Requisiti di rete

Windows 365 è un servizio basato sul cloud che consente agli utenti di connettersi tramite Internet da qualsiasi dispositivo, da qualsiasi posizione, a un desktop windows in esecuzione in Azure. Per supportare queste connessioni Internet, è necessario seguire i requisiti di rete elencati in questo articolo.

Ogni cliente ha i propri requisiti specifici in base al carico di lavoro usato per calcolare i requisiti di rete dell'ambiente Cloud PC.

Nota

Questo articolo si applica solo se si prevede di effettuare il provisioning di PC cloud nella propria rete virtuale di Azure, anziché in una rete ospitata da Microsoft.

Requisiti di rete generali

Per usare la propria rete e effettuare il provisioning di PC cloud aggiunti a Microsoft Entra, è necessario soddisfare i requisiti seguenti:

  • Rete virtuale di Azure: è necessario avere una rete virtuale (vNET) nella sottoscrizione di Azure nella stessa area in cui vengono creati i desktop di Windows 365.
  • Larghezza di banda di rete: vedere Linee guida per la rete di Azure.
  • Subnet all'interno della rete virtuale e dello spazio degli indirizzi IP disponibili.

Per usare la propria rete e effettuare il provisioning di PC cloud aggiunti in modo ibrido a Microsoft Entra, è necessario soddisfare i requisiti precedenti e i requisiti seguenti:

  • La rete virtuale di Azure deve essere in grado di risolvere le voci DNS per l'ambiente Active Directory Domain Services (AD DS). Per supportare questa risoluzione, definire i server DNS di Servizi di dominio Active Directory come server DNS per la rete virtuale.
  • La rete virtuale di Azure deve avere accesso alla rete a un controller di dominio aziendale, in Azure o in locale.

Consenti connettività di rete

È necessario consentire il traffico nella configurazione di rete agli URL e alle porte del servizio seguenti per supportare il provisioning e la gestione dei PC cloud e per la connettività remota con i PC cloud. Anche se la maggior parte della configurazione è per la rete Cloud PC, la connettività dell'utente finale avviene da un dispositivo fisico. Pertanto, è necessario seguire anche le linee guida per la connettività nella rete del dispositivo fisico.

Dispositivo o servizio URL e porte necessari per la connettività di rete Note
Dispositivo fisico Collegamenti Per la connettività e gli aggiornamenti del client Desktop remoto.
Servizio Microsoft Intune Collegamenti Per i servizi cloud di Intune come la gestione dei dispositivi, il recapito delle applicazioni e l'analisi degli endpoint.
Macchina virtuale host sessione Desktop virtuale Azure Collegamenti Per la connettività remota tra i PC cloud e il servizio Desktop virtuale Azure back-end.
Servizio Windows 365 Collegamenti Per il provisioning e i controlli di integrità.

Servizio Windows 365

Gli URL e le porte seguenti sono necessari per il provisioning dei PC cloud e dei controlli di integrità di Connessione di rete di Azure:The following URL and ports are required for the provisioning of Cloud PC and the Azure Network Connection (ANC) health checks:

  • *.infra.windows365.microsoft.com
  • *.cmdagent.trafficmanager.net
  • Endpoint di registrazione
    • login.microsoftonline.com
    • login.live.com
    • enterpriseregistration.windows.net
    • global.azure-devices-provisioning.net (443 & 5671 in uscita)
    • hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 in uscita)
    • hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 in uscita)

Tutti gli endpoint si connettono sulla porta 443, se non diversamente specificato.

Porta 3389

La porta 3389 è disabilitata per impostazione predefinita per tutti i PC cloud di cui è stato appena effettuato il provisioning. Microsoft consiglia di mantenere chiusa la porta 3389. Tuttavia, se è necessario aprire la porta 3389 per tutti i PC cloud di cui è stato eseguito il nuovo provisioning o di cui è stato eseguito il provisioning usando l'opzione di distribuzione Connessione di rete di Azure, è possibile esaminare le opzioni seguenti:

