Netzwerkanforderungen

Windows 365 ist ein cloudbasierter Dienst, mit dem Benutzer von jedem Gerät aus eine Verbindung über das Internet mit einem in Azure ausgeführten Windows-Desktop herstellen können. Um diese Internetverbindungen zu unterstützen, müssen Sie die in diesem Artikel aufgeführten Netzwerkanforderungen erfüllen.

Jeder Kunde hat seine spezifischen Anforderungen basierend auf der Workload, die er zum Berechnen der Netzwerkanforderungen seiner Cloud-PC-Umgebung verwendet.

Hinweis

Dieser Artikel gilt nur, wenn Sie die Bereitstellung von Cloud-PCs in Ihrem eigenen virtuellen Azure-Netzwerk und nicht in einem von Microsoft gehosteten Netzwerk planen.

Allgemeine Netzwerkanforderungen

Um Ihr eigenes Netzwerk zu verwenden und in Microsoft Entra eingebundene Cloud-PCs bereitzustellen, müssen Sie die folgenden Anforderungen erfüllen:

  • Virtuelles Azure-Netzwerk: Sie benötigen ein virtuelles Netzwerk (VNet) in Ihrem Azure-Abonnement in derselben Region, in der die Windows 365-Desktops erstellt werden.
  • Netzwerkbandbreite: Siehe Azure-Netzwerkrichtlinien.
  • Ein Subnetz innerhalb des VNet und ein verfügbarer IP-Adressraum.

Um Ihr eigenes Netzwerk zu verwenden und in Microsoft Entra hybrid eingebundene Cloud-PCs bereitzustellen, müssen Sie die oben genannten Anforderungen und die folgenden Anforderungen erfüllen:

  • Das virtuelle Azure-Netzwerk muss DNS-Einträge für Ihre Active Directory Domain Services-Umgebung (AD DS) auflösen können. Um diese Lösung zu unterstützen, definieren Sie Ihre AD DS-DNS-Server als DNS-Server für das virtuelle Netzwerk.
  • Das Azure-VNET muss über Netzwerkzugriff auf einen Unternehmensdomänencontroller in Azure oder lokal verfügen.

Zulassen von Netzwerkkonnektivität

Sie müssen Datenverkehr in Ihrer Netzwerkkonfiguration zu den folgenden Dienst-URLs und Ports zulassen, um die Bereitstellung und Verwaltung von Cloud-PCs und die Remotekonnektivität mit Cloud-PCs zu unterstützen. Obwohl der Großteil der Konfiguration für das Cloud-PC-Netzwerk gilt, erfolgt die Konnektivität des Endbenutzers über ein physisches Gerät. Daher müssen Sie auch die Konnektivitätsrichtlinien für das Physische Gerätenetzwerk befolgen.

Gerät oder Dienst Erforderliche URLs und Ports für die Netzwerkkonnektivität Hinweise
Reales Gerät Link Für Remotedesktopclientkonnektivität und -updates.
Microsoft Intune-Dienst Link Für Intune-Clouddienste wie Geräteverwaltung, Anwendungsbereitstellung und Endpunktanalyse.
Virtueller Computer des Azure Virtual Desktop-Sitzungshosts Link Für Remotekonnektivität zwischen Cloud-PCs und dem Back-End-Azure Virtual Desktop-Dienst.
Windows 365-Dienst Link Für Bereitstellungs- und Integritätsprüfungen.

Windows 365-Dienst

Die folgenden URLs und Ports sind für die Bereitstellung von Cloud-PCs und anC-Integritätsprüfungen (Azure Network Connection) erforderlich:

  • *.infra.windows365.microsoft.com
  • *.cmdagent.trafficmanager.net
  • Registrierungsendpunkte
    • login.microsoftonline.com
    • login.live.com
    • enterpriseregistration.windows.net
    • global.azure-devices-provisioning.net (443 & 5671 ausgehend)
    • hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 ausgehend)
    • hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 ausgehend)

Sofern nicht anders angegeben, stellen alle Endpunkte eine Verbindung über Port 443 her.

Port 3389

Port 3389 ist standardmäßig für alle neu bereitgestellten Cloud-PCs deaktiviert. Microsoft empfiehlt, Port 3389 geschlossen zu lassen. Wenn Port 3389 jedoch für alle neu bereitgestellten oder neu bereitgestellten Cloud-PCs mit der Bereitstellungsoption Azure Network Connection (ANC) geöffnet sein muss, können Sie die folgenden Optionen überprüfen:

