Windows 365는 각 사용자의 요구 사항에 맞게 특별히 빌드된 클라우드 PC라는 고도로 최적화되고 개인 설정된 Windows 컴퓨팅 인스턴스를 제공하는 데 사용할 수 있는 클라우드 기반 서비스입니다. 클라우드 PC는 다음 서비스의 조합을 사용합니다.
- 클라우드 PC를 사용자 지정, 보안 및 관리하기 위한 Intune
- ID 및 액세스 제어에 대한 엔트라 ID
- 원격 연결을 위한 Azure Virtual Desktop
클라우드 PC는 풍부한 Windows 데스크톱 환경을 제공하는 고가용성, 최적화 및 개인 설정된 컴퓨팅 인스턴스입니다. Windows 365 서비스에서 호스트되며 모든 장치에서 어디서나 액세스할 수 있습니다.
Windows 365 공유 책임 모델
Windows 365는 SaaS(Software as a Service) 솔루션입니다. Microsoft는 Windows 365 서비스의 일부 구성 요소를 관리하고 다른 구성 요소를 관리합니다. 책임의 양은 배포에 대해 선택한 아키텍처 패턴에 따라 달라집니다. Windows 365를 관리하는 책임은 다음 세 부분으로 분할됩니다.
- 배포: 서비스의 구성 요소를 계획하고 배포합니다.
- 수명 주기: 패치 및 보안과 같은 수명 주기 동안 구성 요소 관리
- 구성: 시나리오에 필요에 따라 설정을 적용하도록 구성 요소를 구성합니다.
다음 다이어그램에서는 권장되는 Microsoft 호스팅 네트워크, Microsoft Entra 조인 및 갤러리 이미지를 Windows Autopatch와 함께 사용하여 Windows 365 배포의 책임 매트릭스를 보여 줍니다. 이 구성을 사용하면 많은 구성 요소와 수명 주기 단계를 관리할 필요가 없습니다. 이 구성은 권장 아키텍처 패턴에 나열된 이점으로 변환됩니다.
참고 항목
다음 다이어그램은 하드웨어 및 네트워크 설정 및 유지 관리와 같은 인프라 관점에서의 책임을 나타냅니다. Windows 365 또는 Intune 테넌트 구독 설정은 포함되지 않습니다.
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
다음 다이어그램에서는 Azure 네트워크 연결을 사용하는 일반적인 Windows 365 배포를 보여 줍니다. Microsoft에서 관리하는 구성 요소와 클라우드 PC의 수명 주기 단계에서 관리하는 구성 요소를 보여 줍니다.
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
권장 아키텍처 패턴
다음 구성 요소를 사용하여 Windows 365를 배포하여 SaaS 환경을 구현하여 서비스의 최대 이점을 얻을 것을 권장합니다.
- Microsoft Entra 조인
- Microsoft 호스팅 네트워크
- 갤러리 이미지
- 앱 및 OS 구성을 사용하는 Intune 기반 MDM(모바일 디바이스 관리) 서비스
- 클라우드 PC 액세스에 대한 Windows 365 앱
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
위의 아키텍처 패턴을 사용하면 Windows 365 서비스를 최대한 활용하고 다음과 같은 이점을 얻을 수 있습니다.
- 간소화되고 더 빠른 배포
- 최소에서 0까지의 종속성
- 전체 제로 트러스트 프레임워크 지원
- 간소화된 문제 해결 흐름
- 셀프 서비스 사용자 문제 해결
- 낮은 오버헤드 및 관리
- 소프트웨어 및 애플리케이션 배달의 가장 높은 완성도 모델
Windows 365 서비스 아키텍처
다음 다이어그램은 Windows 365 서비스의 일부인 모든 구성 요소를 표현한 것입니다. 이 아키텍처는 Windows 365의 핵심 요구 사항인 Intune 및 Microsoft Entra ID를 사용합니다. Azure Virtual Network와 같은 선택적 구성 요소도 있습니다.
이 아키텍처의 Visio 파일을 다운로드합니다.
이전 다이어그램은 Azure 네트워크 연결 및 Microsoft 호스팅 네트워크 옵션을 보여줍니다. 상호 배타적인 아키텍처 옵션입니다. 다음 섹션에서는 Azure 네트워크 연결 옵션을 자세히 설명합니다.