  • Baseline di sicurezza di Windows 365. I clienti possono usare le baseline di sicurezza di Windows 365 per gestire in modo efficace la porta 3389 per PC cloud Windows 365. Queste linee di base offrono strumenti e configurazioni completi progettati per migliorare le misure di sicurezza, consentendo al contempo l'accesso necessario.These baselines provide comprehensive tools and configurations designed to enhance security measures while allowing necessary access. Modificando le impostazioni del firewall e impostando Azione in ingresso predefinita per il profilo pubblico su Consenti, le organizzazioni possono assicurarsi che la porta 3389 sia configurata in modo appropriato per soddisfare le esigenze operative. Esaminare e personalizzare queste impostazioni in base ai requisiti aziendali specifici.
  • Creare una regola del firewall personalizzata in Microsoft Intune. I clienti possono usare regole firewall personalizzate in Microsoft Intune per configurare la porta 3389 per i PC cloud Windows 365. Questa opzione prevede la creazione di una regola personalizzata all'interno dei criteri di sicurezza di Intune personalizzati per consentire il traffico in ingresso sulla porta 3389, che viene usato per l'accesso ai PC cloud. Definendo i parametri della regola, ad esempio il numero di porta, il protocollo (TCP) e limitando specifici indirizzi IP o reti, è possibile assicurarsi che l'accesso alla porta 3389 sia strettamente controllato e limitato solo alle entità autorizzate.

Queste opzioni non sono applicabili ai clienti che usano una rete ospitata da Microsoft.

Usare i tag FQDN per gli endpoint tramite Firewall di Azure

I tag nome di dominio completo (FQDN) di Windows 365 semplificano l'accesso agli endpoint di servizio necessari per Windows 365 tramite un firewall di Azure. Per altre informazioni, vedere Usare Firewall di Azure per gestire e proteggere gli ambienti Windows 365.

Endpoint del servizio broker RDP (Remote Desktop Protocol)

La connettività diretta agli endpoint del servizio di broker RDP di Desktop virtuale Azure è fondamentale per le prestazioni di comunicazione remota a un PC cloud. Questi endpoint influiscono sia sulla connettività che sulla latenza. Per allinearsi ai principi di connettività di rete di Microsoft 365, è necessario classificare questi endpoint come endpoint di ottimizzazione . È consigliabile usare un percorso diretto dalla rete virtuale di Azure a tali endpoint.

Per semplificare la configurazione dei controlli di sicurezza di rete, usare i tag del servizio Desktop virtuale Azure per identificare tali endpoint per il routing diretto usando una route definita dall'utente di Rete di Azure. Una richiesta definita dall'utente comporta il routing diretto tra la rete virtuale e il broker RDP per la latenza più bassa. Per altre informazioni sui tag del servizio di Azure, vedere Panoramica dei tag del servizio di Azure.

La modifica delle route di rete di un PC cloud (a livello di rete o a livello di PC cloud come VPN) potrebbe interrompere la connessione tra il CLOUD PC e il broker RDP di Desktop virtuale Azure. In tal caso, l'utente finale viene disconnesso dal PC cloud fino a quando non viene stabilita nuovamente una connessione.

Requisiti DNS

Come parte dei requisiti di aggiunta ibrida di Microsoft Entra, i PC cloud devono essere in grado di partecipare ad Active Directory locale. Ciò richiede che i PC cloud siano in grado di risolvere i record DNS per l'ambiente AD locale.

Configurare la rete virtuale di Azure in cui viene effettuato il provisioning dei PC cloud come indicato di seguito:

  1. Assicurarsi che la rete virtuale di Azure disponga della connettività di rete ai server DNS in grado di risolvere il dominio di Active Directory.
  2. Nelle impostazioni della rete virtuale di Azure selezionare Server DNS e quindi scegliere Personalizzato.
  3. Immettere l'indirizzo IP dei server DNS che l'ambiente in grado di risolvere il dominio di Active Directory Domain Services.

Consiglio

L'aggiunta di almeno due server DNS, come si farebbe con un PC fisico, consente di ridurre il rischio di un singolo punto di errore nella risoluzione dei nomi.

Per altre informazioni, vedere Configurazione delle impostazioni di Reti virtuali di Azure.

Requisiti del protocollo Desktop remoto

Windows 365 usa il protocollo RDP (Remote Desktop Protocol).

