Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Windows 365 offre due opzioni di distribuzione per la connettività di rete usata dal CLOUD PC.
Rete ospitata microsoft - (scelta consigliata)
Azure Network Connection (ANC) - (Per requisiti legacy o specializzati)
Microsoft Hosted Network è l'opzione di distribuzione consigliata per la maggior parte degli scenari. È semplice, moderno e si allinea ai principi Zero Trust. Questo approccio è preferibile perché riduce la complessità e il sovraccarico di gestione. Azure connessione di rete (ANC) è un'alternativa quando non è possibile evitare requisiti legacy, ad esempio l'aggiunta ad AD ibrido Azure AD o la diretta visibilità alla rete aziendale.
Microsoft Hosted Network - Opzione di distribuzione consigliata
È consigliabile scegliere l'opzione Microsoft Hosted Network durante la distribuzione di PC cloud. Ripristinare solo le distribuzioni ANC come ultima risorsa.
Microsoft Hosted Network è un'opzione completamente gestita in cui Microsoft configura e gestisce la rete sottostante per i PC cloud. Questo approccio offre una distribuzione SaaS completa di Windows 365, semplificando la gestione della rete, migliorando la sicurezza e riducendo i costi. Si tratta di una scelta ideale per le organizzazioni che vogliono una distribuzione Windows 365 moderna, semplice, sicura e scalabile.
Quando si sceglie Microsoft Hosted Network, l'unica configurazione dell'infrastruttura necessaria è la scelta dell'area per la distribuzione, Microsoft si occupa del resto, inclusi eventuali requisiti di gestione e manutenzione futuri.
Vantaggi dell'opzione Microsoft Hosted Network
La scelta di Microsoft Hosted Network riduce la complessità, accelera il time-to-value e migliora l'affidabilità per Windows 365.
Semplice per progettazione - Nessun Azure Rete virtuale gestito dal cliente, firewall, route/UDR, gateway NAT o regole da compilare e gestire. Tutto ciò che è necessario è scegliere un'area in cui eseguire la distribuzione; per ottenere risultati ottimali per il provisioning, selezionare Automatico.
Distribuzione rapida - Le dipendenze minime dagli elementi di rete dei clienti consentono di distribuire rapidamente i PC cloud.
Capacità elastica - Microsoft gestisce la scalabilità, in modo da poter aggiungere un numero elevato di PC cloud su richiesta senza prima espandere l'infrastruttura di rete. Il ripristino di emergenza tra aree, ad esempio, non richiede la rete con provisioning preliminare se viene scelta la rete ospitata di Microsoft.
Riduzione dei costi dell'infrastruttura - Non si paga per eseguire reti virtuali, appliance virtuali di rete, larghezza di banda o gateway NAT per i PC cloud, Microsoft gestisce la rete sottostante per conto dell'utente.
Riduzione del sovraccarico operativo - Per configurare o gestire questo ambiente non è necessario alcun team di rete Azure dedicato.
Non è necessaria alcuna sottoscrizione Azure: Microsoft fornisce e gestisce l'infrastruttura Azure necessaria per il funzionamento dei PC cloud.
Allineato a Zero Trust - Access si basa su segnali di identità, dispositivo, carico di lavoro e dati anziché sulla posizione di rete. I moderni strumenti SWG (Secure Web Gateway) e Accesso privato nel dispositivo si integrano bene con questo modello.
Connettività a velocità effettiva elevata - I PC cloud hanno connettività ad alta velocità e accesso diretto alla rete globale di Microsoft per servizi come Microsoft 365.
Proteggere per impostazione predefinita - Sono consentite solo connessioni in uscita, non è possibile la connettività in ingresso o laterale. Applicare la VPN standard o SWG sul dispositivo nello stesso modo in cui viene eseguito con i portatili gestiti.
Operazioni più semplici - La risoluzione dei problemi è più semplice e si adatta alla gestione moderna dei dispositivi tramite criteri di Intune, controlli di sicurezza e report predefiniti.
Maggiore affidabilità - Una rete gestita e standardizzata riduce il rischio di errori di configurazione e migliora l'affidabilità complessiva di Cloud PC.
Considerazioni per Microsoft Hosted Network
Prima di scegliere Microsoft Hosted Network, esaminare questi punti per verificare che si adatti agli obiettivi di distribuzione.