Virtual Desktop
Virtual Desktop은 Azure 기반 VDI(가상 데스크톱 인프라) 솔루션입니다. Microsoft는 Virtual Desktop을 관리합니다. PaaS(Platform-as-a-Service) 스타일 솔루션을 제공합니다. Windows 365는 클라우드 PC에 연결하는 데 필요한 네트워크 관리 구성 요소를 사용합니다. 구성 요소에는 Virtual Desktop 게이트웨이 서비스, 연결 브로커 서비스 및 웹 클라이언트 서비스가 포함됩니다. 이러한 서비스를 사용하면 Windows 365 클라우드 PC 원활하게 연결할 수 있습니다.
자세한 내용은 엔터프라이즈용 Azure Virtual Desktop을 참조 하세요.
이 아키텍처의 Visio 파일을 다운로드합니다.
참고 항목
Windows 365는 이전 다이어그램에서 "Windows 가상 데스크톱 컨트롤 플레인"이라는 구성 요소를 활용하여 사용자 및 클라우드 PC 연결을 용이하게 하고 Azure Virtual Desktop의 연결 관련 기능 대부분을 상속합니다. 가상 데스크톱 네트워킹 작동 방식을 숙지하는 것은 이 문서에 자세히 설명된 Azure 네트워크 연결 아키텍처를 디자인하는 데 필수적입니다.
Microsoft Intune
Intune은 보고서를 보고 사용하고 관리할 수 있는 클라우드 기반 엔드포인트 관리 솔루션입니다.
- 앱 배달
- Windows 업데이트
- 디바이스 관리 구성
- 보안 정책
Intune은 모바일 디바이스, 데스크톱 컴퓨터 및 가상 엔드포인트를 비롯한 여러 디바이스에서 앱 및 디바이스 관리를 간소화합니다.
조직 소유 및 개인 디바이스에서 액세스 및 데이터를 보호할 수 있습니다. 또한 Intune에는 제로 트러스트 보안 모델을 지원하는 규정 준수 및 보고 기능이 있습니다. 자세한 내용은 디바이스 구성 프로필 만들기를 참조하세요.
아키텍처 패턴
아키텍처 패턴은 구성 요소를 설명하고 서비스 또는 제품이 배포되는 구성을 보여 줍니다. 자세한 내용은 아키텍처를 대신하여 호스트를 참조하세요.
다음 Azure 네트워크 연결 패턴을 참조하세요.
Microsoft Entra 조 인을 사용한 Azure 네트워크 연결 – 이 패턴에서 Microsoft Entra 조인 클라우드 PC는 Azure 네트워크 연결을 사용하여 LOB(기간 업무) 애플리케이션, 파일 공유 및 Kerberos 또는 NTLM(Windows New Technology LAN Manager) 인증이 필요하지 않은 기타 애플리케이션과 같은 온-프레미스 환경의 리소스에 연결합니다.
Microsoft Entra 하이브리드 조 인을 사용한 Azure 네트워크 연결 – 이 패턴에서 Microsoft Entra 하이브리드 조인 클라우드 PC는 온-프레미스 Microsoft Entra ID 도메인 컨트롤러를 사용하여 도메인 가입에 Azure 네트워크 연결을 사용합니다. 클라우드 PC는 사용자가 Kerberos 또는 NTLM 인증이 필요한 클라우드 PC, 온-프레미스 앱 또는 클라우드 앱에 액세스할 때 온-프레미스 도메인 컨트롤러를 사용하여 인증합니다.
Azure 네트워크 연결 아키텍처 패턴
일부 패턴의 경우 Windows 365 서비스는 Azure ExpressRoute 또는 사이트간 VPN을 사용하여 Virtual Network를 통해 온-프레미스 환경에 연결합니다. 이 연결 방법은 Intune 개체인 Azure 네트워크 연결로 표시됩니다. 이 연결을 통해 클라우드 PC는 Active Directory 또는 LOB 앱과 같은 온-프레미스 리소스에 연결할 수 있습니다.
Azure 네트워크 연결로 표시되는 이 네트워크 연결은 온-프레미스 Microsoft Entra 도메인 가입을 위해 클라우드 PC를 프로비전하는 동안 Windows 365 서비스에서 사용되며 클라우드 PC 프로비저닝 준비 상태에 대한 상태 검사 입니다.
