Solucionar problemas de conexões de rede do Azure

A ANC (conexão de rede) do Azure verifica periodicamente seu ambiente para garantir que todos os requisitos sejam atendidos e que ele esteja em um estado íntegro. Se alguma verificação falhar, você poderá ver mensagens de erro no centro de administração Microsoft Intune. Este guia contém algumas instruções adicionais para solucionar problemas que podem causar falha nas verificações.

Ingresso no domínio do Active Directory

Quando um PC na nuvem é provisionado, ele é automaticamente ingressado no domínio fornecido. Para testar o processo de ingresso no domínio, um objeto de computador de domínio é criado na unidade organizacional (UO) definida com um nome semelhante a "CPC-Hth" sempre que as verificações de integridade do Windows 365 são executadas. Esses objetos de computador são desabilitados quando a verificação de integridade é concluída. A falha de ingresso no domínio do Active Directory pode ocorrer por vários motivos. Se o ingresso no domínio falhar, verifique se:

• O usuário de ingresso no domínio tem permissões suficientes para ingressar no domínio fornecido.
• O usuário de ingresso no domínio pode gravar na UO fornecida.
• O usuário de ingresso no domínio não tem restrição em quantos computadores ele pode ingressar. Por exemplo, o número máximo padrão de junções por usuário é 10 e esse máximo pode afetar o provisionamento do PC na nuvem.
• A sub-rede que está sendo usada pode acessar um controlador de domínio.
• Você testa Add-Computer usando as credenciais de ingresso no domínio em uma máquina virtual (VM) conectada à vNet/sub-rede do Cloud PC.
• Você soluciona problemas de falhas de ingresso no domínio como qualquer computador físico em sua organização.
• Se você tiver um nome de domínio que possa ser resolvido na Internet (como contoso.com), certifique-se de que os servidores DNS (Sistema de Nomes de Domínio) estejam configurados como internos. Além disso, certifique-se de que eles possam resolver os registros DNS de domínio do Active Directory, não seu nome de domínio público.

Sincronização de dispositivos do Microsoft Entra

Antes que o registro do MDM (gerenciamento de dispositivo móvel) possa ocorrer durante o provisionamento, um objeto de ID do Microsoft Entra deve estar presente para o PC na nuvem. Essa verificação destina-se a garantir que as contas de computador da sua organização estejam sincronizando com a ID do Microsoft Entra em tempo hábil.

Certifique-se de que os objetos do computador do Microsoft Entra apareçam rapidamente na ID do Microsoft Entra. Recomendamos que eles apareçam dentro de 30 minutos e não mais do que 60 minutos. Se o objeto de computador não chegar na ID do Microsoft Entra em 90 minutos, o provisionamento falhará.

Se o provisionamento falhar, verifique se:

• A configuração do período de sincronização na ID do Microsoft Entra é definida adequadamente. Fale com sua equipe de identidade para garantir que seu diretório esteja sincronizando rápido o suficiente.
• Sua ID do Microsoft Entra está ativa e íntegra.
• O Microsoft Entra Connect está funcionando corretamente e não há problemas com o servidor de sincronização.
• Você executa manualmente um Add-Computer na UO fornecida para PCs na nuvem. Cronometre quanto tempo leva para que esse objeto de computador apareça na ID do Microsoft Entra.

Uso do intervalo de endereços IP da sub-rede do Azure

Como parte da configuração do ANC, você precisa fornecer uma sub-rede à qual o PC na nuvem se conecta. Para cada PC na nuvem, o provisionamento cria uma NIC virtual e consome um endereço IP dessa sub-rede.

Verifique se a alocação de endereço IP suficiente está disponível para o número de PCs na nuvem que você espera provisionar. Além disso, planeje espaço de endereço suficiente para falhas de provisionamento e possível recuperação de desastres.

Se essa verificação falhar, certifique-se de que:

• Verifique a sub-rede na rede virtual do Azure. Ele deve ter espaço de endereçamento suficiente disponível.
• Verifique se há endereços suficientes para lidar com três tentativas de provisionamento, cada uma das quais pode manter os endereços de rede usados por algumas horas.
• Remova todas as placas de interface de rede virtual (vNICs) não utilizadas. É melhor usar uma sub-rede dedicada para PCs na nuvem para garantir que nenhum outro serviço esteja consumindo a alocação de endereços IP.
• Expanda a sub-rede para disponibilizar mais endereços. Isso não pode ser concluído se houver dispositivos conectados.

Durante as tentativas de provisionamento, é importante considerar todos os bloqueios CanNotDelete que possam ser aplicados no nível do grupo de recursos ou superior. Se esses bloqueios estiverem presentes, as interfaces de rede criadas no processo não serão excluídas automaticamente. Se eles não forem excluídos automaticamente, você deverá remover manualmente os vNICs antes de tentar novamente.

Durante as tentativas de provisionamento, é importante considerar todos os bloqueios existentes no nível do grupo de recursos ou superior. Se esses bloqueios estiverem presentes, as interfaces de rede criadas no processo não serão excluídas automaticamente. Se o evento ocorrer, você deverá remover manualmente os vNICs antes de tentar novamente.

