Erstellen einer Azure-Netzwerkverbindung

Mit Azure-Netzwerkverbindungen (ANC) können Sie Cloud-PCs bereitstellen, die mit einem virtuellen Netzwerk verbunden sind, das Sie verwalten.

Sie können bis zu 10 ANCs pro Mandant haben.

Im Rahmen des Verbindungsprozesses werden dem Windows 365-Dienst die folgenden Berechtigungen erteilt:

  • Leseberechtigung für das Azure-Abonnement.
  • Windows 365 Rolle Netzwerkschnittstellenmitwirkender für die angegebene Ressourcengruppe.
  • Windows 365 Rolle "Netzwerkbenutzer" im virtuellen Netzwerk.

Anforderungen

Um einen ANC zu erstellen, müssen Sie die folgenden Anforderungen erfüllen:

  • Sie verfügen über die Rolle Intune-Administrator oder Windows 365-Administrator.
  • Sie verfügen über ein Active Directory-Benutzerkonto mit ausreichenden Berechtigungen, um die AD-Domäne in diese Organisationseinheit einzubinden (nur hybride Microsoft Entra ANCs beitreten).
  • Verwenden Sie die Rolle Abonnementleser in dem Azure-Abonnement, in dem sich das VNET befindet, das dem ANC zugeordnet ist.
  • Wenn Sie einen ANC mit einem Netzwerk oder einer Ressourcengruppe erstellen möchten, die nie in einer pervious ANC-Erstellung verwendet wurde, müssen Sie über die Rolle Abonnementbesitzer oder Benutzeradministrator verfügen.
  • Stellen Sie für die Notfallwiederherstellung (Disaster Recovery, DR) sicher, dass mindestens 50 % der IP-Adressen in Ihrem Subnetz verfügbar sind. Wenn eine erneute Bereitstellung für die DR erforderlich ist, sind für jeden cloudbasierten PC, der im Subnetz bereitgestellt wird, ausreichende neue IP-Adressen erforderlich.
  • Führen Sie für Windows 365 Government – nur GCC und nicht GCC-H – die Skriptoptionen aus, die unter Einrichten von Mandanten für Windows 365 Government aufgeführt sind.
  • Wenn Sie Azure CloudShell nicht verwenden, stellen Sie sicher, dass Ihre PowerShell-Ausführungsrichtlinie so konfiguriert ist, dass uneingeschränkte Skripts zulässig sind. Wenn Sie die Ausführungsrichtlinie mithilfe von Gruppenrichtlinie festlegen, stellen Sie sicher, dass das Gruppenrichtlinienobjekt (Group Policy Object, GPO), das auf die Organisationseinheit (Organizational Unit, OU) ausgerichtet ist, die im ANC definiert ist, so konfiguriert ist, dass uneingeschränkte Skripts zulässig sind. Weitere Informationen finden Sie unter Festlegen der Ausführungsrichtlinie.

Wenn Sie Ihre ANC-VNETs mit ExpressRoute als lokales Konnektivitätsmodell planen, lesen Sie die Azure-Dokumentation zu VM-Grenzwerten. Stellen Sie für die ExpressRoute-Gateway-SKU sicher, dass Sie über die richtige Größe des Gateways für die Anzahl der cloudbasierten PCs verfügen, die im VNET geplant sind. Eine Überschreitung dieses Grenzwerts kann zu Einer Instabilität ihrer Konnektivität führen.


Erstellen eines ANC

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>Windows 365 (unter Bereitstellung) >Azure-Netzwerkverbindung>Erstellen aus.

  2. Wählen Sie je nach Anctyp, den Sie erstellen möchten, Microsoft Entra Join oder Hybrid Microsoft Entra Join aus.

    Screenshot der Dropdownliste

  3. Geben Sie auf der Seite Netzwerkdetails im Feld Name einen Namen für die neue Verbindung ein. Der Verbindungsname muss innerhalb des Kundenmandanten eindeutig sein.

    Screenshot des Felds

  4. Wählen Sie ein Abonnement und eine Ressourcengruppe für die neue Verbindung aus. Erstellen Sie eine neue Ressourcengruppe für Ihre Cloud-PC-Ressourcen. Optional können Sie stattdessen eine vorhandene Ressourcengruppe in der Liste auswählen (wodurch der vorhandenen Ressourcengruppe Windows 365-Berechtigungen erteilt werden). Wenn Sie nicht über einen fehlerfreien ANC verfügen, können Sie nicht fortfahren.

  5. Wählen Sie ein virtuelles Netzwerk und ein Subnetz aus.

  6. Wählen Sie Weiter aus.

  7. Geben Sie für Hybrid-Microsoft Entra Join-ANCs auf der Ad-Domänenseite die folgenden Informationen an:

    • AD-Domänenname: Der DNS-Name der Active Directory-Domäne, die Sie zum Herstellen einer Verbindung und Bereitstellen von Cloud-PCs verwenden möchten, z. B. „corp.contoso.com“.

      Hinweis

      Wenn Ihre lokales Active Directory-Umgebung über mehr als eine Domäne oder über-/untergeordnete Domänen verfügt, müssen Sie die spezifische Domäne eingeben, in die die Cloud-PCs in die Domäne eingebunden werden müssen.

    • Organisationseinheit: (Optional.) Eine Organisationseinheit (OE) ist ein Container innerhalb einer Active Directory-Domäne, der Benutzer, Gruppen und Computer enthalten kann. Stellen Sie sicher, dass diese Organisationseinheit für die Synchronisierung mit Microsoft Entra Connect aktiviert ist. Bei der Bereitstellung tritt ein Fehler auf, wenn diese Organisationseinheit nicht synchronisiert wird.

    • AD-Domänenbenutzername: Der Benutzername im UPN-Format (User Principal Name), den Sie zum Verbinden der Cloud-PCs mit Ihrer Active Directory-Domäne verwenden möchten. Beispiel: svcDomainJoin@corp.contoso.com. Dieses Dienstkonto muss über die Berechtigung zum Einbinden von Computern in die Domäne und die Zielorganisationseinheit (falls festgelegt) verfügen.

    • AD-Domänenkennwort: Das Kennwort für den Benutzer.

    • Ad-Domänenkennwort bestätigen: Das Kennwort für den Benutzer.

    Cloud-PCs, die den definierten ANC verwenden, werden mit der angegebenen Domäne und Organisationseinheit verknüpft. Stellen Sie sicher, dass es sich bei der ausgewählten Domäne um die gewünschte Domäne handelt, der die Computer beitreten sollen.

  8. Klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Überprüfen und erstellen auf Erstellen.

Wenn ein ANC verwendet wird, kann er nicht gelöscht werden, und bestimmte Konfigurationseinstellungen können nicht bearbeitet werden. Weitere Informationen finden Sie unter Bearbeiten der Azure-Netzwerkverbindung und Löschen einer Azure-Netzwerkverbindung.

Nächste Schritte

Bearbeiten einer Azure-Netzwerkverbindung.