Megosztás a következőn keresztül:

Windows 365 hálózati üzembehelyezési lehetőségek

  • Cikk

A Windows 365 szolgáltatás hálózati üzembe helyezésére két lehetősége van:

  • Microsoft által üzemeltetett hálózat használata
    • Ajánlott beállítás.
    • Ideális az egyszerűség, a megbízhatóság és a skálázhatóság Windows 365 Szolgáltatott szoftver (SaaS) funkcióihoz.
    • Támogatja a Microsoft Entra illesztés identitásmodellt.
    • Nincs követelmény az Azure-előfizetéshez vagy -szakértelemhez.
  • Az Azure Network Connections (ANC) használata
    • Támogatja Microsoft Entra és Microsoft Entra hibrid illesztésű identitásmodelleket is.

Microsoft által üzemeltetett hálózat

Ez a lehetőség egyszerű, megbízható és méretezhető, és felhőalapú PC-kapcsolatot kínál, ahol a Microsoft valódi SaaS-megközelítéssel biztosítja a szolgáltatást. Ezzel a beállítással a Microsoft:

  • Beállítja és teljes mértékben felügyeli a funkcionális felhőbeli számítógépek felhasználók számára történő biztosításához szükséges infrastruktúrát és kapcsolódó szolgáltatásokat.
  • A felhőbeli számítógépek által elfoglalt hálózatot kezeli.
  • Egy végfelhasználói számítástechnika (EUC) környezet Teljes felügyelet keretrendszerhez igazított modelljét biztosítja. További információ: További információ a natív felhőbeli végpontokról.

Az ügyfél felelőssége a felhőbeli számítógépek konfigurálása és felügyelete.

A Microsoft azt javasolja az ügyfeleknek, hogy ezt a lehetőséget használják a Windows 365 üzemelő példányukhoz.

Nem kell saját Azure-előfizetése(ke)t használnia, megterveznie, megterveznie, üzembe helyeznie vagy kezelnie az infrastruktúrát. Az ügyfelek az EUC-csapatuknak a felhőalapú PC-konfigurációk és -biztonság kezelésére összpontosíthatnak a Intune által biztosított egyetlen felügyeleti konzolról.

Ez a lehetőség hasonló ahhoz, hogy egy alkalmazottnak laptopot biztosítson otthon. Ön, mint szervezet nem szabályozza azt a hálózatot, amelyen az eszköz található. Teljes mértékben szabályozhatja, hogy a Windows-eszköz hogyan legyen konfigurálva, védve, és hogyan csatlakozik a helyszíni hálózathoz. A Windows 365 ez a vezérlő a teljes körű Teljes felügyelet Security Frameworkhez igazított adaptív biztonsági vezérlőknek és konfigurációknak köszönhetően lehetséges.

A felhasználók például Microsoft Entra feltételes hozzáférés adaptív vezérlőivel hitelesíthetők. A vállalati kapcsolat VPN-en keresztül érhető el. Az internetbiztonság felhőalapú biztonságos webátjárót (SWG) használhat. Ennek az az előnye, hogy az eszközök nagy léptékben, rövid idő alatt üzembe helyezhetők, amikor nagy sávszélességű, rugalmas hálózaton van szükség.

Ábra: A Microsoft által üzemeltetett hálózati beállítás – csak Microsoft Entra csatlakozás

Ez az ábra a Microsoft által üzemeltetett hálózatot mutatja be a Microsoft által felügyelt előfizetésben lévő felhőalapú PC-vel és virtuális hálózati kártyával.

A Microsoft által üzemeltetett hálózati beállítás ábrája

A Microsoft által üzemeltetett hálózati lehetőség előnyei

  • Nincs szükség Azure-előfizetésre. A Microsoft biztosítja és teljes mértékben felügyeli a felhőalapú PC működéséhez szükséges infrastruktúrát. Mindössze a szükséges licencekre van szüksége.
  • A hálózati infrastruktúra nem jár további költségekkel. A saját virtuális hálózat (VNet) és a virtuális berendezések üzemeltetésével kapcsolatos Azure-költségek nem vonatkoznak. A Microsoft gondoskodik a hálózati infrastruktúráról.
  • Nincs szükség az Azure hálózatkezelési szakértelméhez vagy felügyeletéhez. A virtuális hálózatot teljes mértékben a Microsoft felügyeli.
  • Alacsony összetettség és gyors üzembe helyezés. Az üzembe helyezés alacsony összetettséget eredményez az ügyféloldali elemek minimális függőségei miatt.
  • Nulla megbízhatósági igazítás. A felhasználói, végponti, számítási feladatok és adatjelek Teljes felügyelet működési modelljét a rendszer az ellenőrzéshez használja ahelyett, hogy megbízhatóságot alkalmaz a hálózati helyre.
  • Egyszerűbb hibaelhárítás és műveletek. Egyszerűbben elháríthatja és megállapíthatja a hálózati problémákat, és modern eszközfelügyeletet alkalmazhat Intune szabályzatok, biztonsági vezérlők és beépített jelentéskészítési képességek alapján.