Scenario Modalità predefinita Modalità H.264/AVC 444 Descrizione
Ozioso 0,3 Kbps 0,3 Kbps L'utente ha sospeso il lavoro e non sono presenti aggiornamenti dello schermo attivi.
Microsoft Word 100-150 Kbps 200-300 Kbps L'utente sta lavorando attivamente con Microsoft Word: digitazione, incolla grafica e passaggio da un documento all'altro.
Microsoft Excel 150-200 Kbps 400-500 Kbps L'utente sta lavorando attivamente con Microsoft Excel: più celle con formule e grafici vengono aggiornate contemporaneamente
Microsoft PowerPoint 4-4,5 Mbps 1,6-1,8 Mbps L'utente sta lavorando attivamente con Microsoft PowerPoint: digitazione, incollamento, modifica di grafica avanzata e uso degli effetti di transizione delle diapositive.
Esplorazione Web 6-6,5 Mbps 0,9-1 Mbps L'utente sta lavorando attivamente con un sito Web graficamente ricco che contiene più immagini statiche e animate. L'utente scorre le pagine sia orizzontalmente che verticalmente
Raccolta immagini 3,3-3,6 Mbps 0,7-0,8 Mbps L'utente sta lavorando attivamente con l'applicazione raccolta immagini: esplorazione, zoom, ridimensionamento e rotazione delle immagini
Riproduzione dei video 8,5-9,5 Mbps 2,5-2,8 Mbps L'utente sta guardando un video 30 FPS che usa 1/2 dello schermo.
Riproduzione video a schermo intero 7,5-8,5 Mbps 2,5-3,1 Mbps L'utente sta guardando un video a 30 FPS ingrandita a schermo intero.

Requisiti di Microsoft Teams

Microsoft Teams è uno dei principali servizi di Microsoft 365 all'interno di Cloud PC. Windows 365 scarica il traffico audio e video nell'endpoint per rendere l'esperienza video come Teams in un PC fisico.

La qualità della rete è importante per ogni scenario. Assicurarsi di avere la larghezza di banda appropriata disponibile per la qualità che si vuole offrire.

Full HD (1920x1080p) non è una risoluzione supportata per Microsoft Teams nei PC cloud.

Larghezza di banda (su/giù) Scenari
30 kbps Chiamata audio peer-to-peer.
130 kbps Chiamata audio peer-to-peer e condivisione dello schermo.
500 kbps Video di qualità peer-to-peer che chiama 360p a 30 fps.
1,2 Mbps Videochiamate di qualità HD peer-to-peer con risoluzione di HD 720p a 30 fps.
500 kbps/1 Mbps Videochiamate di gruppo.

Per altre informazioni sui requisiti di rete di Microsoft Teams, vedere Considerazioni sulla rete.

Tecnologie di intercettazione del traffico

Alcuni clienti aziendali usano l'intercettazione del traffico, la decrittografia SSL, l'ispezione approfondita dei pacchetti e altre tecnologie simili per i team di sicurezza per monitorare il traffico di rete. Il provisioning di PC cloud potrebbe richiedere l'accesso diretto alla macchina virtuale. Queste tecnologie di intercettazione del traffico possono causare problemi con l'esecuzione di controlli di connessione di rete di Azure o il provisioning di CLOUD PC. Assicurarsi che non venga applicata alcuna intercettazione di rete per i PC cloud di cui è stato effettuato il provisioning all'interno del servizio Windows 365.

Larghezza di banda

Windows 365 usa l'infrastruttura di rete di Azure. Quando si seleziona una rete virtuale durante la distribuzione di Windows 365 Enterprise, è necessaria una sottoscrizione di Azure. Gli addebiti per la larghezza di banda per l'utilizzo di Cloud PC includono:

  • Il traffico di rete in un PC cloud è gratuito.
  • Il traffico in uscita (in uscita) comporta addebiti per la sottoscrizione di Azure per la rete virtuale.
  • I dati di Office (come la posta elettronica e la sincronizzazione file di OneDrive for Business) comportano addebiti in uscita se il PC cloud e i dati di un utente risiedono in aree diverse.
  • Il traffico di rete RDP comporta sempre addebiti in uscita.

Se si usa la propria rete, vedere Prezzi della larghezza di banda.

Se si usa una rete ospitata da Microsoft: i dati in uscita/mese si basano sulla RAM del PC cloud:
- 2 GB di RAM = dati in uscita da 12 GB
- 4 GB o 8 GB di RAM = dati in uscita da 20 GB
- 16 GB di RAM = dati in uscita da 40 GB
- 32 GB di RAM = dati in uscita da 70 GB
La larghezza di banda dei dati può essere limitata quando questi livelli vengono superati.

Passaggi successivi

Informazioni sul controllo degli accessi in base al ruolo di Cloud PC.