다음을 통해 공유

Windows 365 아키텍처

  • 아티클

Windows 365는 Microsoft Azure에서 고객을 대신해 클라우드 PC를 호스팅하여 사용자별로 월별 라이선스 모델을 제공합니다. 이 모델에서는 스토리지, 컴퓨팅 인프라 아키텍처 또는 비용을 고려할 필요가 없습니다. Windows 365 아키텍처를 사용하면 Azure 네트워킹 및 보안에 대한 기존 투자를 사용할 수도 있습니다. 각 클라우드 PC는 Microsoft Intune 관리 센터의 Windows 365 섹션에서 정의한 구성에 따라 프로비전됩니다.

가상 네트워크 연결

각 클라우드 PC에는 Microsoft Azure 가상 NIC(네트워크 인터페이스 카드)가 있습니다. 다음과 같은 두 가지 NIC 관리 옵션이 있습니다.

  • Microsoft Entra 조인 및 Microsoft 호스팅 네트워크를 사용하는 경우 Azure 구독을 가져오거나 NIC를 관리할 필요가 없습니다.
  • 자체 네트워크를 가져오고 ANC(Azure 네트워크 연결)를 사용하는 경우 NIC는 Azure 구독에서 Windows 365에 의해 생성됩니다.

NIC는 Azure 네트워크 연결(ANC) 구성을 기반으로 Azure Virtual Network에 연결됩니다.

Windows 365는 다양한 Azure 지역에서 지원됩니다. 두 가지 방법으로 사용되는 Azure 지역을 제어할 수 있습니다.

  • Microsoft 호스팅 네트워크 및 Azure 지역을 선택합니다.
  • ANC를 생성할 때 Azure 구독에서 Azure 가상 네트워크를 선택합니다.

Azure 가상 네트워크의 지역은 클라우드 PC가 만들어지고 호스트되는 위치를 결정합니다.

사용자 고유의 가상 네트워크를 사용할 때 현재 Azure 지역 간의 액세스를 Windows 365에서 지원하는 다른 Azure 지역으로 확장할 수 있습니다. 다른 지역으로 확장하려면 Azure 가상 네트워크 피어링이나 Virtual WAN을 사용할 수 있습니다.

사용자 고유의 Azure 가상 네트워크를 사용하면 Windows 365를 통해 다음을 비롯한 Virtual Network 보안 및 라우팅 기능을 사용할 수 있습니다.

클라우드 PC에 대한 웹 필터링 및 네트워크 보호를 위해서는 엔드포인트용 Microsoft Defender의 네트워크 보호웹 보호 기능을 사용하는 것이 좋습니다. 이러한 기능은 Microsoft Intune 관리 센터를 사용하여 물리적 엔드포인트와 가상 엔드포인트 모두에 배포할 수 있습니다.

Microsoft Intune 통합

Microsoft Intune 은 모든 클라우드 PC를 관리하는 데 사용됩니다. Microsoft Intune 및 연결된 Windows 구성 요소에는 Virtual Network를 통해 허용해야 하는 다양한 네트워크 엔드포인트가 있습니다 . 이러한 디바이스 유형을 관리하는 데 Microsoft Intune을 사용하지 않는 경우 Apple 및 Android 엔드포인트는 무시해도 됩니다.

WNS(Windows 알림 서비스)에 대한 액세스를 허용해야 합니다. 액세스가 차단되면 영향을 즉시 알아차리지 못할 수도 있습니다. 그러나 WNS를 사용하면 Microsoft Intune에서 해당 디바이스에서 정상적인 정책 폴링 간격을 기다리거나 시작/로그온 동작에서 정책 폴링을 기다리는 대신 Windows 엔드포인트에서 작업을 즉시 트리거할 수 있습니다. WNS는 Windows 클라이언트에서 WNS로의 직접 연결을 권장합니다.

