Windows 365 to oparta na chmurze usługa, której można użyć do dostarczania wysoce zoptymalizowanych i spersonalizowanych wystąpień obliczeniowych systemu Windows nazywanych komputerami w chmurze, które są przeznaczone dla wymagań każdego użytkownika. Komputery w chmurze korzystają z kombinacji następujących usług:
- Usługa Intune do dostosowywania, zabezpieczania i zarządzania komputerami w chmurze
- Identyfikator entra dla tożsamości i kontroli dostępu
- Usługa Azure Virtual Desktop na potrzeby łączności zdalnej
Komputer w chmurze to wysoce dostępne, zoptymalizowane i spersonalizowane wystąpienie obliczeniowe, które zapewnia zaawansowane środowisko pulpitu systemu Windows. Jest hostowana w usłudze Windows 365 i jest dostępna z dowolnego miejsca na dowolnym urządzeniu.
Model wspólnej odpowiedzialności systemu Windows 365
Windows 365 to rozwiązanie oprogramowania jako usługi (SaaS). Firma Microsoft zarządza niektórymi składnikami w usługach systemu Windows 365 i zarządza innymi składnikami. Ilość odpowiedzialności zależy od wybranego wzorca architektury do wdrożenia. Obowiązki związane z zarządzaniem systemem Windows 365 są podzielone na trzy części:
- Wdrożenie: planowanie i wdrażanie składników usługi.
- Cykl życia: zarządzanie składnikiem w całym jego cyklu życia, takie jak stosowanie poprawek i zabezpieczanie.
- Konfiguracja: Konfigurowanie składnika pod kątem stosowania ustawień zgodnie z potrzebami w scenariuszu.
Na poniższym diagramie przedstawiono macierz odpowiedzialności wdrożenia systemu Windows 365 przy użyciu zalecanej sieci hostowanej przez firmę Microsoft, dołączania do firmy Microsoft Entra i obrazów galerii z funkcją Windows Autopatch. W przypadku tej konfiguracji nie trzeba zarządzać wieloma składnikami i etapami cyklu życia. Ta konfiguracja przekłada się na korzyści wymienione w artykule Zalecane wzorce architektury.
Uwaga
Na poniższym diagramie przedstawiono obowiązki z perspektywy infrastruktury, takie jak konfigurowanie sprzętu i sieci oraz ich utrzymywanie. Nie obejmuje konfiguracji subskrypcji dzierżawy systemu Windows 365 ani usługi Intune.
Pobierz plik programu PowerPoint tej architektury.
Na poniższym diagramie przedstawiono typowe wdrożenie systemu Windows 365 korzystające z połączenia sieciowego platformy Azure oraz składniki zarządzane przez firmę Microsoft na różnych etapach cyklu życia komputera w chmurze.
Pobierz plik programu PowerPoint tej architektury.
Zalecany wzorzec architektury
Firma Microsoft zaleca wdrożenie systemu Windows 365 przy użyciu następujących składników w celu uzyskania środowiska SaaS, co pozwala uzyskać maksymalne korzyści z usługi:
- Dołączenie do usługi Microsoft Entra
- Sieć hostowana przez firmę Microsoft
- Obrazy galerii
- Usługa zarządzania urządzeniami przenośnymi (MDM) oparta na usłudze Intune z konfiguracją aplikacji i systemu operacyjnego
- Dostęp aplikacja Windows 365 dla komputerów w chmurze
Pobierz plik programu PowerPoint tej architektury.
Powyższy wzorzec architektury umożliwia najbardziej korzystanie z usługi Windows 365 i zapewnia następujące korzyści:
- Uproszczone i szybsze wdrażanie
- Minimalne do zerowych zależności
- Pełna obsługa platformy Zero Trust
- Uproszczone rozwiązywanie problemów z przepływami
- Rozwiązywanie problemów z użytkownikiem samoobsługi
- Niskie obciążenie i zarządzanie
- Najwyższy model dojrzałości oprogramowania i dostarczania aplikacji
Architektura usługi Windows 365
Na poniższym diagramie przedstawiono reprezentację wszystkich składników, które są częścią usługi Windows 365. Ta architektura korzysta z usług Intune i Microsoft Entra ID, które są podstawowymi wymaganiami systemu Windows 365. Istnieją również opcjonalne składniki, takie jak Usługa Azure Virtual Network.
Pobierz plik programu Visio z tą architekturą.
Na poprzednim diagramie przedstawiono opcje połączenia sieciowego platformy Azure i sieci hostowanej przez firmę Microsoft. Są one wzajemnie wykluczające się opcje architektury. W poniższych sekcjach opisano opcje połączenia sieciowego platformy Azure.
