Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Windows 365 fournit deux options de déploiement pour la connectivité réseau utilisée par le PC cloud.
Réseau hébergé Microsoft - (recommandé)
connexion réseau Azure (ANC) - (Pour les exigences héritées ou spécialisées)
Le réseau hébergé Microsoft est l’option de déploiement recommandée pour la plupart des scénarios. Il est simple, moderne et s’aligne sur les principes Confiance nulle. Cette approche est préférable, car elle réduit la complexité et la surcharge de gestion. Azure connexion réseau (ANC) est une alternative lorsque les exigences héritées, telles que la jonction AD hybride Azure ou la ligne de vue directe vers le réseau d’entreprise, ne peuvent pas être évitées.
Réseau hébergé Microsoft – Option de déploiement recommandée
Vous devez choisir l’option Réseau hébergé Microsoft lors du déploiement de PC cloud. Revenez uniquement aux déploiements ANC en dernier recours.
Le réseau hébergé Microsoft est une option entièrement managée dans laquelle Microsoft configure et gère le réseau sous-jacent pour vos PC cloud. Cette approche offre un déploiement SaaS complet de Windows 365, ce qui simplifie la gestion du réseau, améliore la sécurité et réduit les coûts. Il s’agit d’un choix idéal pour les organisations qui souhaitent un déploiement Windows 365 moderne, simple, sécurisé et évolutif.
Lorsque vous choisissez le réseau hébergé Microsoft, la seule configuration d’infrastructure requise est le choix de la région pour le déploiement. Microsoft prend en charge le reste, y compris les exigences de gestion et de maintenance futures.
Avantages de l’option Réseau hébergé Microsoft
Le choix d’un réseau hébergé Microsoft réduit la complexité, accélère le délai de mise en valeur et améliore la fiabilité des Windows 365.
Simple par conception - Aucun Azure Réseau virtuel géré par le client, aucun pare-feu, itinéraire/UDR, passerelle NAT ou règle à générer et à gérer. Il suffit de choisir une région dans laquelle effectuer le déploiement ; Pour optimiser la réussite de l’approvisionnement, sélectionnez Automatique.
Déploiement rapide - Les dépendances minimales vis-à-vis des éléments réseau des clients permettent de déployer rapidement les PC cloud.
Capacité élastique - Microsoft gère la mise à l’échelle, ce qui vous permet d’ajouter un grand nombre de PC cloud à la demande sans développer au préalable l’infrastructure réseau. La récupération d’urgence inter-région, par exemple, ne nécessite pas de mise en réseau préconfigurée si le réseau hébergé par Microsoft est choisi.
Réduction du coût d’infrastructure - Vous ne payez pas pour exécuter des réseaux virtuels, des appliances virtuelles réseau, de la bande passante ou des passerelles NAT pour les PC cloud. Microsoft exploite le réseau sous-jacent en votre nom.
Réduction de la surcharge opérationnelle - Aucune équipe de mise en réseau Azure dédiée n’est nécessaire pour configurer ou gérer cet environnement.
Aucun abonnement Azure requis : Microsoft fournit et gère l’infrastructure Azure dont les PC cloud ont besoin pour fonctionner.
Aligné sur Confiance nulle - Access est basé sur l’identité, l’appareil, la charge de travail et les signaux de données plutôt que sur l’emplacement réseau. La passerelle web sécurisée moderne (SWG) et les outils d’accès privé sur l’appareil s’intègrent bien à ce modèle.
Connectivité à haut débit - Les PC cloud disposent d’une connectivité à haut débit et d’une entrée directe sur le réseau mondial de Microsoft pour des services tels que Microsoft 365.
Sécurisé par défaut - Seules les connexions sortantes sont autorisées, aucune connectivité entrante ou latérale n’est possible. Appliquez votre VPN ou SWG standard sur l’appareil de la même façon que pour vos ordinateurs portables gérés.
Opérations plus simples - La résolution des problèmes est plus simple et s’adapte à la gestion moderne des appareils via des stratégies de Intune, des contrôles de sécurité et des rapports intégrés.
Fiabilité plus élevée - Un réseau managé et standardisé réduit le risque de mauvaise configuration et améliore la fiabilité globale des PC cloud.
Considérations relatives au réseau hébergé Microsoft
Avant de choisir le réseau hébergé Microsoft, passez en revue ces points pour vérifier qu’il correspond à vos objectifs de déploiement.
