il cloud. Per altre informazioni, vedere Requisiti di rete generali. - Considerare la rete virtuale di Azure come estensione logica della rete locale e assegnare uno spazio indirizzi IP univoco in tutte le reti per evitare conflitti di routing. |
| Dipendenza | Connettività degli endpoint: controlla se gli URL esterni necessari per il provisioning di Cloud PC sono raggiungibili dalla rete virtuale. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Consente tutti gli URL necessari per il provisioning di Cloud PC tramite la rete virtuale di Azure. Per altre informazioni, vedere Consentire la connettività di rete. - Usare Firewall di Azure per sfruttare i vantaggi dei tag FQDN di Windows 365, Desktop virtuale Azure e Intune per creare regole dell'applicazione e consentire gli URL necessari per il provisioning di Windows 365 Cloud PC. Per altre informazioni, vedere Usare Firewall di Azure per gestire e proteggere gli ambienti Windows 365. - Ignorare o escludere il traffico RDP (Remote Desktop Protocol) da qualsiasi dispositivo di ispezione di rete, proxy o manipolazione per evitare problemi di latenza e routing. Per altre informazioni, vedere Tecnologie di intercettazione del traffico. - Dal dispositivo e dalla rete dell'utente finale, consentire gli URL e le porte del servizio Windows 365 per le ispezioni di proxy e rete. - Consentire indirizzi IP interni di Azure 168.63.129.16 e 169.254.169.254, poiché questi indirizzi IP vengono usati per la comunicazione con i servizi della piattaforma Azure, ad esempio metadati o heartbeat. Per altre informazioni, vedere Che cos'è l'indirizzo IP 168.63.129.16?, il servizio metadati dell'istanza di Azure e Rete virtuale domande frequenti. |
| Dipendenza | Registrazione di Intune: controlla se Intune consente la registrazione di Windows. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Assicurarsi che le restrizioni di registrazione dei tipi di dispositivo di Intune siano impostate per consentire la piattaforma di gestione dei dispositivi mobili Windows (MDM) per la registrazione aziendale. - Per l'aggiunta ibrida a Microsoft Entra, configurare automaticamente i dispositivi configurando il punto di connessione del servizio (SCP) per ogni dominio in Microsoft Entra Connect o usando il modello di distribuzione di destinazione. Per altre informazioni, vedere Configurare l'aggiunta ibrida Microsoft e la distribuzione di destinazione dell'aggiunta ibrida a Microsoft Entra. |
| Dipendenza | Autorizzazioni per le app proprietarie: controlla la App Windows 365 per le autorizzazioni per i livelli di sottoscrizione, gruppo di risorse e rete virtuale del cliente Azure. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Assicurarsi che l'account usato per configurare la connessione di rete di Azure disponga delle autorizzazioni di lettura per la sottoscrizione di Azure in cui viene creata la rete virtuale di Azure. - Assicurarsi nella sottoscrizione di Azure che non siano presenti criteri che bloccano le autorizzazioni per l'app di prima parte di Windows 365. L'app deve disporre di autorizzazioni a livello di sottoscrizione, gruppo di risorse e rete virtuale. Per altre informazioni, vedere Requisiti di Azure. |
| Dipendenza | Language Pack di localizzazione: controlla se i percorsi di download del Language Pack sono raggiungibili. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Assicurarsi che gli URL necessari per la versione appropriata delle immagini di Windows siano consentiti tramite regole del firewall usate nella rete virtuale di Azure. Per altre informazioni, vedere Fornire un'esperienza di Windows localizzata. |
| Dipendenza | RDP Shortpath: controlla se le configurazioni UDP (User Datagram Protocol) sono disponibili per la connessione. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Abilitare l'accesso a Shortpath RDP per cloud PC per sfruttare la resilienza di UDP. Per altre informazioni, vedere Usare RDP Shortpath per le reti pubbliche con Windows 365 e Usare RDP Shortpath per reti private con Windows 365. |
| Dipendenza | Licenza di Intune: controlla se il tenant ha licenze di Intune appropriate per l'uso di Windows. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Assicurarsi che le licenze di Intune siano assegnate in base ai requisiti di licenza. |
| Dipendenza | Verifica dell'accesso Single Sign-On (SSO): verifica se l'oggetto server Kerberos viene creato in Active Directory e sincronizzato con Microsoft Entra ID. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Assicurarsi che l'opzione SSO sia selezionata nei criteri di provisioning. Questa opzione consente di connettersi al Cloud PC del criterio usando le credenziali di accesso da un dispositivo fisico gestito da Intune aggiunto a un dominio o aggiunto a Microsoft Entra. Per altre informazioni, vedere Continuare a creare criteri di provisioning. |
