options de déploiement réseau Windows 365
Vous avez deux options pour le déploiement réseau du service Windows 365 :
- Utiliser un réseau hébergé par Microsoft
- Option recommandée.
- Idéal pour les fonctionnalités SaaS (Software-as-a-Service) Windows 365 de simplicité, de fiabilité et de scalabilité.
- Prend en charge le modèle d’identité de jointure Microsoft Entra.
- Aucune exigence d’abonnement ou d’expertise Azure.
- Utiliser Azure Network Connections (ANC)
- Prend en charge les modèles d’identité de jointure Microsoft Entra et de jointure hybride Microsoft Entra.
Réseau hébergé par Microsoft
Cette option est simple, fiable et évolutive, offrant une connectivité pc cloud où Microsoft fournit le service dans une approche SaaS véritable. Avec cette option, Microsoft :
- Configure et gère entièrement l’infrastructure et les services associés requis pour fournir des PC cloud fonctionnels à vos utilisateurs.
- Gère le réseau qu’occupent les PC cloud.
- Fournit un modèle Confiance nulle aligné sur l’infrastructure d’un environnement de calcul de l’utilisateur final (EUC). Pour plus d’informations, consultez En savoir plus sur les points de terminaison natifs cloud.
La seule responsabilité du client est la configuration et la gestion des PC cloud.
Microsoft recommande aux clients d’utiliser cette option pour leur déploiement Windows 365.
Vous n’avez pas besoin d’introduire vos propres abonnements Azure, ni de planifier, de concevoir, de déployer ou de gérer l’infrastructure. Les clients peuvent dédier leur équipe EUC pour se concentrer sur la gestion des configurations et de la sécurité des PC cloud à partir d’un seul console de gestion fourni par Intune.
Cette option est analogue à la fourniture à un employé d’un ordinateur portable à utiliser à la maison. En tant que organization vous ne contrôlez pas le réseau sur lequel se trouve l’appareil. Vous contrôlez entièrement la façon dont l’appareil Windows est configuré, sécurisé et comment il se connecte à votre réseau local. Avec Windows 365, ce contrôle est possible grâce aux configurations et contrôles de sécurité adaptatifs alignés de bout en bout Confiance nulle Security Framework.
Par exemple, les utilisateurs peuvent être authentifiés avec des contrôles adaptatifs de Microsoft Entra l’accès conditionnel. La connectivité d’entreprise peut être fournie à l’aide d’un VPN. La sécurité Internet peut utiliser une passerelle web sécurisée (SWG) basée sur le cloud. L’avantage est que les appareils peuvent être déployés à grande échelle dans un court laps de temps chaque fois que nécessaire sur un réseau à bande passante élevée et résilient.
Diagramme : option de réseau hébergé par Microsoft - Microsoft Entra joindre uniquement
Ce diagramme montre le réseau hébergé par Microsoft avec le PC cloud et le réseau virtuel carte au sein d’un abonnement géré par Microsoft.
Avantages de l’option de réseau hébergé par Microsoft
- Aucun abonnement Azure n’est requis. Microsoft fournit et gère entièrement l’infrastructure nécessaire au fonctionnement du PC cloud. Tout ce dont vous avez besoin est les licences requises.
- Aucun coût supplémentaire pour l’infrastructure réseau. Les coûts Azure liés à l’exploitation de votre propre réseau virtuel (VNet) et des appliances virtuelles ne s’appliquent pas. Microsoft s’occupe de l’infrastructure réseau.
- Aucune expertise ou gestion réseau Azure n’est requise. Le réseau virtuel est entièrement géré par Microsoft.
- Faible complexité et déploiement rapide. Le déploiement est peu complexe en raison de dépendances minimales vis-à-vis des éléments côté client.
- Alignement confiance zéro. Le modèle d’opération Confiance nulle pour l’utilisateur, le point de terminaison, la charge de travail et les signaux de données sont utilisés pour la vérification au lieu d’appliquer l’approbation à l’emplacement réseau.
- Résolution des problèmes et opérations plus simples. Il est plus facile de résoudre et d’identifier les problèmes de mise en réseau et d’adopter une gestion moderne des appareils basée sur des stratégies de Intune, des contrôles de sécurité et des fonctionnalités de création de rapports intégrées.
Considérations
Avant d’utiliser l’option de réseau hébergé par Microsoft, passez en revue les considérations suivantes :
- Cette option n’est pas compatible avec le modèle de jointure hybride Microsoft Entra. Cette option est un déploiement cloud uniquement sans connectivité à Active Directory local Domain Services infrastructure. Si vous avez stratégie de groupe stratégies de gestion basées sur des objets qui ne peuvent pas être converties en Intune, cette option n’est pas la bonne pour vous.
- Aucun contrôle du réseau virtuel. La carte réseau virtuelle est gérée par Microsoft. Par conséquent, tous les contrôles réseau doivent être implémentés sur le PC cloud lui-même, comme pour les appareils physiques dans un scénario de travail à domicile.
- Aucun accès direct aux ressources locales. Une solution VPN ou d’accès privé est nécessaire pour accéder à ces ressources. Lorsque vous utilisez des VPN avec un PC cloud, utilisez le tunneling fractionné pour vous assurer que le trafic RDP n’est pas routé via le VPN.
- Nécessite un modèle d’opération de gestion native cloud comme Intune.
- Le port 25 est bloqué.
- Ping/ICMP est bloqué.
- Les communications de réseau local entre les PC cloud sont bloquées.
- Aucune connectivité entrante directe n’est possible pour les PC cloud.
- Il n’existe aucun moyen pour les administrateurs de contrôler les plages d’adresses IP et/ou l’espace d’adressage attribués aux PC cloud. Windows 365 gère automatiquement les adresses IP.
