Wymagania dotyczące sieci
Windows 365 to usługa oparta na chmurze, która umożliwia użytkownikom łączenie się za pośrednictwem Internetu z dowolnego urządzenia z dowolnego miejsca do pulpitu systemu Windows działającego na platformie Azure. Aby obsługiwać te połączenia internetowe, należy spełnić wymagania dotyczące sieci wymienione w tym artykule.
Każdy klient ma swoje specyficzne wymagania na podstawie obciążenia używanego do obliczania wymagań sieciowych środowiska komputera w chmurze.
Uwaga
Ten artykuł ma zastosowanie tylko wtedy, gdy planujesz aprowizowanie komputerów w chmurze we własnej sieci wirtualnej platformy Azure, w przeciwieństwie do sieci hostowanej przez firmę Microsoft.
Ogólne wymagania dotyczące sieci
Aby korzystać z własnej sieci i aprowizować komputery w chmurze przyłączone do usługi Microsoft Entra, musisz spełnić następujące wymagania:
- Sieć wirtualna platformy Azure: musisz mieć sieć wirtualną w subskrypcji platformy Azure w tym samym regionie, w którym są tworzone komputery stacjonarne z systemem Windows 365.
- Przepustowość sieci: zapoznaj się z wytycznymi dotyczącymi sieci platformy Azure.
- Podsieć w sieci wirtualnej i dostępna przestrzeń adresów IP.
Aby korzystać z własnej sieci i aprowizować komputery w chmurze przyłączone hybrydowo do usługi Microsoft Entra, należy spełnić powyższe wymagania i następujące wymagania:
- Sieć wirtualna platformy Azure musi być w stanie rozpoznać wpisy DNS dla środowiska usług Active Directory Domain Services (AD DS). Aby obsłużyć tę rozdzielczość, zdefiniuj serwery DNS usług AD DS jako serwery DNS dla sieci wirtualnej.
- Sieć wirtualna platformy Azure musi mieć dostęp sieciowy do kontrolera domeny przedsiębiorstwa na platformie Azure lub lokalnie.
Zezwalaj na łączność sieciową
Musisz zezwolić na ruch w konfiguracji sieci do następujących adresów URL usługi i portów, aby obsługiwać aprowizację komputerów w chmurze i zarządzanie nimi oraz zdalną łączność z komputerami w chmurze. Mimo że większość konfiguracji dotyczy sieci komputerów w chmurze, łączność użytkownika końcowego odbywa się z urządzenia fizycznego. W związku z tym należy również postępować zgodnie z wytycznymi dotyczącymi łączności w sieci urządzeń fizycznych.
Urządzenie lub usługa | Wymagane adresy URL i porty łączności sieciowej | Uwagi |
---|---|---|
Urządzenie fizyczne | Link | W przypadku łączności i aktualizacji klienta pulpitu zdalnego. |
Usługa Microsoft Intune | Link | W przypadku usług w chmurze usługi Intune, takich jak zarządzanie urządzeniami, dostarczanie aplikacji i analiza punktów końcowych. |
Maszyna wirtualna hosta sesji usługi Azure Virtual Desktop | Link | W przypadku łączności zdalnej między komputerami w chmurze i usługą zaplecza usługi Azure Virtual Desktop. |
Usługa systemu Windows 365 | Link | W przypadku aprowizowania i kontroli kondycji. |
Usługa systemu Windows 365
Następujące adresy URL i porty są wymagane do aprowizowania komputerów w chmurze oraz kontroli kondycji połączenia sieciowego platformy Azure (ANC):
- *.infra.windows365.microsoft.com
- *.cmdagent.trafficmanager.net
- Punkty końcowe rejestracji
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 ruchu wychodzącego)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 ruchu wychodzącego)
Wszystkie punkty końcowe łączą się za pośrednictwem portu 443, chyba że określono inaczej.
Port 3389
Port 3389 jest domyślnie wyłączony dla wszystkich nowo aprowizowanych komputerów w chmurze. Firma Microsoft zaleca zamknięcie portu 3389. Jeśli jednak potrzebujesz portu 3389, aby był otwarty dla wszystkich ponownie aprowizowanych lub nowo aprowizowanych komputerów w chmurze przy użyciu opcji wdrażania usługi Azure Network Connection (ANC), możesz przejrzeć następujące opcje:
- Punkty odniesienia zabezpieczeń systemu Windows 365. Klienci mogą korzystać z punktów odniesienia zabezpieczeń systemu Windows 365, aby efektywnie zarządzać portem 3389 dla komputerów z systemem Windows 365 Cloud. Te punkty odniesienia zapewniają kompleksowe narzędzia i konfiguracje zaprojektowane w celu zwiększenia środków bezpieczeństwa przy jednoczesnym umożliwieniu niezbędnego dostępu. Dzięki dostosowaniu ustawień zapory i ustawieniu domyślnej akcji ruchu przychodzącego dla profilu publicznegona wartość Zezwalaj organizacje mogą upewnić się, że port 3389 jest odpowiednio skonfigurowany do spełnienia potrzeb operacyjnych. Przejrzyj i dostosuj te ustawienia zgodnie z określonymi wymaganiami organizacji.
