Windows 365 網路部署選項

  • 發行項

您有兩個選項可進行 Windows 365 服務的網路部署:

  • 使用Microsoft裝載的網路
    • 建議的選項。
    • 適用於 Windows 365 軟體即服務 (SaaS) 簡單性、可靠性和延展性的功能。
    • 支援Microsoft加入身分識別模型。
    • 不需要 Azure 訂用帳戶或專業知識。
  • 使用 Azure 網路連線 (ANC)
    • 支援 Microsoft Entra join 和 Microsoft Entra 混合式聯結身分識別模型。

Microsoft裝載的網路

此選項簡單、可靠且可調整,可提供雲端計算機連線能力,Microsoft以真正的 SaaS 方法提供服務。 使用此選項,Microsoft:

  • 設定並完全管理將功能性雲端計算機傳遞給使用者所需的基礎結構和相關服務。
  • 管理雲端電腦佔用的網路。
  • 提供 End User Computing (EUC) 環境的零信任架構對齊模型。 如需詳細資訊,請 參閱深入瞭解雲端原生端點

客戶的唯一責任是雲端計算機的設定和管理。

Microsoft建議客戶針對其 Windows 365 部署使用此選項。

您不需要自備 Azure 訂用帳戶 () 、規劃、設計、部署或管理基礎結構。 客戶可以致力於管理 Intune 所提供的單一管理控制台中的雲端電腦設定和安全性,

此選項類似於為員工提供膝上型計算機以在家使用。 您身為組織,無法控制裝置所在的網路。 您可以完全控制 Windows 裝置的設定、保護方式,以及它如何連線到您的內部部署網路。 使用 Windows 365 時,由於端對端零信任安全性架構對齊的調適型安全性控件和設定,因此可以使用此控件。

例如,使用者可以使用 Microsoft Entra 條件式存取的調適型控件進行驗證。 您可以使用 VPN 來傳遞公司連線能力。 因特網安全性可以使用雲端式安全Web閘道 (SWG) 。 優點是在高頻寬、復原網路上需要時,可以短時間範圍內大規模部署裝置。

圖表:Microsoft裝載的網路選項 - 僅Microsoft加入

下圖顯示Microsoft裝載的網路,其中包含雲端計算機和虛擬網路卡,位於由 Microsoft 管理的訂用帳戶內。

Microsoft裝載網路選項的圖表

Microsoft裝載網路選項的優點

  • 不需要 Azure 訂用帳戶。 Microsoft提供並完全管理雲端電腦運作所需的基礎結構。 您只需要必要的授權。
  • 網路基礎結構不需要額外費用。 (VNet) 和虛擬設備來操作您自己的虛擬網路的 Azure 成本並不適用。 Microsoft負責網路基礎結構。
  • 不需要 Azure 網路專業知識或管理。 VNet 完全由Microsoft管理。
  • 低複雜度和快速部署。 部署的複雜度很低,因為用戶端元素的相依性最低。
  • 零信任對齊方式。 使用者、端點、工作負載和數據訊號的零信任作業模型是用於驗證,而不是將信任套用至網路位置。
  • 更簡單的疑難解答和作業。 您可以更輕鬆地針對網路問題進行疑難解答並找出問題,並根據Intune原則、安全性控制和內建報告功能來採用新式裝置管理。

考量

使用Microsoft裝載的網路選項之前,請先檢閱下列考慮:

  • 此選項與 Microsoft Entra 混合式聯結模型不相容。 此選項是僅限雲端的部署,無法連線到內部部署 Active Directory 網域服務基礎結構。 如果您的組策略物件型管理原則無法轉換成 Intune,則此選項不適合您。
  • 無法控制 VNet。 虛擬 NIC 會Microsoft管理。 因此,所有網路控件都必須在雲端計算機本身上實作,類似於從家工作案例中的實體裝置。
  • 無法直接存取內部部署資源。 需要 VPN 或私人存取解決方案才能存取這些資源。 搭配雲端電腦使用 VPN 時,請使用 分割通道 來確定 RDP 流量不會透過 VPN 路由傳送。
  • 需要雲端原生管理作業模型,例如 Intune。
  • 埠 25 已封鎖。
  • 已封鎖 Ping/ICMP。
  • 雲端電腦之間的局域網路通訊遭到封鎖。
  • 雲端電腦無法直接連線到雲端電腦。
  • 系統管理員無法控制指派給雲端計算機的IP位址範圍和/或位址空間。 Windows 365 會自動處理 IP 位址。