| Dipendenza | Risoluzione dei nomi DNS: controlla se il DNS nella connessione di rete di Azure può risolvere Active Directory locale dominio. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Assicurarsi che la rete virtuale di Azure sia configurata con la risoluzione dei nomi di un dominio Microsoft Entra locale usando un DNS personalizzato, un DNS privato o un resolver privato. Per altre informazioni, vedere Cos'è DNS di Azure? - Assicurarsi che i server DNS configurati nella rete virtuale si trovino nella stessa area geografica e abbiano la possibilità di registrare i PC cloud di cui è stato appena effettuato il provisioning senza ritardi. Evitare riferimenti o reindirizzamenti DNS per evitare ritardi di propagazione, che possono causare ritardi o errori di provisioning. |
| Dipendenza | Aggiunta al dominio Microsoft Entra: verifica che le credenziali fornite per l'aggiunta al dominio Microsoft Entra siano valide e che i PC cloud possano essere aggiunti a un dominio. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Assicurarsi che l'account fornito per l'aggiunta al dominio Microsoft Entra disponga delle autorizzazioni per l'unità organizzativa Microsoft Entra specificata nella configurazione della connessione di rete di Azure. - Assicurarsi che l'account fornito non sia un account utente standard con una limitazione di aggiunta al dominio. Per altre informazioni, vedere Limite predefinito per il numero di workstation che un utente può aggiungere al dominio. - Verificare che l'account specificato sia sincronizzato con Microsoft Entra ID. - Assicurarsi che l'unità organizzativa specificata nella connessione di rete di Azure non abbia limiti per gli oggetti. Per altre informazioni, vedere Aumentare il limite di account computer nell'unità organizzativa. |
Per altre informazioni, vedere Controlli di integrità delle connessioni di rete di Azure in Windows 365.
Consigli per i blocchi predefiniti della connessione di rete di Azure
In questa sezione viene fornita la suddivisione dei blocchi predefiniti del modello di architettura di connessione di rete di Windows 365 Azure.
Sottoscrizione di Azure
L'utilizzo di Windows 365 in un modello di architettura di connessione di rete di Azure prevede due tipi di sottoscrizioni di Azure, una sottoscrizione Microsoft e una sottoscrizione del cliente
Windows 365 usa il modello Ospitato per conto di per fornire servizi ai clienti di Windows 365. In questo modello viene effettuato il provisioning e l'esecuzione di Cloud PC nelle sottoscrizioni di Azure di proprietà di Microsoft, mentre viene effettuato il provisioning della scheda di rete del CLOUD PC nella sottoscrizione di Azure di un cliente. I diagrammi seguenti illustrano due modelli di architettura di connessione di rete di Azure. I clienti usano la propria sottoscrizione di Azure e la propria rete virtuale.
Scaricare un file di Visio di questa architettura.
Il modello di architettura precedente usa l'identità di join di Microsoft Entra per gestire il Cloud PC.
Scaricare un file di Visio di questa architettura.
Il modello di architettura precedente usa l'identità di aggiunta ibrida di Microsoft Entra per gestire il Cloud PC e richiede una comunicazione di rete line-of-sight con i controller di dominio di Dominio di Active Directory Services (AD DS) in ambienti locali.
| Componente | Sottoscrizione di Azure: sottoscrizione di Azure che ospita la rete virtuale usata per fornire connettività per un PC cloud a un ambiente locale e a Internet. |
|---|---|
| Modelli di architettura | Connessione di rete di Azure per l'aggiunta a Microsoft Entra, connessione di rete di Azure per l'aggiunta ibrida di Microsoft Entra |
| Consigli | - Creare o usare una sottoscrizione con una rete virtuale e gateway ExpressRoute o VPN per fornire una connessione a un ambiente locale. - Creare un gruppo di risorse dedicato per un PC cloud per fornire la gestione delle autorizzazioni e delle risorse. - Escludere gruppi di risorse di Cloud PC e rete virtuale dai criteri di Azure che impediscono la creazione e l'eliminazione automatica di oggetti della scheda di interfaccia di rete virtuale (vNIC) e l'assegnazione o il rilascio degli indirizzi IP. Per altre informazioni, vedere Bloccare le risorse per proteggere l'infrastruttura e i requisiti di Azure. - Creare reti virtuali dedicate per migliorare la gestione degli indirizzi IP e i controlli di routing. |
Rete virtuale e connessione ibrida
I modelli di architettura basata sulla connessione di rete di Azure per Windows 365 richiedono una o più reti virtuali di Azure. Le reti virtuali forniscono connettività agli ambienti locali e tramite Internet per il provisioning di un PC cloud. Viene effettuato il provisioning della scheda di rete virtuale del Cloud PC nella rete virtuale di Azure della sottoscrizione di proprietà del cliente, come descritto nella sezione Sottoscrizione di Azure.
