O Windows 365 é um serviço baseado na nuvem que pode utilizar para fornecer instâncias de computação do Windows altamente otimizadas e personalizadas, denominadas Cloud PCs, criadas especificamente para os requisitos de cada utilizador. Os Cloud PCs utilizam uma combinação dos seguintes serviços:
- Intune para personalizar, proteger e gerir Cloud PCs
- Entra ID para controle de identidade e acesso
- Área de Trabalho Virtual do Azure para conectividade remota
Um Cloud PC é uma instância de computação altamente disponível, otimizada e personalizada que lhe proporciona uma experiência de ambiente de trabalho Windows rica. Está alojado no serviço Windows 365 e pode ser acedido a partir de qualquer lugar, em qualquer dispositivo.
O modelo de responsabilidade compartilhada do Windows 365
O Windows 365 é uma solução de software como serviço (SaaS). A Microsoft gerencia alguns componentes nos serviços do Windows 365 e você gerencia outros componentes. A quantidade de responsabilidade que você tem depende do padrão de arquitetura escolhido para a implantação. As responsabilidades para gerenciar o Windows 365 são divididas em três partes:
- Implantação: Planejamento e implantação dos componentes do serviço.
- Ciclo de vida: Gestão do componente durante todo o seu ciclo de vida, como aplicação de patches e fixação.
- Configuração: Configurando o componente para aplicar as configurações conforme necessário para um cenário.
O diagrama a seguir mostra a matriz de responsabilidade de uma implantação do Windows 365 usando a rede hospedada pela Microsoft, a associação do Microsoft Entra e imagens de galeria com o Windows Autopatch. Com essa configuração, você não precisa gerenciar muitos componentes e estágios do ciclo de vida. Essa configuração se traduz nos benefícios listados em Padrões de arquitetura recomendados.
Nota
O diagrama a seguir representa as responsabilidades da perspetiva da infraestrutura, como configurar o hardware e a rede e mantê-los. Ele não inclui a configuração de assinatura de locatário do Windows 365 ou Intune.
Transfira um ficheiro PowerPoint desta arquitetura.
O diagrama a seguir mostra uma implantação típica do Windows 365 que usa uma conexão de rede do Azure e mostra os componentes que a Microsoft gerencia e os componentes que você gerencia nos estágios do ciclo de vida de um Cloud PC.
Transfira um ficheiro PowerPoint desta arquitetura.
Padrão de arquitetura recomendado
A Microsoft recomenda implantar o Windows 365 com os seguintes componentes para obter uma experiência SaaS, permitindo que você tenha o máximo de benefícios do serviço:
- Associação ao Microsoft Entra
- Uma rede hospedada pela Microsoft
- Imagens da galeria
- Serviço de gestão de dispositivos móveis (MDM) baseado no Intune com configuração de aplicações e SO
- Uma aplicação Windows 365 para acesso ao Cloud PC
Transfira um ficheiro PowerPoint desta arquitetura.
O padrão de arquitetura anterior permite que você aproveite ao máximo o serviço do Windows 365 e fornece os seguintes benefícios:
- Implantação simplificada e mais rápida
- Dependências mínimas a zero
- Suporte total à estrutura Zero Trust
- Fluxos de solução de problemas simplificados
- Solução de problemas do usuário de autoatendimento
- Baixa sobrecarga e gerenciamento
- Modelo de maturidade mais elevada de fornecimento de software e aplicações
A arquitetura de serviço do Windows 365
O diagrama a seguir é uma representação de todos os componentes que fazem parte do serviço Windows 365. Essa arquitetura usa o Intune e o Microsoft Entra ID, que são os principais requisitos do Windows 365. Há também componentes opcionais, como a Rede Virtual do Azure.
Transfira um ficheiro do Visio desta arquitetura.
O diagrama anterior mostra a conexão de rede do Azure e as opções de rede hospedadas pela Microsoft. São opções de arquitetura mutuamente exclusivas. As seções a seguir elaboram as opções de conexão de rede do Azure.