다음 표에서는 Azure 네트워크 연결에 대한 종속성을 나열합니다. Windows 365는 이러한 종속성에 대한 자동 상태 검사를 실행합니다.
| Dependency | Microsoft Entra Connect - Microsoft Entra Connect가 설정되고 성공적으로 완료되었는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - Microsoft Entra Connect 동기화 간격을 기본값 또는 가장 낮은 값으로 설정합니다. 동기화 간격이 길면 시간 제한으로 인해 클라우드 PC 프로비저닝이 프로덕션에서 실패할 가능성이 높아질 수 있습니다. 자세한 내용은 Microsoft Entra 하이브리드 조인 실패를 참조 하세요. - Windows 365 Azure 네트워크 연결과 동일한 데이터 센터의 서버에서 Active Directory 도메인 컨트롤러 복제를 설정하여 더 빠른 복제를 제공합니다. - 기본값으로 Microsoft Entra ID 도메인 컨트롤러 복제를 설정합니다. |
| Dependency | Azure 테넌트 준비 상태 - 차단 제한 없이 Azure 구독이 활성화되어 있고 사용할 준비가 되었는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 올바른 권한이 있는 계정을 사용하여 Azure, Intune 및 Windows 365 구독을 관리합니다. 자세한 내용은 RBAC(역할 기반 액세스 제어)를 참조하세요. - 클라우드 PC를 만들지 못하게 하는 Azure 정책을 사용하지 않도록 설정하거나 수정합니다. 자세한 내용은 허용되는 VM SKU 제한(Restrict)을 참조 하세요. - 구독에 생성할 최대 클라우드 PC 수에 따라 네트워킹 및 일반 제한에 대한 충분한 리소스 할당량이 있는지 확인합니다. 네트워크 게이트웨이 크기, IP 주소 공간, 가상 네트워크의 크기 및 필요한 대역폭을 예로 들 수 있습니다. 자세한 내용은 네트워킹 제한 및 일반 제한을 참조하세요. |
| Dependency | Azure 가상 네트워크 준비 - 가상 네트워크가 지원되는 Windows 365 지역에 있는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 클라우드 PC 프로비저닝을 위해 지원되는 Windows 365 Azure 지역에 가상 네트워크를 만듭니다. - 클라우드 PC 가상 네트워크 어댑터를 배포하기 위해 기본 서브넷 외에도 하나 이상의 서브넷을 만듭니다. - 가능한 경우 라우팅 제어 및 배포 확장을 허용하도록 별도의 가상 네트워크에 Azure Firewall, VPN Gateway 또는 ExpressRoute 게이트웨이와 같은 공유 네트워크 서비스를 만듭니다. 가상 네트워크에서 적절한 제외를 사용하여 NSG(네트워크 보안 그룹)를 적용하여 Windows 365 서비스에 필요한 URL을 허용합니다. 자세한 내용은 네트워킹 요구 사항 및 네트워크 보안 그룹을 참조하세요. |
| Dependency | Azure 서브넷 IP 주소 사용 – 사용 가능한 IP 주소가 충분한지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 다시 프로비전하는 동안 클라우드 PC 만들기 및 임시 IP 주소 예약을 처리하기에 충분한 IP 주소가 있는 가상 네트워크를 만듭니다. 클라우드에 배포하는 최대 클라우드 PC의 1.5~2배에 달하는 IP 주소 공간을 사용하는 것이 좋습니다. 자세한 내용은 일반 네트워크 요구 사항을 참조 하세요. - Azure 가상 네트워크를 온-프레미스 네트워크의 논리적 확장으로 처리하고 모든 네트워크에 고유한 IP 주소 공간을 할당하여 라우팅 충돌을 방지합니다. |
| Dependency | 엔드포인트 연결 – 클라우드 PC 프로비저닝에 필요한 외부 URL을 가상 네트워크에서 연결할 수 있는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - Azure 가상 네트워크를 통해 클라우드 PC 프로비저닝에 필요한 모든 URL을 허용합니다. 자세한 내용은 네트워크 연결 허용을 참조 하세요. - Azure Firewall을 사용하여 Windows 365, Azure Virtual Desktop 및 Intune FQDN 태그를 활용하여 애플리케이션 규칙을 만들고 Windows 365 클라우드 PC 프로비저닝에 필요한 URL을 허용합니다. 자세한 내용은 Azure Firewall을 사용하여 Windows 365 환경 관리 및 보안을 참조하세요. - 대기 시간 및 라우팅 문제를 방지하기 위해 네트워크 검사, 프록시 또는 조작 디바이스에서 RDP(원격 데스크톱 프로토콜) 트래픽을 우회하거나 제외합니다. 자세한 내용은 트래픽 차단 기술을 참조 하세요. - 최종 사용자 디바이스 및 네트워크 쪽에서 프록시 및 네트워크 검사를 위해 Windows 365 서비스 URL 및 포트를 허용합니다. - 이러한 IP 주소는 메타데이터 또는 하트비트와 같은 Azure 플랫폼 서비스와의 통신에 사용되므로 Azure 내부 IP 주소 168.63.129.16 및 169.254.169.254를 허용합니다. 자세한 내용은 IP 주소 168.63.129.16이란?, Azure Instance 메타데이터 서비스 및 Virtual Network FAQ를 참조하세요. |