  • Windows 365-Sicherheitsbaselines. Kunden können die Windows 365-Sicherheitsbaselines verwenden, um Port 3389 für Windows 365-Cloud-PCs effektiv zu verwalten. Diese Baselines bieten umfassende Tools und Konfigurationen, mit denen Sicherheitsmaßnahmen verbessert und gleichzeitig der erforderliche Zugriff ermöglicht wird. Indem Sie die Firewalleinstellungen anpassen und die Standardaktion für eingehenden Datenverkehr für öffentliches Profil auf Zulassen festlegen, können Organisationen sicherstellen, dass Port 3389 entsprechend den betrieblichen Anforderungen konfiguriert ist. Überprüfen und anpassen Sie diese Einstellungen entsprechend Ihren spezifischen Organisationsanforderungen.
  • Erstellen Sie eine benutzerdefinierte Firewallregel in Microsoft Intune. Kunden können benutzerdefinierte Firewallregeln in Microsoft Intune verwenden, um Port 3389 für Windows 365-Cloud-PCs zu konfigurieren. Diese Option umfasst das Erstellen einer benutzerdefinierten Regel innerhalb der Sicherheitsrichtlinien von Intune, die darauf zugeschnitten ist, eingehenden Datenverkehr an Port 3389 zuzulassen, der für den Zugriff auf Cloud-PCs verwendet wird. Indem Sie die Regelparameter wie Portnummer, Protokoll (TCP) definieren und bestimmte IP-Adressen oder Netzwerke einschränken, können Sie sicherstellen, dass der Zugriff auf Port 3389 streng kontrolliert und nur auf autorisierte Entitäten beschränkt ist.

Diese Optionen gelten nicht für Kunden, die ein von Microsoft gehostetes Netzwerk verwenden.

Verwenden von FQDN-Tags für Endpunkte über Azure Firewall

Vollqualifizierte Domänennamentags (FQDN) von Windows 365 erleichtern das Gewähren des Zugriffs auf erforderliche Windows 365-Dienstendpunkte über eine Azure Firewall. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Verwalten und Schützen von Windows 365-Umgebungen.

Remotedesktopprotokoll (RDP)-Brokerdienst-Endpunkte

Die direkte Konnektivität mit Azure Virtual Desktop-RDP-Broker-Dienstendpunkten ist entscheidend für die Remotingleistung auf einem Cloud-PC. Diese Endpunkte wirken sich sowohl auf die Konnektivität als auch auf die Latenz aus. Um den Prinzipien von Microsoft 365-Netzwerkverbindungen zu entsprechen, sollten Sie diese Endpunkte als Optimieren-Endpunkte kategorisieren. Es wird empfohlen, einen direkten Pfad von Ihrem virtuellen Azure-Netzwerk zu diesen Endpunkten zu verwenden.

Um die Konfiguration von Netzwerksicherheitssteuerelementen zu vereinfachen, verwenden Sie Azure Virtual Desktop-Diensttags, um diese Endpunkte für das direkte Routing mithilfe einer benutzerdefinierten Azure-Netzwerkroute (User Defined Route, UDR) zu identifizieren. Eine UDR führt zu einem direkten Routing zwischen Ihrem virtuellen Netzwerk und dem RDP-Broker für die niedrigste Latenz. Weitere Informationen zu Azure-Diensttags finden Sie unter Übersicht über Azure-Diensttags.

Das Ändern der Netzwerkrouten eines Cloud-PCs (auf der Netzwerkebene oder auf der Cloud-PC-Ebene wie z. B. VPN) kann die Verbindung zwischen dem Cloud-PC und dem Azure Virtual Desktop-RDP-Broker unterbrechen. Wenn ja, wird der Endbenutzer von ihrem Cloud-PC getrennt, bis eine Verbindung wiederhergestellt wird.

DNS-Anforderungen

Im Rahmen der Microsoft Entra Hybrid Join-Anforderungen müssen Ihre Cloud-PCs in der Lage sein, dem lokalen Active Directory beizutreten. Dies erfordert, dass die Cloud-PCs DNS-Einträge für Ihre lokale AD-Umgebung auflösen können.

Konfigurieren Sie Ihr Azure Virtual Network, in der die Cloud-PCs bereitgestellt werden, wie folgt:

  1. Stellen Sie sicher, dass Ihr Azure Virtual Network über Netzwerkkonnektivität mit DNS-Servern verfügt, die Ihre Active Directory-Domäne auflösen können.
  2. Wählen Sie in den Einstellungen des Azure Virtual Networks die Option „DNS-Server“ und dann „Benutzerdefiniert“ aus.
  3. Geben Sie die IP-Adresse der DNS-Server ein, die ihre AD DS Domäne auflösen können.

Tipp

Das Hinzufügen von mindestens zwei DNS-Servern wie bei einem physischen PC trägt dazu bei, das Risiko eines einzelnen Fehlerpunkts bei der Namensauflösung zu verringern.

Weitere Informationen finden Sie unter Konfigurieren der Azure Virtual Networks-Einstellungen.

Anforderungen des Remotedesktopprotokolls

Windows 365 verwendet das Remotedesktopprotokoll (RDP).

