Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Windows 365 proporciona dos opciones de implementación para la conectividad de red que usa el equipo en la nube.
Red hospedada de Microsoft: (recomendado)
conexión de red Azure (ANC): (para requisitos heredados o especializados)
Microsoft Hosted Network es la opción de implementación recomendada para la mayoría de los escenarios. Es simple, moderno y se alinea con los principios Confianza cero. Este enfoque es preferible porque reduce la complejidad y la sobrecarga de administración. Azure Conexión de red (ANC) es una alternativa cuando no se pueden evitar los requisitos heredados, como la unión híbrida Azure AD o la línea de visión directa a la red corporativa.
Red hospedada de Microsoft: opción de implementación recomendada
Debe elegir la opción Microsoft Hosted Network al implementar equipos en la nube. Revierta solo a las implementaciones de ANC como último recurso.
Microsoft Hosted Network es una opción totalmente administrada en la que Microsoft configura y administra la red subyacente para los equipos en la nube. Este enfoque ofrece una implementación SaaS completa de Windows 365, lo que simplifica la administración de la red, mejora la seguridad y reduce los costos. Es una opción ideal para las organizaciones que desean una implementación Windows 365 moderna, sencilla, segura y escalable.
Al elegir Microsoft Hosted Network, la única configuración de infraestructura necesaria es la elección de la región para la implementación, Microsoft se encarga del resto, incluidos los requisitos de administración y mantenimiento futuros.
Ventajas de la opción Microsoft Hosted Network
La elección de Microsoft Hosted Network reduce la complejidad, acelera el tiempo de valor y mejora la confiabilidad de Windows 365.
Simple por diseño: No hay Azure Virtual Network administradas por el cliente, firewalls, rutas o UDR, puertas de enlace NAT o reglas para compilar y mantener. Todo lo que se necesita es elegir una región en la que realizar la implementación; Para que el aprovisionamiento se realice correctamente, seleccione Automático.
Implementación rápida: Las dependencias mínimas en los elementos de red del cliente permiten que los equipos en la nube se implementen rápidamente.
Capacidad elástica: Microsoft administra la escala, por lo que puede agregar un gran número de equipos en la nube a petición sin expandir primero la infraestructura de red. La recuperación ante desastres entre regiones, por ejemplo, no requiere redes aprovisionadas previamente si se elige la red hospedada de Microsoft.
Menor costo de infraestructura: No paga por ejecutar redes virtuales, aplicaciones virtuales de red, ancho de banda o puertas de enlace NAT para equipos en la nube; Microsoft opera la red subyacente en su nombre.
Menor sobrecarga operativa: No se necesita ningún equipo de red de Azure dedicado para configurar o mantener este entorno.
No se requiere Azure suscripción: Microsoft suministra y administra la infraestructura de Azure que necesitan los equipos en la nube para funcionar.
Alineada con Confianza cero - Access se basa en señales de identidad, dispositivo, carga de trabajo y datos en lugar de en la ubicación de red. Las herramientas modernas de puerta de enlace web segura (SWG) y acceso privado en el dispositivo se integran bien con este modelo.
Conectividad de alto rendimiento: Los equipos en la nube tienen conectividad de alta velocidad y entrada directa a la red global de Microsoft para servicios como Microsoft 365.
Protección de forma predeterminada: Solo se permiten conexiones salientes, no es posible ninguna conectividad lateral o entrante. Aplique la VPN estándar o SWG en el dispositivo de la misma manera que se hace con los portátiles administrados.
Operaciones más sencillas: La solución de problemas es más sencilla y se adapta a la administración de dispositivos moderna a través de directivas de Intune, controles de seguridad e informes integrados.
Mayor confiabilidad: Una red administrada y estandarizada reduce el riesgo de errores de configuración y mejora la confiabilidad general del equipo en la nube.
Consideraciones sobre la red hospedada de Microsoft
Antes de elegir Microsoft Hosted Network, revise estos puntos para confirmar que se ajusta a los objetivos de implementación.