| Dependency | Intune 등록 – Intune에서 Windows 등록을 허용하는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 회사 등록에 Windows MDM(모바일 디바이스 관리) 플랫폼을 허용하도록 Intune 디바이스 유형 등록 제한이 설정되어 있는지 확인합니다. - Microsoft Entra 하이브리드 조인의 경우 Microsoft Entra Connect의 각 도메인에 대해 SCP(서비스 연결 지점)를 구성하거나 대상 배포 모델을 사용하여 디바이스를 자동으로 설정합니다. 자세한 내용은 Microsoft 하이브리드 조인 및 Microsoft Entra 하이브리드 조인 대상 배포 구성을 참조하세요. |
| Dependency | 자사 앱 권한 – Windows 365 앱 고객 Azure 구독, 리소스 그룹 및 가상 네트워크 수준에 대한 사용 권한을 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - Azure 네트워크 연결을 설정하는 데 사용되는 계정에 Azure 가상 네트워크가 만들어지는 Azure 구독에 대한 읽기 권한이 있는지 확인합니다. - Azure 구독에서 Windows 365 자사 앱에 대한 권한을 차단하는 정책이 없는지 확인합니다. 앱에는 구독, 리소스 그룹 및 가상 네트워크 수준에서 권한이 있어야 합니다. 자세한 내용은 Azure 요구 사항을 참조 하세요. |
| Dependency | 지역화 언어 팩 – 언어 팩 다운로드 위치에 연결할 수 있는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - Azure 가상 네트워크에서 사용되는 방화벽 규칙을 통해 적절한 버전의 Windows 이미지에 필요한 URL이 허용되는지 확인합니다. 자세한 내용은 지역화된 Windows 환경 제공을 참조 하세요. |
| Dependency | RDP Shortpath – 연결할 수 있도록 UDP(사용자 데이터그램 프로토콜) 구성이 있는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - UDP의 복원력을 활용하기 위해 클라우드 PC 액세스를 위한 RDP Shortpath를 사용하도록 설정합니다. 자세한 내용은 Windows 365에서 공용 네트워크에 RDP Shortpath를 사용하고 Windows 365를 사용하는 프라이빗 네트워크에 RDP Shortpath를 사용합니다. |
| Dependency | Intune 라이선스 – 테넌트에 Windows를 사용하기 위한 적절한 Intune 라이선스가 있는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 라이선스 요구 사항에 따라 Intune 라이선스가 사용자에게 할당되었는지 확인합니다. |
| Dependency | SSO(Single Sign-On) 확인 – Kerberos 서버 개체가 Active Directory에서 만들어지고 Microsoft Entra ID와 동기화되는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 프로비저닝 정책에서 SSO 옵션이 선택되어 있는지 확인합니다. 이 옵션을 사용하면 도메인에 가입되었거나 Microsoft Entra에 가입된 Intune 관리 물리적 디바이스의 로그인 자격 증명을 사용하여 정책의 클라우드 PC에 연결할 수 있습니다. 자세한 내용은 프로비저닝 정책 만들기를 계속 참조하세요. |
| Dependency | DNS 이름 확인 – Azure 네트워크 연결의 DNS가 온-프레미스 Active Directory 도메인을 확인할 수 있는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 사용자 지정 DNS, 프라이빗 DNS 또는 프라이빗 확인자를 사용하여 Azure 가상 네트워크가 온-프레미스 Microsoft Entra 도메인의 이름 확인으로 구성되었는지 확인합니다. 자세한 내용은 Azure DNS란?을 참조하세요. - 가상 네트워크에 구성된 DNS 서버가 동일한 지역에 있고 지연 없이 새로 프로비전된 클라우드 PC를 등록할 수 있는지 확인합니다. DNS 조회 또는 리디렉션을 방지하여 전파 지연을 방지하여 프로비전 지연 또는 실패를 초래할 수 있습니다. |
| Dependency | Microsoft Entra 도메인 조인 – Microsoft Entra 도메인 조인에 제공된 자격 증명이 유효하고 클라우드 PC가 도메인에 가입될 수 있는지 확인합니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - Microsoft Entra 도메인 조인에 제공된 계정에 Azure 네트워크 연결 구성에 지정된 Microsoft Entra 조직 구성에 대한 권한이 있는지 확인합니다. - 제공된 계정이 도메인 가입 제한이 있는 표준 사용자 계정이 아닌지 확인합니다. 자세한 내용은 사용자가 도메인에 가입할 수 있는 워크스테이션 수에 대한 기본 제한을 참조하세요. - 지정된 계정이 Microsoft Entra ID와 동기화되었는지 확인합니다. - Azure 네트워크 연결에 지정된 OU에 개체 제한이 없는지 확인합니다. 자세한 내용은 조직 구성 단위에서 컴퓨터 계정 제한 증가를 참조하세요. |
자세한 내용은 Windows 365에서 Azure 네트워크 연결 상태 검사를 참조하세요.