- Utwórz niestandardową regułę zapory w usłudze Microsoft Intune. Klienci mogą używać niestandardowych reguł zapory w usłudze Microsoft Intune do konfigurowania portu 3389 dla komputerów z systemem Windows 365 Cloud. Ta opcja obejmuje utworzenie reguły niestandardowej w ramach zasad zabezpieczeń usługi Intune dostosowanych do zezwalania na ruch przychodzący na porcie 3389, który jest używany do uzyskiwania dostępu do komputerów w chmurze. Definiując parametry reguły, takie jak numer portu, protokół (TCP) i ograniczając określone adresy IP lub sieci, możesz upewnić się, że dostęp do portu 3389 jest ściśle kontrolowany i ograniczony tylko do autoryzowanych jednostek.
Te opcje nie mają zastosowania w przypadku klientów korzystających z sieci hostowanej przez firmę Microsoft.
Używanie tagów FQDN dla punktów końcowych za pośrednictwem usługi Azure Firewall
Tagi w pełni kwalifikowanej nazwy domeny (FQDN) systemu Windows 365 ułatwiają udzielanie dostępu do wymaganych punktów końcowych usługi systemu Windows 365 za pośrednictwem zapory platformy Azure. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do zarządzania środowiskami systemu Windows 365 i zabezpieczania ich.
Punkty końcowe usługi brokera protokołu pulpitu zdalnego (RDP)
Bezpośrednia łączność z punktami końcowymi usługi brokera RDP usługi pulpitu wirtualnego azure ma kluczowe znaczenie dla komunikacji zdalnej z komputerem w chmurze. Te punkty końcowe wpływają zarówno na łączność, jak i na opóźnienie. Aby dostosować je do zasad łączności sieciowej platformy Microsoft 365, należy sklasyfikować te punkty końcowe jako optymalizowanie punktów końcowych. Zalecamy użycie bezpośredniej ścieżki z sieci wirtualnej platformy Azure do tych punktów końcowych.
Aby ułatwić konfigurowanie mechanizmów kontroli zabezpieczeń sieci, użyj tagów usługi Azure Virtual Desktop, aby tożsamości tych punktów końcowych na potrzeby routingu bezpośredniego przy użyciu trasy zdefiniowanej przez użytkownika (UDR) sieci platformy Azure. Trasa zdefiniowana przez użytkownika powoduje, że routing bezpośredni między siecią wirtualną a brokerem RDP zapewnia najmniejsze opóźnienia. Aby uzyskać więcej informacji na temat tagów usługi platformy Azure, zobacz Omówienie tagów usługi platformy Azure.
Zmiana tras sieciowych komputera w chmurze (w warstwie sieci lub w warstwie komputera w chmurze, takiej jak sieć VPN) może przerwać połączenie między komputerem w chmurze a brokerem RDP usługi Azure Virtual Desktop. Jeśli tak, użytkownik końcowy jest odłączony od komputera w chmurze do momentu ponownego nawiązania połączenia.
Wymagania dotyczące systemu DNS
W ramach wymagań przyłączania hybrydowego w usłudze Microsoft Entra komputery w chmurze muszą mieć możliwość dołączania do lokalnej usługi Active Directory. Wymaga to, aby komputery w chmurze mogły rozpoznawać rekordy DNS dla lokalnego środowiska usługi AD.
Skonfiguruj sieć wirtualną platformy Azure, w której komputery w chmurze są aprowizowane w następujący sposób:
- Upewnij się, że sieć wirtualna platformy Azure ma łączność sieciową z serwerami DNS, które mogą rozpoznawać domenę usługi Active Directory.
- W obszarze Ustawienia usługi Azure Virtual Network wybierz pozycję Serwery DNS, a następnie wybierz pozycję Niestandardowe.
- Wprowadź adres IP serwerów DNS, które mogą rozpoznać domenę usług AD DS.
Porada
Dodanie co najmniej dwóch serwerów DNS, tak jak w przypadku komputera fizycznego, pomaga zmniejszyć ryzyko wystąpienia pojedynczego punktu awarii w rozpoznawaniu nazw.
Aby uzyskać więcej informacji, zobacz konfigurowanie ustawień sieci wirtualnych platformy Azure.
Wymagania dotyczące protokołu pulpitu zdalnego
System Windows 365 korzysta z protokołu RDP (Remote Desktop Protocol).