Non compatible avec Microsoft Entra jointure hybride : ce modèle prend uniquement en charge les PC cloud joints au cloud et n’a pas de connectivité directe à Active Directory local Domain Services (AD DS). Si vous dépendez de stratégie de groupe, migrez ces stratégies vers Microsoft Intune à l’aide du catalogue de paramètres, de l’ingestion ADMX ou des bases de référence de sécurité.
Aucun contrôle client sur le réseau virtuel - Le réseau virtuel est entièrement géré par Microsoft. Appliquez des contrôles sortants sur le PC cloud (par exemple, des règles de client VPN/SWG basées sur l’appareil, le Pare-feu Windows Microsoft Defender pour point de terminaison des contrôles web) ou à la sortie Internet de votre organization, et non à l’intérieur du réseau virtuel.
Solution VPN ou d’accès privé requise pour accéder aux ressources locales - Utilisez une solution VPN ou accès privé/ZTNA pour accéder aux applications locales. Le tunneling fractionné est nécessaire pour que le trafic RDP et d’autres services vers Windows 365 ne traverse pas le VPN. Ce modèle s’aligne sur une approche Confiance nulle.
Gestion native cloud requise - Planifiez une gestion moderne des points de terminaison avec des opérations Intune plutôt que des opérations centrées sur les objets de stratégie de groupe.
Restrictions réseau par défaut.
Le port 25 (SMTP) est bloqué.
ICMP/ping est bloqué.
Aucune communication latérale (PC cloud vers PC cloud).
Aucune connectivité entrante directe aux PC cloud.
L’adressage IP est géré par le service. Vous ne pouvez pas choisir de plages d’adresses IP privées ou d’espace d’adressage NAT sortant. Windows 365 attribue et gère automatiquement l’adressage IP.
Diagramme : Option Réseau hébergé Microsoft
Diagramme 1 : Exemple de déploiement de réseau hébergé Microsoft
Ce diagramme montre trois éléments clés du réseau hébergé Microsoft :
Le PC cloud et sa connectivité réseau sous-jacente sont déployés dans un environnement entièrement géré par Microsoft
La connectivité sortante peut être gérée avec une solution d’accès privé et de passerelle web sécurisée moderne déployée sur le PC cloud.
Vous pouvez également utiliser un VPN traditionnel.
Les deux 2 & 3 peuvent être fournis de la même manière que vous pouvez déjà le faire pour les appareils des utilisateurs itinérants.
option de déploiement de connexion réseau Azure
Quand choisir Azure connexion réseau (ANC)
Utilisez ANC lorsque vous avez des exigences réseau ou héritées spécifiques qui ne peuvent pas être résolues et empêchent ainsi l’utilisation du réseau hébergé Microsoft, par exemple :
Microsoft Entra jointure hybride est requise.
Les applications/services nécessitent une visibilité directe vers des ressources locales (par exemple, AD DS, Kerberos/NTLM, partages SMB, protocoles hérités).
Vous n’êtes pas prêt à passer entièrement à un modèle Confiance nulle et avez besoin de plus de temps pour la transition.
Vous avez besoin d’une connectivité gérée en privé à partir de réseaux locaux vers des PC cloud (par exemple, VPN de site à site, ExpressRoute, adresses IP de sortie fixes, DNS privé).
Recommandation: Utiliser le réseau hébergé Microsoft par défaut. Utilisez ANC uniquement pour les personnages et les scénarios qui l’exigent strictement. Les deux modèles peuvent s’exécuter côte à côte.
Ce que fournit ANC
Contrôle Réseau virtuel complet (VNet). La carte de réseau virtuel (vNIC) du PC cloud se trouve dans votre abonnement Azure et votre réseau virtuel. Vous contrôlez les groupes de sécurité réseau (NSG), les itinéraires définis par l’utilisateur (UDR), les tables de routage, les Pare-feu Azure, la passerelle NAT et la journalisation.
Connectivité directe à l’environnement local. Utilisez un VPN de site à site ou ExpressRoute pour accéder aux services AD DS, aux partages de fichiers, aux serveurs d’impression et aux applications locales.
Comportement « Sur le réseau ». L’extension du réseau d’entreprise au réseau virtuel permet aux PC cloud de fonctionner comme s’ils se trouvent à l’intérieur de la limite de votre réseau.
Peering à d’autres réseaux virtuels.Appairez le réseau virtuel du PC cloud avec d’autres réseaux virtuels Azure et accédez directement aux ressources hébergées Azure.