Azure 네트워크 연결 구성 요소는 권장 사항을 차단합니다.
이 섹션에서는 Windows 365 Azure 네트워크 연결 아키텍처 패턴의 구성 요소에 대한 분석을 제공합니다.
Azure 구독
Azure 네트워크 연결 아키텍처 패턴의 Windows 365 사용량에는 두 가지 유형의 Azure 구독, Microsoft 구독 및 고객 구독이 포함됩니다.
Windows 365는 모델을 대신하여 Hosted를 사용하여 Windows 365 고객에게 서비스를 제공합니다. 이 모델에서 클라우드 PC는 Microsoft가 소유한 Azure 구독에서 프로비전되고 실행되며 클라우드 PC의 네트워크 어댑터는 고객의 Azure 구독에 프로비전됩니다. 다음 다이어그램에서는 두 가지 Azure 네트워크 연결 아키텍처 패턴을 보여 줍니다. 고객은 자신의 Azure 구독 및 가상 네트워크를 사용합니다.
이 아키텍처의 Visio 파일을 다운로드합니다.
이전 아키텍처 패턴은 Microsoft Entra 조인 ID를 사용하여 클라우드 PC를 관리합니다.
이 아키텍처의 Visio 파일을 다운로드합니다.
이전 아키텍처 패턴은 Microsoft Entra 하이브리드 조인 ID를 사용하여 클라우드 PC를 관리하며 온-프레미스 환경에서 AD DS(Active Directory 도메인 Services) 도메인 컨트롤러와의 네트워크 통신이 필요합니다.
| 구성 요소 | Azure 구독 – 온-프레미스 환경 및 인터넷에 대한 클라우드 PC 연결을 제공하는 데 사용되는 가상 네트워크를 호스트하는 Azure 구독입니다. |
|---|---|
| 아키텍처 패턴 | Microsoft Entra 조인에 대한 Azure 네트워크 연결, Microsoft Entra 하이브리드 조인에 대한 Azure 네트워크 연결 |
| 권장 사항 | - 가상 네트워크와 ExpressRoute 또는 VPN Gateway가 있는 구독을 만들거나 사용하여 온-프레미스 환경에 다시 연결을 제공합니다. - 권한 및 리소스 관리를 제공하기 위해 클라우드 PC에 대한 전용 리소스 그룹을 만듭니다. - VNIC(가상 네트워크 인터페이스 카드) 개체 및 IP 주소 할당 또는 릴리스의 자동 생성 및 삭제를 방지하는 Azure 정책에서 클라우드 PC 리소스 그룹 및 가상 네트워크를 제외합니다. 자세한 내용은 인프라 및 Azure 요구 사항을 보호하기 위해 리소스 잠금을 참조하세요. - 더 나은 IP 주소 관리 및 라우팅 컨트롤을 위한 전용 가상 네트워크를 만듭니다. |
Virtual Network 및 하이브리드 연결
Windows 365 Azure 네트워크 연결 기반 아키텍처 패턴에는 하나 이상의 Azure 가상 네트워크가 필요합니다. 가상 네트워크는 클라우드 PC를 프로비전하기 위해 온-프레미스 환경 및 인터넷을 통해 연결을 제공합니다. 클라우드 PC의 가상 네트워크 어댑터는 Azure 구독 섹션에 설명된 대로 고객 소유 구독의 Azure 가상 네트워크에 프로비전됩니다.
Azure 네트워킹은 기존 온-프레미스 네트워킹 또는 Azure 네트워킹에 따라 다양한 디자인 정교하게 배포할 수 있습니다. 기본 하이브리드 네트워크 디자인을 시작하려면 보안 하이브리드 네트워크 구현을 참조하세요.
Azure 가상 네트워크 아키텍처를 디자인할 때 다음 요소를 고려합니다.
IP 주소 공간: IP 주소 공간의 크기는 지원할 클라우드 PC의 수에 따라 달라집니다. 배포된 최대 클라우드 PC 수의 1.5배 이상을 계획합니다. 추가 IP 주소는 클라우드 PC를 프로비저닝 및 프로비전 해제하는 동안 사용되는 IP 주소에 대한 계정입니다.
