Usare Firewall di Azure per gestire e proteggere gli ambienti Windows 365
Questo articolo illustra come semplificare e proteggere l'ambiente Windows 365 usando Firewall di Azure. L'architettura di esempio illustrata di seguito fornisce una manutenzione ridotta e l'accesso automatizzato agli endpoint necessari tramite un percorso di connessione diretto e ottimizzato. È possibile usare Firewall di Azure regole di rete e tag nome di dominio completo (FQDN) per replicare questo esempio di architettura nell'ambiente.
Nota
Questo articolo si applica ai clienti che distribuiscono Windows 365 con le connessioni di rete di Azure.This article applies to customers who deploy Windows 365 with Azure network connections (ANC). Questo articolo non si applica agli ambienti che usano reti ospitate da Microsoft. Per altre informazioni su ognuno di essi, vedere Windows 365 opzioni di distribuzione di rete.
Il servizio Windows 365 richiede connettività ottimizzata e non proxy agli endpoint di servizio critici, molti dei quali si trovano all'interno dell'infrastruttura Microsoft. La connessione a queste risorse tramite reti locali tramite Internet è inefficiente e non è consigliata. Tali connessioni possono anche essere complesse da configurare e gestire.
Ad esempio, alcuni Windows 365 clienti che usano il modello di distribuzione ANC potrebbero avere una connessione diretta a un ambiente locale che usa ExpressRoute o VPN da sito a sito. Il traffico in uscita potrebbe essere instradato usando un server proxy esistente allo stesso modo del traffico locale. Questa strategia di connessione non è ottimizzata per gli ambienti Windows 365 e potrebbe introdurre un impatto significativo sulle prestazioni.
È invece possibile usare Firewall di Azure con gli ambienti di Windows 365 ANC per offrire accesso ottimizzato, sicuro, a bassa manutenzione e automatizzato.
Endpoint necessari per Windows 365
Windows 365 richiede l'accesso agli endpoint seguenti:
È anche possibile prendere in considerazione l'accesso ad altri servizi Microsoft (ad esempio Office 365) durante la configurazione della connettività ottimizzata dall'ambiente.
I tag FQDN per determinati servizi sono disponibili per Firewall di Azure che consentono di configurare e gestire queste regole in modo semplice e vengono illustrati più avanti in questo documento.
Architettura di esempio con tag Firewall di Azure e FQDN
Esistono molti modi per configurare la rete in Azure. In questo caso si usa:
- Una singola rete virtuale con Firewall di Azure gestione dell'accesso in uscita.
- Circuito ExpressRoute per connettere nuovamente la rete virtuale all'ambiente locale.
Flusso del traffico in questo diagramma:
- Rete aziendale Contoso: questa subnet IP locale viene annunciata nella rete virtuale tramite il gateway ExpressRoute. Tutto il traffico verso questo intervallo (10.0.0.0/8) viene inviato tramite il circuito ExpressRoute.
- Tutto il traffico proveniente dalla subnet Windows 365 viene inviato al firewall di Azure tramite una route UDR (User Defined Route) di 0.0.0.0/0. L'IP hop successivo è impostato sull'INDIRIZZO IP privato della Firewall di Azure.
- Il firewall dispone di regole dell'applicazione (e tag FQDN) e regole di rete configurate per gli endpoint Windows 365 necessari. Il traffico conforme alle regole è consentito. Qualsiasi altro traffico non consentito in modo esplicito è bloccato.