Non compatibile con Microsoft Entra join ibrido: questo modello supporta solo i PC cloud aggiunti al cloud e non ha connettività diretta a Active Directory locale Domain Services (AD DS). Se si dipende da Criteri di gruppo, eseguire la migrazione di tali criteri a Microsoft Intune usando il Catalogo impostazioni, l'inserimento ADMX o le baseline di sicurezza.
Nessun controllo da parte del cliente della rete virtuale - La rete virtuale è completamente gestita da Microsoft. Applicare controlli in uscita nel PC cloud (ad esempio, regole client VPN/SWG basate su dispositivo, Windows Firewall, Microsoft Defender per endpoint controlli Web) o all'uscita Internet dell'organizzazione, non all'interno della rete virtuale.
Soluzione VPN o accesso privato necessaria per accedere alle risorse locali - Usare una soluzione VPN o accesso privato/ZTNA per raggiungere le app locali. Il tunneling diviso è necessario in modo che il traffico RDP e di altro servizio verso Windows 365 non attraversi la VPN. Questo modello è allineato a un approccio Zero Trust.
È necessaria la gestione nativa del cloud - Pianificare la gestione moderna degli endpoint con Intune anziché operazioni incentrate sugli oggetti Criteri di gruppo.
Restrizioni di rete predefinite.
La porta 25 (SMTP) è bloccata.
ICMP/ping è bloccato.
Nessuna comunicazione laterale (da Cloud PC a Cloud PC).
Nessuna connettività in ingresso diretta ai PC cloud.
L'indirizzamento IP è gestito dal servizio. Non è possibile scegliere intervalli IP privati o spazio indirizzi NAT in uscita. Windows 365 assegna e gestisce automaticamente gli indirizzi IP.
Diagramma: opzione Microsoft Hosted Network
Diagramma 1: Distribuzione di microsoft hosted network di esempio
Questo diagramma mostra tre elementi chiave di Microsoft Hosted Network:
Sia il Cloud PC che la connettività di rete sottostante vengono distribuiti in un ambiente completamente gestito da Microsoft
La connettività in uscita può essere gestita con una soluzione moderna di gateway Web sicuro e accesso privato distribuita nel PC cloud.
In alternativa, è possibile usare una VPN tradizionale.
Sia 2 & 3 possono essere forniti in modo identico a come si può già fare per i dispositivi degli utenti mobili.
opzione di distribuzione della connessione di rete Azure
Quando scegliere Azure connessione di rete (ANC)
Usare ANC quando si hanno requisiti legacy o di rete specifici che non possono essere risolti e quindi impedire l'uso di Microsoft Hosted Network, ad esempio:
Microsoft Entra join ibrido è obbligatorio.
Le app/servizi richiedono la visibilità diretta per le risorse locali,ad esempio Servizi di dominio Active Directory, Kerberos/NTLM, condivisioni SMB, protocolli legacy.
Non si è pronti per passare completamente a un modello di Zero Trust e occorre più tempo per la transizione.
È necessaria la connettività gestita privatamente dalle reti locali ai PC cloud,ad esempio VPN da sito a sito, ExpressRoute, indirizzi IP in uscita fissi, DNS privato.
Raccomandazione: Usare Microsoft Hosted Network come impostazione predefinita. Usare ANC solo per gli utenti e gli scenari che lo richiedono strettamente. Entrambi i modelli possono essere eseguiti affiancati.
Informazioni fornite dall'ANC
Controllo full Rete virtuale (VNet). La scheda di rete virtuale (vNIC) del PC cloud si trova nella sottoscrizione e nella rete virtuale Azure. È possibile controllare gruppi di sicurezza di rete (NSG), route definite dall'utente (UDR), tabelle di route, Firewall di Azure, gateway NAT e registrazione.
Connettività diretta all'ambiente locale. Usare vpn da sito a sito o ExpressRoute per l'accesso a Servizi di dominio Active Directory, condivisioni file, server di stampa e app locali.
Comportamento "in rete". L'estensione della rete aziendale alla rete virtuale consente ai PC cloud di funzionare come se fossero all'interno del limite di rete.
Peering ad altre reti virtuali.Eseguire il peering della rete virtuale del PC cloud con altre reti virtuali Azure e raggiungere direttamente le risorse ospitate Azure.
