Compartilhar via

Visão geral da conexão da rede do Azure

  • Artigo

Uma ligação de rede do Azure (ANC) é um objeto no centro de administração do Microsoft Intune que fornece aos perfis de aprovisionamento do CLOUD PC informações necessárias para ligar a recursos baseados na rede. São utilizados ANCs:

  • Quando um PC na nuvem é inicialmente provisionado.
  • Quando o Windows 365 verifica periodicamente a conexão com a infraestrutura local para garantir a melhor experiência ao usuário final.

Tipos de conexão de rede

Há dois tipos de ANCs com base no tipo de junção. Ambos permitem que você gerencie o tráfego e o acesso do PC na Nuvem aos recursos baseados em rede, mas eles têm requisitos de conectividade diferentes.

  • Microsoft Entra associação: não requer conectividade a um domínio de Windows Server Active Directory (AD).
  • Associação Microsoft Entra Híbrida: requer conectividade a um domínio Windows Server AD. Você deve fornecer os detalhes do domínio do AD ao criar o ANC.

Provisionamento

Quando um PC na Cloud é aprovisionado, as informações no ANC são utilizadas pela política de aprovisionamento para aprovisionar o PC na cloud na sub-rede do Azure. As informações necessárias num ANC incluem:

  • Detalhes da rede: a subscrição do Azure, o grupo de recursos, a rede virtual e a sub-rede a associar ao PC na Cloud. Quando uma política de provisionamento é executada, ela cria um PC na nuvem na assinatura do Azure hospedada pela Microsoft. Para conectar-se à rede local de um cliente, uma placa de interface de rede virtual (vNic) é injetada em uma rede virtual do Azure (vNet) fornecida pelo cliente. Para criar esse adaptador de rede virtual, o Windows 365 precisa de acesso suficiente a uma assinatura do Azure.
  • Domínio do Active Directory: o domínio do Active Directory a ingressar, um destino de UO (Unidade Organizacional) para o objeto de computador e credenciais de usuário do Active Directory com permissões suficientes para executar o ingresso no domínio. Quando uma política de provisionamento é executada, o PC na nuvem é ingressado nesse domínio do Active Directory. As credenciais são armazenadas de forma segura no serviço Windows 365.

Durante o aprovisionamento, o CLOUD PC está ligado à sub-rede do Azure e associado a um domínio (Windows Server Active Directory ou Microsoft Entra ID). Esse processo resulta em um PC na Nuvem que é:

  • Em sua rede.
  • Registado no Microsoft Entra ID.
  • Inscrito no Microsoft Intune.
  • Pronto para aceitar solicitações de entrada do usuário.

As configurações do ANC são aplicadas ao PC na Nuvem só no momento do provisionamento.

ANCs alternativos

Para ajudar a tornar o aprovisionamento de PCs na Cloud mais fiável no caso raro de restrições de capacidade numa região, pode atribuir ANCs alternativos a uma política de aprovisionamento. Pode definir a ordem de prioridade dos ANCs que a política utiliza. Se o primeiro ANC não estiver disponível, a política utiliza automaticamente o segundo ANC na lista de prioridades. Se o segundo estiver indisponível, passa para o seguinte e assim sucessivamente. Este processo permite que os administradores preparem vários ANCs em diferentes regiões do Azure, tornando o aprovisionamento mais fiável. Não tem de utilizar vários ANCs. Para obter mais informações sobre como utilizar ANCs alternativos ao criar as políticas de aprovisionamento, veja Criar políticas de aprovisionamento.

Primeira verificação de integridade

As informações incluídas no ANC são usadas para provisionar um PC na Nuvem. Para que o provisionamento seja bem-sucedido, os recursos referenciados no ANC devem ser íntegros e acessíveis. Depois que um objeto ANC for criado, o Windows 365 verificará se:

  • Os objetos referenciados pelo ANC estão íntegros.
  • É possível fazer conexões com esses objetos.

Essas verificações de integridade usam as informações do ANC fornecidas para provisionar um PC na Nuvem. Para ver uma lista completa de verificações, consulte Verificações de integridade da conexão da rede do Azure.

Enquanto essa primeira verificação de integridade do ANC estiver em andamento, você não pode atribuir o ANC a nenhuma política de provisionamento. Depois que a verificação de integridade for concluída e bem-sucedida, o ANC poderá ser atribuído a uma ou mais políticas de provisionamento.

