網路要求
Windows 365 是雲端式服務,可讓使用者從任何裝置從任何位置透過因特網連線到在 Azure 中執行的 Windows 桌面。 若要支持這些因特網連線,您必須遵循本文所列的網路需求。
每個客戶都有其特定需求,根據他們用來計算其雲端計算機環境網路需求的工作負載。
注意事項
本文僅適用於您打算在自己的 Azure 虛擬網路上布建雲端電腦,而不是Microsoft裝載的網路。
一般網路需求
若要使用您自己的網路並布建Microsoft加入 Entra 的雲端計算機,您必須符合下列需求:
- Azure 虛擬網路:在建立 Windows 365 桌面的相同區域中,您的 Azure 訂用帳戶中必須有虛擬網路 (vNET) 。
- 網路頻寬:請參閱 Azure 的網路指導方針。
- vNet 內的子網和可用的IP位址空間。
若要使用您自己的網路並布建Microsoft已加入 Entra 的雲端電腦,您必須符合上述需求和下列需求:
- Azure 虛擬網路必須能夠解析 Active Directory Domain Services (AD DS) 環境的 DNS 專案。 若要支援此解析,請將AD DS DNS 伺服器定義為虛擬網路的 DNS 伺服器。
- Azure vNet 必須具有 Azure 或內部部署中企業域控制器的網路存取權。
允許網路連線
您必須允許網路組態中的流量流向下列服務 URL 和埠,以支援雲端電腦的佈建和管理,以及使用雲端電腦進行遠端連線。 雖然大部分的設定都適用於雲端計算機網路,但用戶聯機會從實體裝置進行。 因此,您也必須遵循實體裝置網路上的連線指導方針。
裝置或服務 | 需要網路連線的 URL 和埠 | 附註 |
---|---|---|
實體裝置 | 連結 | 針對遠端桌面用戶端連線能力和更新。 |
Microsoft Intune 服務 | 連結 | 針對 Intune 雲端服務,例如裝置管理、應用程式傳遞和端點分析。 |
Azure 虛擬桌面會話主機虛擬機 | 連結 | 雲端電腦與後端 Azure 虛擬桌面服務之間的遠端連線。 |
Windows 365 服務 | 連結 | 用於布建和健康情況檢查。 |
Windows 365 服務
佈建雲端電腦和 Azure 網路連線 (ANC) 健康情況檢查需要下列 URL 和埠:
- *.infra.windows365.microsoft.com
- *.cmdagent.trafficmanager.net
- 註冊端點
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net (443 & 5671 輸出)
- hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 輸出)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 輸出)
除非另有指定,否則所有端點都會透過埠 443 連線。
埠 3389
所有新布建的雲端計算機預設都會停用埠 3389。 Microsoft建議您將埠 3389 保持關閉。 不過,如果您需要針對任何使用 Azure 網路連線 (ANC) 部署選項重新佈建或新布建的雲端電腦開啟埠 3389,您可以檢閱下列選項:
- Windows 365 安全性基準。 客戶可以使用 Windows 365 安全性基準,有效地管理 Windows 365 雲端電腦的埠 3389。 這些基準提供完整的工具和設定,其設計目的是要增強安全性措施,同時允許必要的存取。 藉由調整防火牆設定並將 [公用配置文件的默認輸入動作 ] 設定為 [允許],組織可以確定已適當地設定埠 3389 以符合作業需求。 根據您的特定組織需求,檢閱並自定義這些設定。
- 在 Microsoft Intune 中建立自定義防火牆規則。 客戶可以在 Microsoft Intune 中使用自定義防火牆規則來設定 Windows 365 雲端電腦的埠 3389。 此選項牽涉到在 Intune 的安全策略中建立自定義規則,此原則是針對允許埠 3389 上的輸入流量而量身訂做的,用於存取雲端計算機。 藉由定義埠號碼、通訊協定 (TCP) 等規則參數,以及限制特定 IP 位址或網路,您可以確定埠 3389 的存取受到嚴密控制,且僅限於授權的實體。
這些選項不適用於使用Microsoft裝載網路的客戶。
透過 Azure 防火牆使用端點的 FQDN 標籤
Windows 365 完整功能變數名稱 (FQDN) 標籤可讓您更輕鬆地透過 Azure 防火牆授與對 Windows 365 必要服務端點的存取權。 如需詳細資訊,請 參閱使用 Azure 防火牆來管理及保護 Windows 365 環境。
遠端桌面通訊協定 (RDP) 訊息代理程式服務端點
直接連線到 Azure 虛擬桌面 RDP 訊息代理程式服務端點,對於將效能遠端處理至雲端電腦而言非常重要。 這些端點會同時影響連線和延遲。 若要符合 Microsoft 365 網路連線原則,您應該將這些端點分類為 優化 端點。 建議您使用從 Azure 虛擬網路到這些端點的直接路徑。
