Panoramica della connessione di rete di Azure

Una connessione di rete di Azure (ANC) è un oggetto nell'interfaccia di amministrazione Microsoft Intune che fornisce ai profili di provisioning di Cloud PC le informazioni necessarie per connettersi alle risorse basate sulla rete. Vengono usati gli ANC:

• Quando viene inizialmente effettuato il provisioning di un PC cloud.
• Quando Windows 365 verifica periodicamente la connessione all'infrastruttura locale per garantire la migliore esperienza utente finale.

Tipi di connessione di rete

Esistono due tipi di anc in base al tipo di join. Entrambi consentono di gestire il traffico e l'accesso di Cloud PC alle risorse basate sulla rete, ma hanno requisiti di connettività diversi.

• Microsoft Entra aggiunta: non richiede la connettività a un dominio Windows Server Active Directory (AD).
• Aggiunta Microsoft Entra ibrida: richiede la connettività a un dominio Windows Server AD. Quando si crea l'ANC, è necessario specificare i dettagli del dominio di Active Directory.

Provisioning

Quando viene effettuato il provisioning di un PC cloud, le informazioni nell'ANC vengono usate dai criteri di provisioning per effettuare il provisioning del PC cloud nella subnet di Azure. Le informazioni necessarie in un anc includono:

• Dettagli di rete: sottoscrizione, gruppo di risorse, rete virtuale e subnet di Azure da associare al PC cloud. Quando viene eseguito un criterio di provisioning, crea un PC cloud nella sottoscrizione di Azure ospitata da Microsoft. Per connettersi alla rete locale di un cliente, una scheda di interfaccia di rete virtuale (vNic) viene inserita in una rete virtuale (vNet) di Azure fornita dal cliente. Per creare questa scheda di interfaccia di rete virtuale, Windows 365 richiede un accesso sufficiente a una sottoscrizione di Azure.
• Dominio active directory: il dominio di Active Directory a cui aggiungere, una destinazione unità organizzativa (OU) per l'oggetto computer e le credenziali utente di Active Directory con autorizzazioni sufficienti per eseguire l'aggiunta al dominio. Quando viene eseguito un criterio di provisioning, il PC cloud viene aggiunto a questo dominio di Active Directory. Le credenziali vengono archiviate in modo sicuro nel servizio Windows 365.

Durante il provisioning, il PC cloud è connesso alla subnet di Azure e aggiunto a un dominio (Windows Server Active Directory o Microsoft Entra ID). Questo processo comporta un PC cloud che è:

• Nella rete.
• Registrato in Microsoft Entra ID.
• Registrato in Microsoft Intune.
• Pronto per accettare le richieste di accesso utente.

Le impostazioni anc vengono applicate al PC cloud solo al momento del provisioning.

ANC alternativi

Per rendere più affidabile il provisioning dei PC cloud nel raro caso di vincoli di capacità in un'area, è possibile assegnare anc alternativi a un criterio di provisioning. È possibile definire l'ordine di priorità degli ANC usati dai criteri. Se il primo anc non è disponibile, il criterio usa automaticamente il secondo anc nell'elenco delle priorità. Se il secondo non è disponibile, passa al successivo e così via. Questo processo consente agli amministratori di preparare più anc in diverse aree di Azure, rendendo il provisioning più affidabile. Non è necessario usare più ANC. Per altre informazioni sull'uso di anc alternativi durante la creazione dei criteri di provisioning, vedere Creare criteri di provisioning.

Primo controllo di integrità

Le informazioni incluse nell'ANC vengono usate per effettuare il provisioning di un PC cloud. Affinché il provisioning abbia esito positivo, le risorse a cui viene fatto riferimento nell'ANC devono essere integre e accessibili. Dopo aver creato un oggetto ANC, Windows 365 verifica quanto segue:

• Gli oggetti a cui fa riferimento l'ANC sono integri.
• Connections possono essere creati per questi oggetti.

Questi controlli di integrità usano le informazioni anc fornite per effettuare il provisioning di un PC cloud. Per un elenco completo dei controlli, vedere Controlli di integrità della connessione di rete di Azure.

Anche se questo primo controllo dell'integrità anc è in corso, non è possibile assegnarlo a un criterio di provisioning. Dopo aver completato e completato il controllo di integrità, l'ANC può essere assegnato a uno o più criteri di provisioning.

Controlli periodici dell'integrità

Dopo il provisioning, le informazioni in un anc vengono usate anche per monitorare:

• integrità della connessione tra le risorse basate sulla rete
• Cloud PC ospitato nella sottoscrizione ospitata da Microsoft

Windows 365 segnala problemi di configurazione che possono causare errori di provisioning o esperienze utente finale scarse. Questo monitoraggio riduce il sovraccarico di gestione. Per altre informazioni su questi controlli periodici, vedere Controlli di integrità della connessione di rete di Azure.

