Требования к сети
Windows 365 — это облачная служба, которая позволяет пользователям подключаться через Интернет с любого устройства и из любого места к рабочему столу Windows, запущенному в Azure. Для поддержки этих подключений к Интернету необходимо соблюдать требования к сети, перечисленные в этой статье.
Каждый клиент имеет свои конкретные требования в зависимости от рабочей нагрузки, используемой для расчета требований к сети среды облачного компьютера.
Примечание.
Сведения из этой статьи применяются только для подготовки облачных компьютеров в собственной виртуальной сети Azure, а не в сети, размещенной в Майкрософт.
Общий требования к сети
Чтобы использовать собственную сеть и подготовить облачные компьютеры, присоединенные к Microsoft Entra, необходимо выполнить следующие требования:
- Виртуальная сеть Azure: в подписке Azure в том же регионе, где создаются рабочие столы Windows 365, должна присутствовать виртуальная сеть (vNET).
- Пропускная способность сети: см. рекомендации Azure по использованию сети.
- Подсеть в виртуальной сети и доступный диапазон IP-адресов.
Чтобы использовать собственную сеть и подготовить облачные компьютеры с гибридным присоединением к Microsoft Entra, необходимо выполнить указанные выше требования и следующие требования:
- Виртуальная сеть Azure должна обладать возможностью разрешать записи DNS для среды доменных служб Active Directory (AD DS). Для поддержки этого разрешения определите DNS-серверы доменных служб Active Directory в качестве DNS-серверов для виртуальной сети.
- Виртуальной сети Azure необходимо предоставить сетевой доступ к контроллеру корпоративного домена либо в Azure, либо в локальной среде.
Разрешение подключения к сети
Необходимо разрешить трафик в конфигурации сети к следующим URL-адресам и портам служб для поддержки подготовки облачных компьютеров и управления ими, а также для удаленного подключения к облачным компьютерам. Хотя большая часть конфигурации связана с сетью облачного компьютера, подключение конечных пользователей происходит с физического устройства. Поэтому необходимо также следовать рекомендациям по подключению в сети физического устройства.
Устройство или служба | Необходимые URL-адреса и порты для сетевого подключения | Примечания |
---|---|---|
Физическое устройство | Link | Для подключения и обновлений клиента удаленного рабочего стола. |
Служба Microsoft Intune | Link | Для облачных служб Intune, таких как управление устройствами, доставка приложений и аналитика конечных точек. |
Виртуальная машина узла сеансов Виртуального рабочего стола Azure | Link | Для удаленного подключения между облачными компьютерами и серверной службой Виртуального рабочего стола Azure. |
Служба Windows 365 | Link | Для подготовки и проверок работоспособности. |
Служба Windows 365
Для подготовки облачных компьютеров и проверок работоспособности сетевого подключения Azure (ANC) требуются следующие URL-адреса и порты:
- *.infra.windows365.microsoft.com
- *.cmdagent.trafficmanager.net
- Конечные точки для регистрации
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net (исходящие 443 и 5671)
- hm-iot-in-prod-prap01.azure-devices.net (исходящие 443 и 5671)
- hm-iot-in-prod-prau01.azure-devices.net (исходящие 443 и 5671)
- hm-iot-in-prod-preu01.azure-devices.net (исходящие 443 и 5671)
- hm-iot-in-prod-prna01.azure-devices.net (исходящие 443 и 5671)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 исходящих)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 исходящий трафик)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 исходящих)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 исходящих)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 исходящих)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 исходящих)
Все конечные точки подключаются через порт 443, если не указано иное.
Порт 3389
Порт 3389 отключен по умолчанию для всех вновь подготовленных облачных компьютеров. Корпорация Майкрософт рекомендует оставить порт 3389 закрытым. Однако если вам нужно, чтобы порт 3389 был открыт для любых повторно подготовленных или недавно подготовленных облачных компьютеров с помощью параметра развертывания сетевого подключения Azure (ANC), можно просмотреть следующие варианты:
- Базовые показатели безопасности Windows 365. Клиенты могут использовать базовые показатели безопасности Windows 365 для эффективного управления портом 3389 для облачных компьютеров с Windows 365. Эти базовые показатели предоставляют комплексные средства и конфигурации, предназначенные для повышения мер безопасности и предоставления необходимого доступа. Изменив параметры брандмауэра и установив для параметра Действие входящего трафика по умолчанию для общедоступного профилязначение Разрешить, организации могут убедиться, что порт 3389 настроен соответствующим образом в соответствии с операционными потребностями. Просмотрите и настройте эти параметры в соответствии с требованиями вашей организации.