Pulpit wirtualny
Virtual Desktop to oparte na platformie Azure rozwiązanie infrastruktury pulpitu wirtualnego (VDI). Firma Microsoft zarządza usługą Virtual Desktop. Zapewnia rozwiązanie typu "platforma jako usługa" (PaaS). System Windows 365 używa składników zarządzania siecią wymaganych do nawiązania połączenia z komputerami w chmurze. Składniki obejmują usługę bramy usług pulpitu wirtualnego, usługę brokera połączeń i usługę klienta internetowego. Te usługi umożliwiają bezproblemowe połączenie z Komputer w chmurze Windows 365.
Aby uzyskać więcej informacji, zobacz Usługa Azure Virtual Desktop dla przedsiębiorstwa.
Pobierz plik programu Visio z tą architekturą.
Uwaga
System Windows 365 korzysta ze składników zatytułowanych "Płaszczyzna sterowania pulpitu wirtualnego systemu Windows" na poprzednim diagramie w celu ułatwienia połączeń użytkowników i komputerów w chmurze, a w związku z tym dziedziczy większość funkcji związanych z połączeniem usługi Azure Virtual Desktop. Zapoznanie się z działaniem sieci usługi Virtual Desktop staje się niezbędne do projektowania architektury połączenia sieciowego platformy Azure szczegółowo opisanej w tym dokumencie.
Microsoft Intune
Usługa Intune to oparte na chmurze rozwiązanie do zarządzania punktami końcowymi, które umożliwia wyświetlanie i używanie raportów oraz zarządzanie nimi:
- Dostarczanie aplikacji
- Aktualizacje systemu Windows
- Konfiguracje zarządzania urządzeniami
- Zasady zabezpieczeń
Usługa Intune upraszcza zarządzanie aplikacjami i urządzeniami na wielu urządzeniach, w tym na urządzeniach przenośnych, komputerach stacjonarnych i wirtualnych punktach końcowych.
Możesz chronić dostęp i dane na urządzeniach osobistych i należących do organizacji. Usługa Intune ma również funkcje zgodności i raportowania, które obsługują model zabezpieczeń Zero Trust. Aby uzyskać więcej informacji, zobacz Tworzenie profilu konfiguracji urządzenia.
Wzorce architektury
Wzorzec architektury opisuje składniki i ilustruje konfiguracje, za pomocą których wdrożono usługę lub produkt. Aby uzyskać więcej informacji, zobacz Hostowane w imieniu architektury.
Zobacz następujące wzorce połączeń sieciowych platformy Azure:
Połączenie sieciowe platformy Azure z przyłączeniem firmy Microsoft Entra — w tym wzorcu komputery w chmurze dołączone do firmy Microsoft używają połączenia sieciowego platformy Azure do łączenia się z zasobami w środowiskach lokalnych, takich jak aplikacje biznesowe,udziały plików i inne aplikacje, które nie wymagają uwierzytelniania Kerberos lub Windows New Technology LAN Manager (NTLM).
Połączenie sieciowe platformy Azure z przyłączeniem hybrydowym firmy Microsoft Entra — w tym wzorcu komputery dołączone hybrydowo do chmury firmy Microsoft używają połączenia sieciowego platformy Azure do przyłączania do domeny z lokalnym kontrolerem domeny Microsoft Entra ID. Komputer w chmurze uwierzytelnia się przy użyciu lokalnego kontrolera domeny, gdy użytkownicy uzyskują dostęp do komputera w chmurze, aplikacji lokalnych lub aplikacji w chmurze, które wymagają uwierzytelniania Kerberos lub NTLM.
Wzorce architektury połączeń sieciowych platformy Azure
W przypadku niektórych wzorców usługa Windows 365 łączy się ze środowiskami lokalnymi za pośrednictwem sieci wirtualnej przy użyciu usługi Azure ExpressRoute lub sieci VPN typu lokacja-lokacja. Ta metoda łączności jest reprezentowana przez połączenie sieciowe platformy Azure, które jest obiektem usługi Intune. To połączenie umożliwia komputerom w chmurze łączenie się z zasobami lokalnymi, takimi jak usługa Active Directory lub aplikacje biznesowe.
To połączenie sieciowe, reprezentowane przez połączenie sieciowe platformy Azure, jest używane przez usługę Windows 365 podczas aprowizacji komputerów w chmurze na potrzeby przyłączania do domeny lokalnej firmy Microsoft Entra, kontroli kondycji gotowości aprowizacji komputerów w chmurze.