Azure 網路連線選項

使用 Azure 網路連線 (ANC) 部署選項,您完全負責 VNet 及其設定。 如果您使用 Microsoft 混合式聯結模型,則必須使用此部署選項。 此選項可讓您看到內部部署 Azure Directory 資源,並可讓您自定義網路和安全性目標,例如:

  • 流量路由。
  • 埠和通訊協定。
  • Active Directory DS 和企業營運應用程式連線能力。
  • 使用 VPN 或 ExpressRoute 的網關聯機。
  • 雲端電腦所使用的位址空間。
  • 雲端電腦之間的通訊許可權。
  • 將 RDP 直接連線至雲端電腦。

您可以從 Azure 訂用帳戶中的 VNet 中選取 VNet。 您將設定在 vNet 中建立雲端電腦的布建原則。 您將管理雲端計算機連線能力,包括任何來自 VNet 的直接輸出和所需的因特網存取路徑。

Azure 網路連線支援兩種身分識別部署模型:

  • Microsoft加入
  • Microsoft混合式聯結

Microsoft加入

使用 Microsoft Entra join 時,您不需要建立從 VNet 到內部部署網路的連線。 您必須只確定對必要端點有輸出因特網連線能力。 不過,您可能想要新增內部部署連線,以存取位於內部部署檔案伺服器和應用程式中的資源。 您可以使用 ExpressRoute 或站對站 VPN 來建立連線,但這些選項會產生額外的成本和複雜性。

為了簡單起見,使用 Microsoft Entra join 時,建議您使用先前說明的Microsoft裝載網路選項。 在此情況下,您可以透過因特網使用 VPN 或私人存取解決方案來存取公司資源。

圖表:ANC 選項 - Microsoft加入

ANC Microsoft Entra join 選項的圖表

Microsoft混合式聯結

使用 Microsoft Entra 混合式聯結時,需要從 VNet 連線到內部部署網路。 若要連線到位於該處的DC基礎結構,唯一的方式是使用ANC部署選項。 此連線是重要的元件,因此應謹慎確保可靠性和備援性。

圖表:ANC 選項 - Microsoft混合式聯結

ANC Microsoft混合式聯結選項的圖表

ANC 選項的優點

  • 完全控制 VNet。 雲端電腦的 NIC 位於您自己的受控 VNet 內。
  • 直接看見內部部署基礎結構。 vNet 可以設定站對站 VPN 或 ExpressRoute 連線回到內部部署網路,以直接連線到 Azure Directory 基礎結構或位於該處的服務和應用程式。
  • 雲端電腦如同在內部部署位置一樣運作。 將公司網路延伸至 vNet 表示雲端電腦的運作方式就如同在公司網路界限內一樣。
  • 與其他 VNet 的簡單對等互連。 雲端電腦 VNet 與 Azure 中其他 vNet 之間的簡單交叉連線。 這支援直接連線到組織所使用的其他 Azure 裝載資源。

考量

使用 ANC 部署選項之前,請先檢閱下列考慮:

  • 需要 Azure 訂用帳戶。 此案例中使用的 VNet 位於您自己的 Azure 訂用帳戶中。 因此,您必須擁有 Azure 訂用帳戶和 必要的授權
  • 輸出成本。 因為 VNet 與您自己的 Azure 帳戶相關聯,所以您的 Azure 訂用帳戶會產生任何 輸出成本
  • 網路基礎結構的額外成本。 操作您自己的 VNet 的 Azure 成本會套用至與 vNet 相關聯的訂用帳戶。
  • 需要 Azure 網路專業知識或管理。 您必須提供專業知識和管理來維護 VNet。
  • 複雜度較高。 您必須管理和維護網路,這比使用Microsoft裝載的網路更複雜。
  • 較長的部署。 部署通常比使用Microsoft裝載的網路選項還要長。 這項額外時間是因為必須先設定大量客戶端元素所造成。
  • 風險較高。 ANC 部署比Microsoft裝載的網路部署更複雜。 此複雜性會增加連線問題的風險。

同時選項

Microsoft裝載的網路和 ANC 選項可以同時使用。 例如,您可以針對具有唯一舊版需求的部署子集使用 ANC 選項。 針對沒有這些需求的其餘部署,您可以使用Microsoft裝載的網路選項。

後續步驟

深入瞭解部署程式