- Создайте пользовательское правило брандмауэра в Microsoft Intune. Клиенты могут использовать настраиваемые правила брандмауэра в Microsoft Intune для настройки порта 3389 для облачных компьютеров с Windows 365. Этот параметр включает в себя создание настраиваемого правила в политиках безопасности Intune, предназначенных для разрешения входящего трафика через порт 3389, который используется для доступа к облачным компьютерам. Определив параметры правила, такие как номер порта, протокол (TCP) и ограничение определенных IP-адресов или сетей, можно убедиться, что доступ к порту 3389 строго контролируется и ограничивается только авторизованными сущностями.
Эти параметры неприменимы для клиентов, использующих сеть, размещенную в Майкрософт.
Использование тегов FQDN для конечных точек через Брандмауэр Azure
Теги полного доменного имени (FQDN) Windows 365 упрощают предоставление доступа к требуемым конечным точкам службы Windows 365 через брандмауэр Azure. Дополнительные сведения см. в статье Использование брандмауэра Azure для управления средами Windows 365 и защиты.
Конечные точки службы брокера протокола удаленного рабочего стола (RDP)
Прямое подключение к конечным точкам службы брокера RDP Виртуального рабочего стола Azure очень важно для производительности в удаленном режиме на облачном компьютере. Эти конечные точки влияют как на соединение, так и на задержку. Чтобы соответствоватьпринципам сетевого подключения Microsoft 365, необходимо классифицировать эти конечные точки как конечные точки Оптимизации. Рекомендуется использовать прямой путь к этим конечным точкам из виртуальной сети Azure.
Чтобы упростить настройку элементов управления сетевой безопасностью, используйте теги службы виртуального рабочего стола Azure, чтобы идентифицировать эти конечные точки для прямой маршрутизации с помощью Определяемого пользователем маршрута сети Azure (UDR). UDR приводит к прямой маршрутизации между виртуальной сетью и брокером RDP с наименьшей задержкой. Дополнительные сведения о тегах служб Azure см. в статье Обзор тегов служб Azure.
Изменение сетевых маршрутов облачного компьютера (на сетевом уровне или на уровне облачного компьютера (например, VPN)) может нарушить соединение между облачным компьютером и брокером RDP виртуальных рабочих столов Azure. В этом случае пользователь отключается от облачного компьютера до тех пор, пока подключение не будет восстановлено.
Требования к DNS
В соответствии с требованиями к гибридному присоединению Microsoft Entra облачные компьютеры должны иметь возможность присоединения к локальной службе Active Directory. Для этого необходимо, чтобы облачные компьютеры могли разрешать записи DNS для вашей локальной среды AD.
Настройте виртуальную сеть Azure, в которой будут подготовлены облачные компьютеры, следующим образом.
- Убедитесь в том, что ваша виртуальная сеть Azure имеет сетевое подключение к DNS-серверам, которые могут разрешать ваш домен Active Directory.
- В параметрах виртуальной сети Azure выберите "DNS-серверы", а затем "Пользовательские".
- Введите IP-адреса DNS-серверов, которые могут разрешить ваш домен AD DS.
Совет
Добавление по крайней мере двух DNS-серверов, как и на физическом компьютере, помогает снизить риск единой точки отказа в разрешении имен.
Дополнительные сведения см. в разделе о настройке параметров виртуальных сетей Azure.
Требования к протоколу удаленного рабочего стола
Windows 365 использует протокол удаленного рабочего стола (RDP).