Compromessi e responsabilità
La scelta dell'ANC trasferisce la proprietà della rete al team e aumenta la complessità:
Azure sottoscrizione necessaria. Tutte le reti si trovano nella sottoscrizione e vengono fatturate.
La progettazione e le operazioni sono di proprietà dell'utente. L'indirizzo, il routing, il DNS, i controlli di sicurezza, la registrazione, la disponibilità elevata e il ripristino di emergenza per le appliance virtuali di rete (NVA), l'applicazione di patch, la capacità e la gestione delle modifiche sono responsabilità dell'utente.
Profilo di costo più alto. L'organizzazione è responsabile dei costi della larghezza di banda di rete, delle appliance virtuali di rete (NVA), Firewall di Azure, del gateway NAT e dell'archiviazione dei log oltre ai costi di personale per supervisionare l'infrastruttura di connettività.
Sequenze temporali più lunghe. Più prerequisiti e approvazioni in genere estendono notevolmente la distribuzione rispetto a Microsoft Hosted Network.
Maggiore rischio di errori di configurazione. Se non vengono gestite con attenzione, più parti mobili possono comportare un rischio maggiore di connettività o problemi di prestazioni.
Diagramma: Azure'opzione Connessione di rete
Diagramma 2: Distribuzione anc di esempio
Elementi chiave illustrati in questo diagramma:
Il CLOUD PC viene distribuito in un ambiente Azure gestito da Microsoft.
Nelle distribuzioni di connessione di rete (ANC) di Azure, l'interfaccia di rete Cloud PC viene inserita in una rete virtuale gestita e di proprietà del cliente all'interno della sottoscrizione del cliente. Il cliente è responsabile della fornitura di tutta la connettività di rete necessaria a tale rete virtuale.
La connettività del servizio deve essere instradata direttamente alla rete Microsoft. Non instradare il traffico attraverso punti di uscita locali.
La connettività Internet ad alta velocità può essere fornita direttamente da Azure. Questo approccio offre prestazioni notevolmente migliori rispetto al routing attraverso posizioni di uscita locali.
Usare ExpressRoute o vpn da sito a sito per connettere la rete virtuale alla rete aziendale.
Opzioni di distribuzione simultanee
È possibile eseguire Microsoft Hosted Network e Azure Network Connection (ANC) affiancati. Usare anc solo per il subset di utenti o carichi di lavoro con esigenze legacy rigorose, ad esempio un team finanziario che richiede una visione diretta dei dati locali. Per tutti gli altri utenti senza tali requisiti, usare Microsoft Hosted Network per ridurre al minimo la complessità, i costi e il tempo da utilizzare.
Confronto delle opzioni di distribuzione
| Categoria | Rete ospitata microsoft | Azure connessione di rete (ANC) |
|---|---|---|
| Caso d'uso consigliato | Opzione predefinita e preferita per la maggior parte degli utenti | Solo per casi d'uso legacy o specifici che richiedono l'accesso locale |
| Gestione dell'infrastruttura | Completamente gestito da Microsoft | Gestito dal cliente |
| sottoscrizione Azure obbligatoria | No | Sì |
| Complessità della distribuzione | Bassa: è necessaria una configurazione minima | Alto: richiede la configurazione di reti virtuali, firewall, routing e così via. |
| Scalabilità | Alto : automatico e flessibile | Limitato: dipende dall'infrastruttura gestita dal cliente |
| Modello di sicurezza | Zero Trust allineato | Modello di trust di rete tradizionale |
| Connettività all'ambiente locale | Richiede VPN o SWG | Direct line-of-sight tramite VPN da sito a sito o ExpressRoute. O VPN da punto a sito/SWG |
| Implicazioni sui costi | Nessun costo di gestione o infrastruttura di rete | Costi sostenuti per la gestione dell'infrastruttura, dell'uscita e della rete |
| Risoluzione dei problemi di affidabilità & | Più semplice e affidabile grazie alla configurazione gestita | Più complessa e soggetta a errori di configurazione |
| Esempi di casi d'uso | Utenti nativi del cloud, forza lavoro remota, gestione moderna delle identità | Utenti di join ibridi, app legacy che richiedono l'accesso diretto alle risorse locali |
| Limitazioni | Nessun controllo sugli intervalli IP o sulla rete sottostante. | Richiede Azure esperienza di rete, tempi di distribuzione più lunghi |