W poniższych tabelach wymieniono zależności połączeń sieciowych platformy Azure. System Windows 365 uruchamia automatyczne kontrole kondycji tych zależności.
| Dependency | Microsoft Entra Connect — sprawdza, czy program Microsoft Entra Connect został skonfigurowany i zakończy się pomyślnie. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Skonfiguruj interwał synchronizacji programu Microsoft Entra Connect z domyślną lub najniższą wartością. Dłuższe interwały synchronizacji zwiększają możliwość niepowodzenia aprowizacji komputera w chmurze w środowisku produkcyjnym z powodu przekroczenia limitu czasu. Aby uzyskać więcej informacji, zobacz Niepowodzenie dołączania hybrydowego firmy Microsoft Entra. — Skonfiguruj replikację kontrolera domena usługi Active Directory z serwera w tym samym centrum danych co połączenie sieciowe platformy Azure z systemem Windows 365 w celu zapewnienia szybszej replikacji. — Skonfiguruj replikację kontrolera domeny Microsoft Entra ID z wartością domyślną. |
| Dependency | Gotowość dzierżawy platformy Azure — sprawdza, czy subskrypcja platformy Azure jest włączona, bez ograniczeń blokowania i jest gotowa do użycia. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Użyj konta z odpowiednimi uprawnieniami, aby zarządzać subskrypcjami platformy Azure, usługi Intune i systemu Windows 365. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC). — Wyłącz lub zmodyfikuj dowolne zasady platformy Azure, które uniemożliwiają tworzenie komputerów w chmurze. Aby uzyskać więcej informacji, zobacz Ograniczanie dozwolonych jednostek SKU maszyn wirtualnych. — Upewnij się, że subskrypcja ma wystarczające limity przydziału zasobów dla sieci i ogólnych limitów na podstawie maksymalnej liczby komputerów w chmurze, które mają zostać utworzone. Przykłady obejmują rozmiar bramy sieci, przestrzeń adresową IP, rozmiar sieci wirtualnej i wymaganą przepustowość. Aby uzyskać więcej informacji, zobacz Limity sieci i Ogólne limity. |
| Dependency | Gotowość sieci wirtualnej platformy Azure — sprawdza, czy sieć wirtualna znajduje się w obsługiwanym regionie systemu Windows 365. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Utwórz sieć wirtualną w regionach platformy Azure obsługiwanych przez system Windows 365 na potrzeby aprowizacji komputerów w chmurze. — Utwórz co najmniej jedną podsieć, oprócz domyślnej podsieci, aby wdrożyć adaptery sieci wirtualnej usługi Cloud PC. — Jeśli to możliwe, utwórz udostępnione usługi sieciowe, takie jak Azure Firewall, bramy sieci VPN lub bramy usługi ExpressRoute, w oddzielnej sieci wirtualnej, aby umożliwić sterowanie routingiem i rozszerzanie wdrożenia. W sieciach wirtualnych zastosuj sieciowe grupy zabezpieczeń z odpowiednimi wykluczeniami, aby zezwolić na wymagane adresy URL usługi Windows 365. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci i Sieciowe grupy zabezpieczeń. |
| Dependency | Użycie adresu IP podsieci platformy Azure — sprawdza, czy są dostępne wystarczające adresy IP. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Utwórz sieć wirtualną z wystarczającą ilością adresów IP do obsługi tworzenia komputera w chmurze i tymczasowej rezerwacji adresów IP podczas ponownej aprowizacji. Zaleca się użycie przestrzeni adresowej IP, która wynosi od 1,5 do 2 razy więcej niż maksymalna liczba wdrożonych komputerów w chmurze dla chmury. Aby uzyskać więcej informacji, zobacz Ogólne wymagania dotyczące sieci. — Traktuj sieć wirtualną platformy Azure jako logiczne rozszerzenie sieci lokalnej i przypisz unikatową przestrzeń adresową IP we wszystkich sieciach, aby uniknąć konfliktów routingu. |
| Dependency | Łączność punktu końcowego — sprawdza, czy zewnętrzne adresy URL wymagane do aprowizacji komputerów w chmurze są osiągalne z sieci wirtualnej. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Zezwalaj na wszystkie adresy URL wymagane do aprowizacji komputerów w chmurze za pośrednictwem sieci wirtualnej platformy Azure. Aby uzyskać więcej informacji, zobacz Zezwalaj na łączność sieciową. — Użyj usługi Azure Firewall, aby korzystać z tagów Windows 365, Azure Virtual Desktop i Intune FQDN, aby tworzyć reguły aplikacji i zezwalać na adresy URL wymagane do aprowizacji Komputer w chmurze Windows 365. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do zarządzania środowiskami systemu Windows 365 i zabezpieczania ich. — Pomijanie lub wykluczanie ruchu protokołu RDP (Remote Desktop Protocol) z dowolnej inspekcji sieci, serwera proxy lub manipulowania urządzeniem, aby uniknąć problemów z opóźnieniami i routingiem. Aby uzyskać więcej informacji, zobacz Technologie przechwytywania ruchu. — Po stronie urządzenia użytkownika końcowego i sieci zezwalaj na adresy URL i porty usługi systemu Windows 365 na potrzeby inspekcji serwera proxy i sieci. — Zezwalaj na wewnętrzne adresy IP platformy Azure 168.63.129.16 i 169.254.169.254, ponieważ te adresy IP są używane do komunikacji z usługami platformy Azure, takimi jak metadane lub puls. Aby uzyskać więcej informacji, zobacz Co to jest adres IP 168.63.129.16?, Azure Instance Metadata Service i Virtual Network — często zadawane pytania. |
