Använda Azure Firewall för att hantera och skydda Windows 365-miljöer
Den här artikeln beskriver hur du förenklar och skyddar din Windows 365-miljö med hjälp av Azure Firewall. Exempelarkitekturen som beskrivs här ger lågt underhåll och automatiserad åtkomst till de slutpunkter som krävs via en direkt och optimerad anslutningssökväg. Du kan använda Azure Firewall-nätverksregler och fullständigt kvalificerade domännamnstaggar (FQDN) för att replikera det här arkitekturexemplet i din miljö.
Obs!
Den här artikeln gäller för kunder som distribuerar Windows 365 med Azure-nätverksanslutningar (ANC). Den här artikeln gäller inte för miljöer som använder Microsofts värdbaserade nätverk. Mer information om var och en finns i Distributionsalternativ för Windows 365-nätverk.
Windows 365-tjänsten kräver optimerad, icke-proportionell anslutning till kritiska tjänstslutpunkter, varav många finns i Microsofts infrastruktur. Att ansluta till dessa resurser med lokala nätverk via Internet är ineffektivt och rekommenderas inte. Sådana anslutningar kan också vara komplexa att konfigurera och hantera.
Vissa Windows 365-kunder som använder ANC-distributionsmodellen kan till exempel ha en direktanslutning tillbaka till en lokal miljö som använder ExpressRoute eller plats-till-plats-VPN. Utgående trafik kan dirigeras med hjälp av en befintlig proxyserver på samma sätt som lokal trafik. Den här anslutningsstrategin är inte optimerad för Windows 365-miljöer och kommer sannolikt att medföra betydande prestandapåverkan.
I stället kan du använda Azure Firewall med dina ANC Windows 365-miljöer för att ge optimerad, säker, låg underhåll och automatiserad åtkomst.
Nödvändiga slutpunkter för Windows 365
Windows 365 kräver åtkomst till följande slutpunkter:
Du kan också överväga åtkomst till andra Microsoft-tjänster (till exempel Office 365) när du konfigurerar optimerad anslutning från miljön.
FQDN-taggar för vissa tjänster är tillgängliga för Azure Firewall för att konfigurera och underhålla dessa regler på ett enkelt sätt och beskrivs senare i det här dokumentet.
Exempelarkitektur med Azure Firewall och FQDN-taggar
Det finns många sätt att konfigurera nätverk i Azure. Här använder vi:
- Ett enda virtuellt nätverk med Azure Firewall som hanterar utgående åtkomst.
- En ExpressRoute-krets för att ansluta det virtuella nätverket tillbaka till den lokala miljön.
Trafikflödet i det här diagrammet:
- Contosos företagsnätverk: Det här lokala IP-undernätet annonseras till det virtuella nätverket via ExpressRoute-gatewayen. All trafik till det här intervallet (10.0.0.0/8) skickas via ExpressRoute-kretsen.
- All annan trafik från Windows 365-undernätet skickas till Azure-brandväggen via en UDR-väg (User Defined Route) på 0.0.0.0/0. Nästa hopp-IP är inställt på Den privata IP-adressen för Azure Firewall.
- Brandväggen har programregler (och FQDN-taggar) och nätverksregler som konfigurerats för de Windows 365-slutpunkter som krävs. Trafik som följer reglerna tillåts ut. All annan trafik som inte uttryckligen tillåts blockeras.
Programregler för Azure Firewall
Miljön i diagrammet konfigurerades med hjälp av följande Azure Firewall-programregler (tillämpas i pratbubblan 3). All trafik som inte är avsedd för contosos lokala undernät dirigeras till brandväggen. Dessa regler tillåter att den definierade trafiken går ut till målet. Mer information om hur du distribuerar Azure Firewall finns i Distribuera och konfigurera Azure Firewall med hjälp av Azure-portalen.
| Regelbeskrivning | Måltyp | FQDN-taggnamn | Protokoll | TLS-inspektion | Obligatoriskt/valfritt |
|---|---|---|---|---|---|
| Windows 365 FQDN | FQDN-tagg | Windows365 | HTTP: 80, HTTPS: 443 | Rekommenderas inte | Obligatoriskt |
| FQDN för Intune | FQDN-tagg | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Rekommenderas inte | Obligatoriskt |
| FQDN för Office 365 | FQDN-tagg | Office365 | HTTP: 80, HTTPS: 443 | Rekommenderas inte för att optimera & tillåta kategorier | Valfritt, men rekommenderas |
| Windows Update | FQDN-tagg | WindowsUpdate | HTTP: 80, HTTPS: 443 | Rekommenderas inte | Valfritt |
| Citrix HDX Plus | FQDN-tagg | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Rekommenderas inte | Valfritt (krävs endast när du använder Citrix HDX Plus) |
Azure Firewall kan associeras med offentliga IP-adresser för att tillhandahålla utgående anslutning till Internet. Den första offentliga IP-adressen väljs slumpmässigt för att tillhandahålla utgående SNAT. Nästa tillgängliga offentliga IP-adress används när alla SNAT-portar från den första IP-adressen är slut. I scenarier som kräver högt dataflöde rekommenderar vi att du använder en Azure NAT Gateway. NAT Gateway skalar utgående anslutningar dynamiskt och kan integreras med en Azure Firewall. Mer information finns i självstudien integrera NAT Gateway med Azure Firewall .
Windows365-tagg
Windows365-taggen innehåller nödvändiga Azure Virtual Desktop-slutpunkter (AVD), förutom de slutpunkter med portar som inte är standard som måste anges manuellt (se avsnittet Nätverksregler).
Windows365-taggen innehåller inte Intune. MicrosoftIntune-taggen kan användas separat.
Windows365 FQDN-taggen innehåller alla nödvändiga slutpunkter förutom de slutpunkter som anges som Obligatoriska i separata rader i det här dokumentet, som måste konfigureras separat. FQDN-taggar skiljer sig från en tjänsttagg. Till exempel innehåller tjänsttaggen WindowsVirtualDesktop endast de IP-adresser som *.wvd.microsoft.com löser till.
Nätverksregler
Azure Firewall hanterar för närvarande inte icke-standardportar i en FQDN-tagg. Windows 365 har några portkrav som inte är standard, så följande regler måste läggas till manuellt som nätverksregler utöver FQDN-taggarna.
| Regelbeskrivning | Måltyp | FQDN/IP | Protokoll | Port/s | TLS-inspektion | Obligatoriskt/valfritt |
|---|---|---|---|---|---|---|
| Windows-aktivering | FQDN | azkms.core.windows.net | TCP | 1688 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Rekommenderas inte | Obligatoriskt |
| UDP-anslutning via TURN | IP | 20.202.0.0/16 | UDP | 3478 | Rekommenderas inte | Obligatoriskt |
| TURN-anslutning | IP | 20.202.0.0/16 | TCP | 443 | Rekommenderas inte | Obligatoriskt |
| Registrering | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Rekommenderas inte | Obligatoriskt |
Lösningsalternativ för partnersäkerhet
Andra sätt att skydda din Windows 365-miljö är lösningsalternativ för partnersäkerhet som tillhandahåller automatiserade regeluppsättningar för åtkomst till nödvändiga slutpunkter för Windows 365-tjänsten. Exempel på sådana alternativ är:
- Check Point Software Technologies Updatable Objects
Nästa steg
Läs mer om Windows 365-arkitektur.
Mer information om FQDNS finns i översikten över FQDN-taggar.
Mer information om tjänsttaggar finns i Tjänsttaggar för virtuellt nätverk.