Microsoft Intune 테넌트 위치에 따라 엔드포인트의 하위 집합에 대한 액세스 권한만 부여하면 됩니다. 테넌트 위치(또는 ASU(Azure Scale Unit))를 찾으려면 Microsoft Intune 관리 센터에 로그인하고 테넌트 관리>테넌트 세부 정보를 선택합니다. 테넌트 위치에 “북아메리카 0501” 또는 “유럽 0202”와 유사한 항목이 표시됩니다. Microsoft Intune 설명서의 행은 지리적 지역으로 구분됩니다. 지역은 이름의 처음 두 글자로 표시됩니다(na = 북아메리카, eu = 유럽, ap = 아시아 태평양). 테넌트는 지역 내에서 재배치될 수 있으므로 해당 지역의 특정 엔드포인트가 아닌 전체 지역에 대한 액세스를 허용하는 것이 가장 좋습니다.

Microsoft Intune 서비스 지역 및 데이터 위치 정보에 대한 자세한 내용은 Intune의 데이터 스토리지 및 처리를 참조하세요.

ID 서비스

Windows 365는 Microsoft Entra ID와 온-프레미스 AD DS(Active Directory Domain Services)를 모두 사용합니다. Microsoft Entra ID는 다음을 제공합니다.

  • Windows 365에 대한 사용자 인증(다른 Microsoft 365 서비스와 마찬가지로)
  • Microsoft Entra 하이브리드 조인 또는 Microsoft Entra 조인을 통한 Microsoft Intune용 디바이스 ID 서비스.

Microsoft Entra 하이브리드 조인을 사용하도록 클라우드 PC를 구성할 때 AD DS는 다음을 제공합니다.

  • 클라우드 PC에 대한 온-프레미스 도메인 조인
  • RDP(원격 데스크톱 프로토콜) 연결에 대한 사용자 인증

Microsoft Entra 조인을 사용하도록 클라우드 PC를 구성할 때 Microsoft Entra ID는 다음을 제공합니다.

  • 클라우드 PC에 대한 도메인 가입 메커니즘
  • RDP 연결에 대한 사용자 인증

ID 서비스가 클라우드 PC의 배포, 관리 및 사용에 미치는 영향에 대한 자세한 내용은 ID 및 인증을 참조하세요.

Microsoft Entra ID

Microsoft Entra ID는 Windows 365 웹 포털과 원격 데스크톱 클라이언트 앱 모두에 대한 사용자 인증 및 권한 부여를 제공합니다. 둘 다 최신 인증을 지원합니다. 즉, Microsoft Entra 조건부 액세스를 통합하여 다음을 제공할 수 있습니다.

  • 다단계 인증
  • 위치 기반 제한 사항
  • 로그인 위험 관리
  • 다음을 포함한 세션 제한 사항:
    • 원격 데스크톱 클라이언트 및 Windows 365 웹 포털에 대한 로그인 빈도
    • Windows 365 웹 포털에 대한 쿠키 지속성
  • 디바이스 규정 준수 컨트롤

Windows 365에서 Microsoft Entra 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 조건부 액세스 정책 설정을 참조하세요.

Active Directory Domain Services

Windows 365 클라우드 PC는 Microsoft Entra 하이브리드 조인 또는 Microsoft Entra 조인일 수 있습니다. Microsoft Entra 하이브리드 조인을 사용하는 경우 클라우드 PC는 AD DS 도메인에 도메인 조인해야 합니다. 이 도메인은 Microsoft Entra ID와 동기화되어야 합니다. 도메인의 도메인 컨트롤러는 Azure 또는 온-프레미스에서 호스트될 수 있습니다. 온-프레미스에서 호스트되는 경우 Azure에서 온-프레미스 환경으로 연결을 설정해야 합니다. 연결은 Azure Express Route 또는 사이트 간 VPN 형식일 수 있습니다. 하이브리드 네트워크 연결을 설정하는 방법에 대한 자세한 내용은 보안 하이브리드 네트워크 구현을 참조하세요. 연결은 클라우드 PC에서 Active Directory에 필요한 도메인 컨트롤러로 통신을 허용해야 합니다. 자세한 내용은 AD 도메인 및 트러스트에 대한 방화벽 구성을 참조하세요.

사용자 연결

클라우드 PC 연결은 Azure Virtual Desktop에서 제공합니다. 인터넷에서 직접 인바운드 연결이 클라우드 PC에 연결되지 않습니다. 대신 다음에서 연결됩니다.

