Omówienie połączenia sieciowego platformy Azure
Połączenie sieciowe platformy Azure (ANC) to obiekt w centrum administracyjnym Microsoft Intune, który udostępnia profile aprowizacji komputera w chmurze z informacjami wymaganymi do nawiązywania połączenia z zasobami sieciowymi. Używane są kontrolery ANC:
- Gdy komputer w chmurze jest początkowo aprowizowane.
- Gdy Windows 365 okresowo sprawdza połączenie z infrastrukturą lokalną, aby zapewnić najlepsze środowisko użytkownika końcowego.
Typy połączeń sieciowych
Istnieją dwa rodzaje ancs na podstawie ich typu sprzężenia. Oba umożliwiają zarządzanie ruchem i dostępem komputera w chmurze do zasobów sieciowych, ale mają one różne wymagania dotyczące łączności.
- Microsoft Entra sprzężenia: nie wymaga łączności z domeną Windows Server Active Directory (AD).
- Przyłączanie Microsoft Entra hybrydowe: wymaga łączności z domeną Windows Server AD. Podczas tworzenia usługi ANC należy podać szczegóły domeny usługi AD.
Inicjowania obsługi
Po aprowizowaniu komputera w chmurze informacje w usłudze ANC są używane przez zasady aprowizacji do aprowizacji komputera w chmurze w podsieci platformy Azure. Informacje wymagane w usłudze ANC obejmują:
- Szczegóły sieci: subskrypcja platformy Azure, grupa zasobów, sieć wirtualna i podsieć do skojarzenia z komputerem w chmurze. Po uruchomieniu zasad aprowizacji program tworzy komputer w chmurze w subskrypcji platformy Azure hostowanej przez firmę Microsoft. Aby nawiązać połączenie z siecią lokalną klienta, do sieci wirtualnej (vNet) jest wstrzykiwana wirtualna karta interfejsu sieciowego (vNic) dostarczona przez klienta. Aby utworzyć tę sieć wirtualną, Windows 365 wymaga wystarczającego dostępu do subskrypcji platformy Azure.
- Domena usługi Active Directory: domena usługi Active Directory do dołączenia, miejsce docelowe jednostki organizacyjnej (OU) dla obiektu komputera oraz poświadczenia użytkownika usługi Active Directory z wystarczającymi uprawnieniami do przeprowadzenia sprzężenia z domeną. Po uruchomieniu zasad aprowizacji komputer w chmurze jest przyłączony do tej domeny usługi Active Directory. Poświadczenia są bezpiecznie przechowywane w usłudze Windows 365.
Podczas aprowizacji komputer w chmurze jest połączony z podsiecią platformy Azure i przyłączony do domeny (Windows Server Active Directory lub Tożsamość Microsoft Entra). Ten proces powoduje utworzenie komputera w chmurze, który:
- W sieci.
- Zarejestrowano w Tożsamość Microsoft Entra.
- Zarejestrowano w Microsoft Intune.
- Gotowy do akceptowania żądań logowania użytkownika.
Ustawienia anc są stosowane do komputera w chmurze tylko w momencie aprowizacji.
Alternatywne ancs
Aby ułatwić aprowizowanie komputerów w chmurze bardziej niezawodnych w rzadkich przypadkach ograniczeń pojemności w regionie, możesz przypisać alternatywne ancs do zasad aprowizacji. Możesz zdefiniować kolejność priorytetów ancs używanych przez zasady. Jeśli pierwsza usługa ANC jest niedostępna, zasady automatycznie używają drugiej usługi ANC na liście priorytetów. Jeśli drugi jest niedostępny, przechodzi do następnego itd. Ten proces umożliwia administratorom przygotowanie wielu ancs w różnych regionach platformy Azure, dzięki czemu aprowizowanie jest bardziej niezawodne. Nie trzeba używać wielu ancs. Aby uzyskać więcej informacji na temat korzystania z alternatywnych ancs podczas tworzenia zasad aprowizacji, zobacz Tworzenie zasad aprowizacji.
Pierwsza kontrola kondycji
Informacje zawarte w usłudze ANC są używane do aprowizacji komputera w chmurze. Aby aprowizowanie powiodło się, zasoby przywoływane w usłudze ANC muszą być w dobrej kondycji i dostępne. Po utworzeniu obiektu ANC Windows 365 sprawdza, czy:
- Obiekty, do których odwołuje się usługa ANC, są w dobrej kondycji.
- Connections można wykonać dla tych obiektów.
Te testy kondycji używają informacji ANC dostarczonych do aprowizowania komputera w chmurze. Aby uzyskać pełną listę kontroli, zobacz Testy kondycji połączeń sieciowych platformy Azure.
Chociaż ta pierwsza kontrola kondycji usługi ANC jest w toku, nie można przypisać jej do zasad aprowizacji. Po zakończeniu i pomyślnym sprawdzeniu kondycji usługa ANC może zostać przypisana do co najmniej jednej zasady aprowizacji.
Okresowe kontrole kondycji
Po zainicjowaniu obsługi administracyjnej informacje w usłudze ANC są również używane do monitorowania:
- kondycja połączenia między zasobami opartymi na sieci
- komputer w chmurze hostowany w subskrypcji hostowanej przez firmę Microsoft
Windows 365 zgłasza problemy z konfiguracją, które mogą powodować błędy aprowizacji lub słabe środowisko użytkownika końcowego. To monitorowanie zmniejsza obciążenie związane z zarządzaniem. Aby uzyskać więcej informacji na temat tych okresowych kontroli, zobacz Testy kondycji połączeń sieciowych platformy Azure.