La rete di Azure può essere distribuita con una complessità di progettazione variabile, in base alla rete locale esistente o alla rete di Azure. Per iniziare a usare una progettazione di rete ibrida di base, vedere Implementare una rete ibrida sicura.
Quando si progetta un'architettura di rete virtuale di Azure, tenere presenti i fattori seguenti:
Spazio indirizzi IP: la dimensione dello spazio degli indirizzi IP dipende dal numero di PC cloud da supportare. Pianificare almeno 1,5 volte il numero massimo di PC cloud distribuiti. Gli indirizzi IP aggiuntivi per gli indirizzi IP usati durante il provisioning e il deprovisioning dei PC cloud.
Risoluzione dei nomi: processo DNS usato dal Cloud PC per risolvere il nome di dominio locale in una distribuzione di join ibrido di Microsoft Entra o per risolvere le risorse Internet o le risorse di Azure in un modello di distribuzione di aggiunta a Microsoft Entra.
- Per usare l'infrastruttura DNS locale esistente, configurare gli indirizzi IP di uno o più server DNS per la risoluzione dei nomi. Per altre informazioni, vedere Requisiti DNS.
- Assicurarsi che l'IP del server DNS usato nella rete virtuale di Azure appartenga alla stessa area geografica del CLOUD PC e che non reindirizzi le richieste di registrazione DNS a un'altra area. In caso contrario, comporta distribuzioni ritardate o non riuscite e controlli di integrità delle connessioni di rete di Azure.
- Per la risoluzione dei nomi basata su DNS di Azure, usare il DNS di Azure pubblico o privato o l'opzione resolver privato. Per altre informazioni, vedere la documentazione di DNS di Azure.
Topologia di rete: la rete di Azure supporta le topologie per supportare casi d'uso diversi.
- Topologia hub-spoke con peering di rete virtuale: questa topologia è il modo più semplice per fornire un isolamento dei servizi con le proprie reti virtuali spoke e hub. I servizi condivisi includono Firewall di Azure e gateway di rete. Scegliere questa topologia se si dispone di una semplice progettazione a sito singolo per distribuire un CLOUD PC in una o più reti virtuali spoke. Per altre informazioni, vedere Topologia di rete Hub-spoke.
- Topologia hub-spoke con Azure rete WAN virtuale: rete WAN virtuale è un servizio di rete di Azure che riunisce funzionalità di rete, sicurezza e gestione che consentono requisiti di rete complessi. Usare questa topologia per distribuzioni multisito e in più aree con requisiti specifici di firewall e routing. Per altre informazioni, vedere Topologia di rete hub-spoke con rete WAN virtuale.
Gateway di rete: i gateway di rete di Azure forniscono connettività da una rete virtuale a una rete locale. Sono disponibili gateway di rete VPN e ExpressRoute. Assicurarsi che i requisiti massimi di larghezza di banda di un PC cloud siano considerati prima di decidere il metodo ExpressRoute o VPN della connettività. Entrambi i gateway VPN e ExpressRoute sono offerti in livelli o SKU, che differiscono nella quantità di larghezza di banda fornita e in altre metriche. Per altre informazioni, vedere Estendere una rete locale usando ExpressRoute e Connettere una rete locale ad Azure tramite ExpressRoute.
Configurazioni di routing
Il servizio di connessione di rete di Azure di Windows 365 usa controlli di integrità automatizzati per determinare l'integrità e l'idoneità dell'ambiente del cliente per effettuare il provisioning dei PC cloud microsoft Entra join o Microsoft Entra hybrid join cloud in un'architettura basata sulla connessione di rete di Azure. Senza configurazioni di routing appropriate nella rete virtuale di Azure e nei servizi di rete associati, esiste una probabilità elevata di errori o ritardi nella distribuzione di PC cloud. Prendere in considerazione i consigli seguenti per ottimizzare il routing per l'architettura di rete di Windows 365:
URL obbligatori consentiti: ogni PC cloud distribuito nell'aggiunta ibrida di Microsoft Entra e il modello di connessione di rete di Microsoft Entra ad Azure richiede che diversi URL siano consentiti tramite virus del sistema operativo, firewall di rete e servizi di bilanciamento del carico. Verificare che tutti gli URL siano consentiti. Per altre informazioni, vedere Consentire la connettività di rete.