Área de trabalho virtual
A Área de Trabalho Virtual é uma solução de infraestrutura de área de trabalho virtual (VDI) baseada no Azure. A Microsoft gerencia a Área de Trabalho Virtual. Ele fornece uma solução de plataforma como serviço (PaaS). O Windows 365 usa os componentes de gerenciamento de rede necessários para você se conectar aos seus Cloud PCs. Os componentes incluem o serviço de gateway de Área de Trabalho Virtual, um serviço de agente de conexão e um serviço de cliente Web. Estes serviços permitem uma ligação perfeita aos PCs na nuvem do Windows 365.
Para obter mais informações, consulte Área de Trabalho Virtual do Azure para empresas.
Transfira um ficheiro do Visio desta arquitetura.
Nota
O Windows 365 utiliza os componentes intitulados "Plano de Controle da Área de Trabalho Virtual do Windows" no diagrama anterior para facilitar as conexões do usuário e do Cloud PC e, como tal, herda a maioria dos recursos relacionados à conexão da Área de Trabalho Virtual do Azure. Familiarizar-se com como a rede de Área de Trabalho Virtual opera torna-se essencial para projetar a arquitetura de conexão de rede do Azure detalhada neste documento.
Microsoft Intune
O Intune é uma solução de gestão de pontos finais baseada na nuvem que lhe permite ver e consumir relatórios e gerir:
- Entrega de aplicações
- Atualizações do Windows
- Configurações de gerenciamento de dispositivos
- Políticas de segurança
O Intune simplifica a gestão de aplicações e dispositivos em muitos dispositivos, incluindo dispositivos móveis, computadores de secretária e pontos de extremidade virtuais.
Você pode proteger o acesso e os dados em dispositivos pessoais e de propriedade da organização. O Intune também tem recursos de conformidade e relatórios que oferecem suporte ao modelo de segurança Zero Trust. Para obter mais informações, consulte Criar um perfil de configuração de dispositivo.
Padrões de arquitetura
Um padrão de arquitetura descreve componentes e ilustra as configurações com as quais um serviço ou produto é implantado. Para obter mais informações, consulte Hospedado em nome da arquitetura.
Consulte os seguintes padrões de conexão de rede do Azure:
Conexão de rede do Azure com o Microsoft Entra join – Neste padrão, os Cloud PCs ingressados no Microsoft Entra usam a conexão de rede do Azure para se conectar a recursos em ambientes locais, como aplicativos de linha de negócios (LOB), compartilhamentos de arquivos e outros aplicativos que não precisam de autenticação Kerberos ou NTLM (Windows New Technology LAN Manager).
Conexão de rede do Azure com a associação híbrida do Microsoft Entra – Neste padrão, os Cloud PCs híbridos ingressados no Microsoft Entra usam a conexão de rede do Azure para ingressar no domínio com um controlador de domínio Microsoft Entra ID local. O Cloud PC é autenticado com o controlador de domínio local quando os usuários acessam o Cloud PC, aplicativos locais ou aplicativos na nuvem que precisam de autenticação Kerberos ou NTLM.
Padrões de arquitetura de conexão de rede do Azure
Para alguns padrões, o serviço Windows 365 se conecta a ambientes locais por meio da Rede Virtual usando a Rota Expressa do Azure ou uma VPN site a site. Esse método de conectividade é representado pela conexão de rede do Azure, que é um objeto do Intune. Essa conexão permite que os Cloud PCs se conectem a recursos locais, como aplicativos Ative Directory ou LOB.
Essa conexão de rede, representada pela conexão de rede do Azure, é usada pelo serviço Windows 365 durante o provisionamento do Cloud PC para ingresso no domínio local do Microsoft Entra, verificações de integridade para prontidão de provisionamento do Cloud PC.
As tabelas a seguir listam dependências para conexão de rede do Azure. O Windows 365 executa verificações automáticas de integridade nessas dependências.