  • Azure Virtual Desktop 엔드포인트에 대한 클라우드 PC
  • Azure Virtual Desktop 엔드포인트에 대한 원격 데스크톱 클라이언트

이러한 포트에 대한 자세한 내용은 Azure Virtual Desktop 필수 URL 목록을 참조하세요. 네트워크 보안 제어를 쉽게 구성하려면 Azure Virtual Desktop용 서비스 태그를 사용하여 해당 엔드포인트를 식별합니다. Azure 서비스 태그에 대한 자세한 정보는 Azure 서비스 태그 개요를 참조하세요.

이러한 연결을 위해 클라우드 PC를 구성할 필요는 없습니다. Windows 365는 Azure Virtual Desktop 연결 구성 요소를 갤러리 또는 사용자 지정 이미지에 원활하게 통합합니다.

Azure Virtual Desktop의 네트워크 아키텍처에 대한 자세한 내용은 Azure Virtual Desktop 네트워크 연결 이해를 참조하세요.

Windows 365 클라우드 PC는 타사 연결 브로커를 지원하지 않습니다.

'대신 호스팅' 아키텍처

'대신 호스팅' 아키텍처를 사용하면 구독 소유자가 Microsoft 서비스에 가상 네트워크에 대한 적절한 범위 권한을 위임한 후, Microsoft 서비스가 호스트된 Azure 서비스를 고객 구독에 연결할 수 있습니다. 이 연결 모델을 사용하면 Microsoft 서비스는 표준 사용량 기반 서비스가 아닌 SaaS 및 사용자에게 사용이 허가된 서비스를 제공할 수 있습니다.

다음 다이어그램에서는 Microsoft 호스팅 네트워크를 사용하는 Microsoft Entra 조인 구성, 고객의 네트워크 연결을 사용하는 Microsoft Entra 조인 구성("사용자 고유의 네트워크 가져오기") 및 ANC를 사용하는 Microsoft Entra 하이브리드 조인 구성에 대한 논리적 아키텍처를 각각 보여 줍니다.

Microsoft 호스팅 네트워크를 사용한 Microsoft Entra 조인 아키텍처의 스크린샷

BYO 네트워크를 사용한 Microsoft Entra 조인 아키텍처의 스크린샷

Microsoft Entra 하이브리드 조인 아키텍처의 스크린샷

모든 클라우드 PC 연결은 가상 네트워크 인터페이스 카드에서 제공됩니다. “대신 호스팅” 아키텍처는 클라우드 PC가 Microsoft가 소유한 구독에 존재함을 의미합니다. 따라서 Microsoft에게는 이 인프라를 실행하고 관리하는 데 비용이 발생합니다.

Windows 365는 Windows 365 구독의 용량 및 지역 내 가용성을 관리합니다. Windows 365는 사용자에게 할당라이선스에 따라 VM의 크기와 유형을 결정합니다. Windows 365는 온-프레미스 네트워크 연결을 생성할 때 선택한 가상 네트워크에 따라 클라우드 PC를 호스트할 Azure 지역을 결정합니다.

Windows 365는 Microsoft 365 데이터 보호 정책에 맞춰 조정됩니다. Microsoft 엔터프라이즈 클라우드 서비스 내의 고객 데이터는 다음과 같은 다양한 기술 및 프로세스로 보호됩니다.

  • 다양한 형태의 암호화.
  • 다른 테넌트와 논리적으로 격리됨.
  • 특정 클라이언트에서 제어되고 보안이 유지되는 제한된 사용자 집합이 액세스할 수 있음.
  • 역할 기반 액세스 제어를 사용하여 액세스가 보호됨.
  • 중복을 위해 여러 서버, 스토리지 엔드포인트 및 데이터 센터에 복제됨.
  • 무단 액세스, 과도한 리소스 사용 및 가용성이 모니터링됨.

365 클라우드 WINDOWS 암호화에 대한 자세한 내용은 Windows 365의 데이터 암호화를 참조하세요.

다음 단계

Windows 365 ID 및 인증에 대해 알아보세요.