Windows 365 体系结构
Windows 365 通过以 Microsoft Azure 中的客户身份托管云电脑来提供每用户每月许可证模型。 在此模型中,无需考虑存储、计算基础设施体系结构或成本。 Windows 365 体系结构还可让你使用在 Azure 网络和安全性方面的现有投资。 每个云电脑都根据你在 Microsoft Intune 管理中心的 Windows 365 部分中定义的配置进行预配。
虚拟网络连接
每台云电脑在 Microsoft Azure 中都有一个虚拟网络接口卡 (NIC)。 你有两个 NIC 管理选项:
- 如果使用 Microsoft Entra 联接和Microsoft托管网络,则无需引入 Azure 订阅或管理 NIC。
- 如果自带网络并使用 Azure 网络连接(ANC),则 NIC 由 Azure 订阅中的 Windows 365 创建。
NIC 根据 Azure 网络连接 (ANC) 配置连接到 Azure 虚拟网络。
Windows 365 在许多 Azure 区域中 都受到支持。 可以通过两种方式控制使用哪个 Azure 区域:
- 通过选择 Microsoft 托管网络和 Azure 区域。
- 在 创建 ANC 时通过从 Azure 订阅中选择 Azure 虚拟网络。
Azure 虚拟网络的区域确定了云电脑的创建和托管位置。
使用自己的虚拟网络时,可以将当前 Azure 区域之间的访问扩展到 Windows 365 支持的其他 Azure 区域。 要扩展到其他区域,可以使用 Azure 虚拟网络对等互连 或 虚拟 WAN。
通过使用你自己的 Azure 虚拟网络,Windows 365 允许你使用虚拟网络安全和路由功能,包括:
- Azure 网络安全组
- 用户定义的路由
- Azure 防火墙
- 网络虚拟设备 (NVA)
提示
对于云电脑的网络筛选和网络保护,请考虑使用 Microsoft Defender for Endpoint 的网络保护和 Web 保护功能。 可以使用 Microsoft Intune 管理中心跨物理终结点和虚拟终结点部署这些功能。
Microsoft Intune 集成
Microsoft Intune 用于管理所有云电脑。 Microsoft Intune 和关联的 Windows 组件具有必须允许通过虚拟网络 的各种网络终结点 。 如果不使用 Microsoft Intune 来管理这些设备类型,可能会安全地忽略 Apple 和 Android 终结点。
提示
请务必允许访问 Windows Notification Services (WNS)。 如果访问被阻止,你可能不会立即注意到影响。 但是,WNS 使 Microsoft Intune 能够立即在 Windows 终结点上触发操作,而不是在这些设备上等待正常的策略轮询间隔或在启动/登录行为时等待策略轮询。 WNS 建议直接从 Windows 客户端连接到 WNS。
只需根据 Microsoft Intune 租户位置授予对终结点子集的访问权限。 若要 (或 Azure 缩放单元 (ASU) ) 查找租户位置,请登录到 Microsoft Intune 管理中心,选择 “租户管理>租户详细信息”。 在“租户位置”下,你会看到类似于“北美 0501”或“欧洲 0202”的内容。 Microsoft Intune 文档中的行按地理区域进行区分。 区域由名称中的前两个字母表示(na = 北美,eu = 欧洲,ap = 亚太)。 由于租户可能会在某个区域内重定位,因此最好允许访问整个区域(而不是该区域中的特定终结点)。
有关 Microsoft Intune 服务区域和数据位置信息的详细信息,请参阅 Intune 中的数据存储和处理。
标识服务
Windows 365 使用 Microsoft Entra ID 和本地 Active Directory 域服务 (AD DS) 。 Microsoft Entra ID 提供:
- Windows 365 的用户身份验证(与任何其他 Microsoft 365 服务一样)。
- 通过Microsoft Entra 混合联接或Microsoft Entra 联接Microsoft Intune 的设备标识服务。
将云电脑配置为使用 Microsoft Entra 混合联接时,AD DS 提供:
- 云电脑的本地域加入。