Usare i tag FQDN di Azure: quando si usa il servizio Firewall di Azure, usare i tag FQDN di Azure per consentire gli URL necessari per Desktop virtuale Azure, Windows 365 e Intune. Per altre informazioni, vedere Usare Firewall di Azure per gestire e proteggere gli ambienti Windows 365.
Abilita pass-through: Windows 365 usa il protocollo RDP, sensibile alla latenza introdotta dai dispositivi di ispezione del traffico, ad esempio un firewall o un'appliance di decrittografia SSL. Tale latenza può comportare una scarsa esperienza, quindi disabilitare l'ispezione del traffico di questi URL e abilitare invece il pass-through. Per altre informazioni, vedere Tecnologie di intercettazione del traffico.
Bypass proxy: i servizi proxy cloud e tradizionali, se adatti per l'accesso a Internet, introducono latenza nelle connessioni RDP. Questa latenza si verifica quando la connessione dal dispositivo fisico dell'utente finale o dal PC cloud viene forzata tramite un proxy e comporta frequenti disconnessioni, ritardi e tempi di risposta lenti. Impostare gli intervalli IP del gateway *.wvd.microsoft.com e Windows 365 per ignorare i servizi proxy nel dispositivo fisico dell'utente, la rete a cui il dispositivo fisico è connesso e nel Cloud PC.
Per altre informazioni, vedere Ottimizzazione della connettività RDP per Windows 365.
Routing del percorso più breve: assicurarsi che il traffico RDP da un PC cloud raggiunga gli endpoint del servizio Desktop virtuale tramite il percorso più breve. Il percorso ideale è da una rete virtuale, direttamente all'IP del gateway Desktop virtuale tramite Internet. Assicurarsi anche che il traffico RDP proveniente dal dispositivo fisico dell'utente finale raggiunga direttamente l'indirizzo IP del gateway Desktop virtuale. Questa configurazione garantisce un routing ottimale e non degrada l'esperienza utente. Evitare di instradare il traffico RDP a Internet tramite servizi proxy cloud o reti locali.
RDP Shortpath: abilitare l'accesso basato su Shortpath RDP per le reti degli utenti finali, le reti di Azure e i PC cloud. RDP Shortpath usa UDP per trasmettere il traffico RDP. A differenza di TCP, è resiliente alle connessioni di rete a latenza elevata. UDP sfrutta anche il massimo vantaggio della larghezza di banda di rete disponibile per trasferire in modo efficiente i pacchetti RDP, con un'esperienza utente migliorata. Per altre informazioni, vedere Usare RDP Shortpath per reti pubbliche con Windows 365.
Posizionamento di PC cloud: per un'esperienza utente ottimale e prestazioni di routing, determinare dove i clienti sono in relazione alle app aziendali o alla rete a cui accedono. Prendere in considerazione anche il tempo dedicato ai clienti che accedono alle app LINEB rispetto al tempo complessivo di accesso ad altre app. Vedere le due opzioni di distribuzione seguenti:
Il modello di distribuzione seguente potrebbe essere ottimale se i clienti dedicano la maggior parte del tempo di lavoro alle app line-of-business anziché lavorare su app installate in locale, ad esempio le app in Microsoft 365. Questo modello ottimizza la latenza per le app line-of-business e la latenza di accesso al PC cloud posizionando il CLOUD PC nella stessa area dell'app LINEB (Geography B). Questa ottimizzazione si verifica anche se il gateway è geograficamente più vicino all'utente finale (Geography A). Il diagramma seguente illustra il possibile flusso di traffico dall'utente finale alle app LINEB.
Scaricare un file PowerPoint di questa architettura.Se i clienti accedono occasionalmente alle app line-of-business nella geografia B, la distribuzione di un PC cloud più vicino ai clienti potrebbe essere ottimale perché ottimizza la latenza di accesso dei PC cloud sulle app line-of-business. Il diagramma seguente illustra come il traffico potrebbe fluire in uno scenario di questo tipo.
Scaricare un file PowerPoint di questa architettura.
