Windows 365 opcje wdrażania sieci
Istnieją dwie opcje wdrażania sieci usługi Windows 365:
- Korzystanie z sieci hostowanej przez firmę Microsoft
- Zalecana opcja.
- Idealny do Windows 365 funkcji oprogramowania jako usługi (SaaS) o prostocie, niezawodności i skalowalności.
- Obsługuje model tożsamości dołączania Microsoft Entra.
- Brak wymagań dotyczących subskrypcji lub wiedzy specjalistycznej platformy Azure.
- Korzystanie z usługi Azure Network Connections (ANC)
- Obsługuje zarówno modele tożsamości dołączania Microsoft Entra, jak i Microsoft Entra sprzężenia hybrydowego.
Sieć hostowana przez firmę Microsoft
Ta opcja jest prosta, niezawodna i skalowalna, oferując łączność z komputerem w chmurze, w której firma Microsoft zapewnia usługę w ramach prawdziwego podejścia SaaS. Korzystając z tej opcji, firma Microsoft:
- Konfiguruje i w pełni zarządza infrastrukturą i powiązanymi usługami wymaganymi do dostarczania funkcjonalnych komputerów w chmurze użytkownikom.
- Zarządza siecią, którą zajmują komputery w chmurze.
- Zapewnia Zero Trust model dostosowany do struktury środowiska przetwarzania użytkowników końcowych (EUC). Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o punktach końcowych natywnych dla chmury.
Jedyną odpowiedzialnością klienta jest konfiguracja komputerów w chmurze i zarządzanie nimi.
Firma Microsoft zaleca, aby klienci korzystali z tej opcji w celu wdrożenia Windows 365.
Nie musisz wprowadzać własnych subskrypcji platformy Azure, planować, projektować, wdrażać ani zarządzać infrastrukturą. Klienci mogą poświęcić swój zespół EUC, aby skoncentrować się na zarządzaniu konfiguracjami i zabezpieczeniami komputerów w chmurze za pomocą jednej konsoli zarządzania udostępnianej przez Intune.
Ta opcja jest analogiczna do zapewnienia pracownikowi laptopa do użycia w domu. Ty jako organizacja nie kontrolujesz sieci, w ramach którą znajduje się urządzenie. W pełni kontrolujesz sposób konfigurowania, zabezpieczania urządzenia z systemem Windows oraz nawiązywania połączenia z siecią lokalną. Dzięki Windows 365 ta kontrola jest możliwa dzięki kompleksowym mechanizmom kontroli i konfiguracjom dostosowanym do Zero Trust Security Framework.
Na przykład użytkownicy mogą być uwierzytelnieni za pomocą adaptacyjnych mechanizmów kontroli Microsoft Entra dostępu warunkowego. Łączność firmowa może być dostarczana przy użyciu sieci VPN. Zabezpieczenia internetowe mogą korzystać z opartej na chmurze bezpiecznej bramy internetowej (SWG). Zaletą jest to, że urządzenia można wdrażać na dużą skalę w krótkim czasie, gdy jest to potrzebne w sieci o wysokiej przepustowości i odporności.
Diagram: Opcja sieci hostowana przez firmę Microsoft — tylko Microsoft Entra dołączanie
Na tym diagramie przedstawiono sieć hostowaną przez firmę Microsoft przy użyciu komputera w chmurze i karty sieci wirtualnej w ramach subskrypcji zarządzanej przez firmę Microsoft.
Zalety opcji sieci hostowanej przez firmę Microsoft
- Nie jest wymagana żadna subskrypcja platformy Azure. Firma Microsoft zapewnia i w pełni zarządza infrastrukturą wymaganą do działania komputera w chmurze. Potrzebne są tylko wymagane licencje.
- Brak dodatkowych kosztów infrastruktury sieciowej. Koszty platformy Azure związane z obsługą własnej sieci wirtualnej (VNet) i urządzeń wirtualnych nie mają zastosowania. Firma Microsoft zajmuje się infrastrukturą sieci.
- Nie jest wymagana żadna wiedza na temat sieci platformy Azure ani zarządzanie nią. Sieć wirtualna jest w pełni zarządzana przez firmę Microsoft.
- Niska złożoność i szybkie wdrażanie. Wdrażanie jest niskie ze względu na minimalne zależności od elementów po stronie klienta.