No compatible con Microsoft Entra unión híbrida: este modelo solo admite equipos en la nube unidos a la nube y no tiene conectividad directa con Active Directory local Servicios de dominio (AD DS). Si depende de directiva de grupo, migre esas directivas a Microsoft Intune mediante el catálogo de configuración, la ingesta de ADMX o las líneas base de seguridad.
Sin control de cliente de la red virtual: Microsoft administra completamente la red virtual. Aplique controles salientes en el equipo en la nube (por ejemplo, reglas de cliente VPN/SWG basadas en dispositivos, Firewall de Windows Microsoft Defender para punto de conexión controles web) o en la salida de Internet de su organización, no dentro de la red virtual.
Solución vpn o de acceso privado necesaria para acceder a recursos locales: Use una solución vpn o de acceso privado o ZTNA para llegar a las aplicaciones locales. La tunelización dividida es necesaria para que RDP y otro tráfico de servicio a Windows 365 no atraviese la VPN. Este patrón se alinea con un enfoque de Confianza cero.
Se requiere administración nativa de la nube: Planee la administración moderna de puntos de conexión con Intune en lugar de operaciones centradas en GPO.
Restricciones de red predeterminadas.
El puerto 25 (SMTP) está bloqueado.
ICMP/ping está bloqueado.
No hay comunicación lateral (pc en la nube a pc en la nube).
No hay conectividad de entrada directa a equipos en la nube.
El direccionamiento IP está administrado por el servicio. No puede elegir intervalos IP privados ni espacio de direcciones NAT de salida. Windows 365 asigna y administra automáticamente el direccionamiento IP.
Diagrama: Opción De red hospedada de Microsoft
Diagrama 1: Ejemplo de implementación de red hospedada de Microsoft
En este diagrama se muestran tres elementos clave de Microsoft Hosted Network:
Tanto el equipo en la nube como su conectividad de red subyacente se implementan en un entorno totalmente administrado por Microsoft.
La conectividad saliente se puede administrar con una moderna solución de acceso privado y puerta de enlace web segura implementada en el equipo en la nube.
Como alternativa, se puede usar una VPN tradicional.
Ambos & 3 se pueden proporcionar de maneras idénticas a cómo puede que ya lo esté haciendo para dispositivos de usuarios móviles.
Azure opción de implementación de conexión de red
Cuándo elegir Azure conexión de red (ANC)
Use ANC cuando tenga requisitos de red o heredados específicos que no se pueden resolver y, por lo tanto, impedir el uso de Microsoft Hosted Network, por ejemplo:
Microsoft Entra unión híbrida es necesaria.
Las aplicaciones o servicios requieren una línea de visión directa a los recursos locales (por ejemplo, AD DS, Kerberos/NTLM, recursos compartidos SMB, protocolos heredados).
No está listo para pasar completamente a un modelo de Confianza cero y necesita más tiempo para la transición.
Necesita conectividad administrada de forma privada desde redes locales a equipos en la nube (por ejemplo, VPN de sitio a sitio, ExpressRoute, direcciones IP de salida fijas, DNS privado).
Recomendación: Utilice Microsoft Hosted Network como valor predeterminado. Use ANC solo para personas y escenarios que lo requieran estrictamente. Ambos modelos se pueden ejecutar en paralelo.
Qué proporciona ANC
Control de Virtual Network completo (red virtual). La tarjeta de red virtual (vNIC) del equipo en la nube reside en la suscripción de Azure y en la red virtual. Puede controlar grupos de seguridad de red (NSG), rutas definidas por el usuario (UDR), tablas de rutas, Azure Firewall, puerta de enlace NAT y registro.
Conectividad directa con el entorno local. Use VPN de sitio a sitio o ExpressRoute para acceder a AD DS, recursos compartidos de archivos, servidores de impresión y aplicaciones locales.
Comportamiento "En red". La extensión de la red corporativa a la red virtual permite que los equipos en la nube funcionen como si estuvieran dentro del límite de red.
Emparejamiento con otras redes virtuales.Emparejar la red virtual de PC en la nube con otras redes virtuales Azure y llegar directamente a los recursos hospedados en Azure.
