ネットワーク要件
Windows 365 は、ユーザーが、任意のデバイス、任意の場所から、Azure で実行されている Windows Desktop にインターネット経由で接続できるクラウドベースのサービスです。 これらのインターネット接続をサポートするには、この記事に記載されているネットワーク要件に従う必要があります。
各顧客には、クラウド PC 環境のネットワーク要件を計算するために使用するワークロードに基づいて、固有の要件があります。
注:
この記事は、Microsoft がホストするネットワークではなく、独自の Azure 仮想ネットワークにクラウド PC をプロビジョニングする場合にのみ適用されます。
一般的なネットワーク要件
独自のネットワークを使用し、Microsoft Entra 参加済みクラウド PC をプロビジョニングするには、次の要件を満たす必要があります。
- Azure 仮想ネットワーク: Azure サブスクリプション内の仮想ネットワーク (vNET) は、Windows 365 デスクトップが作成される場所と同じリージョン内にある必要があります。
- ネットワーク帯域幅: 「Azure のネットワーク ガイドライン」 をご覧ください。
- vNet 内のサブネットと使用可能な IP アドレス空間。
独自のネットワークを使用し、Microsoft Entra ハイブリッド参加済みクラウド PC をプロビジョニングするには、上記の要件と次の要件を満たす必要があります。
- Azure 仮想ネットワークは、お使いの Active Directory Domain Services (AD DS) 環境の DNS エントリを解決できる必要があります。 この解決をサポートするには、AD DS DNS サーバーを仮想ネットワークの DNS サーバーとして定義します。
- Azure vNet は、Azure またはオンプレミスのエンタープライズ ドメイン コントローラーにアクセスすることが必要です。
ネットワーク接続を許可する
クラウド PC のプロビジョニングと管理をサポートし、クラウド PC とのリモート接続をサポートするには、ネットワーク構成内のトラフィックを次のサービス URL とポートに許可する必要があります。 ほとんどの構成はクラウド PC ネットワーク用ですが、エンド ユーザー接続は物理デバイスから行われます。 そのため、物理デバイス ネットワークの接続ガイドラインにも従う必要があります。
デバイスまたはサービス | ネットワーク接続に必要な URL とポート | メモ |
---|---|---|
物理デバイス | リンク | リモート デスクトップ クライアント接続と更新プログラムの場合。 |
Microsoft Intune サービス | リンク | デバイス管理、アプリケーション配信、エンドポイント分析などの Intune クラウド サービスの場合。 |
Azure Virtual Desktop セッション ホスト仮想マシン | リンク | クラウド PC とバックエンド Azure Virtual Desktop サービス間のリモート接続の場合。 |
Windows 365 サービス | リンク | プロビジョニングと正常性チェック用。 |
Windows 365 サービス
クラウド PC と Azure Network Connection (ANC) 正常性チェックのプロビジョニングには、次の URL とポートが必要です。
- *.infra.windows365.microsoft.com
- *.cmdagent.trafficmanager.net
- 登録エンドポイント
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net (443 & 5671 送信)
- hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 outbound)
- hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 outbound)
- hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 outbound)
- hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 outbound)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 アウトバウンド)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 アウトバウンド)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 アウトバウンド)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 アウトバウンド)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 アウトバウンド)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 アウトバウンド)
特に指定がない限り、すべてのエンドポイントはポート 443 経由で接続します。
ポート 3389