- 远程桌面协议 (RDP) 连接的用户身份验证。
将云电脑配置为使用 Microsoft Entra 联接时,entra ID Microsoft提供:
- 云电脑的域加入机制。
- RDP 连接的用户身份验证。
有关标识服务如何影响云电脑部署、管理和使用情况的详细信息,请参阅标识和身份验证。
Microsoft Entra ID
Microsoft Entra ID 为 Windows 365 Web 门户和远程桌面客户端应用提供用户身份验证和授权。 两者都支持新式身份验证,这意味着Microsoft Entra 条件访问可以集成以提供:
- 多重身份验证
- 基于位置的限制
- 登录风险管理
- 会话限制,包括:
- 远程桌面客户端和 Windows 365 Web 门户的登录频率
- Windows 365 Web 门户的 Cookie 持久性
- 设备合规性控制
有关如何将 Microsoft Entra 条件访问与 Windows 365 配合使用的详细信息,请参阅 设置条件访问策略。
Active Directory 域服务
Windows 365 云电脑可以是Microsoft Entra 混合联接或Microsoft Entra 联接。 使用 Microsoft Entra 混合联接时,云电脑必须域加入 AD DS 域。 此域必须与 Microsoft Entra ID 同步。 域的域控制器可以托管在 Azure 或本地。 如果在本地托管,则必须建立从 Azure 到本地环境的连接。 连接可以采用 Azure Express Route 或站点到站点 VPN 的形式。 有关建立混合网络连接的详细信息,请参阅实现安全混合网络。 连接必须允许从云电脑到 Active Directory 所需的域控制器的通信。 要了解详细信息,请参阅 为 AD 域和信任配置防火墙。
用户连接
云电脑连接是由 Azure 虚拟桌面提供的。 没有直接从 Internet 到云电脑的入站连接。 相反,连接是通过以下方式建立的:
- 云电脑到 Azure 虚拟桌面终结点。
- 到 Azure 虚拟桌面终结点的远程桌面客户端。
有关这些端口的详细信息,请参阅 Azure 虚拟桌面所需的 URL 列表。 为了简化网络安全控制的配置,请使用 Azure 虚拟桌面的服务标记来标识这些终结点。 要了解 Azure 服务标记的详细信息,请参阅 Azure 服务标记概述。
无需配置云电脑来建立这些连接。 Windows 365 将 Azure 虚拟桌面连接组件无缝集成到库或自定义映像中。
有关 Azure 虚拟桌面的网络体系结构的详细信息,请参阅了解 Azure 虚拟桌面网络连接。
Windows 365 云电脑不支持第三方连接代理。
“代理托管”体系结构
“代理托管”体系结构允许 Microsoft 服务在订阅所有者将范围内的适当权限委托给虚拟网络后,将托管的 Azure 服务附加到客户订阅。 此连接模型可让 Microsoft 服务提供软件即服务和用户许可的服务,而不是标准的基于使用的服务。
下图显示了使用Microsoft托管网络Microsoft Entra 联接配置的逻辑体系结构、使用客户的网络连接 (“自带网络”) Microsoft Entra 联接配置,以及分别使用 ANC 的 Microsoft Entra 混合联接配置。
所有云电脑连接都由虚拟网络接口卡提供。 “代理托管”体系结构表示云电脑存在于由 Microsoft 拥有的订阅中。 因此,Microsoft 会产生运行和管理此基础结构的成本。
Windows 365 管理 Windows 365 订阅中的容量和区域内可用性。 Windows 365 根据分配给用户的许可证确定 VM的大小和类型。 Windows 365 根据创建本地网络连接时选择的虚拟网络,确定托管云电脑的 Azure 区域。
Windows 365 与 Microsoft 365 数据保护策略保持一致。 Microsoft 企业云服务中的客户数据受到各种技术和流程的保护:
- 加密形式多种多样。
- 逻辑上与其他租户隔离。
- 可从特定客户端访问有限、受控且受保护的用户集。
- 使用基于角色的访问控制保护访问权限。
- 复制到多个服务器、存储终结点和数据中心以实现冗余。
- 监视未经授权的访问、过度的资源消耗和可用性。
有关 Windows 365 云电脑加密的详细信息,请参阅 Windows 365 中的数据加密。