Firewall di Azure regole dell'applicazione
L'ambiente nel diagramma è stato configurato usando le regole dell'applicazione Firewall di Azure seguenti (applicate nel callout 3). Tutto il traffico non destinato alla subnet locale di Contoso viene indirizzato al firewall. Queste regole consentono al traffico definito di eseguire l'uscita verso la destinazione. Per altre informazioni sulla distribuzione di Firewall di Azure, vedere Distribuire e configurare Firewall di Azure usando il portale di Azure.
| Descrizione regola | Tipo di destinazione | Nome tag FQDN | Protocollo | Ispezione TLS | Obbligatorio/Facoltativo |
|---|---|---|---|---|---|
| WINDOWS 365 FQDN | FQDN Tag | Windows365 | HTTP: 80, HTTPS: 443 | Non consigliato | Obbligatorio |
| INTUNE FQDN | FQDN Tag | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Non consigliato | Obbligatorio |
| OFFICE 365 FQDN | FQDN Tag | Office365 | HTTP: 80, HTTPS: 443 | Non è consigliabile ottimizzare & consentire le categorie | Facoltativo, ma consigliato |
| Windows Update | FQDN Tag | WindowsUpdate | HTTP: 80, HTTPS: 443 | Non consigliato | Facoltativo |
| Citrix HDX Plus | FQDN Tag | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Non consigliato | Facoltativo (obbligatorio solo quando si usa Citrix HDX Plus) |
Firewall di Azure può essere associato agli indirizzi IP pubblici per fornire connettività in uscita a Internet. Il primo IP pubblico viene selezionato in modo casuale per fornire SNAT in uscita. L'INDIRIZZO IP pubblico disponibile successivo verrà usato dopo l'esaurimento di tutte le porte SNAT del primo IP. Negli scenari che richiedono una velocità effettiva elevata, è consigliabile sfruttare un gateway NAT di Azure. Il gateway NAT ridimensiona in modo dinamico la connettività in uscita e può essere integrato con un Firewall di Azure. Per indicazioni, vedere l'esercitazione integrare il gateway NAT con Firewall di Azure.
Tag Windows365
Il tag Windows365 include gli endpoint di Desktop virtuale Azure (AVD) necessari, ad eccezione degli endpoint con porte non standard che devono essere immessi manualmente (vedere la sezione Regole di rete).
Il tag Windows365 non include Intune. Il tag MicrosoftIntune può essere usato separatamente.
Il tag FQDN di Windows365 include tutti gli endpoint necessari, ad eccezione degli endpoint elencati come Obbligatorio in righe separate di questo documento, che devono essere configurate separatamente. I tag FQDN sono diversi da un tag di servizio. Ad esempio, il tag del servizio WindowsVirtualDesktop include solo gli indirizzi IP in cui *.wvd.microsoft.com si risolve.
Regole di rete
Firewall di Azure attualmente non gestisce porte non standard in un tag FQDN. Windows 365 ha alcuni requisiti di porta non standard, quindi le regole seguenti devono essere aggiunte manualmente come regole di rete oltre ai tag FQDN.
| Descrizione regola | Tipo di destinazione | FQDN/IP | Protocollo | Porta/s | Ispezione TLS | Obbligatorio/Facoltativo |
|---|---|---|---|---|---|---|
| Attivazione di Windows | FQDN | azkms.core.windows.net | TCP | 1688 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Non consigliato | Obbligatorio |
| Connettività UDP tramite TURN | IP | 20.202.0.0/16 | UDP | 3478 | Scelta non consigliata | Obbligatorio |
| Connettività TURN | IP | 20.202.0.0/16 | TCP | 443 | Scelta non consigliata | Obbligatorio |
| Registrazione | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Non consigliato | Obbligatorio |
Opzioni della soluzione di sicurezza per i partner
Altri modi per proteggere l'ambiente Windows 365 sono le opzioni della soluzione di sicurezza dei partner che forniscono set di regole automatizzati per accedere agli endpoint necessari per il servizio Windows 365. Tali opzioni includono:
- oggetti aggiornabili Check Point Software Technologies
Passaggi successivi
Altre informazioni sull'architettura Windows 365.
Per altre informazioni su FQDNS, vedere Panoramica dei tag FQDN.
Per altre informazioni sui tag del servizio, vedere Tag del servizio di rete virtuale.