Megfontolások

A Microsoft által üzemeltetett hálózati beállítás használata előtt tekintse át az alábbi szempontokat:

  • Ez a beállítás nem kompatibilis a hibrid illesztés Microsoft Entra modellel. Ez a lehetőség csak felhőalapú üzemelő példány, amely nem kapcsolódik helyi Active Directory Tartományi szolgáltatások infrastruktúrához. Ha olyan Csoportházirend objektumalapú felügyeleti szabályzatokkal rendelkezik, amelyek nem alakíthatók át Intune, akkor ez a beállítás nem megfelelő az Ön számára.
  • A virtuális hálózat nincs szabályozva. A virtuális hálózati adapter a Microsoft felügyelete alá tartozik. Ezért minden hálózati vezérlőt magán a felhőalapú számítógépen kell implementálnunk, hasonlóan az otthoni munkavégzéshez készült fizikai eszközökhöz.
  • Nincs közvetlen hozzáférés a helyszíni erőforrásokhoz. Ezeknek az erőforrásoknak a eléréséhez VPN- vagy privát hozzáférési megoldásra van szükség. Ha VPN-eket használ felhőalapú PC-vel, használjon osztott bújtatást annak érdekében, hogy az RDP-forgalom ne a VPN-en keresztül legyen irányítva.
  • Natív felhőfelügyeleti műveleti modellt igényel, például Intune.
  • A 25-ös port le van tiltva.
  • A ping/ICMP le van tiltva.
  • A felhőbeli számítógépek közötti helyi hálózati kommunikáció le van tiltva.
  • A felhőbeli számítógépekhez nem lehet közvetlen bejövő kapcsolatot létesíteni.
  • A rendszergazdák nem szabályozhatja a felhőbeli számítógépekhez rendelt IP-címtartományokat és/vagy címtereket. Windows 365 automatikusan kezeli az IP-címeket.

Azure Hálózati kapcsolat lehetőség

Az Azure Network Connection (ANC) üzembe helyezési lehetőségével teljes mértékben Ön felel a virtuális hálózatért és annak konfigurációjaért. Ha Microsoft Entra hibrid illesztésű modellt használ, ezt az üzembehelyezési lehetőséget kell használnia. Ezzel a beállítással a helyszíni Azure Directory-erőforrásokat szem előtt lehet látni, és testre szabhatja a hálózati és biztonsági célokat, például:

  • Forgalmi útvonalak.
  • Portok és protokollok.
  • Active Directory DS és üzletági alkalmazáskapcsolatok.
  • VPN-t vagy ExpressRoute-ot használó átjárókapcsolatok.
  • A felhőbeli számítógépek által használt címtér.
  • Kommunikációs engedélyek a felhőbeli számítógépek között.
  • Közvetlen RDP-kapcsolatok felhőbeli számítógépekhez.

Az Azure-előfizetésben lévő virtuális hálózatok közül kell kiválasztania a virtuális hálózatot. Olyan kiépítési szabályzatokat fog konfigurálni, amelyek létrehozzák a felhőbeli számítógépeket a virtuális hálózaton. Kezelni fogja a felhőbeli PC-kapcsolatot, beleértve a virtuális hálózatról érkező közvetlen kimenő forgalmat és a kívánt internetelérési útvonalat.

Az Azure Network Connection két identitás-üzembehelyezési modellt támogat:

  • Microsoft Entra csatlakozás
  • hibrid csatlakozás Microsoft Entra

Microsoft Entra csatlakozás

Microsoft Entra csatlakozás használatakor nem kell kapcsolatot létrehoznia a virtuális hálózat és a helyszíni hálózat között. Csak győződjön meg arról, hogy kimenő internetkapcsolat van a szükséges végpontokhoz. Előfordulhat azonban, hogy helyszíni kapcsolatot szeretne hozzáadni a helyszíni fájlkiszolgálókon és -alkalmazásokban található erőforrások eléréséhez. A kapcsolatot ExpressRoute-tal vagy helyek közötti VPN-sel is létrehozhatja, de ezek a lehetőségek többletköltséggel és összetettséggel járnak.