| Dependency | Rejestracja w usłudze Intune — sprawdza, czy usługa Intune zezwala na rejestrację w systemie Windows. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Upewnij się, że dla platformy zarządzania urządzeniami przenośnymi (MDM) systemu Windows na potrzeby rejestracji firmowej ustawiono ograniczenia rejestracji typu urządzeń w usłudze Intune. — W przypadku przyłączania hybrydowego firmy Microsoft Entra skonfiguruj urządzenia automatycznie, konfigurując punkt połączenia usługi (SCP) dla każdej domeny w programie Microsoft Entra Connect lub przy użyciu docelowego modelu wdrażania. Aby uzyskać więcej informacji, zobacz Konfigurowanie dołączania hybrydowego firmy Microsoft i wdrożenia docelowego dołączania hybrydowego firmy Microsoft firmy Microsoft. |
| Dependency | Uprawnienia aplikacji pierwszej firmy — sprawdza aplikacja Windows 365 pod kątem uprawnień dla subskrypcji platformy Azure klienta, grupy zasobów i poziomów sieci wirtualnej. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Upewnij się, że konto używane do konfigurowania połączenia sieciowego platformy Azure ma uprawnienia do odczytu w subskrypcji platformy Azure, w której została utworzona sieć wirtualna platformy Azure. — Upewnij się, że w subskrypcji platformy Azure nie ma żadnych zasad blokujących uprawnienia dla aplikacji pierwszej firmy systemu Windows 365. Aplikacja musi mieć uprawnienia na poziomie subskrypcji, grupy zasobów i sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące platformy Azure. |
| Dependency | Pakiet językowy lokalizacji — sprawdza, czy lokalizacje pobierania pakietu językowego są osiągalne. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Upewnij się, że adresy URL wymagane dla odpowiedniej wersji obrazów systemu Windows są dozwolone za pośrednictwem reguł zapory używanych w sieci wirtualnej platformy Azure. Aby uzyskać więcej informacji, zobacz Zapewnianie zlokalizowanego środowiska systemu Windows. |
| Dependency | RDP Shortpath — sprawdza, czy konfiguracje protokołu UDP (User Datagram Protocol) są na miejscu, aby nawiązać połączenie. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Włącz protokół RDP Shortpath dla dostępu do komputera w chmurze, aby korzystać z odporności protokołu UDP. Aby uzyskać więcej informacji, zobacz Use RDP Shortpath for public networks with Windows 365 and Use RDP Shortpath for private networks with Windows 365 (Używanie protokołu RDP Shortpath dla sieci publicznych z systemem Windows 365 ) i Use RDP Shortpath for private networks with Windows 365 (Używanie protokołu RDP Shortpath dla sieci prywatnych w systemie Windows 365). |
| Dependency | Licencja usługi Intune — sprawdza, czy dzierżawa ma odpowiednie licencje usługi Intune do korzystania z systemu Windows. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Upewnij się, że licencje usługi Intune są przypisane do Ciebie zgodnie z wymaganiami dotyczącymi licencjonowania. |
| Dependency | Sprawdzanie logowania jednokrotnego (SSO) — sprawdza, czy obiekt serwera Kerberos został utworzony w usłudze Active Directory i zsynchronizowany z identyfikatorem Entra firmy Microsoft. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Upewnij się, że opcja logowania jednokrotnego została wybrana w zasadach aprowizacji. Ta opcja umożliwia nawiązanie połączenia z komputerem w chmurze zasad przy użyciu poświadczeń logowania z urządzenia fizycznego zarządzanego przez usługę Intune przyłączonego do domeny lub przyłączonego do firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Temat Kontynuuj tworzenie zasad aprowizacji. |
| Dependency | Rozpoznawanie nazw DNS — sprawdza, czy usługa DNS w połączeniu sieciowym platformy Azure może rozpoznać lokalna usługa Active Directory domenę. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Upewnij się, że sieć wirtualna platformy Azure jest skonfigurowana przy użyciu rozpoznawania nazw lokalnej domeny firmy Microsoft Entra przy użyciu niestandardowego systemu DNS, prywatnego systemu DNS lub prywatnego rozpoznawania nazw. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure DNS? — Upewnij się, że serwery DNS skonfigurowane w sieci wirtualnej znajdują się w tej samej lokalizacji geograficznej i mają możliwość rejestrowania nowo aprowizowania komputerów w chmurze bez opóźnień. Unikaj odwołań lub przekierowań DNS, aby zapobiec opóźnieniom propagacji, co może spowodować opóźnienia aprowizacji lub awarie. |
| Dependency | Przyłączenie do domeny firmy Microsoft Entra — sprawdza, czy poświadczenia podane dla przyłączania domeny firmy Microsoft Entra są prawidłowe, a komputery w chmurze mogą być przyłączone do domeny. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Upewnij się, że konto udostępnione dla przyłączania do domeny Microsoft Entra ma uprawnienia do jednostki organizacyjnej Microsoft Entra określonej w konfiguracji połączenia sieciowego platformy Azure. — Upewnij się, że podane konto nie jest kontem użytkownika standardowego z ograniczeniem przyłączania do domeny. Aby uzyskać więcej informacji, zobacz Domyślny limit liczby stacji roboczych, które użytkownik może dołączyć do domeny. — Upewnij się, że określone konto zostało zsynchronizowane z identyfikatorem Entra firmy Microsoft. — Upewnij się, że jednostka organizacyjna określona w połączeniu sieciowym platformy Azure nie ma żadnych limitów obiektów. Aby uzyskać więcej informacji, zobacz Zwiększanie limitu konta komputera w jednostce organizacyjnej. |
Aby uzyskać więcej informacji, zobacz Sprawdzanie kondycji połączenia sieciowego platformy Azure w systemie Windows 365.