Option De connexion réseau Azure
Avec l’option de déploiement Azure Network Connection (ANC), vous êtes entièrement responsable du réseau virtuel et de sa configuration. Si vous utilisez un modèle de jointure hybride Microsoft Entra, vous devez utiliser cette option de déploiement. Cette option offre une visibilité directe à vos ressources Azure Directory locales et vous permet de personnaliser le réseau et les objectifs de sécurité tels que :
- Itinéraires de trafic.
- Ports et protocoles.
- Connectivité des applications métier et d’Active Directory DS.
- Connexions de passerelle à l’aide d’un VPN ou d’ExpressRoute.
- Espace d’adressage utilisé par les PC cloud.
- Autorisations de communication entre pc cloud.
- Connexions RDP directes aux PC cloud.
Vous sélectionnez le réseau virtuel parmi ceux de votre abonnement Azure. Vous allez configurer des stratégies d’approvisionnement qui créent les PC cloud dans votre réseau virtuel. Vous allez gérer la connectivité du PC cloud, y compris toute sortie directe à partir du réseau virtuel et le chemin d’accès Internet souhaité.
La connexion réseau Azure prend en charge deux modèles de déploiement d’identité :
- Jonction Microsoft Entra
- Jonction Microsoft Entra hybride
Jonction Microsoft Entra
Lorsque vous utilisez Microsoft Entra jointure, vous n’êtes pas obligé de créer une connexion entre le réseau virtuel et votre réseau local. Vous devez simplement vous assurer qu’il existe une connectivité Internet sortante aux points de terminaison requis. Toutefois, vous souhaiterez peut-être ajouter une connexion locale pour accéder aux ressources situées dans vos applications et serveurs de fichiers locaux. Vous pouvez créer la connexion à l’aide d’ExpressRoute ou d’un VPN de site à site, mais ces options présentent un coût et une complexité supplémentaires.
Par souci de simplicité, lorsque vous utilisez Microsoft Entra jointure, nous vous recommandons d’utiliser l’option de réseau hébergé par Microsoft expliquée précédemment. Dans ce cas, vous pouvez utiliser une solution VPN ou d’accès privé sur Internet pour accéder aux ressources de l’entreprise.
Diagramme : option ANC - jointure Microsoft Entra
Jonction Microsoft Entra hybride
Avec Microsoft Entra jointure hybride, une connexion au réseau local est requise à partir du réseau virtuel. La seule façon d’atteindre l’infrastructure de contrôleur de domaine qui y est située est d’utiliser l’option de déploiement ANC. Cette connexion étant un composant essentiel, vous devez veiller à garantir la fiabilité et la redondance.
Diagramme : option ANC - jointure hybride Microsoft Entra
Avantages de l’option ANC
- Contrôle total du réseau virtuel. La carte réseau du PC cloud se trouve dans votre propre réseau virtuel managé.
- Direct ligne de vue vers l’infrastructure locale. Le réseau virtuel peut être configuré avec une connexion VPN de site à site ou ExpressRoute au réseau local pour une connectivité directe à l’infrastructure Azure Directory ou aux services et applications qui y sont situés.
- PC cloud géré comme s’il se trouve sur un emplacement local. L’extension du réseau d’entreprise au réseau virtuel signifie que le PC cloud peut fonctionner comme s’il se trouve dans les limites du réseau d’entreprise.
- Peering simple avec d’autres réseaux virtuels. Connectivité croisée simple entre le réseau virtuel pc cloud et d’autres réseaux virtuels dans Azure. Cela prend en charge la connectivité directe à d’autres ressources hébergées sur Azure que le organization utilise.
Considérations
Avant d’utiliser l’option de déploiement ANC, passez en revue les considérations suivantes :
Abonnement Azure requis. Le réseau virtuel utilisé dans ce scénario se trouve dans votre propre abonnement Azure. Par conséquent, vous devez disposer d’un abonnement Azure et des licences requises.
Coûts de sortie. Étant donné que le réseau virtuel est associé à votre propre compte Azure, tous les coûts de sortie sont engagés dans votre abonnement Azure.
Coûts supplémentaires pour l’infrastructure réseau. Les coûts Azure liés au fonctionnement de votre propre réseau virtuel sont appliqués à l’abonnement associé au réseau virtuel.
Expertise ou gestion réseau Azure requise. Vous devez fournir l’expertise et la gestion nécessaires à la maintenance de votre réseau virtuel.
Complexité plus élevée. Vous devez gérer et gérer votre réseau, ce qui est une tâche plus complexe que l’utilisation d’un réseau hébergé par Microsoft.
Déploiement plus long. Le déploiement est généralement plus long qu’avec l’option de réseau hébergé par Microsoft. Ce temps supplémentaire est dû au nombre élevé d’éléments côté client qui doivent être configurés en premier.
Risque plus élevé. Un déploiement ANC est plus complexe qu’un déploiement réseau hébergé par Microsoft. Cette complexité augmente le risque de problèmes de connectivité.
Les réseaux hébergés par Microsoft ne prennent pas en charge les adresses IP fixes pour les connexions sortantes de PC cloud. Par conséquent, des adresses IP différentes peuvent être observées lors de l’utilisation de différentes applications ou même de la même application à des moments différents.
Options simultanées
Les options réseau hébergé par Microsoft et ANC peuvent être utilisées simultanément. Par exemple, vous pouvez utiliser l’option ANC pour un sous-ensemble de vos déploiements qui ont des exigences héritées uniques. Pour le reste de votre déploiement sans ces exigences, vous pouvez utiliser l’option réseau hébergé par Microsoft.