Dependency | Microsoft Entra Connect - Verifica se o Microsoft Entra Connect está configurado e concluído com êxito. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Configure o intervalo de sincronização do Microsoft Entra Connect com o valor padrão ou mais baixo. Intervalos de sincronização mais longos aumentam a possibilidade de falha no provisionamento do Cloud PC na produção devido a um tempo limite. Para obter mais informações, consulte Falha na associação híbrida do Microsoft Entra. - Configure a replicação do Controlador de Domínio Ative Directory a partir de um servidor no mesmo datacenter que a conexão de rede do Windows 365 Azure para fornecer replicação mais rápida. - Configure a replicação do controlador de domínio Microsoft Entra ID com um valor padrão. |
Dependency | Preparação do locatário do Azure - Verifica se a assinatura do Azure está habilitada, sem restrições de bloqueio, e está pronta para uso. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Use uma conta com os privilégios certos para gerenciar as assinaturas do Azure, Intune e Windows 365. Para obter mais informações, consulte RBAC (controle de acesso baseado em função). - Desative ou modifique quaisquer políticas do Azure que impeçam a criação de Cloud PCs. Para obter mais informações, consulte Restringir SKUs de VM permitidas. - Certifique-se de que a subscrição tem quotas de recursos suficientes para redes e limites gerais com base no número máximo de Cloud PCs a criar. Os exemplos incluem o tamanho do gateway de rede, o espaço de endereço IP, o tamanho da rede virtual e a largura de banda necessária. Para obter mais informações, consulte Limites de rede e Limites gerais. |
Dependency | Preparação da rede virtual do Azure – Verifica se a rede virtual está em uma região do Windows 365 com suporte. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Crie a rede virtual em regiões do Azure com suporte do Windows 365 para provisionamento de Cloud PC. - Crie pelo menos uma sub-rede, além da sub-rede padrão, para implantar os adaptadores de rede virtual Cloud PC. - Sempre que possível, crie serviços de rede compartilhados, como Firewall do Azure, gateways VPN ou gateways de Rota Expressa, em uma rede virtual separada para permitir controles de roteamento e expansão da implantação. Em redes virtuais, aplique grupos de segurança de rede (NSG) com exclusões apropriadas para permitir as URLs necessárias para o serviço Windows 365. Para obter mais informações, consulte Requisitos de rede e Grupos de segurança de rede. |
Dependency | Uso do endereço IP da sub-rede do Azure – Verifica se há endereços IP suficientes disponíveis. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Crie a rede virtual com endereços IP suficientes para lidar com a criação do Cloud PC e reserva temporária de endereços IP durante o reprovisionamento. É recomendável que você use um espaço de endereço IP que seja de 1,5 a 2 vezes o máximo de Cloud PCs que você implanta para a nuvem. Para obter mais informações, consulte Requisitos gerais de rede. - Trate a rede virtual do Azure como uma extensão lógica da sua rede local e atribua espaço de endereço IP exclusivo em todas as suas redes para evitar conflitos de roteamento. |
Dependency | Conectividade de endpoint – Verifica se as URLs externas necessárias para o provisionamento do Cloud PC estão acessíveis a partir da rede virtual. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Permita todas as URLs necessárias para o provisionamento do Cloud PC por meio da rede virtual do Azure. Para obter mais informações, consulte Permitir conectividade de rede. - Use o Firewall do Azure para aproveitar as tags do Windows 365, da Área de Trabalho Virtual do Azure e do FQDN do Intune para criar regras de aplicativo e permitir URLs necessárias para o provisionamento do Windows 365 Cloud PC. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365. - Ignore ou exclua o tráfego RDP (Remote Desktop Protocol) de qualquer dispositivo de inspeção de rede, proxy ou manipulação para evitar problemas de latência e roteamento. Para obter mais informações, consulte Tecnologias de intercetação de tráfego. - Do lado do dispositivo do usuário final e da rede, permita as URLs e portas do serviço Windows 365 para inspeções de proxy e rede. - Permitir endereços IP internos do Azure 168.63.129.16 e 169.254.169.254, pois esses endereços IP são usados para comunicação com serviços da plataforma Azure, como metadados ou pulsação. Para obter mais informações, consulte O que é o endereço IP 168.63.129.16?, Serviço de Metadados de Instância do Azure e Perguntas frequentes sobre Rede Virtual. |