ポート 3389 は、新しくプロビジョニングされたすべてのクラウド PC で既定で無効になっています。 Microsoft では、ポート 3389 を閉じたままにしておくことをお勧めします。 ただし、Azure Network Connection (ANC) デプロイ オプションを使用して、再プロビジョニングまたは新しくプロビジョニングされたクラウド PC に対してポート 3389 を開く必要がある場合は、次のオプションを確認できます。
- Windows 365 セキュリティ ベースライン。 お客様は、Windows 365 セキュリティ ベースラインを使用して、Windows 365 クラウド PC のポート 3389 を効果的に管理できます。 これらのベースラインは、必要なアクセスを許可しながら、セキュリティ対策を強化するように設計された包括的なツールと構成を提供します。 ファイアウォール設定を調整し、[ パブリック プロファイルの既定の受信アクション ] を [許可] に設定することで、組織は運用上のニーズを満たすようにポート 3389 が適切に構成されていることを確認できます。 特定の組織の要件に従って、これらの設定を確認してカスタマイズします。
- Microsoft Intune でカスタム ファイアウォール規則を作成します。 お客様は、Microsoft Intune でカスタム ファイアウォール規則を使用して、Windows 365 クラウド PC のポート 3389 を構成できます。 このオプションでは、クラウド PC へのアクセスに使用されるポート 3389 で受信トラフィックを許可するように調整された Intune のセキュリティ ポリシー内にカスタム規則を作成する必要があります。 ポート番号、プロトコル (TCP) などの規則パラメーターを定義し、特定の IP アドレスまたはネットワークを制限することで、ポート 3389 へのアクセスが厳密に制御され、承認されたエンティティのみに制限されるようにすることができます。
これらのオプションは、Microsoft でホストされているネットワークを使用しているお客様には適用されません。
Azure Firewall を使用してエンドポイントに FQDN タグを使用する
Windows 365 完全修飾ドメイン名 (FQDN) タグを使用すると、Azure ファイアウォールを介して Windows 365 に必要なサービス エンドポイントへのアクセスを簡単に許可できます。 詳細については、「 Azure Firewall を使用した Windows 365 環境の管理とセキュリティ保護」を参照してください。
リモート デスクトップ プロトコル (RDP) ブローカー サービス エンドポイント
Azure Virtual Desktop RDP ブローカー サービス エンドポイントへの直接接続は、クラウド PC へのリモート処理のパフォーマンスにとって重要です。 これらのエンドポイントは、接続と待機時間の両方に影響します。 Microsoft 365 ネットワーク接続の原則に合わせて、これらのエンドポイントを 最適化エンドポイントとして分類する必要があります。 Azure 仮想ネットワークからそれらのエンドポイントへの直接パスを使用することをお勧めします。
ネットワーク セキュリティ制御の構成を容易にするには、Azure Virtual Desktop サービス タグを使用して、Azure ネットワーク User Defined Route (UDR) を使用して、ダイレクト ルーティング用のエンドポイントを識別します。 UDR を使用すると、仮想ネットワークと RDP ブローカー間の直接ルーティングが行われ、待機時間が最も短くなります。 Azure サービス タグの詳細については、「Azure サービス タグの概要」 を参照してください。
クラウド PC のネットワーク ルート (ネットワーク レイヤーまたはクラウド PC レイヤー (VPN など) で) を変更すると、クラウド PC と Azure Virtual Desktop RDP ブローカー間の接続が切断される可能性があります。 その場合、エンド ユーザーは、接続が再確立されるまでクラウド PC から切断されます。
DNS の要件
Microsoft Entra ハイブリッド参加要件の一部として、クラウド PC はオンプレミスの Active Directory に参加できる必要があります。 そのためには、クラウド PC がオンプレミス AD 環境の DNS レコードを解決できることが必要です。
クラウド PC がプロビジョニングされている場合、Azure Virtual Network を次のように構成します。
- Azure Virtual Network が、Active Directory ドメインを解決できる DNS サーバーへのネットワーク接続を持っていることを確認します。
- Azure Virtual Networkの [設定] から [DNS サーバー] を選択し、[カスタム] を選択します。
- AD DS ドメインを解決できる環境の DNS サーバーの IP アドレスを入力します。
ヒント
物理 PC の場合と同様に、少なくとも 2 つの DNS サーバーを追加すると、名前解決における単一障害点のリスクを軽減できます。
詳細については、「Azure Virtual Networks の設定の構成」 を参照してください。
リモート デスクトップ プロトコルの要件
Windows 365 では、リモート デスクトップ プロトコル (RDP) が使用されます。
シナリオ | 既定のモード | H.264/AVC 444 モード | [説明] |