Verificações periódicas de integridade

Após o provisionamento, as informações em um ANC também são usadas para monitorar:

  • a integridade da conexão entre seus recursos baseados em rede
  • o PC na nuvem hospedado na assinatura hospedada pela Microsoft

Windows 365 comunica problemas de configuração que podem causar falhas de aprovisionamento ou experiências de utilizador final deficientes. Esse monitoramento reduz a sobrecarga de gerenciamento. Para obter mais informações sobre essas verificações periódicas, consulte Verificações de integridade da conexão da rede do Azure.

Frequência da verificação de integridade

As verificações do ANC são executadas uma vez a cada uma a seis horas.

A verificação de integridade abrangente, de ponta a ponta, pode levar até 30 minutos. As verificações de integridade são executadas em uma máquina virtual temporária do Azure que é criada automaticamente, especificamente para essa finalidade. Essa máquina virtual é criada automaticamente e excluída quando as verificações de integridade são concluídas. A máquina virtual está conectada à sua VNet especificada e as verificações são executadas para garantir que o provisionamento seja bem-sucedido.

Após a conclusão de uma marcar, os resultados são publicados no painel ligação de rede do Azure do centro de administração do Microsoft Intune. Para obter mais informações sobre os resultados da verificação, consulte Verificações de integridade das conexões da rede do Azure.

Repetir verificação de integridade

Para acionar manualmente um marcar de estado de funcionamento completo, inicie sessão no centro de administração do Microsoft Intune, selecione Dispositivos>Windows 365 (em Aprovisionamento)>Ligação > de rede do Azure selecione uma nova tentativa de ligação > de rede do Azure.

Permissões necessárias das conexões da rede do Azure

O assistente do ANC requer acesso ao Azure e, opcionalmente, aos recursos de domínio local. As seguintes permissões são necessárias para o ANC:

Para criar ou editar um ANC, tem de ter, pelo menos, a função Leitor de Subscrições na Subscrição do Azure onde a VNET associada ao ANC estava localizada.

Para ver uma lista completa de requisitos, confira Requisitos do Windows 365.

Alterar uma conexão da rede do Azure

Alterar as configurações de um ANC não afetará os PCs na Nuvem provisionados anteriormente com aquele ANC. Apenas os PCs na Cloud aprovisionados após as alterações ao ANC refletem essas alterações posteriores.

Se você quiser alterar as configurações do ANC em um PC na Nuvem provisionado anteriormente, será necessário reprovisionar o PC na Nuvem. O reprovisionamento é uma ação destrutiva, portanto, certifique-se de que é uma ação que você realmente deseja executar. Para obter mais informações, confira Reprovisionamento.

Excluir uma conexão da rede do Azure

Não pode eliminar um ANC que esteja a ser utilizado. Antes de o objeto poder ser eliminado, tem de efetuar uma das seguintes ações para cada política de aprovisionamento que utilize este ANC:

Depois de concluir uma dessas operações, você poderá excluir o ANC.

Máximo de conexões da rede do Azure

Cada locatário tem um limite de 10 conexões da rede do Azure. Se sua organização precisar de mais de 10 conexões da rede do Azure, entre em contato com o suporte.

ANCs inativos

Os ANCs que não são utilizados durante um período de tempo tornam-se inativos. Os ANCs inativos interrompem a execução de verificações de estado de funcionamento e não podem ser atribuídos a uma política de aprovisionamento até que o ANC seja reativado e as verificações de estado de funcionamento sejam concluídas com êxito.

Entrada do usuário

Quando os usuários tentam entrar no PC na Nuvem, ocorre a autenticação do usuário.

Para Microsoft Entra ANCs de associação híbrida, o ANC é utilizado para encaminhar o pedido de autenticação para os controladores de domínio. Se o ANC ou a conexão da rede com seu domínio não estiverem íntegros, a conexão do usuário não poderá ocorrer. As credenciais do Windows armazenadas em cache não podem ser usadas no canal da área de trabalho remota, portanto, a disponibilidade do controlador de domínio é crítica. Verifique se a rede está estável ou coloque um servidor de controlador de domínio na mesma sub-rede que os seus PCs na nuvem.

Para Microsoft Entra associar ANCs, o ANC é utilizado para encaminhar o pedido de autenticação para Microsoft Entra ID. As credenciais em cache do Windows não podem ser utilizadas através do canal de ambiente de trabalho remoto, pelo que a conectividade a Microsoft Entra ID é fundamental.

Próximas etapas

Saiba mais sobre as imagens de dispositivo

Criar uma conexão da rede do Azure