이름 확인: 클라우드 PC에서 Microsoft Entra 하이브리드 조인 배포에서 온-프레미스 도메인 이름을 확인하거나 Microsoft Entra 조인 배포 모델에서 인터넷 리소스 또는 Azure 리소스를 확인하는 데 사용하는 DNS 프로세스입니다.
- 기존 온-프레미스 DNS 인프라를 사용하려면 이름 확인을 위해 하나 이상의 DNS 서버의 IP 주소를 구성합니다. 자세한 내용은 DNS 요구 사항을 참조 하세요.
- Azure 가상 네트워크에 사용되는 DNS 서버 IP가 클라우드 PC와 동일한 지역에 속하고 DNS 등록 요청을 다른 지역으로 리디렉션하지 않는지 확인합니다. 그렇지 않으면 배포가 지연되거나 실패하고 Azure 네트워크 연결 상태가 검사됩니다.
- Azure DNS 기반 이름 확인의 경우 공용 또는 프라이빗 Azure DNS 또는 프라이빗 확인자 옵션을 사용합니다. 자세한 내용은 Azure DNS 설명서를 참조 하세요.
네트워크 토폴로지: Azure 네트워킹은 다양한 사용 사례를 수용하도록 토폴로지 지원합니다.
- 가상 네트워크 피어링을 사용하는 허브-스포크 토폴로지: 이 토폴로지는 자체 스포크 및 허브 가상 네트워크를 사용하여 서비스의 격리를 제공하는 가장 간단한 방법입니다. 공유 서비스에는 Azure Firewall 및 네트워크 게이트웨이가 포함됩니다. 하나 이상의 스포크 가상 네트워크에 클라우드 PC를 배포하는 간단한 단일 사이트 디자인이 있는 경우 이 토폴로지를 선택합니다. 자세한 내용은 허브 및 스포크 네트워크 토폴로지 참조하세요.
- Azure Virtual WAN을 사용하는 허브-스포크 토폴로지: Virtual WAN은 복잡한 네트워크 요구 사항을 가능하게 하는 네트워킹, 보안 및 관리 기능을 결합한 Azure 네트워킹 서비스입니다. 특정 방화벽 및 라우팅 요구 사항이 있는 다중 사이트, 다중 지역 배포에 이 토폴로지를 사용합니다. 자세한 내용은 Virtual WAN을 사용한 허브-스포크 네트워크 토폴로지입니다.
네트워크 게이트웨이: Azure 네트워크 게이트웨이는 가상 네트워크에서 온-프레미스 네트워크로의 연결을 제공합니다. VPN 및 ExpressRoute 네트워크 게이트웨이가 있습니다. ExpressRoute 또는 VPN 연결 방법을 결정하기 전에 클라우드 PC의 최대 대역폭 요구 사항을 고려해야 합니다. VPN 및 ExpressRoute 게이트웨이는 제공된 대역폭 및 기타 메트릭의 양에 따라 다른 계층 또는 SKU로 제공됩니다. 자세한 내용은 ExpressRoute를 사용하여 온-프레미스 네트워크 확장 및 ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결합니다.
라우팅 구성
Windows 365 Azure 네트워크 연결 서비스는 자동화된 상태 검사를 사용하여 고객 환경의 상태 및 준비 상태를 확인하여 Azure 네트워크 연결 기반 아키텍처에서 Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인 클라우드 PC를 프로비전합니다. Azure 가상 네트워크 및 연결된 네트워킹 서비스에서 적절한 라우팅 구성이 없으면 클라우드 PC 배포에 실패하거나 지연될 가능성이 높습니다. Windows 365 네트워크 아키텍처에 대한 라우팅을 최적화하려면 다음 권장 사항을 고려하세요.
허용 목록 필수 URL: Microsoft Entra 하이브리드 조인 및 Microsoft Entra 조인 Azure 네트워크 연결 모델에 배포된 각 클라우드 PC에는 OS 바이러스 백신, 네트워크 방화벽 및 부하 분산 장치를 통해 여러 URL을 허용해야 합니다. 모든 URL이 허용되는지 확인합니다. 자세한 내용은 네트워크 연결 허용을 참조 하세요.
Azure FQDN 태그 사용: Azure Firewall 서비스를 사용하는 경우 Azure FQDN 태그를 사용하여 Azure Virtual Desktop, Windows 365 및 Intune에 필요한 URL을 허용합니다. 자세한 내용은 Azure Firewall을 사용하여 Windows 365 환경 관리 및 보안을 참조하세요.