Dependency | Inscrição no Intune – Verifica se o Intune permite a inscrição no Windows. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Certifique-se de que as restrições de inscrição de tipo de dispositivo do Intune estão definidas para permitir a plataforma de gerenciamento de dispositivos móveis (MDM) do Windows para registro corporativo. - Para a associação híbrida do Microsoft Entra, configure os dispositivos automaticamente configurando o ponto de conexão de serviço (SCP) para cada domínio no Microsoft Entra Connect ou usando o modelo de implantação de destino. Para obter mais informações, consulte Configurar a associação híbrida da Microsoft e a implantação direcionada de ingresso híbrido do Microsoft Entra. |
Dependency | Permissões de aplicativos primários – Verifica se há permissões no aplicativo do Windows 365 em busca de permissões nos níveis de assinatura do Azure, grupo de recursos e rede virtual do cliente. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Verifique se a conta usada para configurar a conexão de rede do Azure tem permissões de leitura na assinatura do Azure na qual a rede virtual do Azure é criada. - Certifique-se na assinatura do Azure de que não há políticas em vigor que bloqueiem permissões para o aplicativo primário do Windows 365. O aplicativo deve ter permissões no nível de assinatura, grupo de recursos e rede virtual. Para obter mais informações, consulte Requisitos do Azure. |
Dependency | Pacote de idiomas de localização – Verifica se os locais de download do pacote de idiomas estão acessíveis. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Verifique se as URLs necessárias para a versão apropriada das imagens do Windows são permitidas por meio das regras de firewall usadas na rede virtual do Azure. Para obter mais informações, consulte Fornecer uma experiência localizada do Windows. |
Dependency | RDP Shortpath – Verifica se as configurações UDP (User Datagram Protocol) estão em vigor para você se conectar. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Habilite o RDP Shortpath para acesso ao Cloud PC para aproveitar a resiliência do UDP. Para obter mais informações, consulte Usar RDP Shortpath para redes públicas com o Windows 365 e Usar RDP Shortpath para redes privadas com o Windows 365. |
Dependency | Licença do Intune – Verifica se o inquilino tem licenças do Intune adequadas para utilizar o Windows. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Certifique-se de que as licenças do Intune são atribuídas a você de acordo com os requisitos de licenciamento. |
Dependency | Verificação de logon único (SSO) – Verifica se o objeto do servidor Kerberos foi criado no Ative Directory e sincronizado com a ID do Microsoft Entra. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Certifique-se de que a opção SSO esteja selecionada na política de provisionamento. Essa opção permite que você se conecte ao Cloud PC da política usando credenciais de entrada de um dispositivo físico gerenciado pelo Intune que ingressou no domínio ou ingressou no Microsoft Entra. Para obter mais informações, consulte Continuar criando políticas de provisionamento. |
Dependency | Resolução de nomes DNS – Verifica se o DNS na conexão de rede do Azure pode resolver o domínio do Ative Directory local. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Verifique se a rede virtual do Azure está configurada com a resolução de nomes de um domínio do Microsoft Entra local usando um DNS personalizado, um DNS privado ou um resolvedor privado. Para obter mais informações, consulte O que é o DNS do Azure? - Certifique-se de que os servidores DNS configurados na rede virtual estão na mesma geografia e têm a capacidade de registrar PCs em nuvem recém-provisionados sem atrasos. Evite referências ou redirecionamentos de DNS para evitar atrasos de propagação, que podem resultar em atrasos ou falhas de provisionamento. |
Dependency | Ingresso no domínio do Microsoft Entra – Verifica se as credenciais fornecidas para ingresso no domínio do Microsoft Entra são válidas e se os Cloud PCs podem ingressar no domínio. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Verifique se a conta fornecida para ingresso no domínio do Microsoft Entra tem permissões na unidade organizacional do Microsoft Entra especificada na configuração de conexão de rede do Azure. - Certifique-se de que a conta fornecida não é uma conta de usuário padrão com uma limitação de ingresso no domínio. Para obter mais informações, consulte Limite padrão para o número de estações de trabalho que um usuário pode ingressar no domínio. - Certifique-se de que a conta especificada está sincronizada com o ID do Microsoft Entra. - Verifique se a UO especificada na conexão de rede do Azure não tem limites de objeto. Para obter mais informações, consulte Aumentar o limite da conta de computador na unidade organizacional. |
Para obter mais informações, consulte Verificações de integridade da conexão de rede do Azure no Windows 365.