Az egyszerűség kedvéért javasoljuk, hogy Microsoft Entra csatlakozás használatakor használja a Microsoft által üzemeltetett hálózat korábban ismertetett beállítását. Ebben az esetben vpn- vagy privát hozzáférési megoldást használhat az interneten keresztül a vállalati erőforrások eléréséhez.

Ábra: ANC-beállítás – Microsoft Entra illesztés

Diagram az ANC Microsoft Entra illesztés lehetőségéről

hibrid csatlakozás Microsoft Entra

A Microsoft Entra hibrid csatlakozás esetén a virtuális hálózatról kapcsolatot kell létesíteni a helyszíni hálózattal. Az ott található tartományvezérlő-infrastruktúra elérésének egyetlen módja az ANC üzembehelyezési lehetőség használata. Ez a kapcsolat kritikus fontosságú összetevő, ezért ügyelni kell a megbízhatóságra és a redundanciára.

Ábra: ANC-beállítás – hibrid csatlakozás Microsoft Entra

Az ANC Microsoft Entra hibrid csatlakoztatási lehetőségének ábrája

Az ANC-beállítás előnyei

  • A virtuális hálózat teljes vezérlése. A felhőalapú számítógép hálózati adaptere a saját felügyelt virtuális hálózatán belül található.
  • Közvetlen látótávolság a helyszíni infrastruktúrához. A virtuális hálózat konfigurálható helyek közötti VPN- vagy ExpressRoute-kapcsolattal a helyszíni hálózathoz az Azure Directory-infrastruktúrához vagy az ott található szolgáltatásokhoz és alkalmazásokhoz való közvetlen kapcsolódáshoz.
  • A felhőalapú számítógép úgy működik, mintha egy helyszíni helyen lenne. A vállalati hálózat virtuális hálózatra való kiterjesztése azt jelenti, hogy a felhőalapú számítógép úgy működhet, mintha a vállalati hálózat határain belül lenne.
  • Egyszerű társviszony létesítése más virtuális hálózatokkal. Egyszerű keresztkapcsolat a felhőalapú PC virtuális hálózat és az Azure más virtuális hálózatai között. Ez támogatja a szervezet által használt más Azure-beli erőforrásokhoz való közvetlen kapcsolódást.

Megfontolások

Az ANC üzembehelyezési lehetőség használata előtt tekintse át az alábbi szempontokat:

  • Azure-előfizetés szükséges. Az ebben a forgatókönyvben használt virtuális hálózat a saját Azure-előfizetésében található. Ezért rendelkeznie kell egy Azure-előfizetéssel és a szükséges licencekkel.

  • Kimenő forgalom költségei. Mivel a virtuális hálózat a saját Azure-fiókjához van társítva, a kimenő forgalom költségei az Azure-előfizetésben merülnek fel.

  • A hálózati infrastruktúra többletköltsége. A saját virtuális hálózat üzemeltetésével kapcsolatos Azure-költségek a virtuális hálózathoz társított előfizetésre vonatkoznak.

  • Az Azure hálózatkezelési szakértelme vagy kezelése szükséges. A virtuális hálózat fenntartásához meg kell adnia a szükséges szakértelmet és felügyeletet.

  • Nagyobb összetettség. A hálózatot kezelnie és karbantartania kell, ami összetettebb feladat, mint a Microsoft által üzemeltetett hálózat használata.

  • Hosszabb üzembe helyezés. Az üzembe helyezés általában hosszabb, mint a Microsoft által üzemeltetett hálózati beállításnál. Ezt a többletidőt az okozza, hogy sok ügyféloldali elemet kell először konfigurálni.

  • Nagyobb kockázat. Az ANC üzemelő példány összetettebb, mint a Microsoft által üzemeltetett hálózati telepítés. Ez az összetettség növeli a csatlakozási problémák kockázatát.

  • A Microsoft által üzemeltetett hálózatok nem támogatják a rögzített IP-címeket a felhőbeli PC kimenő kapcsolataihoz. Ennek eredményeképpen eltérő IP-címek figyelhetők meg, ha különböző alkalmazásokat vagy akár ugyanazt az alkalmazást használják különböző időpontokban.

Egyidejű beállítások

A Microsoft által üzemeltetett hálózat és az ANC beállításai egyszerre használhatók. Használhatja például az ANC lehetőséget az üzemelő példányok egy részhalmazához, amelyek egyedi örökölt követelményekkel rendelkeznek. A többi, ezen követelmények nélküli üzemelő példány esetében használhatja a Microsoft által üzemeltetett hálózati lehetőséget.

Következő lépések

További információ az üzembe helyezési folyamatról.