创建 Azure 网络连接
Azure 网络连接 (ANC),可以预配附加到所管理虚拟网络的云电脑。
每个租户最多可以有 10 个 ANC。
在连接过程中,Windows 365 服务被授予以下权限:
- Azure 订阅的读者权限。
- Windows 365指定资源组的网络接口参与者角色。
- Windows 365虚拟网络上的网络用户角色。
要求
若要创建 ANC,必须满足以下要求:
- 具有Intune管理员或Windows 365管理员角色。
- 拥有一个具有足够权限的 Active Directory 用户帐户,以将 AD 域加入此组织单位 (混合Microsoft Entra仅) 加入 ANC。
- 在与 ANC 关联的 VNET 所在的 Azure 订阅中拥有订阅读取者角色。
- 如果要创建一个具有网络或资源组的 ANC,而该网络或资源组从未用于任何可操作的 ANC 创建,则必须具有订阅所有者或用户管理员角色。
- 出于灾难恢复 (DR) 目的,请确保子网中至少有 50% 的 IP 地址可用。 如果需要重新预配 DR,则子网上预配的每个云电脑都需要足够的新 IP 地址。
- 对于 Windows 365 政府 - 仅限 GCC,而不是 GCC-H - 请确保完成为 Windows 365 政府设置租户中列出的脚本选项。
- 如果未使用 Azure CloudShell,请确保 PowerShell 执行策略配置为允许不受限制的脚本。 如果使用组策略设置执行策略,请确保针对 ANC 中定义的组织单位 (OU) 的组策略对象 (GPO) 配置为允许不限制的脚本。 有关详细信息,请参阅 Set-ExecutionPolicy。
使用 ExpressRoute 作为本地连接模型规划 ANC VNet 时,请参阅 有关 VM 限制的 Azure 文档。 对于 ExpressRoute 网关 SKU,请确保在 VNet 中计划云电脑的数量具有正确大小的网关。 超过此限制可能会导致连接不稳定。
创建 ANC
登录到 Microsoft Intune 管理中心,在“预配) Azure 网络连接>创建”下选择“设备>Windows 365 (>”。
根据要创建的 ANC 类型,选择“Microsoft Entra联接”或“混合Microsoft Entra联接”。
在“网络详细信息”页上,输入新连接的“名称”。 连接名称在客户租户中必须唯一。
为新连接选择“订阅”和“资源组”。 创建新的资源组以包含云电脑资源。 (可选)可以改为选择列表中的现有资源组(这会将 Windows 365 权限授予现有资源组)。 如果没有 正常的 ANC,则无法继续操作。
选择“虚拟网络”和“子网”。
选择 下一步。
对于混合Microsoft Entra加入 ANC,请在 AD 域页上提供以下信息:
AD 域名:要用于连接和预配云电脑的 Active Directory 域的 DNS 名称。 例如 corp.contoso.com。
注意
如果本地 Active Directory环境中有多个域或父子域,请确保输入云电脑需要加入域的特定域。
组织单位: (可选。) 组织单位 (OU) 是 Active Directory 域中的容器,可以容纳用户、组和计算机。 确保启用此 OU 以与 Microsoft Entra Connect 同步。 如果此 OU 未同步,预配将失败。
AD 域用户名:用于将云电脑连接到 Active Directory 域的用户名,采用用户主体名称 (UPN) 格式。 例如,svcDomainJoin@corp.contoso.com。 此服务帐户必须有权将计算机加入域以及目标 OU(如果已设置)。
AD 域密码:用户的密码。
确认 AD 域密码:用户的密码。
使用定义的 ANC 的云电脑将加入指定的域和 OU。 确保所选域是计算机要加入的所需域
选择“下一步”。
在“审阅 + 创建”页面上,选择“创建”。
使用 ANC 时,无法删除它,并且无法编辑某些配置设置。 有关详细信息,请参阅 编辑 Azure 网络连接 和 删除 Azure 网络连接。