Использование Брандмауэра Azure для управления средами Windows 365 и защиты
В этой статье объясняется, как упростить и защитить среду Windows 365 с помощью Брандмауэра Azure. Пример архитектуры, описанный здесь, обеспечивает низкий уровень обслуживания и автоматический доступ к требуемым конечным точкам через прямой и оптимизированный путь подключения. Для репликации этого примера архитектуры в среде можно использовать сетевые правила брандмауэра Azure и теги полного доменного имени (FQDN).
Примечание.
Эта статья относится к клиентам, которые развертывают Windows 365 с помощью сетевых подключений Azure (ANC). Эта статья не относится к средам, в которых используются размещенные сети Майкрософт. Дополнительные сведения о каждом из них см. в статье Параметры сетевого развертывания Windows 365.
Для службы Windows 365 требуется оптимизированное подключение без прокси-сервера к критически важным конечным точкам службы, многие из которых находятся в инфраструктуре Майкрософт. Подключение к этим ресурсам с помощью локальных сетей через Интернет является неэффективным и не рекомендуется. Такие подключения также могут быть сложными для настройки и управления.
Например, некоторые клиенты Windows 365, использующие модель развертывания ANC, могут иметь прямое подключение к локальной среде, которая использует ExpressRoute или VPN типа "сеть — сеть". Исходящий трафик может маршрутизироваться с помощью существующего прокси-сервера так же, как и локальный трафик. Эта стратегия подключения не оптимизирована для сред Windows 365 и может существенно повлиять на производительность.
Вместо этого вы можете использовать Брандмауэр Azure в средах ANC Windows 365, чтобы обеспечить оптимизированный, безопасный, низкий уровень обслуживания и автоматический доступ.
Обязательные конечные точки для Windows 365
Для Windows 365 требуется доступ к следующим конечным точкам:
Вы также можете рассмотреть возможность доступа к другим службам Майкрософт (например, Office 365) при настройке оптимизированного подключения из среды.
Теги FQDN для определенных служб доступны брандмауэру Azure, чтобы помочь настроить и поддерживать эти правила простым способом, и они рассматриваются далее в этом документе.
Пример архитектуры с использованием брандмауэра Azure и тегов FQDN
Существует множество способов настройки сети в Azure. Здесь мы используем:
- Одна виртуальная сеть с брандмауэром Azure, управляющая исходящим доступом.
- Канал ExpressRoute для подключения виртуальной сети к локальной среде.
Поток трафика на этой схеме:
- Корпоративная сеть Contoso. Эта локальная IP-подсеть объявляется в виртуальной сети через шлюз ExpressRoute. Весь трафик в этот диапазон (10.0.0.0/8) отправляется через канал ExpressRoute.
- Весь остальной трафик из подсети Windows 365 отправляется в брандмауэр Azure по маршруту определяемого пользователем маршрута (UDR) 0.0.0.0/0. В качестве IP-адреса следующего прыжка задается частный IP-адрес Брандмауэра Azure.
- Брандмауэр содержит правила приложений (и теги FQDN) и сетевые правила, настроенные для необходимых конечных точек Windows 365. Трафик, соответствующий правилам, разрешен. Любой другой трафик, явно не разрешенный, блокируется.
Правила приложений Брандмауэра Azure
Среда на схеме была настроена с помощью следующих правил приложения Брандмауэра Azure (примененных в выноске 3). Весь трафик, не предназначенный для локальной подсети Contoso, направляется в брандмауэр. Эти правила разрешают определенному трафику исходящий трафик к месту назначения. Дополнительные сведения о развертывании брандмауэра Azure см. в статье Развертывание и настройка Брандмауэра Azure с помощью портала Azure.
| Описание правила | Тип назначения | Имя тега FQDN | Протокол | Проверка TLS | Обязательный или необязательный |
|---|---|---|---|---|---|
| Полное доменное имя Windows 365 | Тег FQDN | Windows365 | HTTP: 80, HTTPS: 443 | Не рекомендуется | Обязательный |
| Полное доменное имя Intune | Тег FQDN | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Не рекомендуется | Обязательный |
| Полные доменные имена Office 365 | Тег FQDN | Office365 | HTTP: 80, HTTPS: 443 | Не рекомендуется оптимизировать & разрешенные категории | Необязательно, но рекомендуется |
| Центр обновления Windows | Тег FQDN | WindowsUpdate | HTTP: 80, HTTPS: 443 | Не рекомендуется | Необязательный |
| Citrix HDX Plus | Тег FQDN | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Не рекомендуется | Необязательный (требуется только при использовании Citrix HDX Plus) |
Брандмауэр Azure можно связать с общедоступными IP-адресами для обеспечения исходящего подключения к Интернету. Первый общедоступный IP-адрес выбирается случайным образом для предоставления исходящего SNAT. Следующий доступный общедоступный IP-адрес будет использоваться после исчерпания всех портов SNAT из первого IP-адреса. В сценариях, требующих высокой пропускной способности, рекомендуется использовать шлюз Azure NAT. Шлюз NAT динамически масштабирует исходящие подключения и может быть интегрирован с Брандмауэром Azure. Рекомендации см. в руководстве по интеграции шлюза NAT с Брандмауэром Azure .
Тег Windows365
Тег Windows365 включает необходимые конечные точки Виртуального рабочего стола Azure (AVD), за исключением конечных точек с нестандартными портами, которые необходимо ввести вручную (см. раздел Сетевые правила).
Тег Windows365 не включает Intune. Тег MicrosoftIntune можно использовать отдельно.
Тег FQDN Windows365 включает все необходимые конечные точки, кроме конечных точек, перечисленных как обязательные в отдельных строках этого документа, которые необходимо настроить отдельно. Теги FQDN отличаются от тега службы. Например, тег службы WindowsVirtualDesktop включает только IP-адреса, по которым разрешается *.wvd.microsoft.com.
Правила сети
Брандмауэр Azure в настоящее время не обрабатывает нестандартные порты в теге FQDN. Windows 365 имеет несколько нестандартных требований к портам, поэтому следующие правила необходимо добавить вручную в качестве сетевых правил в дополнение к тегам FQDN.
| Описание правила | Тип назначения | Полное доменное имя/IP-адрес | Протокол | Порт/с | Проверка TLS | Обязательный или необязательный |
|---|---|---|---|---|---|---|
| Активация Windows | Полное доменное имя | azkms.core.windows.net | TCP | 1688 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | global.azure-devices-provisioning.net | TCP | 443, 5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Не рекомендуется | Обязательный |
| Подключение UDP через TURN | IP | 20.202.0.0/16 | UDP | 3478 | Не рекомендуется | Обязательный |
| Подключение TURN | IP | 20.202.0.0/16 | TCP | 443 | Не рекомендуется | Обязательный |
| Регистрация | Полное доменное имя | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Не рекомендуется | Обязательный |
Варианты решений для обеспечения безопасности партнеров
Другие способы защиты среды Windows 365 — это варианты решений для обеспечения безопасности партнеров, которые предоставляют автоматические наборы правил для доступа к необходимым конечным точкам для службы Windows 365. К таким вариантам относятся:
- Обновляемые объекты Check Point Software Technologies
Дальнейшие действия
Дополнительные сведения об архитектуре Windows 365.
Дополнительные сведения о FQDNS см. в статье Общие сведения о тегах FQDN.
Дополнительные сведения о тегах служб см. в статье Теги службы виртуальной сети.