Recomendações de blocos de construção de conexão de rede do Azure
Esta seção fornece o detalhamento dos blocos de construção do padrão de arquitetura de conexão de rede do Windows 365 Azure.
Subscrição do Azure
O uso do Windows 365 em um padrão de arquitetura de conexão de rede do Azure envolve dois tipos de assinaturas do Azure, uma assinatura da Microsoft e uma assinatura de cliente
O Windows 365 usa o modelo Hospedado em nome do para fornecer serviços aos clientes do Windows 365. Neste modelo, o Cloud PC é provisionado e executado em assinaturas do Azure de propriedade da Microsoft, enquanto o adaptador de rede do Cloud PC é provisionado na assinatura do Azure de um cliente. Os diagramas a seguir mostram dois padrões de arquitetura de conexão de rede do Azure. Os clientes usam sua própria assinatura do Azure e rede virtual.
Transfira um ficheiro do Visio desta arquitetura.
O padrão de arquitetura anterior usa a identidade de junção do Microsoft Entra para gerenciar o Cloud PC.
Transfira um ficheiro do Visio desta arquitetura.
O padrão de arquitetura anterior usa a identidade de associação híbrida do Microsoft Entra para gerenciar o Cloud PC e requer uma comunicação de rede de linha de visão com controladores de domínio dos Serviços de Domínio Ative Directory (AD DS) em ambientes locais.
Componente | Assinatura do Azure – assinatura do Azure que hospeda a rede virtual usada para fornecer conectividade de um Cloud PC a um ambiente local e à Internet. |
---|---|
Padrões de arquitetura | Conexão de rede do Azure para ingresso do Microsoft Entra, conexão de rede do Azure para ingresso híbrido do Microsoft Entra |
Recomendações | - Crie ou use uma assinatura que tenha uma rede virtual e gateways ExpressRoute ou VPN para fornecer uma conexão de volta a um ambiente local. - Crie um grupo de recursos dedicado para um Cloud PC para fornecer permissão e gerenciamento de recursos. - Exclua grupos de recursos do Cloud PC e rede virtual das políticas do Azure que impedem a criação e exclusão automáticas de objetos de placa de interface de rede virtual (vNIC) e atribuição ou liberação de endereço IP. Para obter mais informações, consulte Bloquear seus recursos para proteger sua infraestrutura e os requisitos do Azure. - Criar redes virtuais dedicadas para melhor gerenciamento de endereços IP e controles de roteamento. |
Rede virtual e conexão híbrida
Os padrões de arquitetura baseados em conexão de rede do Windows 365 Azure exigem uma ou mais redes virtuais do Azure. As redes virtuais fornecem conectividade a ambientes locais e pela Internet para provisionar um Cloud PC. O adaptador de rede virtual do Cloud PC é provisionado na rede virtual do Azure da assinatura de propriedade do cliente, conforme descrito na seção Assinatura do Azure.
A rede do Azure pode ser implantada com sofisticação de design variável, com base na rede local existente ou na rede do Azure. Para começar com um design de rede híbrida básica, consulte Implementar uma rede híbrida segura.
Considere os seguintes fatores ao projetar uma arquitetura de rede virtual do Azure:
Espaço de endereço IP: O tamanho do espaço de endereço IP depende do número de Cloud PCs a suportar. Planeje pelo menos 1,5 vezes o número máximo de Cloud PCs implantados. Os endereços IP adicionais são responsáveis pelos endereços IP usados durante o provisionamento e o desprovisionamento de Cloud PCs.