Zalecenia dotyczące bloków konstrukcyjnych połączenia sieciowego platformy Azure
Ta sekcja zawiera podział bloków konstrukcyjnych wzorca architektury połączenia sieciowego platformy Azure z systemem Windows 365.
Subskrypcja platformy Azure
Użycie systemu Windows 365 w wzorcu architektury połączenia sieciowego platformy Azure obejmuje dwa typy subskrypcji platformy Azure, subskrypcję firmy Microsoft i subskrypcję klienta
System Windows 365 używa modelu hostowanego w imieniu modelu do dostarczania usług klientom z systemem Windows 365. W tym modelu komputer w chmurze jest aprowizowany i uruchamiany w subskrypcjach platformy Azure należących do firmy Microsoft, podczas gdy karta sieciowa komputera w chmurze jest aprowizowana w ramach subskrypcji platformy Azure klienta. Na poniższych diagramach przedstawiono dwa wzorce architektury połączeń sieciowych platformy Azure. Klienci korzystają z własnej subskrypcji platformy Azure i sieci wirtualnej.
Pobierz plik programu Visio z tą architekturą.
Poprzedni wzorzec architektury używa tożsamości dołączania firmy Microsoft do zarządzania komputerem w chmurze.
Pobierz plik programu Visio z tą architekturą.
Poprzedni wzorzec architektury używa tożsamości przyłączania hybrydowego firmy Microsoft do zarządzania komputerem w chmurze i wymaga komunikacji sieciowej z kontrolerami domeny usług domena usługi Active Directory Services (AD DS) w środowiskach lokalnych.
| Składnik | Subskrypcja platformy Azure — subskrypcja platformy Azure, która hostuje sieć wirtualną używaną do zapewnienia łączności komputera w chmurze ze środowiskiem lokalnym i Internetem. |
|---|---|
| Wzorce architektury | Połączenie sieciowe platformy Azure dla przyłączania microsoft Entra, połączenia sieciowego platformy Azure dla przyłączania hybrydowego firmy Microsoft Entra |
| Zalecenia | — Utwórz lub użyj subskrypcji z siecią wirtualną i bramami usługi ExpressRoute lub sieci VPN, aby zapewnić połączenie z powrotem do środowiska lokalnego. — Utwórz dedykowaną grupę zasobów dla komputera w chmurze w celu zapewnienia uprawnień i zarządzania zasobami. — Wyklucz grupy zasobów komputera w chmurze i sieć wirtualną z zasad platformy Azure, które uniemożliwiają automatyczne tworzenie i usuwanie obiektów wirtualnej karty sieciowej (vNIC) oraz przypisywanie lub zwalnianie adresów IP. Aby uzyskać więcej informacji, zobacz Blokowanie zasobów w celu ochrony infrastruktury i wymagań platformy Azure. — Tworzenie dedykowanych sieci wirtualnych w celu lepszego zarządzania adresami IP i kontrolek routingu. |
Sieć wirtualna i połączenie hybrydowe
Wzorce architektury oparte na połączeniu sieciowym platformy Azure z systemem Windows 365 wymagają co najmniej jednej sieci wirtualnej platformy Azure. Sieci wirtualne zapewniają łączność ze środowiskami lokalnymi i przez Internet na potrzeby aprowizowania komputera w chmurze. Wirtualna karta sieciowa komputera w chmurze jest aprowizowana w sieci wirtualnej platformy Azure subskrypcji należącej do klienta zgodnie z opisem w sekcji subskrypcji platformy Azure.
Sieć platformy Azure można wdrożyć przy użyciu różnych wyrafinowania projektowego w oparciu o istniejącą sieć lokalną lub sieć platformy Azure. Aby rozpocząć pracę z podstawowym projektem sieci hybrydowej, zobacz Implementowanie bezpiecznej sieci hybrydowej.
Podczas projektowania architektury sieci wirtualnej platformy Azure należy wziąć pod uwagę następujące czynniki:
Przestrzeń adresów IP: rozmiar przestrzeni adresów IP zależy od liczby komputerów w chmurze do obsługi. Zaplanuj co najmniej 1,5 razy maksymalną liczbę wdrożonych komputerów w chmurze. Dodatkowe konto adresów IP dla adresów IP używanych podczas aprowizacji i anulowania aprowizacji komputerów w chmurze.