Frequenza dei controlli di integrità

I controlli ANC vengono eseguiti una volta ogni una o sei ore.

Il controllo completo dell'integrità end-to-end può richiedere fino a 30 minuti. I controlli di integrità vengono eseguiti in una macchina virtuale di Azure temporanea creata automaticamente a questo scopo. Questa macchina virtuale viene creata automaticamente ed eliminata al termine dei controlli di integrità. La macchina virtuale è connessa alla rete virtuale specificata e vengono eseguiti controlli per garantire la corretta esecuzione del provisioning.

Al termine di un controllo, i risultati vengono pubblicati nel riquadro connessione di rete di Azure dell'interfaccia di amministrazione di Microsoft Intune. Per informazioni sui risultati del controllo, vedere Controlli di integrità delle connessioni di rete di Azure.

Riprovare a controllare l'integrità

Per attivare manualmente un controllo di integrità completo, accedere all'interfaccia di amministrazione Microsoft Intune, selezionare Dispositivi>Windows 365 (in Provisioning)>Connessione> di rete di Azure selezionare un nuovo tentativo di connessione > di rete di Azure.

Autorizzazioni necessarie per le connessioni di rete di Azure

La procedura guidata anc richiede l'accesso ad Azure e, facoltativamente, alle risorse di dominio locali. Per l'ANC sono necessarie le autorizzazioni seguenti:

• Intune ruolo Amministratore o Amministratore Windows 365.
• Un account utente di Active Directory con autorizzazioni sufficienti per aggiungere il dominio DI Active Directory a questa unità organizzativa (Microsoft Entra solo anc di aggiunta ibrida).

Per creare o modificare un anc, è necessario avere almeno il ruolo Lettore di sottoscrizioni nella sottoscrizione di Azure in cui si trovava la rete virtuale associata all'ANC.

Per un elenco completo dei requisiti, vedere requisiti di Windows 365.

Modifica di una connessione di rete di Azure

La modifica delle impostazioni in un anc non influirà sui PC cloud di cui è stato effettuato il provisioning in precedenza con tale ANC. Solo i PC cloud di cui è stato effettuato il provisioning dopo le modifiche apportate all'ANC riflettono tali modifiche successive.

Se si desidera modificare le impostazioni correlate all'ANC in un PC cloud di cui è stato effettuato il provisioning precedente, è necessario effettuare di nuovo il provisioning del PC cloud. Il reprovisioning è un'azione distruttiva, quindi assicurati che si tratti di un'azione che vuoi davvero intraprendere. Per altre informazioni, vedere Reprovisioning.For more information, see reprovisioning.

Eliminare una connessione di rete di Azure

Non è possibile eliminare un anc in uso. Prima di poter eliminare l'oggetto, è necessario eseguire una delle azioni seguenti per ogni criterio di provisioning che usa questo ANC:

• Modificare i criteri per usare un anc diverso.
• Eliminare i criteri. Per altre informazioni, eliminare una connessione di rete di Azure.

Dopo aver completato una di queste operazioni, è possibile eliminare l'ANC.

Numero massimo di connessioni di rete di Azure

Ogni tenant ha un limite di 50 connessioni di rete di Azure. Se l'organizzazione necessita di più di 50 connessioni di rete di Azure, contattare il supporto tecnico.

ANC inattivi

Gli ANC inutilizzati per un periodo di tempo diventano inattivi. Gli ANC inattivi sospendono l'esecuzione dei controlli di integrità e non possono essere assegnati a un criterio di provisioning fino a quando l'ANC non viene riattivato e i controlli di integrità non vengono completati correttamente.

Accesso utente

Quando gli utenti tentano di accedere al PC cloud, viene eseguita l'autenticazione utente.

Per Microsoft Entra anc di join ibrido, l'ANC viene usato per instradare la richiesta di autenticazione ai controller di dominio. Se l'ANC o la connessione di rete al dominio non è integra, l'accesso utente non può verificarsi. Le credenziali memorizzate nella cache di Windows non possono essere usate sul canale desktop remoto, quindi la disponibilità del controller di dominio è fondamentale. Verificare che la rete sia stabile o posizionare un server controller di dominio nella stessa subnet dei PC cloud.

Per Microsoft Entra join anc, l'ANC viene usato per instradare la richiesta di autenticazione a Microsoft Entra ID. Le credenziali memorizzate nella cache di Windows non possono essere usate sul canale desktop remoto, quindi la connettività a Microsoft Entra ID è fondamentale.

Passaggi successivi

Informazioni sulle immagini del dispositivo

Creare una connessione di rete di Azure