Resolução de nomes: o processo DNS usado pelo Cloud PC para resolver o nome de domínio local em uma implantação de associação híbrida do Microsoft Entra ou para resolver recursos da Internet ou recursos do Azure em um modelo de implantação de associação do Microsoft Entra.
- Para usar sua infraestrutura DNS local existente, configure os endereços IP de um ou mais servidores DNS para resolução de nomes. Para obter mais informações, consulte Requisitos de DNS.
- Certifique-se de que o IP do servidor DNS utilizado na rede virtual do Azure pertence à mesma geografia que o Cloud PC e que não redireciona pedidos de registo DNS para outra região. Caso contrário, isso resultará em implantações atrasadas ou com falha e verificações de integridade da conexão de rede do Azure.
- Para a resolução de nomes baseada no DNS do Azure, use o DNS do Azure público ou privado ou a opção de resolvedor privado. Para obter mais informações, consulte a documentação do DNS do Azure.
Topologia de rede: a rede do Azure suporta topologias para acomodar diferentes casos de uso.
- Topologia Hub-spoke com emparelhamento de rede virtual: essa topologia é a maneira mais simples de fornecer um isolamento de serviços com suas próprias redes virtuais spoke e hub. Os serviços partilhados incluem a Firewall do Azure e gateways de rede. Escolha essa topologia se você tiver um design simples de site único para implantar um Cloud PC em uma ou mais redes virtuais faladas. Para obter mais informações, consulte Topologia de rede Hub-and-spoke.
- Topologia Hub-spoke com WAN Virtual do Azure: a WAN Virtual é um serviço de rede do Azure que reúne recursos de rede, segurança e gerenciamento que permitem requisitos de rede complexos. Use essa topologia para implantações em vários locais e várias regiões com requisitos específicos de firewall e roteamento. Para obter mais informações, consulte Topologia de rede Hub-spoke com WAN Virtual.
Gateway de rede: os gateways de rede do Azure fornecem conectividade de uma rede virtual para uma rede local. Existem gateways de rede VPN e ExpressRoute. Certifique-se de que os requisitos máximos de largura de banda de um Cloud PC são considerados antes de decidir sobre o método de conectividade ExpressRoute ou VPN. Os gateways VPN e ExpressRoute são oferecidos em camadas, ou SKUs, que diferem na quantidade de largura de banda fornecida e em outras métricas. Para obter mais informações, consulte Estender uma rede local usando a Rota Expressa e Conectar uma rede local ao Azure usando a Rota Expressa.
Configurações de roteamento
O serviço de conexão de rede do Windows 365 Azure usa verificações de integridade automatizadas para determinar a integridade e a prontidão do ambiente do cliente para provisionar o Microsoft Entra join ou o Microsoft Entra hybrid join Cloud PCs em uma arquitetura baseada em conexão de rede do Azure. Sem configurações de roteamento adequadas em sua rede virtual do Azure e serviços de rede associados, há uma alta probabilidade de falhas ou atrasos na implantação do Cloud PC. Considere as seguintes recomendações para otimizar o roteamento para a arquitetura de rede do Windows 365:
Lista de permissões de URLs necessárias: cada Cloud PC implantado no modelo de conexão de rede de ingresso híbrido do Microsoft Entra e do Microsoft Entra no Azure requer que várias URLs sejam permitidas por meio de antivírus do sistema operacional, firewalls de rede e balanceadores de carga. Certifique-se de que todos os URLs são permitidos. Para obter mais informações, consulte Permitir conectividade de rede.
Usar marcas FQDN do Azure: ao usar o serviço Firewall do Azure, use as tags FQDN do Azure para permitir as URLs necessárias para a Área de Trabalho Virtual do Azure, Windows 365 e Intune. Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365.
Habilitar passagem: o Windows 365 usa o protocolo RDP, que é sensível à latência introduzida por dispositivos de inspeção de tráfego, como um firewall ou um dispositivo de descriptografia SSL. Essa latência pode resultar em uma experiência ruim, portanto, desative a inspeção de tráfego dessas URLs e, em vez disso, habilite a passagem. Para obter mais informações, consulte Tecnologias de intercetação de tráfego.