통과 사용: Windows 365는 방화벽 또는 SSL 암호 해독 어플라이언스와 같은 트래픽 검사 디바이스에서 발생하는 대기 시간에 중요한 RDP 프로토콜을 사용합니다. 이러한 대기 시간으로 인해 환경이 저하될 수 있으므로 이러한 URL의 트래픽 검사를 사용하지 않도록 설정하고 대신 통과를 사용하도록 설정합니다. 자세한 내용은 트래픽 차단 기술을 참조 하세요.
프록시 우회: 클라우드 및 기존 프록시 서비스는 인터넷 액세스에 적합하지만 RDP 연결에 대기 시간을 도입합니다. 이 대기 시간은 최종 사용자의 물리적 디바이스 또는 클라우드 PC에서의 연결이 프록시를 통해 강제로 적용되어 자주 연결 끊김, 지연 및 느린 응답 시간이 발생할 때 발생합니다. *.wvd.microsoft.com 및 Windows 365 게이트웨이 IP 범위를 설정하여 사용자의 물리적 디바이스, 물리적 디바이스가 연결된 네트워크 및 클라우드 PC에서 프록시 서비스를 우회합니다.
자세한 내용은 Windows 365용 RDP 연결 최적화를 참조하세요.
최단 경로 라우팅: 클라우드 PC의 RDP 트래픽이 가장 짧은 경로를 통해 Virtual Desktop 서비스 엔드포인트에 도달하는지 확인합니다. 이상적인 경로는 가상 네트워크에서 인터넷을 통해 Virtual Desktop 게이트웨이 IP로 직접 가는 것입니다. 또한 최종 사용자의 물리적 디바이스에서 RDP 트래픽이 Virtual Desktop 게이트웨이 IP에 직접 도달하도록 합니다. 이 구성은 최적의 라우팅을 보장하고 사용자 환경을 저하하지 않습니다. 클라우드 프록시 서비스 또는 온-프레미스 네트워크를 통해 RDP 트래픽을 인터넷으로 라우팅하지 마세요.
RDP Shortpath: 최종 사용자 네트워크, Azure 네트워크 및 클라우드 PC에 RDP Shortpath 기반 액세스를 사용하도록 설정합니다. RDP Shortpath는 UDP를 사용하여 RDP 트래픽을 전송합니다. TCP와 달리 대기 시간이 긴 네트워크 연결에 복원력이 있습니다. 또한 UDP는 사용 가능한 네트워크 대역폭을 최대한 활용하여 RDP 패킷을 효율적으로 전송하므로 사용자 환경이 향상됩니다. 자세한 내용은 Windows 365를 사용하는 공용 네트워크에 RDP Shortpath 사용을 참조하세요.
클라우드 PC 배치: 최적의 사용자 환경 및 라우팅 성능을 위해 고객이 액세스하는 회사 앱 또는 네트워크와 관련하여 고객이 있는 위치를 결정합니다. 또한 고객이 다른 앱에 액세스하는 전체 시간에 비해 LOB 앱에 액세스하는 데 소요되는 시간을 고려합니다. 다음 두 가지 가능한 배포 옵션을 참조하세요.
고객이 Microsoft 365의 앱과 같이 로컬로 설치된 앱에서 작업하는 대신 LOB 앱에 액세스하는 데 대부분의 시간을 소비하는 경우 다음 배포 모델이 최적일 수 있습니다. 이 모델은 클라우드 PC를 LOB 앱(Geography B)과 동일한 지역에 배치하여 LOB 앱과 클라우드 PC 액세스 대기 시간의 대기 시간을 최적화합니다. 이 최적화는 게이트웨이가 최종 사용자(Geography A)에 지리적으로 더 가깝더라도 발생합니다. 다음 다이어그램은 최종 사용자에서 LOB 앱으로의 가능한 트래픽 흐름을 보여 줍니다.
이 아키텍처의 PowerPoint 파일을 다운로드합니다.고객이 Geography B에서 LOB 앱에 가끔 액세스하는 경우 LOB 앱 액세스 대기 시간을 통해 클라우드 PC 액세스 대기 시간을 최적화하기 때문에 고객에게 더 가까운 클라우드 PC를 배포하는 것이 최적일 수 있습니다. 다음 다이어그램은 이러한 시나리오에서 트래픽이 흐르는 방법을 보여 줍니다.
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
AD DS 권장 사항
Microsoft Entra 하이브리드 조인 아키텍처에서 온-프레미스 AD DS 인프라는 권한의 ID 원본 역할을 합니다. 올바르게 구성되고 정상인 AD DS 인프라를 사용하는 것은 Windows 365 배포에 성공하기 위한 중요한 단계입니다.
