Планирование клиента сети и удаленного рабочего стола

Завершено

Network

Существует несколько требований к сети, необходимых для успешного развертывания виртуального рабочего стола Azure. Это позволяет пользователям подключаться к рабочим столам и приложениям, а также предоставлять им наилучший пользовательский интерфейс.

Пользователи, подключающиеся к Виртуальному рабочему столу Azure, безопасно устанавливают обратное подключение к службе. Это означает, что вам не нужно открывать входящие порты. Протокол управления передачей (TCP) на порте 443 используется по умолчанию, однако RDP Shortpath можно использовать для управляемых сетей и общедоступных сетей, которые устанавливают прямой транспорт на основе пользовательской диаграммы (UDP).

Чтобы успешно развернуть виртуальный рабочий стол Azure, необходимо выполнить следующие требования к сети:

• Для узлов сеансов требуется виртуальная сеть и подсеть. Если вы создаете узлы сеансов одновременно с пулом узлов, необходимо предварительно создать эту виртуальную сеть, чтобы она отображалась в раскрывающемся списке. Виртуальная сеть должна находиться в том же регионе Azure, что и узел сеанса.
• Убедитесь, что эта виртуальная сеть может подключаться к контроллерам домена и соответствующим DNS-серверам, если вы используете доменные службы AD DS или Microsoft Entra, так как необходимо присоединить узлы сеансов к домену.
• Узлы и пользователи сеансов должны иметь возможность подключения к службе "Виртуальный рабочий стол Azure". Кроме того, эти подключения используют протокол TCP в порте 443 для определенного списка URL-адресов. Дополнительные сведения см. в статье Список обязательных URL-адресов. Необходимо убедиться, что эти URL-адреса не блокирует сетевая фильтрация или брандмауэр, чтобы ваше развертывание работало правильно и поддерживалось. Если вашим пользователям требуется доступ к Microsoft 365, убедитесь, что узлы сеансов могут подключаться к конечным точкам Microsoft 365.

Учтите также следующие рекомендации:

• Пользователям может потребоваться доступ к приложениям и данным, размещенным в разных сетях, поэтому убедитесь, что узлы сеансов могут подключаться к ним.
• Время кругового пути (RTT) при передаче данных из сети клиента в регион Azure, где содержатся пулы узлов, должна составлять менее 150 мс. Чтобы узнать, какие расположения имеют лучшую задержку, просмотрите требуемое расположение в статистике задержки в сети Azure. Чтобы оптимизировать производительность сети, мы рекомендуем создавать узлы сеансов в ближайшем к пользователям регионе Azure.
• Развертывания Брандмауэра Azure для Виртуального рабочего стола Azure помогут вам заблокировать среду и отфильтровать исходящий трафик.
• Чтобы защитить среду виртуального рабочего стола Azure в Azure, рекомендуется не открывать входящий порт 3389 на узлах сеансов. Для виртуального рабочего стола Azure не требуется открытый входящий порт. Если вам все же нужно открыть порт 3389 для устранения неполадок, мы рекомендуем использоватьJIT-доступ к виртуальным машинам. Мы также рекомендуем не назначать общедоступный IP-адрес узлам сеансов.

Примечание.

Для обеспечения надежности и масштабируемости Виртуальных рабочих столов Azure мы объединяем шаблоны трафика и использования для проверки работоспособности и производительности уровня управления инфраструктурой. Мы агрегируем эту информацию изо всех расположений, где работает инфраструктура службы, а затем отправляем их в регион США. Данные, отправляемые в регион США, включают в себя очищенные данные, а не данные клиента. Дополнительные сведения см. в статье Расположения данных для Виртуального рабочего стола Azure.

Управление узлом сеанса

При управлении узлами сеансов следует учитывать следующие моменты:

• Не включите политики или конфигурации, которые отключают установщик Windows. Если отключить установщик Windows, служба не может установить обновления агента на узлах сеансов, а узлы сеансов не будут работать должным образом.
• Если вы присоединяете узлы сеансов к домену AD DS и хотите управлять ими с помощью Intune, необходимо настроить Microsoft Entra Connect для включения гибридного соединения Microsoft Entra.
• При присоединении узлов сеансов к домену доменных служб Microsoft Entra невозможно управлять ими с помощью Intune.
• Если вы используете присоединение Microsoft Entra к Windows Server для узлов сеансов, их нельзя зарегистрировать в Intune, так как Windows Server не поддерживается в Intune. Необходимо использовать гибридное соединение Microsoft Entra и групповую политику из домена Active Directory или локальной групповой политики на каждом узле сеанса.

Клиенты удаленного рабочего стола

Пользователям требуется клиент удаленного рабочего стола для подключения к рабочим столам и приложениям. Виртуальный рабочий стол Azure поддерживают следующие клиенты:

• Клиент Удаленного рабочего стола
• Приложение Магазина виртуальных рабочих столов Azure для Windows
• Веб-клиент
• клиент macOS
• Клиент iOS и iPadOS
• Клиент Android и Chrome OS
• Приложение удаленного рабочего стола для Windows

Внимание

Виртуальный рабочий стол Azure не поддерживает подключения от клиента подключения к удаленным рабочим столам и приложениям RemoteApp (RADC) или клиента подключения к удаленному рабочему столу (MSTSC).

Чтобы узнать, какие URL-адреса клиенты используют для подключения, которые необходимо разрешить через брандмауэры и фильтры Интернета, см. статью Список требуемых URL-адресов.