- Zero wyrównania zaufania. Model Zero Trust operacji dla sygnałów użytkownika, punktu końcowego, obciążenia i danych jest używany do weryfikacji zamiast stosowania zaufania do lokalizacji sieciowej.
- Prostsze rozwiązywanie problemów i operacje. Łatwiej jest rozwiązywać i identyfikować problemy z siecią oraz wdrażać nowoczesne zarządzanie urządzeniami w oparciu o zasady Intune, mechanizmy kontroli zabezpieczeń i wbudowane funkcje raportowania.
Zagadnienia dotyczące
Przed użyciem opcji sieci hostowanej przez firmę Microsoft zapoznaj się z następującymi zagadnieniami:
- Ta opcja nie jest zgodna z modelem przyłączania hybrydowego Microsoft Entra. Ta opcja jest wdrożeniem tylko w chmurze bez łączności z infrastrukturą lokalna usługa Active Directory Domain Services. Jeśli masz zasady grupy zasad zarządzania opartych na obiektach, których nie można przekonwertować na Intune, ta opcja nie jest odpowiednia dla Ciebie.
- Brak kontroli nad siecią wirtualną. Wirtualna karta sieciowa jest zarządzana przez firmę Microsoft. W związku z tym wszystkie mechanizmy kontroli sieci muszą być zaimplementowane na samym komputerze w chmurze, podobnie jak urządzenia fizyczne w scenariuszu pracy z domu.
- Brak bezpośredniego dostępu do zasobów lokalnych. Aby uzyskać dostęp do tych zasobów, wymagana jest sieć VPN lub prywatne rozwiązanie dostępu. W przypadku korzystania z sieci VPN z komputerem w chmurze użyj tunelowania podzielonego , aby upewnić się, że ruch RDP nie jest kierowany przez sieć VPN.
- Wymaga modelu operacji zarządzania natywnego dla chmury, takiego jak Intune.
- Port 25 jest zablokowany.
- Polecenie Ping/ICMP jest zablokowane.
- Komunikacja sieci lokalnej między komputerami w chmurze jest zablokowana.
- Nie jest możliwe bezpośrednie połączenie przychodzące z komputerami w chmurze.
- Administratorzy nie mogą kontrolować zakresów adresów IP i/lub przestrzeni adresowej przypisanej do komputerów w chmurze. Windows 365 automatycznie obsługuje adresy IP.
Opcja Połączenie sieciowe platformy Azure
Dzięki opcji wdrażania usługi Azure Network Connection (ANC) jesteś całkowicie odpowiedzialny za sieć wirtualną i jej konfigurację. Jeśli używasz Microsoft Entra modelu przyłączania hybrydowego, musisz użyć tej opcji wdrożenia. Ta opcja zapewnia wgląd w lokalne zasoby usługi Azure Directory i umożliwia dostosowanie celów sieciowych i zabezpieczeń, takich jak:
- Trasy ruchu.
- Porty i protokoły.
- Usługi Active Directory DS i łączność aplikacji biznesowych.
- Połączenia bramy przy użyciu sieci VPN lub usługi ExpressRoute.
- Przestrzeń adresowa używana przez komputery w chmurze.
- Uprawnienia do komunikacji między komputerami w chmurze.
- Bezpośrednie połączenia RDP z komputerami w chmurze.
Wybierasz sieć wirtualną spośród tych w subskrypcji platformy Azure. Skonfigurujesz zasady aprowizacji, które tworzą komputery w chmurze w sieci wirtualnej. Będziesz zarządzać łącznością z komputerem w chmurze, w tym dowolnym bezpośrednim wyjściem z sieci wirtualnej i żądaną ścieżką dostępu do Internetu.
Usługa Azure Network Connection obsługuje dwa modele wdrażania tożsamości:
- Microsoft Entra sprzężenia
- przyłączanie hybrydowe Microsoft Entra
Microsoft Entra sprzężenia
W przypadku korzystania z Microsoft Entra sprzężenia nie trzeba tworzyć połączenia z sieci wirtualnej do sieci lokalnej. Należy jedynie upewnić się, że istnieje wychodząca łączność z Internetem z wymaganymi punktami końcowymi. Można jednak dodać połączenie lokalne w celu uzyskania dostępu do zasobów znajdujących się na lokalnych serwerach plików i w aplikacjach. Połączenie można utworzyć przy użyciu usługi ExpressRoute lub sieci VPN typu lokacja-lokacja, ale te opcje stanowią dodatkowy koszt i złożoność.
