Risolvere i problemi relativi alle connessioni di rete di Azure

La connessione di rete di Azure controlla periodicamente l'ambiente per assicurarsi che tutti i requisiti siano soddisfatti e che si trovino in uno stato integro. Se un controllo ha esito negativo, è possibile visualizzare i messaggi di errore nell'interfaccia di amministrazione di Microsoft Intune. Questa guida contiene altre istruzioni per la risoluzione dei problemi che potrebbero causare errori nei controlli.

Aggiunta a un dominio di Active Directory

Quando viene effettuato il provisioning di un Cloud PC, viene aggiunto automaticamente al dominio specificato. Per testare il processo di aggiunta al dominio, viene creato un oggetto computer di dominio nell'unità organizzativa definita con un nome simile a "CPC-Hth" ogni volta che vengono eseguiti i controlli di integrità di Windows 365. Questi oggetti computer vengono disabilitati al termine del controllo integrità. L'errore di aggiunta al dominio di Active Directory può verificarsi per molti motivi. Se l'aggiunta al dominio ha esito negativo, assicurarsi che:

• L'utente di aggiunta al dominio dispone di autorizzazioni sufficienti per l'aggiunta al dominio fornito.
• L'utente di aggiunta al dominio può scrivere nell'unità organizzativa fornita.
• L'utente di aggiunta al dominio non è limitato al numero di computer a cui possono partecipare. Ad esempio, il numero massimo predefinito di join per utente è 10 e questo massimo può influire sul provisioning di Cloud PC.
• La subnet usata può raggiungere un controller di dominio.
• Si esegue il test Add-Computer usando le credenziali di aggiunta al dominio in una macchina virtuale (VM) connessa alla rete virtuale/subnet del PC cloud.
• È possibile risolvere gli errori di aggiunta a un dominio come qualsiasi computer fisico nell'organizzazione.
• Se si dispone di un nome di dominio che può essere risolto su Internet (ad esempio contoso.com), assicurarsi che i server DNS (Domain Name System) siano configurati come interni. Assicurarsi inoltre che possano risolvere i record DNS del dominio Active Directory, non il nome di dominio pubblico.

Sincronizzazione del dispositivo Microsoft Entra

Prima che la registrazione mdm (Mobile Device Management) possa essere eseguita durante il provisioning, è necessario che sia presente un oggetto MICROSOFT Entra ID per cloud PC. Questo controllo è progettato per assicurarsi che gli account computer dell'organizzazione si sincronizzino con Microsoft Entra ID in modo tempestivo.

Assicurarsi che gli oggetti computer Microsoft Entra vengano visualizzati rapidamente in Microsoft Entra ID. È consigliabile che vengano visualizzati entro 30 minuti e non più di 60 minuti. Se l'oggetto computer non arriva in Microsoft Entra ID entro 90 minuti, il provisioning non riesce.

Se il provisioning non riesce, assicurarsi che:

• La configurazione del periodo di sincronizzazione in Microsoft Entra ID viene impostata in modo appropriato. Rivolgersi al team di identità per assicurarsi che la directory sia sincronizzata abbastanza velocemente.
• L'ID Microsoft Entra è attivo e integro.
• Microsoft Entra Connect è in esecuzione correttamente e non si verificano problemi con il server di sincronizzazione.
• Si esegue manualmente un oggetto Add-Computer nell'unità organizzativa fornita per i PC cloud. Tempo necessario per visualizzare l'oggetto computer in Microsoft Entra ID.

Utilizzo dell'intervallo di indirizzi IP della subnet di Azure

Nell'ambito della configurazione di ANC, è necessario fornire una subnet a cui si connette il Cloud PC. Per ogni PC cloud, il provisioning crea una scheda di interfaccia di rete virtuale e usa un indirizzo IP da questa subnet.

Assicurarsi che sia disponibile un'allocazione di indirizzi IP sufficiente per il numero di PC cloud di cui si prevede il provisioning. Inoltre, pianificare spazio di indirizzi sufficiente per gli errori di provisioning e il potenziale ripristino di emergenza.

Se il controllo ha esito negativo, assicurarsi di:

• Controllare la subnet nella rete virtuale di Azure. Deve disporre di spazio di indirizzi sufficiente.
• Assicurarsi che siano presenti indirizzi sufficienti per gestire tre tentativi di provisioning, ognuno dei quali potrebbe contenere gli indirizzi di rete usati per alcune ore.
• Rimuovere eventuali schede di interfaccia di rete virtuale inutilizzate (vNIC). È consigliabile usare una subnet dedicata per i PC cloud per assicurarsi che nessun altro servizio usi l'allocazione di indirizzi IP.
• Espandere la subnet per rendere disponibili altri indirizzi. Non è possibile completare questa operazione se sono presenti dispositivi connessi.

Durante i tentativi di provisioning, è importante prendere in considerazione eventuali blocchi CanNotDelete che potrebbero essere applicati a livello di gruppo di risorse o superiore. Se questi blocchi sono presenti, le interfacce di rete create nel processo non vengono eliminate automaticamente. Se non vengono eliminati automaticamente, è necessario rimuovere manualmente le schede di interfaccia di rete virtuali prima di poter riprovare.

Durante i tentativi di provisioning, è importante considerare eventuali blocchi esistenti a livello di gruppo di risorse o superiore. Se questi blocchi sono presenti, le interfacce di rete create nel processo non verranno eliminate automaticamente. Se l'evento si verifica, è necessario rimuovere manualmente le schede di interfaccia di rete virtuali prima di poter riprovare.