Raccomandazioni di Active Directory Domain Services
In un'architettura di join ibrido di Microsoft Entra, un'infrastruttura di Active Directory Domain Services locale funge da origine dell'identità dell'autorità. La corretta configurazione e l'integrità dell'infrastruttura di Active Directory Domain Services è un passaggio fondamentale per rendere corretta la distribuzione di Windows 365.
Active Directory Domain Services locale supporta molte configurazioni e diversi livelli di complessità, pertanto le raccomandazioni fornite riguardano solo le procedure consigliate di base.
- Per lo scenario di aggiunta ibrida di Microsoft Entra, è possibile distribuire Active Directory Domain Services nelle macchine virtuali di Azure, come descritto nella guida di riferimento all'architettura in Distribuire Active Directory Domain Services in una rete virtuale. È anche possibile usare una connessione di rete ibrida per fornire una linea di vista diretta al controller di dominio Microsoft Entra locale. Per altre informazioni, vedere Implementare una rete ibrida sicura.
- Per la distribuzione dell'aggiunta a Microsoft Entra, seguire l'architettura di riferimento in Integrare i domini Microsoft Entra locali con Microsoft Entra ID.
- Windows 365 usa un servizio watchdog come parte del test automatizzato che crea un account di macchina virtuale di test. Tale account viene visualizzato come disabilitato nell'unità organizzativa specificata nella configurazione della connessione di rete di Azure. Non eliminare questo account.
- Qualsiasi PC cloud rimosso nel modello di join ibrido Microsoft Entra lascia dietro un account computer disabilitato, che deve essere pulito manualmente in Servizi di dominio Active Directory.
- Microsoft Entra Domain Services non è supportato come origine di identità perché non supporta l'aggiunta ibrida a Microsoft Entra.
Raccomandazioni DNS
In un'architettura di distribuzione della connessione di rete di Azure, i server DNS o un altro servizio DNS usato da una rete virtuale di Azure sono una dipendenza cruciale. È importante disporre di un'infrastruttura integra.
- Per una configurazione di join ibrido di Microsoft Entra, DNS deve essere in grado di risolvere il dominio in cui deve essere aggiunto il CLOUD PC. Sono disponibili più opzioni di configurazione, il più semplice è specificare l'IP del server DNS nella configurazione della rete virtuale di Azure. Per altre informazioni, vedere Risoluzione dei nomi con l'uso del proprio server DNS.
- A seconda della complessità dell'infrastruttura, ad esempio una configurazione multidominio in più aree in Azure e in ambienti locali, è consigliabile usare un servizio come zone private DNS di Azure o resolver privato DNS di Azure.
Raccomandazioni per la connessione al PC cloud
I PC cloud distribuiti devono essere configurati per consentire un flusso di connessione ininterrotto da e verso il servizio gateway Desktop virtuale. Quando si distribuiscono app come parte di una configurazione del sistema operativo Windows, prendere in considerazione i consigli seguenti:
- Assicurarsi che il client VPS non venga avviato quando l'utente accede perché può disconnettere la sessione quando viene stabilito il tunnel VPN. L'utente dovrà accedere una seconda volta.
- Configurare le app VPN, proxy, firewall e antivirus e antimalware per consentire o ignorare il traffico associato per gli indirizzi IP 168.63.129.16 e 169.254.169.254. Questi indirizzi IP vengono usati per la comunicazione con i servizi della piattaforma Azure, ad esempio metadati e heartbeat. Per altre informazioni, vedere Che cos'è l'indirizzo IP 168.63.129.16?, il servizio metadati dell'istanza di Azure per le macchine virtuali e Rete virtuale domande frequenti.
- Non modificare manualmente gli indirizzi IP dei PC cloud perché potrebbe causare una disconnessione permanente. Gli indirizzi IP vengono assegnati con un lease indefinito e gestiti per tutto il ciclo di vita del Cloud PC dai servizi di rete di Azure. Per ulteriori informazioni, vedi l'argomento Metodi di allocazione.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- Ravishankar Nandagopalan | Senior Product Manager
Altri contributori:
- Paul Collinge | Product Manager principale
- Claus Emerich | Product Manager principale
- David Falkus | Product Manager principale
- Bob Roudebush | Responsabile tecnico e technologist cloud/sviluppatore
- Matt Shadbolt | Principal Product Manager, Windows Cloud Experiences
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
Pianificare la distribuzione di CLOUD PC
Identità e autenticazione di Windows 365
Ciclo di vita del PC cloud in Windows 365
Risorse correlate
Panoramica di Active Directory Domain Services
Crittografia dei dati in Windows 365