Azure 網路連線概觀
Azure 網路連線 (ANC) 是 Microsoft Intune 系統管理中心的物件,可提供雲端電腦布建配置檔,以及連線到網路資源所需的資訊。 使用 ACS:
- 一開始布建雲端電腦時。
- 當 Windows 365 定期檢查內部部署基礎結構的連線,以確保最佳的用戶體驗。
網路連線類型
根據其聯結類型,有兩種類型的 ANIC。 這兩者都可讓您管理流量和雲端計算機對網路型資源的存取,但它們有不同的連線需求。
- Microsoft Entra 加入:不需要連線到 Windows Server Active Directory (AD) 網域。
- 混合式 Microsoft Entra 加入:需要連線到 Windows Server AD 網域。 您必須在 建立 ANC 時提供 AD 網域詳細數據。
佈建
布建雲端計算機時,布建原則會使用 ANC 中的資訊,在 Azure 子網中布建雲端電腦。 ANC 中所需的資訊包括:
- 網路詳細數據:要與雲端計算機建立關聯的 Azure 訂用帳戶、資源群組、虛擬網路和子網。 當布建原則執行時,它會在Microsoft託管的 Azure 訂用帳戶中建立雲端電腦。 若要連線到客戶的內部部署網路,vNic) (虛擬網路適配器會插入客戶提供的 Azure 虛擬網路 (vNet) 。 若要建立此 vNic,Windows 365 需要足夠的 Azure 訂用帳戶存取權。
- Active Directory 網域:要加入的 Active Directory 網域、組織單位 (計算機物件的 OU) 目的地,以及具有足夠許可權可執行網域加入的 Active Directory 用戶認證。 當布建原則執行時,雲端計算機會加入此 Active Directory 網域。 認證會安全地儲存在 Windows 365 服務中。
在布建期間,雲端計算機會連線到 Azure 子網,並加入網域 (Windows Server Active Directory 或 Microsoft Entra ID) 。 此程式會產生雲端電腦,也就是:
- 在您的網路上。
- 已註冊至 Microsoft Entra ID。
- 已註冊到 Microsoft Intune。
- 準備好接受使用者登入要求。
ANC 設定只會在布建時套用至雲端電腦。
替代的ACS
為了協助在區域中極少數的容量條件約束案例中布建雲端計算機更可靠,您可以將替代的 NIC 指派給布建原則。 您可以定義原則所使用之 ANC 的優先順序。 如果第一個 ANC 無法使用,原則會自動使用優先順序清單中的第二個 ANC。 如果第二個無法使用,則會移至下一個,依此類推。 此程式可讓系統管理員在不同的 Azure 區域中準備多個 NIC,讓布建更加可靠。 您不需要使用多個 ANC。 如需在建立布建原則時使用替代 ANC 的詳細資訊,請參閱 建立布建原則。
第一次健康情況檢查
ANC 中包含的信息是用來布建雲端電腦。 若要讓布建成功,ANC 中參考的資源必須狀況良好且可存取。 建立 ANC 物件之後,Windows 365 確認:
- ANC 所參考的物件狀況良好。
- Connections 可以對這些對象進行。
這些健康情況檢查會使用提供的 ANC 資訊來布建雲端電腦。 如需完整的檢查清單,請參閱 Azure 網路連線健康情況檢查。
當第一個 ANC 健康情況檢查正在進行中時,您無法將它指派給布建原則。 健康情況檢查完成並成功之後,ANC 就可以指派給一或多個布建原則。
定期健康情況檢查
布建之後,ANC 中的資訊也會用來監視:
- 網路型資源之間的連線健康情況
- 裝載於Microsoft託管訂用帳戶中的雲端計算機
Windows 365 報告可能導致布建失敗或用戶體驗不佳的設定問題。 此監視可減少您的管理額外負荷。 如需這些定期檢查的詳細資訊,請參閱 Azure 網路連線健康情況檢查。
健康情況檢查頻率
ANC 檢查會每隔一到六小時執行一次。
完整的端對端健康情況檢查最多可能需要 30 分鐘。 健康情況檢查會在針對此目的自動建立的暫存 Azure 虛擬機上執行。 此虛擬機會在健康情況檢查完成時自動建立並刪除。 虛擬機會連線到指定的 vNet,並執行檢查以確保布建應該成功。
檢查完成之後,結果會張貼在 Microsoft Intune 系統管理中心的 [Azure 網络連線] 窗格上。 如需檢查結果的相關信息,請參閱 Azure 網路連線健康情況檢查。
重試健康情況檢查
若要手動觸發完整健康情況檢查,請登入 Microsoft Intune 系統管理中心,選取 [裝置>Windows 365 (在 [布建) >Azure 網络連線>] 下選取 [Azure 網络連線>重試]。
Azure 網路連線所需的許可權
ANC 精靈需要存取 Azure,以及選擇性地存取內部部署網域資源。 ANC 需要下列權限:
- Intune 系統管理員或 Windows 365 系統管理員角色。
- 具有足夠許可權可將 AD 網域加入此組織單位 (Microsoft Entra 混合式加入 ACS 的 Active Directory 使用者帳戶僅) 。
若要建立或編輯 ANC,您在與 ANC 相關聯的 VNET 所在的 Azure 訂用帳戶中至少必須有訂用帳戶讀取者角色。
如需需求的完整清單,請參閱 Windows 365 需求。
變更 Azure 網路連線
變更 ANC 中的設定不會影響先前使用該 ANC 布建的雲端電腦。 只有在變更 ANC 之後布建的雲端電腦才會反映這類後續變更。
如果您想要變更先前布建之雲端電腦上的 ANC 相關設定,您必須重新佈建雲端電腦。 重新布建是破壞性動作,因此請確定這是您真正想要採取的動作。 如需詳細資訊,請參閱 重新布建。
刪除 Azure 網路連線
您無法刪除使用中的 ANC。 在刪除物件之前,您必須針對使用此 ANC 的每個布建原則執行下列其中一個動作:
- 變更原則以使用不同的 ANC。
- 刪除原則。 如需詳細資訊, 請刪除 Azure 網路連線。
完成其中一項作業之後,您可以刪除 ANC。
Azure 網路連線數目上限
每個租使用者都有10個 Azure 網路連線的限制。 如果您的組織需要超過 10 個 Azure 網路連線,請連絡支持人員。
非使用中 ANC
一段時間未使用的 ACS 會變成非作用中。 非作用中 ANC 會暫停執行健康狀態檢查,而且必須等到 ANC 重新啟動且健康情況檢查順利完成之後,才能指派給布建原則。
使用者登入
當使用者嘗試登入其雲端計算機時,會發生用戶驗證。
針對 Microsoft Entra 混合式聯結 ANC,ANC 可用來將驗證要求路由傳送至域控制器。 如果 ANC 或網域的網路連線狀況不良,則無法進行使用者登入。 Windows 快取認證無法透過遠端桌面通道使用,因此域控制器的可用性非常重要。 確定您的網路穩定,或將域控制器伺服器放在與雲端電腦相同的子網上。
針對 Microsoft Entra 聯結 ANIC,ANC 可用來將驗證要求路由傳送至 Microsoft Entra ID。 Windows 快取認證無法透過遠端桌面通道使用,因此與 Microsoft Entra ID的連線非常重要。