Compromis et responsabilités
Le choix d’ANC déplace la propriété du réseau vers votre équipe et augmente la complexité :
Azure abonnement requis. Tous les réseaux résident (et facturent) votre abonnement.
Vous êtes propriétaire de la conception et des opérations. L’adressage, le routage, le DNS, les contrôles de sécurité, la journalisation, la haute disponibilité et la récupération d’urgence pour les appliances virtuelles réseau (NVA), la mise à jour corrective, la capacité et la gestion des modifications sont de votre responsabilité.
Profil de coût plus élevé. Votre organization est responsable des coûts de bande passante réseau, d’appliances virtuelles réseau, de Pare-feu Azure, de passerelle NAT et de stockage des journaux, en plus des coûts de personnel pour superviser l’infrastructure de connectivité.
Des délais plus longs. Les prérequis et approbations supplémentaires étendent généralement considérablement le déploiement par rapport au réseau hébergé Microsoft.
Risque plus élevé de mauvaise configuration. Un plus grand nombre de pièces mobiles peut entraîner un risque plus élevé de problèmes de connectivité ou de performances s’il n’est pas géré avec soin.
Diagramme : option de connexion réseau Azure
Diagramme 2 : Exemple de déploiement ANC
Éléments clés présentés dans ce diagramme :
Le PC cloud est déployé dans un environnement Azure géré par Microsoft.
Dans Azure déploiements de connexion réseau (ANC), l’interface réseau du PC cloud est placée dans un réseau virtuel (VNet) appartenant au client et géré au sein de l’abonnement du client. Le client est chargé de fournir toute la connectivité réseau requise à ce réseau virtuel.
La connectivité du service doit être acheminée directement vers le réseau de Microsoft. Ne routez pas ce trafic via des points de sortie locaux.
La connectivité Internet haut débit peut être fournie directement à partir de Azure. Cette approche offre de meilleures performances que le routage via des emplacements de sortie locaux.
Utilisez ExpressRoute ou un VPN de site à site pour connecter le réseau virtuel au réseau d’entreprise.
Options de déploiement simultanées
Vous pouvez exécuter le réseau hébergé Microsoft et Azure connexion réseau (ANC) côte à côte. Utilisez ANC uniquement pour le sous-ensemble d’utilisateurs ou de charges de travail qui ont des besoins hérités stricts, comme une équipe financière qui nécessite une ligne de vue directe vers des données locales. Pour tous les autres utilisateurs qui n’ont pas ces exigences, utilisez le réseau hébergé Microsoft pour réduire la complexité, le coût et le temps de mise en valeur.
Comparaison des options de déploiement
| Catégorie | Réseau hébergé Microsoft | connexion réseau Azure (ANC) |
|---|---|---|
| Cas d’utilisation recommandé | Option par défaut et par défaut pour la plupart des utilisateurs | Uniquement pour les cas d’usage hérités ou spécifiques nécessitant un accès local |
| Gestion de l’infrastructure | Entièrement géré par Microsoft | Géré par le client |
| abonnement Azure obligatoire | Non | Oui |
| Complexité du déploiement | Faible : configuration minimale requise | Élevé : nécessite la configuration des réseaux virtuels, des pare-feu, du routage, etc. |
| Évolutivité | Élevé : automatique et flexible | Limité : dépend de l’infrastructure gérée par le client |
| Modèle de sécurité | Confiance nulle alignés | Modèle d’approbation réseau traditionnel |
| Connectivité à l’environnement local | Nécessite vpn ou SWG | Ligne de vue directe via un VPN de site à site ou ExpressRoute. Ou VPN/SWG point à site |
| Implications sur les coûts | Aucun coût d’infrastructure réseau ou de gestion | Coûts liés à l’infrastructure, à la sortie et à la gestion du réseau |
| Résolution des problèmes de fiabilité & | Plus facile et plus fiable grâce à une configuration managée | Plus complexe et sujet à une mauvaise configuration |
| Exemples de cas d’utilisation | Utilisateurs natifs cloud, main-d’œuvre à distance, gestion moderne des identités | Utilisateurs de jointure hybride, applications héritées nécessitant un accès direct aux ressources locales |
| Limitations | Aucun contrôle sur les plages d’adresses IP ou le réseau sous-jacent. | Nécessite Azure expertise en matière de mise en réseau, des délais de déploiement plus longs |