Dla uproszczenia podczas korzystania z Microsoft Entra sprzężenia zalecamy użycie wcześniej wyjaśnionej opcji sieci hostowanej przez firmę Microsoft. W takim przypadku możesz użyć sieci VPN lub prywatnego rozwiązania dostępu przez Internet, aby uzyskać dostęp do zasobów firmowych.
Diagram: opcja ANC — sprzężenie Microsoft Entra
przyłączanie hybrydowe Microsoft Entra
W przypadku Microsoft Entra przyłączania hybrydowego wymagane jest połączenie z siecią lokalną z sieci wirtualnej. Jedynym sposobem dotarcia do znajdującej się tam infrastruktury kontrolera domeny jest użycie opcji wdrożenia ANC. To połączenie jest składnikiem krytycznym, dlatego należy zachować ostrożność w celu zapewnienia niezawodności i nadmiarowości.
Diagram: opcja ANC — Microsoft Entra sprzężenie hybrydowe
Zalety opcji ANC
- Pełna kontrola nad siecią wirtualną. Karta sieciowa komputera w chmurze znajduje się we własnej zarządzanej sieci wirtualnej.
- Bezpośrednie połączenie bezpośrednie z infrastrukturą lokalną. Sieć wirtualną można skonfigurować przy użyciu połączenia sieci VPN typu lokacja-lokacja lub połączenia usługi ExpressRoute z siecią lokalną na potrzeby bezpośredniej łączności z infrastrukturą lub usługami lub aplikacjami usługi Azure Directory, które się tam znajdują.
- Komputer w chmurze działał tak, jakby był w lokalizacji lokalnej. Rozszerzenie sieci firmowej do sieci wirtualnej oznacza, że komputer w chmurze może działać tak, jakby mieścił się w granicach sieci firmowej.
- Prosta komunikacja równorzędna z innymi sieciami wirtualnymi. Prosta łączność krzyżowa między siecią wirtualną komputera w chmurze i innymi sieciami wirtualnymi na platformie Azure. Obsługuje to bezpośrednią łączność z innymi zasobami hostowanymi na platformie Azure używanymi przez organizację.
Zagadnienia dotyczące
Przed użyciem opcji wdrożenia usługi ANC zapoznaj się z następującymi zagadnieniami:
Wymagana subskrypcja platformy Azure. Sieć wirtualna używana w tym scenariuszu znajduje się we własnej subskrypcji platformy Azure. W związku z tym musisz mieć subskrypcję platformy Azure i wymagane licencje.
Koszty ruchu wychodzącego. Ponieważ sieć wirtualna jest skojarzona z Twoim własnym kontem platformy Azure, wszelkie koszty ruchu wychodzącego są naliczane w ramach subskrypcji platformy Azure.
Dodatkowe koszty infrastruktury sieciowej. Koszty platformy Azure związane z obsługą własnej sieci wirtualnej są stosowane do subskrypcji skojarzonej z siecią wirtualną.
Wymagana jest wiedza na temat sieci platformy Azure lub zarządzanie nią. Aby zachować sieć wirtualną, musisz zapewnić wiedzę i zarządzanie.
Większa złożoność. Musisz zarządzać siecią i obsługiwać ją, co jest bardziej złożonym zadaniem niż korzystanie z sieci hostowanej przez firmę Microsoft.
Dłuższe wdrażanie. Wdrożenie jest zwykle dłuższe niż w przypadku opcji sieci hostowanej przez firmę Microsoft. Ten dodatkowy czas jest spowodowany dużą liczbą elementów po stronie klienta, które należy najpierw skonfigurować.
Wyższe ryzyko. Wdrożenie usługi ANC jest bardziej złożone niż wdrożenie sieci hostowane przez firmę Microsoft. Ta złożoność zwiększa ryzyko problemów z łącznością.
Sieci hostowane przez firmę Microsoft nie obsługują stałych adresów IP dla połączeń wychodzących komputera w chmurze. W związku z tym różne adresy IP mogą być obserwowane podczas korzystania z różnych aplikacji lub nawet tej samej aplikacji w różnym czasie.
Opcje jednoczesne
Sieci hostowanej przez firmę Microsoft i opcji ANC można używać jednocześnie. Na przykład można użyć opcji ANC dla podzestawu wdrożeń, które mają unikatowe starsze wymagania. W pozostałej części wdrożenia bez tych wymagań możesz użyć opcji sieci hostowanej przez firmę Microsoft.