Сценарий | Режим по умолчанию | Режим H.264/AVC 444 | Описание |
---|---|---|---|
Бездействие | 0,3 Кбит/с | 0,3 Кбит/с | Пользователь приостановил работу, и активные обновления экрана отсутствуют. |
Microsoft Word | 100–150 Кбит/с | 200–300 Кбит/с | Пользователь активно работает с Microsoft Word: выполняет ввод данных, вставляет графические объекты и переключается между документами. |
Microsoft Excel | 150–200 Кбит/с | 400–500 Кбит/с | Пользователь активно работает с Microsoft Excel: одновременно обновляются многие ячейки с формулами и диаграммами |
Microsoft PowerPoint | 4–4,5 Мбит/с | 1,6–1,8 Мбит/с | Пользователь активно работает с Microsoft PowerPoint: выполняет ввод, вставляет объекты, изменяет насыщенную графику и использует эффекты смены слайдов. |
Просмотр веб-страниц | 6–6,5 Мбит/с | 0,9–1 Мбит/с | Пользователь активно работает с графически насыщенным веб-сайтом, который содержит множество статических и анимированных изображений. Пользователь прокручивает страницы по горизонтали и по вертикали |
Коллекция изображений | 3,3–3,6 Мбит/с | 0,7–0,8 Мбит/с | Пользователь активно работает с приложением из коллекции изображений: просматривает и масштабирует изображения, изменяет их размер и поворачивает их. |
Воспроизведение видео | 8,5–9,5 Мбит/с | 2,5–2,8 Мбит/с | Пользователь просматривает видеоматериал в стандарте 30 кадров в секунду, который занимает 1/2 экрана. |
Воспроизведение полноэкранного видео | 7,5–8,5 Мбит/с | 2,5–3,1 Мбит/с | Пользователь просматривает видео со разрешением 30 кадров/с, развернутое в полноэкранном режиме. |
Требования к Microsoft Teams
Microsoft Teams — это одна из основных служб Microsoft 365 на облачном компьютере. Windows 365 разгружает аудио- и видеотрафик в конечную точку для обеспечения работы с видео, аналогичной Teams на физическом компьютере.
Качество сети важно для каждого сценария. Убедитесь в наличии пропускной способности, достаточной для обеспечения качества, которое вы хотите предложить.
Microsoft Teams на облачных компьютерах не поддерживает разрешение Full HD (1920 x 1080 пикселей).
Счетчик пропускной способности | Сценарии |
---|---|
30 Кбит/с | Одноранговый голосовой вызов. |
130 Кбит/с | Одноранговый голосовой вызов и общий доступ к экрану. |
500 Кбит/с | Одноранговый видеовызов с высоким качеством, с разрешением 360 пикселей, с частотой 30 кадров/с. |
1,2 Мбит/с | Одноранговый видеовызов высокой четкости (HD), с разрешением 720 пикселей, с частотой 30 кадров/с. |
500 Кбит/с / 1 Мбит/с | Групповой видеовызов. |
Дополнительные сведения о требованиях к сети Microsoft Teams см. в статье Рекомендации по работе с сетями.
Технологии перехвата трафика
Некоторые корпоративные клиенты используют прослушивание трафика, расшифровку SSL, внимательное отслеживание пакетов и другие аналогичные технологии, позволяющие командам службы безопасности отслеживать сетевой трафик. Для подготовки облачных компьютеров может потребоваться прямой доступ к виртуальной машине. Эти технологии прослушивания трафика могут вызвать проблемы с выполнением локальных проверок сетевых подключений или подготовкой облачных компьютеров. Убедитесь, что для облачных компьютеров, подготовленных в службе Windows 365, не применяется прослушивание сети.
Пропускная способность
Windows 365 использует инфраструктуру сети Azure. Подписка Azure требуется при выборе виртуальной сети во время развертывания Windows 365 Корпоративная. Плата за пропускную способность для использования облачных компьютеров включает:
- За сетевой трафик, поступающий на облачный компьютер, плата не взимается.
- За исходящий трафик взимается плата с подписки Azure для виртуальной сети.
- За данные Office (например, синхронизация файлов электронной почты и OneDrive для бизнеса) выставляются платежи исходящего трафика, если облачный компьютер и данные пользователя находятся в разных регионах.
- За сетевой трафик RDP всегда выставляются платежи исходящего трафика.
Если вы используете собственную сеть, см. раздел Цены на пропускную способность.
Если вы используете сеть, размещенную в Майкрософт, исходящие данные в месяц зависят от ОЗУ облачного компьютера:
– 2 ГБ ОЗУ = 12 ГБ исходящих данных
– 4 или 8 ГБ ОЗУ = 20 ГБ исходящих данных
– 16 ГБ ОЗУ = 40 ГБ исходящих данных
– 32 ГБ ОЗУ = 70 ГБ исходящих данных
Пропускная способность данных может быть ограничена при превышении этих уровней.
Дальнейшие действия
Узнайте об управлении доступом на основе ролей для облачных компьютеров.