Planejamento de cliente de rede e Área de Trabalho Remota

Concluído

Rede

Há vários requisitos de rede que você precisa cumprir para implantar a Área de Trabalho Virtual do Azure com sucesso. Isso permite que os usuários se conectem a suas áreas de trabalho e aplicativos, fornecendo também a melhor experiência de usuário possível.

Os usuários que se conectam à Área de Trabalho Virtual do Azure estabelecem com segurança uma conexão inversa com o serviço, o que significa que você não precisa abrir nenhuma porta de entrada. O protocolo TCP na porta 443 é usado por padrão. No entanto, o shortpath RDP pode ser usado para redes gerenciadas e redes públicas que estabelecem um transporte direto baseado no protocolo UDP.

Para implantar a Área de Trabalho Virtual do Azure com sucesso, você precisa atender aos seguintes requisitos de rede:

• Você precisa ter uma rede virtual e uma sub-rede para os hosts da sessão. Se você criar os hosts de sessão ao mesmo tempo que um pool de hosts, deverá criar essa rede virtual com antecedência para que ela apareça na lista suspensa. A rede virtual deve estar na mesma região do Azure que o host da sessão.
• Verifique se essa rede virtual pode se conectar aos controladores de domínio e aos servidores DNS relevantes, caso você esteja usando o AD DS ou o Microsoft Entra Domain Services, pois você precisará ingressar os hosts da sessão no domínio.
• Os hosts de sessão e os usuários precisam ser capazes de se conectar ao serviço de Área de Trabalho Virtual do Azure. Essas conexões também usam TCP na porta 443 para uma lista específica de URLs. Para obter mais informações, consulte Lista de URL Necessárias. Você deve verificar se essas URLs não estão bloqueadas pela filtragem de rede ou por um firewall para que sua implantação funcione corretamente e tenha suporte. Se os usuários precisarem acessar o Microsoft 365, verifique se os hosts de sessão podem se conectar a pontos de extremidade da Microsoft 365.

Considere também o seguinte:

• Os usuários podem precisar ter acesso aos aplicativos e aos dados hospedados em redes diferentes, portanto, verifique se os hosts da sessão podem se conectar a eles.
• A latência do RTT (tempo de viagem de ida e volta) da rede do cliente para a região do Azure que contém os pools de hosts deve ser inferior a 150 ms. Para ver quais locais têm a melhor latência, procure o local desejado nas estatísticas de latência de ida e volta da rede do Azure. Para otimizar o desempenho da rede, recomendamos que você crie hosts de sessão na região do Azure mais próxima de seus usuários.
• Use o Firewall do Azure para implantações de Área de Trabalho Virtual do Azure para ajudá-lo a bloquear seu ambiente e filtrar o tráfego de saída.
• Para ajudar a proteger seu ambiente da Área de Trabalho Virtual do Azure no Azure, recomendamos que você não abra a porta de entrada 3389 nos hosts da sessão. A Área de Trabalho Virtual do Azure não requer que uma porta de entrada aberta esteja aberta. Caso você precise abrir a porta 3389 para fins de solução de problemas, recomendamos o uso do acesso just-in-time à VM. Também recomendamos que você não atribua um endereço IP público aos hosts da sessão.

Observação

Para manter a Área de Trabalho Virtual do Azure confiável e escalonável, agregamos padrões de tráfego e uso para verificar a integridade e o desempenho do painel de controle de infraestrutura. Agregamos essas informações de todos os locais onde essa infraestrutura de serviço está, e as enviamos para a região dos EUA. Os dados enviados para a região dos EUA incluem dados removidos, mas não dados do cliente. Para saber mais, confira Locais de dados para a Área de Trabalho Virtual do Azure.

Gerenciamento de host de sessão

Considere os seguintes pontos ao gerenciar os hosts da sessão:

• Não ative nenhuma política ou configuração que desabilite o Windows Installer. Se você desabilitar o Windows Installer, o serviço não poderá instalar as atualizações do agente nos hosts da sessão, os quais não funcionarão corretamente.
• Se você estiver ingressando os hosts da sessão em um domínio do AD DS e quiser gerenciá-los com o Intune, configure o Microsoft Entra Connect para habilitar o ingresso híbrido no Microsoft Entra.
• Se você estiver ingressando hosts da sessão em um domínio do Microsoft Entra Domain Services, não poderá gerenciá-los usando o Intune.
• Se você estiver usando o ingresso no Microsoft Entra com o Windows Server para os hosts da sessão, não poderá registrá-los no Intune, pois não há suporte para o Windows Server no Intune. Será necessário usar o ingresso híbrido no Microsoft Entra e a Política de Grupo de um domínio do Active Directory ou a Política de Grupo local em cada host da sessão.

Clientes de área de trabalho remota

Os usuários precisam ter um cliente de Área de Trabalho Remota para se conectar a áreas de trabalho e aplicativos. Os seguintes clientes dão suporte à Área de Trabalho Virtual do Azure:

• Cliente de Área de Trabalho do Windows
• Aplicativo da Store da Área de Trabalho Virtual do Azure para Windows
• Cliente Web
• Cliente para macOS
• Cliente iOS e iPadOS
• Cliente Android e Chrome OS
• Aplicativo da Área de Trabalho Remota para Windows

Importante

A Área de Trabalho Virtual do Azure não dá suporte ás conexões do cliente RADC (Conexões de RemoteApp e Área de Trabalho) nem o cliente de MSTSC (Conexão de Área de Trabalho Remota).

Para saber quais URLs os clientes usam para se conectar e que você deve permitir por meio de firewalls e filtros da Internet, consulte a Lista de URL necessária.