온-프레미스 AD DS는 많은 구성과 다양한 수준의 복잡성을 지원하므로 제공된 권장 사항은 기준 모범 사례만 다룹니다.
- Microsoft Entra 하이브리드 조인 시나리오의 경우 가상 네트워크에 AD DS 배포의 아키텍처 참조에 설명된 대로 Azure VM에 AD DS를 배포할 수 있습니다. 하이브리드 네트워크 연결을 사용하여 온-프레미스 Microsoft Entra 도메인 컨트롤러에 직접 가시줄을 제공할 수도 있습니다. 자세한 내용은 보안 하이브리드 네트워크 구현을 참조하세요.
- Microsoft Entra 조인 배포의 경우 온-프레미스 Microsoft Entra 도메인과 Microsoft Entra ID 통합의 참조 아키텍처를 따릅니다.
- Windows 365는 테스트 VM 계정을 만드는 자동화된 테스트의 일부로 Watchdog 서비스를 사용합니다. 해당 계정은 Azure 네트워크 연결 구성에 지정된 조직 구성 단위에서 비활성화된 것으로 표시됩니다. 이 계정은 삭제하지 마세요.
- Microsoft Entra 하이브리드 조인 모델에서 서비스 해제된 모든 클라우드 PC는 AD DS에서 수동으로 정리해야 하는 비활성화된 컴퓨터 계정 뒤에 남습니다.
- Microsoft Entra Domain Services는 Microsoft Entra 하이브리드 조인을 지원하지 않으므로 ID 원본으로 지원되지 않습니다.
DNS 권장 사항
Azure 네트워크 연결 배포 아키텍처에서 DNS 서버 또는 Azure 가상 네트워크에서 사용하는 다른 DNS 서비스는 중요한 종속성입니다. 건강한 인프라를 마련하는 것이 중요합니다.
- Microsoft Entra 하이브리드 조인 구성의 경우 DNS는 클라우드 PC를 조인해야 하는 도메인을 확인할 수 있어야 합니다. 여러 구성 옵션을 사용할 수 있으며, 그 중 가장 간단한 방법은 Azure 가상 네트워크 구성에서 DNS 서버 IP를 지정하는 것입니다. 자세한 내용은 자체 DNS 서버를 사용하는 이름 확인을 참조하세요.
- Azure 및 온-프레미스 환경에서 다중 지역, 다중 도메인 설정과 같은 인프라의 복잡성에 따라 Azure DNS 프라이빗 영역 또는 Azure DNS Private Resolver와 같은 서비스를 사용해야 합니다.
클라우드 PC 연결 권장 사항
배포된 클라우드 PC는 Virtual Desktop 게이트웨이 서비스와의 중단 없는 연결 흐름을 허용하도록 구성해야 합니다. Windows 운영 체제 구성의 일부로 앱을 배포할 때 다음 권장 사항을 고려합니다.
- VPN 터널이 설정될 때 세션의 연결을 끊을 수 있으므로 사용자가 로그인할 때 VPS 클라이언트가 시작되지 않는지 확인합니다. 사용자는 두 번째로 로그인해야 합니다.
- IP 주소 168.63.129.16 및 169.254.169.254에 바인딩된 트래픽을 허용하거나 바이패스하도록 VPN, 프록시, 방화벽 및 바이러스 백신 및 맬웨어 방지 앱을 구성합니다. 이러한 IP 주소는 메타데이터 및 하트비트와 같은 Azure 플랫폼 서비스와의 통신에 사용됩니다. 자세한 내용은 IP 주소 168.63.129.16이란?, 가상 머신용 Azure Instance 메타데이터 서비스 및 Virtual Network FAQ를 참조하세요.
- 영구 연결이 끊어질 수 있으므로 클라우드 PC의 IP 주소를 수동으로 수정하지 마세요. IP 주소는 무기한 임대로 할당되고 Azure 네트워킹 서비스에서 클라우드 PC의 수명 주기 동안 관리됩니다. 자세한 내용은 할당 방법을 참조하십시오.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- 라비샨카르 난다고팔란 | 선임 제품 관리자
기타 기여자:
- Paul Collinge | 주 제품 관리자
- Claus Emerich | 주 제품 관리자
- David Falkus | 주 제품 관리자
- Bob Roudebush | 기술 리더 및 클라우드/개발자 기술자
- Matt Shadbolt | 주요 제품 관리자, Windows 클라우드 환경
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.