若要更輕鬆地設定網路安全性控制,請使用 Azure 虛擬桌面服務標籤來識別這些端點,以便使用 Azure 網路使用者定義路由 (UDR) 直接路由。 UDR 會導致虛擬網路與 RDP 訊息代理程式之間的直接路由,延遲最低。 如需 Azure 服務標籤的詳細資訊,請參閱 Azure 服務標籤概觀。
變更雲端電腦 (網路層或雲端電腦層的網路路由,例如 VPN) 可能會中斷雲端電腦與 Azure 虛擬桌面 RDP 代理程式之間的連線。 如果是,使用者會從其雲端計算機中斷連線,直到重新建立連線為止。
DNS 需求
作為Microsoft混合式聯結需求的一部分,您的雲端計算機必須能夠加入內部部署Active Directory。 這需要雲端計算機能夠解析內部部署AD環境的 DNS 記錄。
設定布建雲端電腦的 Azure 虛擬網路,如下所示:
- 請確定您的 Azure 虛擬網路具有可解析 Active Directory 網域之 DNS 伺服器的網路連線能力。
- 從 Azure 虛擬網路的 [設定] 中,選取 [DNS 伺服器],然後選擇 [自定義]。
- 輸入可解析 AD DS 網域之環境的 DNS 伺服器 IP 位址。
提示
如同使用實體計算機一樣,新增至少兩部 DNS 伺服器,有助於降低名稱解析中單一失敗點的風險。
如需詳細資訊,請 參閱設定 Azure 虛擬網路設定。
遠端桌面通訊協定需求
Windows 365 使用遠端桌面通訊協定 (RDP) 。
案例 | 預設模式 | H.264/AVC 444 模式 | 描述 |
---|---|---|---|
怠 | 0.3 Kbps | 0.3 Kbps | 用戶已暫停其工作,而且沒有作用中的螢幕更新。 |
Microsoft Word | 100-150 Kbps | 200-300 Kbps | 使用者正積極地使用Microsoft Word:鍵入、貼上圖形,以及在文件之間切換。 |
Microsoft Excel | 150-200 Kbps | 400-500 Kbps | 使用者正在主動使用 Microsoft Excel:同時更新多個包含公式和圖表的儲存格 |
Microsoft PowerPoint | 4-4.5 Mbps | 1.6-1.8 Mbps | 使用者正積極地使用 Microsoft PowerPoint:輸入、貼上、修改豐富的圖形,以及使用投影片轉換效果。 |
網頁流覽 | 6-6.5 Mbps | 0.9-1 Mbps | 使用者正積極使用圖形豐富的網站,其中包含多個靜態和動畫影像。 用戶會水準和垂直捲動頁面 |
映像庫 | 3.3-3.6 Mbps | 0.7-0.8 Mbps | 使用者正在積極使用映像庫應用程式:流覽、縮放、重設大小和旋轉影像 |
視訊播放 | 8.5-9.5 Mbps | 2.5-2.8 Mbps | 使用者正在觀看耗用 1/2 螢幕的 30 個 FPS 視訊。 |
全螢幕視訊播放 | 7.5-8.5 Mbps | 2.5-3.1 Mbps | 使用者正在觀看最大化為全螢幕的 30 FPS 影片。 |
Microsoft Teams 需求
Microsoft Teams 是雲端計算機內的核心Microsoft 365 服務之一。 Windows 365 會將音訊和視訊流量卸除至您的端點,讓影片體驗如實體電腦上的 Teams。
每個案例的網路品質都很重要。 請確定您有適當的頻寬可供您想要提供的品質使用。
雲端電腦上的 Microsoft Teams 不支援完整 HD (1920x1080p) 。
帶寬 (向上/向下) | 案例 |
---|---|
30 kbps | 點對點音訊呼叫。 |
130 kbps | 點對點音訊通話和屏幕畫面共用。 |
500 kbps | 點對點品質影片,以 30 fps 呼叫 360p。 |
1.2 Mbps | 點對點 HD 質量視訊通話,解析度為 HD 720p,解析度為 30 fps。 |
500kbps/1Mbps | 群組視訊通話。 |
如需Microsoft Teams 網路需求的詳細資訊,請參閱 網路考慮。
流量攔截技術
某些企業客戶會使用流量攔截、SSL 解密、深度封包檢查,以及其他類似的技術,讓安全性小組監視網路流量。 雲端電腦布建可能需要直接存取虛擬機。 這些流量攔截技術可能會造成執行 Azure 網路連線檢查或雲端電腦布建的問題。 請確定不會針對在 Windows 365 服務內布建的雲端電腦強制執行網路攔截。
頻寬
Windows 365 使用 Azure 網路基礎結構。 在部署 Windows 365 企業版時選取虛擬網路時,需要 Azure 訂用帳戶。 雲端電腦使用量的頻寬費用包括:
- 進入雲端計算機的網路流量是免費的。
- 輸出 (輸出) 流量會對虛擬網路的 Azure 訂用帳戶產生費用。
- 如果雲端計算機和用戶的數據位於不同區域,則電子郵件和商務用 OneDrive 等 Office 資料 (檔案同步) 會產生輸出費用。
- RDP 網路流量一律會產生輸出費用。
如果您自備網路,請參閱 頻寬定價。
如果您使用Microsoft裝載的網路:輸出資料/月是以雲端電腦的 RAM 為基礎:
- 2 GB RAM = 12 GB 輸出數據
- 4-GB 或 8 GB RAM = 20 GB 輸出數據
- 16 GB RAM = 40 GB 輸出數據
- 32 GB RAM = 70 GB 輸出數據
超過這些層級時,可能會限制數據頻寬。