Bypass proxy: Os serviços de proxy tradicionais e na nuvem, embora adequados para acesso à Internet, introduzem latência nas conexões RDP. Essa latência acontece quando a conexão do dispositivo físico do usuário final ou do Cloud PC é forçada por meio de um proxy e resulta em desconexões frequentes, atrasos e tempos de resposta lentos. Defina os intervalos de IP de gateway *.wvd.microsoft.com e Windows 365 para ignorar os serviços de proxy no dispositivo físico do usuário, na rede à qual o dispositivo físico está conectado e no Cloud PC.
Para obter mais informações, consulte Otimizando a conectividade RDP para Windows 365.
Roteamento de caminho mais curto: garanta que o tráfego RDP de um Cloud PC chegue aos pontos de extremidade do serviço de Área de Trabalho Virtual pelo caminho mais curto. O caminho ideal é a partir de uma rede virtual, diretamente para o IP do gateway de área de trabalho virtual através da internet. Certifique-se também de que o tráfego RDP do dispositivo físico do usuário final atinja diretamente o IP do gateway da Área de Trabalho Virtual. Essa configuração garante o roteamento ideal e não degrada a experiência do usuário. Evite rotear o tráfego RDP para a Internet por meio de serviços de proxy na nuvem ou redes locais.
RDP Shortpath: habilite o acesso baseado em RDP Shortpath para redes de usuários finais, redes do Azure e Cloud PCs. RDP Shortpath usa UDP para transmitir tráfego RDP. Ao contrário do TCP, ele é resiliente a conexões de rede de alta latência. O UDP também aproveita ao máximo a largura de banda de rede disponível para transferir pacotes RDP de forma eficiente, o que leva a uma experiência de usuário aprimorada. Para obter mais informações, consulte Usar RDP Shortpath para redes públicas com o Windows 365.
Posicionamento do Cloud PC: para uma experiência de usuário e desempenho de roteamento ideais, determine onde os clientes estão em relação aos aplicativos de trabalho ou à rede que acessam. Considere também o tempo que os clientes gastam acessando os aplicativos LOB em comparação com o tempo total que eles acessam outros aplicativos. Consulte as duas opções de implantação possíveis a seguir:
O modelo de implantação a seguir pode ser ideal se os clientes passarem a maior parte do tempo de trabalho acessando os aplicativos LOB em vez de trabalhar em aplicativos instalados localmente, como aplicativos no Microsoft 365. Esse modelo otimiza a latência para aplicativos LOB versus latência de acesso ao Cloud PC, colocando o Cloud PC na mesma região do aplicativo LOB (Geografia B). Essa otimização ocorre mesmo que o gateway esteja geograficamente mais próximo do usuário final (Geografia A). O diagrama a seguir mostra o possível fluxo de tráfego do usuário final para os aplicativos LOB.
Transfira um ficheiro PowerPoint desta arquitetura.
Se os clientes ocasionalmente acessarem os aplicativos LOB na Geografia B, implantar um Cloud PC mais próximo dos clientes pode ser ideal porque otimiza a latência de acesso ao Cloud PC sobre a latência de acesso aos aplicativos LOB. O diagrama a seguir mostra como o tráfego pode fluir em tal cenário.
Transfira um ficheiro PowerPoint desta arquitetura.
Recomendações do AD DS
Em uma arquitetura de associação híbrida do Microsoft Entra, uma infraestrutura do AD DS local atua como a fonte de identidade da autoridade. Ter uma infraestrutura do AD DS corretamente configurada e saudável é uma etapa crucial para tornar a implantação do Windows 365 bem-sucedida.
O AD DS local oferece suporte a muitas configurações e diferentes níveis de complexidade, portanto, as recomendações fornecidas abrangem apenas as práticas recomendadas de linha de base.