---|---|---|---|
アイドル | 0.3 Kbps | 0.3 Kbps | ユーザーは作業を一時停止し、アクティブな画面の更新はありません。 |
Microsoft Word | 100-150 Kbps | 200-300 Kbps | ユーザーが Microsoft Word を活発に操作し、入力、グラフィックスの貼り付け、ドキュメントの切り替えを行っています。 |
Microsoft Excel | 150-200 Kbps | 400-500 Kbps | ユーザーが Microsoft Excel を活発に操作し、数式とグラフを含む複数のセルが同時に更新されます |
Microsoft PowerPoint | 4-4.5 Mbps | 1.6-1.8 Mbps | ユーザーが Microsoft PowerPoint を活発に操作し、入力、貼り付け、リッチ グラフィックスの変更、スライドの切り替え効果を使用しています。 |
Web ブラウズ | 6-6.5 Mbps | 0.9-1 Mbps | ユーザーは、複数の静的画像とアニメーション画像を含むグラフィカルにリッチな Web サイトで積極的に作業しています。 ユーザーがページを水平方向と垂直方向の両方にスクロールする |
イメージ ギャラリー | 3.3-3.6 Mbps | 0.7-0.8 Mbps | ユーザーがイメージ ギャラリー アプリケーションを活発に操作し、イメージの参照、ズーム、サイズ変更、回転を行っています |
Video playback | 8.5-9.5 Mbps | 2.5-2.8 Mbps | ユーザーが画面の 2 分の 1 を消費する 30 FPS ビデオを視聴しています。 |
全画面表示ビデオの再生 | 7.5-8.5 Mbps | 2.5-3.1 Mbps | ユーザーは、全画面表示に最大化された 30 FPS ビデオを見ています。 |
Microsoft Teams の要件
Microsoft Teams は、クラウド PC 内のコアの Microsoft 365 サービスの 1 つです。 Windows 365 によって、音声とビデオのトラフィックがエンドポイントにオフロードされ、物理 PC 上の Teams のようなビデオ エクスペリエンスが実現します。
ネットワーク品質は、シナリオにとって非常に重要です。 提供する品質に合った適切な帯域幅が用意されている必要があります。
フル HD (1920x1080p) は、クラウド PC 上の Microsoft Teams 用にサポートされている解像度ではありません。
帯域幅 (アップ/ダウン) | シナリオ |
---|---|
30 kbps | ピアツーピアの音声通話。 |
130 kbps | ピアツーピアの音声通話と画面共有。 |
500 kbps | 360p、30 fps のピアツーピア品質ビデオ通話。 |
1.2 Mbps | HD 720p、30 fps のピアツーピア HD 品質ビデオ通話。 |
500 kbps/1Mbps | グループ ビデオ通話。 |
ネットワーク要件Microsoft Teams詳細については、「 ネットワークに関する考慮事項」を参照してください。
トラフィック インターセプト テクノロジ
一部の企業のお客様は、セキュリティ チームがネットワーク トラフィックを監視するために、トラフィック インターセプト、SSL 暗号化の解除、ディープ パケット インスペクションなどの類似したテクノロジを使用します。 クラウド PC のプロビジョニングでは、仮想マシンへの直接アクセスが必要な場合があります。 これらのトラフィック インターセプト テクノロジにより、Azure ネットワーク接続チェックまたはクラウド PC プロビジョニングの実行に関する問題が発生する可能性があります。 Windows 365 サービス内でプロビジョニングされたクラウド PC にネットワーク インターセプトが適用されていないことを確認してください。
帯域幅
Windows 365 では、Azure ネットワーク インフラストラクチャが使用されます。 Windows 365 Enterprise のデプロイ中に仮想ネットワークが選択されている場合は、Azure サブスクリプションが必要です。 クラウド PC の使用に対する帯域幅料金には以下が含まれます。
- クラウド PC へのネットワーク トラフィックは無料です。
- 送信 (エグレス) トラフィックでは、仮想ネットワークの Azure サブスクリプションに対して料金が発生します。
- Office データ (電子メールや OneDrive for Business ファイル同期など) は、クラウド PC とユーザーのデータが異なるリージョンに存在する場合にエグレス料金が発生します。
- RDP ネットワーク トラフィックには常にエグレス料金が発生します。
独自のネットワークを持ち込む場合は、「Bandwidth の価格」を参照してください。
Microsoft でホストされているネットワークを使用する場合: 送信データ/月は、クラウド PC の RAM に基づいています。
- 2 GB RAM = 12 GB の送信データ
- 4-GB または 8-GB の RAM = 20-GB の送信データ
- 16-GB の RAM = 40-GB の送信データ
- 32 GB の RAM = 70-GB の送信データ
これらのレベルを超えると、データ帯域幅が制限される場合があります。