Scenariusz | Tryb domyślny | Tryb H.264/AVC 444 | Opis |
---|---|---|---|
Bezczynny | 0,3 Kb/s | 0,3 Kb/s | Użytkownik wstrzymał pracę i nie ma żadnych aktywnych aktualizacji ekranu. |
Microsoft Word | 100–150 Kb/s | 200–300 Kb/s | Użytkownik aktywnie współpracuje z programem Microsoft Word: wpisywaniem, wklejaniem grafiki i przełączaniem między dokumentami. |
Microsoft Excel | 150–200 Kb/s | 400–500 Kb/s | Użytkownik aktywnie współpracuje z programem Microsoft Excel: wiele komórek z formułami i wykresami jest aktualizowanych jednocześnie |
Microsoft PowerPoint | 4–4,5 Mb/s | 1,6–1,8 Mb/s | Użytkownik aktywnie współpracuje z programem Microsoft PowerPoint: wpisywanie, wklejanie, modyfikowanie bogatej grafiki i używanie efektów przejścia slajdów. |
Przeglądanie sieci Web | 6–6,5 Mb/s | 0,9–1 Mb/s | Użytkownik aktywnie współpracuje z bogatą graficznie witryną internetową zawierającą wiele obrazów statycznych i animowanych. Użytkownik przewija strony zarówno w poziomie, jak i w pionie |
Galeria obrazów | 3,3–3,6 Mb/s | 0,7–0,8 Mb/s | Użytkownik aktywnie pracuje z aplikacją galerii obrazów: przeglądanie, powiększanie, zmienianie rozmiaru i obracanie obrazów |
Odtwarzanie wideo | 8,5–9,5 Mb/s | 2,5–2,8 Mb/s | Użytkownik ogląda film 30 FPS, który zużywa 1/2 ekranu. |
Odtwarzanie wideo na pełnym ekranie | 7,5–8,5 Mb/s | 2,5–3,1 Mb/s | Użytkownik ogląda film 30 FPS zmaksymalizowany do pełnego ekranu. |
Wymagania dotyczące usługi Microsoft Teams
Microsoft Teams to jedna z podstawowych usług platformy Microsoft 365 na komputerze z chmurą. System Windows 365 odciąża ruch audio i wideo do punktu końcowego, aby umożliwić środowisko wideo, takie jak aplikacja Teams, na komputerze fizycznym.
Jakość sieci jest ważna dla każdego scenariusza. Upewnij się, że masz odpowiednią przepustowość dostępną dla jakości, którą chcesz zaoferować.
Full HD (1920x1080p) nie jest obsługiwanym rozwiązaniem dla aplikacji Microsoft Teams na komputerach w chmurze.
Przepustowość (w górę/w dół) | Scenariuszy |
---|---|
30 kb/s | Połączenia audio typu peer-to-peer. |
130 kb/s | Połączenia audio typu równorzędne i udostępnianie ekranu. |
500 kb/s | Wideo w jakości peer-to-peer wywołujące 360p przy 30 fps. |
1,2 Mb/s | Połączenia wideo w jakości HD równorzędnej z rozdzielczością HD 720p przy 30 fps. |
500 kb/s | Grupowanie połączeń wideo. |
Aby uzyskać więcej informacji na temat wymagań dotyczących sieci w usłudze Microsoft Teams, zobacz Zagadnienia dotyczące sieci.
Technologie przechwytywania ruchu
Niektórzy klienci korporacyjni używają przechwytywania ruchu, odszyfrowywania SSL, głębokiej inspekcji pakietów i innych podobnych technologii dla zespołów zabezpieczeń do monitorowania ruchu sieciowego. Aprowizacja komputera w chmurze może wymagać bezpośredniego dostępu do maszyny wirtualnej. Te technologie przechwytywania ruchu mogą powodować problemy z uruchamianiem kontroli połączeń sieciowych platformy Azure lub aprowizowaniem komputera w chmurze. Upewnij się, że przechwytywanie sieci nie jest wymuszane dla komputerów w chmurze aprowizowanych w ramach usługi Windows 365.
Szerokość pasma
System Windows 365 korzysta z infrastruktury sieci platformy Azure. Subskrypcja platformy Azure jest wymagana, gdy podczas wdrażania systemu Windows 365 Enterprise jest wybrana sieć wirtualna. Opłaty za przepustowość dla użycia komputera w chmurze obejmują:
- Ruch sieciowy do komputera w chmurze jest bezpłatny.
- Ruch wychodzący (wychodzący) wiąże się z naliczaniem opłat za subskrypcję platformy Azure dla sieci wirtualnej.
- Dane pakietu Office (takie jak poczta e-mail i synchronizacja plików w usłudze OneDrive dla Firm) są naliczane opłaty za ruch wychodzący, jeśli komputer w chmurze i dane użytkownika znajdują się w różnych regionach.
- Ruch sieciowy RDP zawsze wiąże się z opłatami za ruch wychodzący.
Jeśli korzystasz z własnej sieci, zobacz Cennik przepustowości.
Jeśli używasz sieci hostowanej przez firmę Microsoft: dane wychodzące/miesiąc są oparte na pamięci RAM komputera w chmurze:
- 2 GB pamięci RAM = 12 GB danych wychodzących
- 4 GB lub 8 GB pamięci RAM = 20 GB danych wychodzących
- 16 GB pamięci RAM = 40 GB danych wychodzących
- 32 GB pamięci RAM = 70 GB danych wychodzących
Przepustowość danych może być ograniczona po przekroczeniu tych poziomów.
Następne kroki
Dowiedz się więcej o kontroli dostępu opartej na rolach na komputerze w chmurze.