Rozpoznawanie nazw: proces DNS używany przez komputer w chmurze do rozpoznawania nazwy domeny lokalnej we wdrożeniu przyłączania hybrydowego firmy Microsoft Entra lub rozpoznawania zasobów internetowych lub zasobów platformy Azure w modelu wdrażania dołączania do firmy Microsoft Entra.
- Aby użyć istniejącej lokalnej infrastruktury DNS, skonfiguruj adresy IP co najmniej jednego serwera DNS na potrzeby rozpoznawania nazw. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące systemu DNS.
- Upewnij się, że adres IP serwera DNS używany w sieci wirtualnej platformy Azure należy do tej samej lokalizacji geograficznej co komputer w chmurze i że nie przekierowuje żądań rejestracji DNS do innego regionu. W przeciwnym razie powoduje to opóźnienie lub niepowodzenie wdrożeń oraz kontrole kondycji połączenia sieciowego platformy Azure.
- W przypadku rozpoznawania nazw opartych na usłudze Azure DNS użyj publicznej lub prywatnej usługi Azure DNS lub opcji prywatnego rozpoznawania nazw. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure DNS.
Topologia sieci: sieć platformy Azure obsługuje topologie w celu obsługi różnych przypadków użycia.
- Topologia piasty i szprych z komunikacją równorzędną sieci wirtualnych: ta topologia jest najprostszym sposobem zapewnienia izolacji usług z własnymi sieciami wirtualnymi szprych i piasty. Usługi udostępnione obejmują usługę Azure Firewall i bramy sieciowe. Wybierz tę topologię, jeśli masz prosty projekt pojedynczej lokacji, aby wdrożyć komputer w chmurze w co najmniej jednej sieci wirtualnej będącej szprychą. Aby uzyskać więcej informacji, zobacz Topologia sieci piasty i szprych.
- Topologia piasty i szprych z usługą Azure Virtual WAN: Virtual WAN to usługa sieciowa platformy Azure, która łączy funkcje sieci, zabezpieczeń i zarządzania, które umożliwiają złożone wymagania dotyczące sieci. Ta topologia służy do wdrożeń obejmujących wiele lokacji i wielu regionów z określonymi wymaganiami dotyczącymi zapory i routingu. Aby uzyskać więcej informacji, zobacz Topologia sieci piasty i szprych za pomocą usługi Virtual WAN.
Brama sieci: bramy sieci platformy Azure zapewniają łączność z sieci wirtualnej do sieci lokalnej. Istnieją bramy sieci VPN i usługi ExpressRoute. Przed podjęciem decyzji o metodzie łączności usługi ExpressRoute lub sieci VPN należy uwzględnić maksymalne wymagania dotyczące przepustowości komputera w chmurze. Bramy sieci VPN i usługi ExpressRoute są oferowane w warstwach lub jednostkach SKU, które różnią się ilością dostępnej przepustowości i innymi metrykami. Aby uzyskać więcej informacji, zobacz Rozszerzanie sieci lokalnej przy użyciu usługi ExpressRoute i Łączenie sieci lokalnej z platformą Azure przy użyciu usługi ExpressRoute.
Konfiguracje routingu
Usługa połączenia sieciowego platformy Azure z systemem Windows 365 używa zautomatyzowanych kontroli kondycji w celu określenia kondycji i gotowości środowiska klienta do aprowizowania dołączania do firmy Microsoft Entra lub dołączania hybrydowego do komputerów z chmurą firmy Microsoft Entra w architekturze opartej na połączeniu sieci platformy Azure. Bez odpowiednich konfiguracji routingu w sieci wirtualnej platformy Azure i skojarzonych usług sieciowych istnieje duże prawdopodobieństwo awarii lub opóźnień we wdrożeniu komputera w chmurze. Rozważ następujące zalecenia, aby zoptymalizować routing dla architektury sieci systemu Windows 365:
Wymagane adresy URL listy dozwolonych: każdy komputer w chmurze wdrożony w rozwiązaniu Microsoft Entra hybrid join i Microsoft Entra join Azure network connection model wymaga kilku adresów URL dozwolonych za pośrednictwem oprogramowania antywirusowego systemu operacyjnego, zapór sieciowych i modułów równoważenia obciążenia. Upewnij się, że wszystkie adresy URL są dozwolone. Aby uzyskać więcej informacji, zobacz Zezwalaj na łączność sieciową.
Użyj tagów nazwy FQDN platformy Azure: w przypadku korzystania z usługi Azure Firewall użyj tagów nazwy FQDN platformy Azure, aby zezwolić na wymagane adresy URL dla usługi Azure Virtual Desktop, Windows 365 i Intune. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do zarządzania środowiskami systemu Windows 365 i zabezpieczania ich.