Compensaciones y responsabilidades
La elección de ANC cambia la propiedad de la red a su equipo y aumenta la complejidad:
Azure suscripción necesaria. Todas las redes residen en (y facturan a) su suscripción.
Posee el diseño y las operaciones. El direccionamiento, el enrutamiento, DNS, los controles de seguridad, el registro, la alta disponibilidad y la recuperación ante desastres para aplicaciones virtuales de red (NVA), la aplicación de revisiones, la capacidad y la administración de cambios son su responsabilidad.
Perfil de mayor costo. Su organización es responsable de los costos de ancho de banda de red, aplicaciones virtuales de red (NVA), Azure Firewall, NAT Gateway y almacenamiento de registros, además de los costos de personal para supervisar la infraestructura de conectividad.
Escalas de tiempo más largas. Normalmente, más requisitos previos y aprobaciones amplían considerablemente la implementación en comparación con Microsoft Hosted Network.
Mayor riesgo de errores de configuración. Un mayor número de piezas móviles puede provocar un mayor riesgo de problemas de conectividad o rendimiento si no se administran cuidadosamente.
Diagrama: Azure opción Conexión de red
Diagrama 2: Implementación de ANC de ejemplo
Elementos clave que se muestran en este diagrama:
El equipo en la nube se implementa en un entorno de Azure administrado por Microsoft.
En Azure implementaciones de conexión de red (ANC), la interfaz de red de PC en la nube se coloca en una red virtual (VNet) administrada y propiedad del cliente dentro de la suscripción del cliente. El cliente es responsable de proporcionar toda la conectividad de red necesaria a esa red virtual.
La conectividad del servicio debe enrutarse directamente a la red de Microsoft. No enrute este tráfico a través de puntos de salida locales.
La conectividad a Internet de alta velocidad se puede proporcionar directamente desde Azure. Este enfoque ofrece un rendimiento significativamente mejor que el enrutamiento a través de ubicaciones de salida locales.
Use ExpressRoute o VPN de sitio a sitio para conectar la red virtual a la red corporativa.
Opciones de implementación simultáneas
Puede ejecutar Microsoft Hosted Network y Azure Network Connection (ANC) en paralelo. Use ANC solo para el subconjunto de usuarios o cargas de trabajo que tienen necesidades heredadas estrictas, como un equipo financiero que requiere una línea de visión directa a los datos locales. Para todos los demás usuarios sin esos requisitos, use Microsoft Hosted Network para minimizar la complejidad, el costo y el tiempo de valor.
Comparación de opciones de implementación
| Categoría | Red hospedada de Microsoft | Conexión de red Azure (ANC) |
|---|---|---|
| Caso de uso recomendado | Opción predeterminada y preferida para la mayoría de los usuarios | Solo para casos de uso heredados o específicos que requieren acceso local |
| Administración de infraestructura | Totalmente administrado por Microsoft | Administrado por el cliente |
| Azure suscripción requerida | No | Sí |
| Complejidad de la implementación | Bajo: se requiere una configuración mínima | Alta: requiere la configuración de redes virtuales, firewalls, enrutamiento, etc. |
| Escalabilidad | Alto: automático y flexible | Limitado: depende de la infraestructura administrada por el cliente |
| Modelo de seguridad | Confianza cero alineadas | Modelo de confianza de red tradicional |
| Conectividad con el entorno local | Requiere VPN o SWG | Línea de visión directa a través de VPN de sitio a sitio o ExpressRoute. O VPN o SWG de punto a sitio |
| Implicaciones en los costos | Sin costos de administración ni infraestructura de red | Costos incurridos por infraestructura, salida y administración de red |
| Solución de problemas de confiabilidad de & | Más fácil y confiable debido a la configuración administrada | Más complejo y propenso a errores de configuración |
| Ejemplos de casos de uso | Usuarios nativos de la nube, personal remoto, administración moderna de identidades | Usuarios de unión híbrida, aplicaciones heredadas que necesitan acceso directo a recursos locales |
| Limitaciones | No hay control sobre los intervalos IP ni la red subyacente. | Requiere Azure experiencia en redes, escalas de tiempo de implementación más largas |