Częstotliwość sprawdzania kondycji
Kontrole ANC są wykonywane raz na sześć godzin.
Kompleksowa, kompleksowa kontrola kondycji może potrwać do 30 minut. Testy kondycji są uruchamiane na tymczasowej maszynie wirtualnej platformy Azure, która jest automatycznie tworzona specjalnie do tego celu. Ta maszyna wirtualna jest tworzona automatycznie i usuwana po zakończeniu kontroli kondycji. Maszyna wirtualna jest połączona z określoną siecią wirtualną i przeprowadzane są testy w celu zapewnienia, że aprowizowanie powinno zakończyć się pomyślnie.
Po zakończeniu sprawdzania wyniki są publikowane w okienku Połączenia sieciowe platformy Azure w centrum administracyjnym Microsoft Intune. Aby uzyskać informacje o wynikach sprawdzania, zobacz Testy kondycji połączeń sieciowych platformy Azure.
Ponów próbę sprawdzenia kondycji
Aby ręcznie wyzwolić pełną kontrolę kondycji, zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycję Urządzenia>Windows 365 (w obszarze Aprowizowanie)>Połączenie sieciowe> platformy Azure wybierz opcję Ponów próbę połączenia sieciowego > platformy Azure.
Uprawnienia wymagane dla połączeń sieciowych platformy Azure
Kreator usługi ANC wymaga dostępu do platformy Azure i opcjonalnie lokalnych zasobów domeny. Dla usługi ANC są wymagane następujące uprawnienia:
- rola administratora Intune lub administratora Windows 365.
- Konto użytkownika usługi Active Directory z wystarczającymi uprawnieniami, aby dołączyć domenę usługi AD do tej jednostki organizacyjnej (Microsoft Entra tylko przyłączanie hybrydowe DOCS).
Aby utworzyć lub edytować usługę ANC, musisz mieć co najmniej rolę Czytelnik subskrypcji w subskrypcji platformy Azure, w której znajdowała się sieć wirtualna skojarzona z usługą ANC.
Aby uzyskać pełną listę wymagań, zobacz Windows 365 wymagania.
Zmiana połączenia sieciowego platformy Azure
Zmiana ustawień w usłudze ANC nie wpłynie na komputery w chmurze wcześniej aprowizowane z tą usługą ANC. Tylko komputery w chmurze aprowizowane po wprowadzeniu zmian w usłudze ANC odzwierciedlają takie późniejsze zmiany.
Jeśli chcesz zmienić ustawienia związane z usługą ANC na wcześniej aprowizowanym komputerze w chmurze, musisz ponownie aprowizować komputer w chmurze. Ponowne aprowizowanie jest działaniem destrukcyjnym, więc upewnij się, że jest to akcja, którą naprawdę chcesz wykonać. Aby uzyskać więcej informacji, zobacz reprovisioning (Ponowne aprowizowanie).
Usuwanie połączenia sieciowego platformy Azure
Nie można usunąć używanej usługi ANC. Przed usunięciem obiektu należy wykonać jedną z następujących akcji dla wszystkich zasad aprowizacji, które używają tej usługi ANC:
- Zmień zasady, aby używać innej usługi ANC.
- Usuń zasady. Aby uzyskać więcej informacji, usuń połączenie sieciowe platformy Azure.
Po wykonaniu jednej z tych operacji można usunąć anc.
Maksymalna liczba połączeń sieciowych platformy Azure
Każda dzierżawa ma limit 50 połączeń sieciowych platformy Azure. Jeśli Twoja organizacja potrzebuje więcej niż 50 połączeń sieciowych platformy Azure, skontaktuj się z pomocą techniczną.
Nieaktywne ancs
AnCs, które są nieużywane przez pewien czas stają się nieaktywne. Nieaktywne kontrolery ANC wstrzymują uruchomione kontrole kondycji i nie mogą być przypisane do zasad aprowizacji do momentu ponownej aktywacji usługi ANC i pomyślnego zakończenia kontroli kondycji.
Logowanie użytkownika
Gdy użytkownicy próbują zalogować się na komputerze w chmurze, następuje uwierzytelnianie użytkowników.
W przypadku Microsoft Entra przyłączania hybrydowego ancs, anc jest używany do kierowania żądania uwierzytelniania do kontrolerów domeny. Jeśli anc lub połączenie sieciowe z domeną jest w złej kondycji, logowanie użytkownika nie może wystąpić. Poświadczeń buforowanych w systemie Windows nie można używać za pośrednictwem kanału pulpitu zdalnego, więc dostępność kontrolera domeny ma krytyczne znaczenie. Upewnij się, że sieć jest stabilna lub umieść serwer kontrolera domeny w tej samej podsieci co komputery w chmurze.
W przypadku Microsoft Entra dołączania do usługi ANC usługa ANC jest używana do kierowania żądania uwierzytelniania do Tożsamość Microsoft Entra. Poświadczeń buforowanych w systemie Windows nie można używać za pośrednictwem kanału pulpitu zdalnego, dlatego łączność z Tożsamość Microsoft Entra ma krytyczne znaczenie.