Netwerk- en extern bureaublad-clientplanning

Voltooid

Netwerk

Er zijn verschillende netwerkvereisten waaraan u moet voldoen om Azure Virtual Desktop te kunnen implementeren. Hierdoor kunnen gebruikers verbinding maken met hun bureaubladen en toepassingen, terwijl ze ook de best mogelijke gebruikerservaring bieden.

Gebruikers die verbinding maken met Azure Virtual Desktop, maken veilig een omgekeerde verbinding met de service. Dit betekent dat u geen binnenkomende poorten hoeft te openen. Transmission Control Protocol (TCP) op poort 443 wordt standaard gebruikt, maar RDP Shortpath kan worden gebruikt voor beheerde netwerken en openbare netwerken die een direct UDP-transport (User Datagram Protocol) tot stand brengen.

Als u Azure Virtual Desktop wilt implementeren, moet u voldoen aan de volgende netwerkvereisten:

• U hebt een virtueel netwerk en subnet nodig voor uw sessiehosts. Als u uw sessiehosts op hetzelfde moment als een hostgroep maakt, moet u dit virtuele netwerk vooraf maken zodat het in de vervolgkeuzelijst wordt weergegeven. Uw virtuele netwerk moet zich in dezelfde Azure-regio bevinden als de sessiehost.
• Zorg ervoor dat dit virtuele netwerk verbinding kan maken met uw domeincontrollers en relevante DNS-servers als u AD DS of Microsoft Entra Domain Services gebruikt, omdat u sessiehosts moet toevoegen aan het domein.
• Uw sessiehosts en gebruikers moeten verbinding kunnen maken met de Azure Virtual Desktop-service. Deze verbindingen gebruiken ook TCP op poort 443 voor een specifieke lijst met URL's. Zie de lijst met vereiste URL's voor meer informatie. U moet ervoor zorgen dat deze URL's niet worden geblokkeerd door netwerkfilters of een firewall om ervoor te zorgen dat uw implementatie goed werkt en wordt ondersteund. Als uw gebruikers toegang nodig hebben tot Microsoft 365, moet u ervoor zorgen dat uw sessiehosts verbinding kunnen maken met Microsoft 365-eindpunten.

Houd ook rekening met het volgende:

• Uw gebruikers hebben mogelijk toegang nodig tot toepassingen en gegevens die worden gehost op verschillende netwerken, dus zorg ervoor dat uw sessiehosts verbinding met hen kunnen maken.
• Retourtijdlatentie (RTT) van het netwerk van de client naar de Azure-regio die de hostgroepen bevat, moet kleiner zijn dan 150 ms. Als u wilt zien welke locaties de beste latentie hebben, zoekt u de gewenste locatie op in de latentiestatistieken van het Azure-netwerk. Om te optimaliseren voor netwerkprestaties raden we u aan sessiehosts te maken in de Azure-regio die zich het dichtst bij uw gebruikers bevindt.
• Gebruik Azure Firewall voor Azure Virtual Desktop-implementaties om uw omgeving te vergrendelen en uitgaand verkeer te filteren.
• Om uw Azure Virtual Desktop-omgeving in Azure te beveiligen, raden we u aan binnenkomende poort 3389 niet te openen op uw sessiehosts. Voor Azure Virtual Desktop is geen geopende binnenkomende poort vereist. Als u poort 3389 moet openen voor probleemoplossing, raden we u aan Just-In-Time-VM-toegang te gebruiken. U wordt ook aangeraden geen openbaar IP-adres toe te wijzen aan uw sessiehosts.

Notitie

Om Azure Virtual Desktop betrouwbaar en schaalbaar te houden, aggregeren we verkeerspatronen en -gebruik om de status en prestaties van het infrastructuurbeheervlak te controleren. We aggregeren deze informatie van alle locaties waar de service-infrastructuur zich bevindt en verzenden deze vervolgens naar de regio VS. De gegevens die naar de regio VS worden verzonden, bevatten geroofde gegevens, maar geen klantgegevens. Zie Gegevenslocaties voor Azure Virtual Desktop voor meer informatie.

Sessiehostbeheer

Houd rekening met de volgende punten bij het beheren van sessiehosts:

• Schakel geen beleidsregels of configuraties in die Windows Installer uitschakelen. Als u Windows Installer uitschakelt, kan de service geen agentupdates installeren op uw sessiehosts en werken uw sessiehosts niet goed.
• Als u sessiehosts koppelt aan een AD DS-domein en u deze wilt beheren met Behulp van Intune, moet u Microsoft Entra Connect configureren om hybride deelname van Microsoft Entra in te schakelen.
• Als u sessiehosts aan een Domein van Microsoft Entra Domain Services deelneemt, kunt u deze niet beheren met Intune.
• Als u Microsoft Entra join gebruikt met Windows Server voor uw sessiehosts, kunt u deze niet registreren bij Intune omdat Windows Server niet wordt ondersteund met Intune. U moet hybride deelname en groepsbeleid van Microsoft Entra gebruiken vanuit een Active Directory-domein of lokaal groepsbeleid op elke sessiehost.

Extern bureaublad-clients

Uw gebruikers hebben een Extern bureaublad-client nodig om verbinding te maken met bureaubladen en toepassingen. De volgende clients ondersteunen Azure Virtual Desktop:

• Windows Desktop-client
• Azure Virtual Desktop Store-app voor Windows
• Webclient
• macOS-client
• iOS- en iPadOS-client
• Android- en Chrome OS-client
• Extern bureaublad-app voor Windows

Belangrijk

Azure Virtual Desktop biedt geen ondersteuning voor verbindingen van de RADC-client (RemoteApp and Desktop Connections) of de MSTSC-client (Remote Desktop Connection).

Als u wilt weten welke URL's clients gebruiken om verbinding te maken en die u moet toestaan via firewalls en internetfilters, raadpleegt u de lijst met vereiste URL's.