Włącz przekazywanie: system Windows 365 używa protokołu RDP, który jest wrażliwy na opóźnienia wprowadzone przez urządzenia inspekcji ruchu, takie jak zapora lub urządzenie odszyfrowywania SSL. Takie opóźnienie może spowodować słabe środowisko pracy, dlatego wyłącz inspekcję ruchu tych adresów URL i zamiast tego włącz przekazywanie. Aby uzyskać więcej informacji, zobacz Technologie przechwytywania ruchu.
Pomiń serwer proxy: Usługi w chmurze i tradycyjne usługi proxy, a jednocześnie odpowiednie dla dostępu do Internetu, wprowadzają opóźnienia w połączeniach RDP. To opóźnienie występuje, gdy połączenie z urządzenia fizycznego użytkownika końcowego lub z komputera w chmurze jest wymuszane przez serwer proxy i powoduje częste rozłączenia, opóźnienia i powolne czasy odpowiedzi. Ustaw zakresy adresów IP bramy *.wvd.microsoft.com i Windows 365, aby pominąć usługi serwera proxy na urządzeniu fizycznym użytkownika, sieć, z która jest połączona, i na komputerze w chmurze.
Aby uzyskać więcej informacji, zobacz Optymalizowanie łączności RDP dla systemu Windows 365.
Routing najkrótszej ścieżki: upewnij się, że ruch RDP z komputera w chmurze dociera do punktów końcowych usługi Virtual Desktop za pośrednictwem najkrótszej ścieżki. Idealną ścieżką jest sieć wirtualna bezpośrednio do adresu IP bramy usługi Virtual Desktop za pośrednictwem Internetu. Upewnij się również, że ruch RDP z urządzenia fizycznego użytkownika końcowego dociera bezpośrednio do adresu IP bramy usługi Virtual Desktop. Ta konfiguracja zapewnia optymalny routing i nie obniża wydajności środowiska użytkownika. Unikaj kierowania ruchu RDP do Internetu za pośrednictwem usług serwera proxy w chmurze lub sieci lokalnych.
Krótka ścieżka protokołu RDP: włącz dostęp oparty na protokole RDP dla sieci użytkowników końcowych, sieci platformy Azure i komputerów w chmurze. Protokół RDP Shortpath używa protokołu UDP do przesyłania ruchu RDP. W przeciwieństwie do protokołu TCP, jest odporny na połączenia sieciowe o dużym opóźnieniu. UDP wykorzystuje również maksymalną dostępną przepustowość sieci, aby efektywnie przesyłać pakiety RDP, co prowadzi do ulepszonego środowiska użytkownika. Aby uzyskać więcej informacji, zobacz Use RDP Shortpath for public networks with Windows 365 (Używanie protokołu RDP Shortpath dla sieci publicznych w systemie Windows 365).
Umieszczanie komputerów w chmurze: aby uzyskać optymalne środowisko użytkownika i wydajność routingu, określ, gdzie klienci znajdują się w odniesieniu do aplikacji służbowych lub sieci, do których uzyskują dostęp. Należy również wziąć pod uwagę czas, przez jaki klienci uzyskują dostęp do aplikacji biznesowych w porównaniu z ogólnym czasem uzyskiwania dostępu do innych aplikacji. Zobacz następujące dwie możliwe opcje wdrażania:
Poniższy model wdrażania może być optymalny, jeśli klienci spędzają większość czasu pracy na dostępie do aplikacji biznesowych, a nie pracują nad lokalnie zainstalowanymi aplikacjami, takimi jak aplikacje na platformie Microsoft 365. Ten model optymalizuje opóźnienie dla aplikacji biznesowych a opóźnienie dostępu komputera w chmurze przez umieszczenie komputera w chmurze w tym samym regionie co aplikacja LOB (Geography B). Ta optymalizacja występuje, mimo że brama jest geograficznie bliżej użytkownika końcowego (Geography A). Na poniższym diagramie przedstawiono możliwy przepływ ruchu od użytkownika końcowego do aplikacji biznesowych.
Pobierz plik programu PowerPoint tej architektury.Jeśli klienci od czasu do czasu uzyskują dostęp do aplikacji biznesowych w lokalizacji Geography B, wdrożenie komputera w chmurze bliżej klientów może być optymalne, ponieważ optymalizuje opóźnienie dostępu do komputera w chmurze za pośrednictwem opóźnienia dostępu do aplikacji biznesowych. Na poniższym diagramie pokazano, jak ruch może przepływać w takim scenariuszu.
Pobierz plik programu PowerPoint tej architektury.
Zalecenia dotyczące usług AD DS
W architekturze przyłączania hybrydowego firmy Microsoft entra lokalna infrastruktura usług AD DS działa jako źródło tożsamości urzędu. Prawidłowe skonfigurowanie i dobrej kondycji infrastruktury usług AD DS jest kluczowym krokiem, aby wdrożenie systemu Windows 365 powiodło się.