Idoneità del tenant di Azure

Quando vengono eseguiti controlli, si verifica che la sottoscrizione di Azure fornita sia valida e integra. Se non è valido e integro, non è possibile connettere i PC cloud alla rete virtuale durante il provisioning. Problemi come i problemi di fatturazione potrebbero causare la disabilitazione delle sottoscrizioni.

Molte organizzazioni usano i criteri di Azure per assicurarsi che il provisioning delle risorse venga eseguito solo in determinate aree e servizi. È necessario assicurarsi che tutti i criteri di Azure considerino il servizio Cloud PC e le aree supportate.

Accedere al portale di Azure e assicurarsi che la sottoscrizione di Azure sia abilitata, valida e integra.

Visitare anche il portale di Azure e visualizzare i criteri. Assicurarsi che non siano presenti criteri che bloccano la creazione di risorse.

Idoneità per la rete virtuale di Azure

Quando si crea un anc, si blocca l'uso di qualsiasi rete virtuale che si trova in un'area non supportata. Per un elenco delle aree supportate, vedere Requisiti.

Se questo controllo ha esito negativo, assicurarsi che la rete virtuale fornita si trova in un'area nell'elenco delle aree supportate.

DNS può risolvere il dominio di Active Directory

Affinché Windows 365 esegua correttamente un aggiunta a un dominio, i PC cloud collegati alla rete virtuale forniti devono essere in grado di risolvere i nomi DNS interni.

Questo test tenta di risolvere il nome di dominio specificato. Ad esempio, contoso.com o contoso.local. Se il test non riesce, assicurarsi che:

• I server DNS nella rete virtuale di Azure sono configurati correttamente in un server DNS interno in grado di risolvere correttamente il nome di dominio.
• La subnet/rete virtuale viene instradata correttamente in modo che il CLOUD PC possa raggiungere il server DNS fornito.
• I PC cloud/macchine virtuali nella subnet dichiarata possono NSLOOKUP essere presenti nel server DNS e rispondono con nomi interni.

Insieme alla ricerca DNS standard sul nome di dominio fornito, viene verificata anche l'esistenza di _ldap._tcp.yourDomain.com record. Questo record indica che il server DNS fornito è un controller di dominio di Active Directory. Il record è un modo affidabile per verificare che il DNS del dominio AD sia raggiungibile. Assicurarsi che questi record siano accessibili tramite la rete virtuale fornita nell'ANC.

Connettività degli endpoint

Durante il provisioning, i PC cloud devono connettersi a più servizi Microsoft disponibili pubblicamente. Questi servizi includono Microsoft Intune, Microsoft Entra ID e Desktop virtuale Azure.

È necessario assicurarsi che tutti gli endpoint pubblici necessari possano essere raggiunti dalla subnet usata dai PC cloud.

Se il test non riesce, assicurarsi che:

• Si usano gli strumenti di risoluzione dei problemi della rete virtuale di Azure per assicurarsi che la rete virtuale/subnet fornita possa raggiungere gli endpoint di servizio elencati nel documento.
• Il server DNS fornito può risolvere correttamente i servizi esterni.
• Non esiste alcun proxy tra la subnet di Cloud PC e Internet.
• Non esistono regole del firewall (fisiche, virtuali o in Windows) che potrebbero bloccare il traffico richiesto.
• È consigliabile testare gli endpoint da una macchina virtuale nella stessa subnet dichiarata per i PC cloud.

Se non si usa Azure CloudShell, assicurarsi che i criteri di esecuzione di PowerShell siano configurati per consentire script senza restrizioni . Se si utilizza Criteri di gruppo per impostare i criteri di esecuzione, assicurarsi che l'oggetto Criteri di gruppo (GPO) destinato all'unità organizzativa definita nell'ANC sia configurato per consentire script senza restrizioni . Per altre informazioni, vedere Uso del cmdlet Set-ExecutionPolicy.

Ambiente e configurazione sono pronti

Questo controllo viene usato per molti problemi correlati all'infrastruttura che potrebbero essere correlati all'infrastruttura per cui i clienti sono responsabili. Può includere errori quali timeout interni del servizio o errori causati dall'eliminazione o dalla modifica delle risorse di Azure da parte dei clienti durante l'esecuzione dei controlli.

È consigliabile ripetere i controlli se si verifica questo errore. Se persiste, contattare il supporto tecnico per assistenza.

Autorizzazioni per le app proprietarie

Quando si crea un anc, la procedura guidata concede un determinato livello di autorizzazioni per il gruppo di risorse e la sottoscrizione. Queste autorizzazioni consentono al servizio di effettuare senza problemi il provisioning dei PC cloud.

Gli amministratori di Azure che contengono tali autorizzazioni possono visualizzarli e modificarli.

Se una di queste autorizzazioni viene revocata, questo controllo ha esito negativo. Assicurarsi che le autorizzazioni seguenti vengano concesse all'entità servizio di App Windows 365 lication:

• Ruolo lettore nella sottoscrizione di Azure.
• Ruolo Collaboratore interfaccia di rete di Windows365 nel gruppo di risorse specificato.
• Ruolo utente di rete Windows365 nella rete virtuale.

L'assegnazione di ruolo nella sottoscrizione viene concessa all'entità servizio Cloud PC.

Assicurarsi inoltre che le autorizzazioni non siano concesse come ruoli di amministratore della sottoscrizione classica o "Ruoli (versione classica)." Questo ruolo non è sufficiente. Deve essere uno dei ruoli predefiniti del controllo degli accessi in base al ruolo di Azure, come indicato in precedenza.

Passaggi successivi

Informazioni sui controlli di integrità anc.