- Para o cenário de associação híbrida do Microsoft Entra, você pode implantar o AD DS em VMs do Azure conforme descrito na referência de arquitetura em Implantar o AD DS em uma rede virtual. Você também pode usar uma conexão de rede híbrida para fornecer uma linha de visão direta para o controlador de domínio Microsoft Entra local. Para obter mais informações, consulte Implementar uma rede híbrida segura.
- Para a implantação de ingresso do Microsoft Entra, siga a arquitetura de referência em Integrar domínios locais do Microsoft Entra com a ID do Microsoft Entra.
- O Windows 365 usa um serviço de vigilância como parte do teste automatizado que cria uma conta de VM de teste. Essa conta é mostrada como desabilitada na unidade organizacional especificada na configuração de conexão de rede do Azure. Não exclua esta conta.
- Qualquer Cloud PC que seja desativado no modelo de associação híbrida do Microsoft Entra deixa para trás uma conta de computador desativada, que precisa ser limpa manualmente no AD DS.
- Os Serviços de Domínio do Microsoft Entra não são suportados como fonte de identidade porque não suportam a associação híbrida do Microsoft Entra.
Recomendações de DNS
Em uma arquitetura de implantação de conexão de rede do Azure, os servidores DNS ou outro serviço DNS usado por uma rede virtual do Azure é uma dependência crucial. É importante ter uma infraestrutura saudável.
- Para uma configuração de associação híbrida do Microsoft Entra, o DNS deve ser capaz de resolver o domínio ao qual o Cloud PC precisa ser associado. Há várias opções de configuração disponíveis, sendo a mais simples delas especificar o IP do servidor DNS na configuração de rede virtual do Azure. Para obter mais informações, veja Resolução de nomes que utiliza o seu próprio servidor DNS.
- Dependendo da complexidade da infraestrutura, como uma configuração de várias regiões e vários domínios no Azure e em ambientes locais, você deve usar um serviço como zonas privadas do DNS do Azure ou o Resolvedor Privado do DNS do Azure.
Recomendações de conexão de PC na nuvem
Os Cloud PCs implantados devem ser configurados para permitir o fluxo de conexão ininterrupto de e para o serviço de gateway de Área de Trabalho Virtual. Considere as seguintes recomendações ao implantar aplicativos como parte de uma configuração do sistema operacional Windows:
- Certifique-se de que o cliente VPS não seja iniciado quando o usuário entrar, pois ele pode desconectar a sessão quando o túnel VPN for estabelecido. O usuário teria que entrar uma segunda vez.
- Configure os aplicativos VPN, proxy, firewall e antivírus e antimalware para permitir ou ignorar o tráfego vinculado aos endereços IP 168.63.129.16 e 169.254.169.254. Esses endereços IP são usados para comunicação com serviços da plataforma Azure, como metadados e pulsação. Para obter mais informações, consulte O que é o endereço IP 168.63.129.16?, Serviço de Metadados de Instância do Azure para máquinas virtuais e Perguntas frequentes sobre a Rede Virtual.
- Não modifique manualmente os endereços IP dos Cloud PCs porque isso pode resultar em desconexão permanente. Os endereços IP são atribuídos com uma concessão indefinida e geridos durante todo o ciclo de vida do Cloud PC pelos serviços de rede do Azure. Para obter mais informações, consulte Métodos de alocação.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Ravishankar Nandagopalan - Brasil | Gerente de Produto Sênior
Outros contribuidores:
- Paul Collinge - Brasil | Gerente de Produto Principal
- Claus Emerich - Brasil | Gerente de Produto Principal
- David Falkus - Brasil | Gerente de Produto Principal
- Bob Roudebush - Brasil | Líder Técnico e Tecnólogo em Cloud/Desenvolvedor
- Matt Shadbolt - Brasil | Gerente de Produto Principal, Windows Cloud Experiences
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
Planeie a implementação do Cloud PC
Identidade e autenticação do Windows 365
Ciclo de vida do Cloud PC no Windows 365
Recursos relacionados
Visão geral dos Serviços de Domínio Ative Directory
Encriptação de dados no Windows 365
Noções básicas sobre conectividade de rede de área de trabalho virtual