Lokalne usługi AD DS obsługują wiele konfiguracji i różne poziomy złożoności, dlatego zalecenia podane obejmują tylko najlepsze rozwiązania z punktu odniesienia.
- W przypadku scenariusza dołączania hybrydowego firmy Microsoft entra można wdrożyć usługi AD DS na maszynach wirtualnych platformy Azure zgodnie z opisem w dokumentacji architektury w temacie Wdrażanie usług AD DS w sieci wirtualnej. Możesz również użyć połączenia sieciowego hybrydowego, aby zapewnić bezpośredni widok do lokalnego kontrolera domeny Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Implementowanie bezpiecznej sieci hybrydowej.
- W przypadku wdrożenia dołączania do firmy Microsoft Entra postępuj zgodnie z architekturą referencyjną w temacie Integrowanie lokalnych domen firmy Microsoft Entra z identyfikatorem Entra firmy Microsoft.
- System Windows 365 używa usługi watchdog w ramach zautomatyzowanego testowania, które tworzy testowe konto maszyny wirtualnej. To konto jest wyświetlane jako wyłączone w jednostce organizacyjnej określonej w konfiguracji połączenia sieciowego platformy Azure. Nie usuwaj tego konta.
- Każdy komputer w chmurze zlikwidowany w modelu przyłączania hybrydowego firmy Microsoft Entra pozostawia wyłączone konto komputera, które należy wyczyścić ręcznie w usługach AD DS.
- Usługi Microsoft Entra Domain Services nie są obsługiwane jako źródło tożsamości, ponieważ nie obsługuje przyłączania hybrydowego firmy Microsoft Entra.
Zalecenia dotyczące systemu DNS
W architekturze wdrażania połączenia sieciowego platformy Azure serwery DNS lub inna usługa DNS używana przez sieć wirtualną platformy Azure jest kluczową zależnością. Ważne jest, aby zapewnić zdrową infrastrukturę.
- W przypadku konfiguracji dołączania hybrydowego firmy Microsoft Entra system DNS powinien być w stanie rozpoznać domenę, do której należy dołączyć komputer w chmurze. Dostępnych jest wiele opcji konfiguracji. Najprostsze z nich jest określanie adresu IP serwera DNS w konfiguracji sieci wirtualnej platformy Azure. Aby uzyskać więcej informacji, zobacz Rozpoznawanie nazw, które używa własnego serwera DNS.
- W zależności od złożoności infrastruktury, takiej jak konfiguracja wielu regionów, wiele domen na platformie Azure i środowiskach lokalnych, należy użyć usługi, takiej jak strefy prywatne Usługi Azure DNS lub usługi Rozpoznawanie prywatne usługi Azure DNS.
Zalecenia dotyczące połączenia z komputerem w chmurze
Wdrożone komputery w chmurze powinny być skonfigurowane tak, aby umożliwić nieprzerwany przepływ połączeń do i z usługi bramy usługi pulpitu wirtualnego. Podczas wdrażania aplikacji w ramach konfiguracji systemu operacyjnego Windows należy wziąć pod uwagę następujące zalecenia:
- Upewnij się, że klient VPS nie uruchamia się, gdy użytkownik się zaloguje, ponieważ może odłączyć sesję po ustanowieniu tunelu VPN. Użytkownik musiałby zalogować się po raz drugi.
- Skonfiguruj aplikacje sieci VPN, proxy, zapory i ochrony antywirusowej oraz ochrony przed złośliwym kodem, aby zezwalać na ruch związany z adresami IP 168.63.129.16 i 169.254.169.254. Te adresy IP są używane do komunikacji z usługami platformy Azure, takimi jak metadane i puls. Aby uzyskać więcej informacji, zobacz Co to jest adres IP 168.63.129.16?, Usługa Azure Instance Metadata Service dla maszyn wirtualnych i Sieć wirtualna — często zadawane pytania.
- Nie modyfikuj ręcznie adresów IP komputerów w chmurze, ponieważ może to spowodować trwałe rozłączenie. Adresy IP są przypisywane z dzierżawą na czas nieokreślony i zarządzane w całym cyklu życia komputera w chmurze przez usługi sieciowe platformy Azure. Aby uzyskać więcej informacji, zobacz temat Sposoby alokacji.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Ravishankar Nandagopalan | Starszy menedżer produktu
Inni współautorzy:
- Paul Collinge | Główny menedżer produktu
- Claus Emerich | Główny menedżer produktu
- David Falkus | Główny menedżer produktu
- Bob Roudebush | Technical Leader and Cloud/Developer Technologist
- Matt Shadbolt | Główny menedżer produktu, środowiska chmury systemu Windows
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
Planowanie wdrożenia komputera w chmurze
Architektura systemu Windows 365
Tożsamość i uwierzytelnianie systemu Windows 365
Cykl życia komputera w chmurze w systemie Windows 365
Powiązane zasoby
Omówienie usług domena usługi Active Directory
Szyfrowanie danych w systemie Windows 365