Preparação do locatário do Azure

Quando as verificações são executadas, verificamos se a assinatura do Azure fornecida é válida e íntegra. Se não for válido e íntegro, não poderemos conectar PCs na nuvem novamente à sua rede virtual durante o provisionamento. Problemas como problemas de cobrança podem fazer com que as assinaturas sejam desativadas.

Muitas organizações usam políticas do Azure para garantir que os recursos sejam provisionados apenas em determinadas regiões e serviços. Você deve certificar-se de que todas as políticas do Azure considerem o serviço de PC na nuvem e as regiões com suporte.

Entre no portal do Azure e verifique se a assinatura do Azure está habilitada, válida e íntegra.

Além disso, visite o portal do Azure e exiba Políticas. Certifique-se de que nenhuma política esteja bloqueando a criação de recursos.

Preparação para a rede virtual do Azure

Ao criar um ANC, bloqueamos o uso de qualquer rede virtual localizada em uma região sem suporte. Para obter uma lista de regiões com suporte, consulte Requisitos.

Se essa verificação falhar, verifique se a rede virtual fornecida está em uma região na lista de regiões com suporte.

O DNS pode resolver o domínio do Active Directory

Para que o Windows 365 execute com êxito um ingresso no domínio, os PCs na nuvem conectados à rede virtual fornecida devem ser capazes de resolver nomes DNS internos.

Este teste tenta resolver o nome de domínio fornecido. Por exemplo, contoso.com ou contoso.local. Se esse teste falhar, verifique se:

• Os servidores DNS na rede virtual do Azure estão configurados corretamente para um servidor DNS interno que pode resolver com êxito o nome de domínio.
• A sub-rede/vNet é roteada corretamente para que o PC na nuvem possa acessar o servidor DNS fornecido.
• Os PCs/VMs na nuvem na sub-rede declarada podem NSLOOKUP estar no servidor DNS e respondem com nomes internos.

Juntamente com a pesquisa de DNS padrão no nome de domínio fornecido, também verificamos a existência de _ldap._tcp.yourDomain.com registros. Esse registro indica que o servidor DNS fornecido é um controlador de domínio do Active Directory. O registro é uma maneira confiável de confirmar que o DNS do domínio do AD está acessível. Verifique se esses registros podem ser acessados por meio da rede virtual fornecida em seu ANC.

Conectividade de ponto de extremidade

Durante o provisionamento, os PCs na nuvem devem se conectar a vários serviços da Microsoft disponíveis publicamente. Esses serviços incluem Microsoft Intune, Microsoft Entra ID e Área de Trabalho Virtual do Azure.

Você deve certificar-se de que todos os pontos de extremidade públicos necessários possam ser acessados da sub-rede usada pelos PCs na nuvem.

Se esse teste falhar, verifique se:

• Use as ferramentas de solução de problemas de rede virtual do Azure para garantir que a vNet/sub-rede fornecida possa acessar os pontos de extremidade de serviço listados no documento.
• O servidor DNS fornecido pode resolver os serviços externos corretamente.
• Não há proxy entre a sub-rede do PC na nuvem e a Internet.
• Não há regras de firewall (físicas, virtuais ou no Windows) que possam bloquear o tráfego necessário.
• Você considera testar os pontos de extremidade de uma VM na mesma sub-rede declarada para PCs na nuvem.

Se você não estiver usando o Azure CloudShell, verifique se a política de execução do PowerShell está configurada para permitir scripts irrestritos . Se você usar a Diretiva de Grupo para definir a diretiva de execução, verifique se o GPO (Objeto de Diretiva de Grupo) direcionado à UO definida no ANC está configurado para permitir scripts irrestritos . Para obter mais informações, consulte Set-ExecutionPolicy.

O ambiente e a configuração estão prontos

Essa verificação é usada para muitos problemas relacionados à infraestrutura que podem estar relacionados à infraestrutura pela qual os clientes são responsáveis. Ele pode incluir erros como tempos limite de serviço interno ou erros causados por clientes que excluem/alteram recursos do Azure enquanto as verificações estão sendo executadas.

Recomendamos que você repita as verificações se encontrar esse erro. Se persistir, entre em contato com o suporte para obter ajuda.

Permissões de aplicativos primários

Quando você cria um ANC, o assistente concede um determinado nível de permissões no grupo de recursos e na assinatura. Essas permissões permitem que o serviço provisione PCs na nuvem sem problemas.

Os administradores do Azure que possuem essas permissões podem exibi-las e modificá-las.

Se alguma dessas permissões for revogada, essa verificação falhará. Verifique se as seguintes permissões foram concedidas à entidade de serviço de aplicativo do Windows 365:

• Função de leitor na assinatura do Azure.
• Função de Colaborador de Interface de Rede do Windows365 no grupo de recursos especificado.
• Função de usuário de rede do Windows365 na rede virtual.

A atribuição de função na assinatura é concedida à entidade de serviço do PC na nuvem.

Além disso, verifique se as permissões não são concedidas como funções de administrador de assinatura clássica ou "Funções (Clássicas)". Este papel não é suficiente. Ele deve ser uma das funções internas de controle de acesso baseado em função do Azure, conforme listado anteriormente.

Próximas etapas

Saiba mais sobre as verificações de saúde do ANC.