Szenario Standardmodus H.264/AVC 444-Modus Beschreibung
Leerlauf 0,3 KBit/s 0,3 KBit/s Der Benutzer hat seine Arbeit angehalten, und es gibt keine aktiven Bildschirmupdates.
Microsoft Word 100-150 KBit/s 200-300 KBit/s Der Benutzer arbeitet aktiv mit Microsoft Word: Er gibt Text ein, fügt Grafiken ein und wechselt zwischen Dokumenten.
Microsoft Excel 150-200 KBit/s 400-500 KBit/s Der Benutzer arbeitet aktiv mit Microsoft Excel: Mehrere Zellen mit Formeln sowie Diagramme werden gleichzeitig aktualisiert.
Microsoft PowerPoint 4-4,5 MBit/s 1,6-1,8 MBit/s Der Benutzer arbeitet aktiv mit Microsoft PowerPoint: Eingabe, Einfügen, Ändern umfangreicher Grafiken und Verwenden von Schiebereglereffekten.
Webbrowsen 6-6,5 MBit/s 0,9-1 MBit/s Der Benutzer arbeitet aktiv mit einer grafisch ansprechenden Website, die mehrere statische und animierte Bilder enthält. Der Benutzer führt einen horizontalen und vertikalen Bildlauf durch die Seiten aus
Bildergalerie 3,3-3,6 MBit/s 0,7-0,8 MBit/s Der Benutzer arbeitet aktiv mit der Bildkataloganwendung: Durchsuchen, Zoomen, Ändern der Größe und Drehen von Bildern.
Video playback 8,5-9,5 MBit/s 2,5-2,8 MBit/s Der Benutzer sieht sich ein Video mit 30 Frames pro Sekunde an, das die Hälfte des Bildschirms einnimmt.
Videowiedergabe im Vollbildmodus 7,5-8,5 MBit/s 2,5-3,1 MBit/s Der Benutzer sieht sich ein Video mit maximal 30 FPS im Vollbildmodus an.

Microsoft Teams-Anforderungen

Microsoft Teams ist einer der wichtigsten Microsoft 365-Dienste innerhalb des Cloud-PCs. Windows 365 lagert den Audio- und Videodatenverkehr auf Ihren Endpunkt aus, damit die Videowiedergabe der von Teams auf einem physischen PC entspricht.

Die Netzwerkqualität ist pro Szenario wichtig. Stellen Sie sicher, dass Sie über die richtige Bandbreite für die Qualität verfügen, die Sie anbieten möchten.

Die Auflösung Full HD (1920x1080p) wird für Microsoft Teams auf Cloud-PCs nicht unterstützt.

Bandbreite (nach oben/unten) Szenarien
30 KBit/s Peer-to-Peer-Audioanrufe
130 KBit/s Peer-to-Peer-Audioanrufe und Bildschirmfreigabe
500 KBit/s Videoanrufe in Peer-to-Peer-Qualität mit 360p bei 30 Bildern pro Sekunde
1,2 MBit/s Peer-to-Peer-Videoanrufe in HD-Qualität mit einer Auflösung von HD 720p bei 30 Bildern pro Sekunde
500 KBit/s/1 MBit/s Video-Gruppenanrufe

Weitere Informationen zu den Netzwerkanforderungen von Microsoft Teams finden Sie unter Überlegungen zu Netzwerken.

Technologien zum Abfangen von Datenverkehr

Einige Unternehmenskunden verwenden das Abfangen von Datenverkehr, SSL-Entschlüsselung, umfassende Paketuntersuchung und andere ähnliche Technologien für Sicherheitsteams, um den Netzwerkdatenverkehr zu überwachen. Für die Bereitstellung von Cloud-PCs wird möglicherweise direkter Zugriff auf den virtuellen Computer benötigt. Diese Technologien zum Abfangen von Datenverkehr können Probleme mit laufenden Azure-Netzwerkverbindungsprüfungen oder der Cloud-PC-Bereitstellung verursachen. Stellen Sie sicher, dass das Abfangen im Netzwerk nicht für Cloud-PCs erzwungen wird, die im Windows 365-Dienst bereitgestellt werden.

Bandbreite

Windows 365 verwendet die Azure-Netzwerkinfrastruktur. Ein Azure-Abonnement ist erforderlich, wenn ein virtuelles Netzwerk ausgewählt wird, während Windows 365 Enterprise bereitgestellt wird. Die Bandbreitengebühren für die Nutzung von Cloud-PCs umfassen:

  • Der Netzwerkdatenverkehr zu einem Cloud-PC ist kostenlos.
  • Ausgehender Datenverkehr verursacht Gebühren für das Azure-Abonnement des virtuellen Netzwerks.
  • Für Office Daten (z. B. E-Mail und OneDrive for Business-Dateisynchronisierung) fallen Ausgangsgebühren an, wenn sich der Cloud-PC und die Daten eines Benutzers in verschiedenen Regionen befinden.
  • Für den RDP-Netzwerkdatenverkehr fallen immer Ausgangsgebühren an.

Wenn Sie Ihr eigenes Netzwerk verwenden, finden Sie weitere Informationen unter Bandbreitenpreise.

Wenn Sie ein von Microsoft gehostetes Netzwerk verwenden: Ausgehende Daten/Monat basieren auf dem RAM des Cloud-PCs:
- 2 GB RAM = 12 GB ausgehende Daten
- 4 GB oder 8 GB RAM = 20 GB ausgehende Daten
- 16 GB RAM = 40 GB ausgehende Daten
- 32 GB RAM = 70-GB ausgehende Daten
Die Datenbandbreite kann eingeschränkt werden, wenn diese Werte überschritten werden.

Nächste Schritte

Informationen zur rollenbasierten Zugriffssteuerung für Cloud-PCs