Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows 365 biedt twee implementatieopties voor netwerkverbinding die wordt gebruikt door de cloud-pc.
Microsoft Hosted Network - (aanbevolen)
Azure netwerkverbinding (ANC) - (voor verouderde of gespecialiseerde vereisten)
Microsoft Hosted Network is de aanbevolen implementatieoptie voor de meeste scenario's. Het is eenvoudig, modern en is afgestemd op Zero Trust principes. Deze benadering heeft de voorkeur omdat deze de complexiteit en beheeroverhead vermindert. Azure netwerkverbinding (ANC) is een alternatief wanneer verouderde vereisten, zoals Hybrid Azure AD Join of direct line-of-sight naar het bedrijfsnetwerk, niet kunnen worden vermeden.
Microsoft Hosted Network : aanbevolen implementatieoptie
Kies de optie Microsoft Hosted Network bij het implementeren van cloud-pc's. Alleen terugkeren naar ANC-implementaties als laatste redmiddel.
Microsoft Hosted Network is een volledig beheerde optie waarbij Microsoft het onderliggende netwerk voor uw cloud-pc's configureert en beheert. Deze aanpak levert een volledige SaaS-implementatie van Windows 365, waardoor het netwerkbeheer wordt vereenvoudigd, de beveiliging wordt verbeterd en de kosten worden verminderd. Het is een ideale keuze voor organisaties die een moderne, eenvoudige, veilige en schaalbare Windows 365 implementatie willen.
Wanneer u Microsoft Hosted Network kiest, is de enige vereiste infrastructuurinstelling de keuze van de regio voor de implementatie. Microsoft zorgt voor de rest, inclusief eventuele toekomstige beheer- en onderhoudsvereisten.
Voordelen van de optie Gehost netwerk van Microsoft
Het kiezen van Microsoft Hosted Network vermindert de complexiteit, versnelt de time-to-value en verbetert de betrouwbaarheid voor Windows 365.
Eenvoudig ontwerp - Geen door de klant beheerde Azure Virtual Network, firewalls, routes/UDR's, NAT-gateways of regels om te bouwen en te onderhouden. U hoeft alleen een regio te kiezen waarnaar u wilt implementeren. Selecteer Automatisch voor de beste inrichting.
Snelle implementatie - Met minimale afhankelijkheden van klantnetwerkelementen kunnen cloud-pc's snel worden geïmplementeerd.
Elastische capaciteit - Microsoft beheert de schaal, zodat u grote aantallen cloud-pc's op aanvraag kunt toevoegen zonder eerst de netwerkinfrastructuur uit te breiden. Herstel na noodgeval tussen regio's vereist bijvoorbeeld geen vooraf ingerichte netwerken als microsoft gehost netwerk is gekozen.
Lagere infrastructuurkosten - U betaalt niet voor het uitvoeren van virtuele netwerken, virtuele netwerkapparaten, bandbreedte of NAT-gateways voor cloud-pc's. Microsoft beheert het onderliggende netwerk namens u.
Lagere operationele overhead - Er is geen toegewezen Azure netwerkteam nodig om deze omgeving te configureren of te onderhouden.
Geen Azure abonnement vereist: Microsoft levert en beheert de Azure infrastructuur die cloud-pc's nodig hebben.
Afgestemd op Zero Trust - Access is gebaseerd op identiteits-, apparaat-, workload- en gegevenssignalen in plaats van op de netwerklocatie. Moderne hulpprogramma's voor beveiligde webgateway (SWG) en privétoegang op het apparaat kunnen goed worden geïntegreerd met dit model.
Connectiviteit met hoge doorvoer - Cloud-pc's hebben snelle connectiviteit en directe toegang tot het wereldwijde netwerk van Microsoft voor services zoals Microsoft 365.
Standaard beveiligd - Alleen uitgaande verbindingen zijn toegestaan, er is geen binnenkomende of laterale verbinding mogelijk. Pas uw standaard-VPN of SWG op het apparaat toe op dezelfde manier als met uw beheerde laptops.
Eenvoudigere bewerkingen - Probleemoplossing is eenvoudiger en past bij modern apparaatbeheer via Intune-beleid, beveiligingscontroles en ingebouwde rapportage.
Hogere betrouwbaarheid - Een beheerd, gestandaardiseerd netwerk vermindert het risico op onjuiste configuratie en verbetert de algehele betrouwbaarheid van cloud-pc's.
Overwegingen voor Microsoft Hosted Network
Voordat u Microsoft Hosted Network kiest, bekijkt u deze punten om te controleren of het voldoet aan uw implementatiedoelen.
Niet compatibel met Microsoft Entra hybrid join: dit model ondersteunt alleen cloud-pc's en heeft geen directe verbinding met on-premises Active Directory Domeinservices (AD DS). Als u afhankelijk bent van groepsbeleid, migreert u dit beleid naar Microsoft Intune met behulp van de instellingencatalogus, ADMX-opname of beveiligingsbasislijnen.
Geen klantcontrole over het VNet - Het virtuele netwerk wordt volledig beheerd door Microsoft. Pas uitgaande besturingselementen toe op de cloud-pc (bijvoorbeeld op apparaten gebaseerde VPN/SWG-clientregels, Windows Firewall, Microsoft Defender voor Eindpunt webbesturingselementen) of op het internetuitgangspunt van uw organisatie, niet binnen het VNet.
VPN- of privétoegangsoplossing vereist voor toegang tot on-premises resources - Gebruik een VPN- of Privétoegang/ZTNA-oplossing om on-premises apps te bereiken. Split tunneling is vereist, zodat RDP en ander serviceverkeer naar Windows 365 het VPN niet doorkruist. Dit patroon is afgestemd op een Zero Trust benadering.
Cloudeigen beheer vereist : Plan modern eindpuntbeheer met Intune in plaats van GPO-gerichte bewerkingen.
Standaardnetwerkbeperkingen.
Poort 25 (SMTP) is geblokkeerd.
ICMP/ping is geblokkeerd.
Geen laterale communicatie (cloud-pc naar cloud-pc).
Geen directe binnenkomende connectiviteit met cloud-pc's.
IP-adressering wordt door de service beheerd. U kunt geen privé-IP-bereiken of uitgaande NAT-adresruimte kiezen. Windows 365 wijst automatisch IP-adressering toe en beheert deze.
Diagram: optie Gehost microsoft-netwerk
Diagram 1: Voorbeeld van door Microsoft gehoste netwerkimplementatie
In dit diagram ziet u drie belangrijke elementen van Microsoft Hosted Network:
Zowel de cloud-pc als de onderliggende netwerkconnectiviteit worden geïmplementeerd in een omgeving die volledig wordt beheerd door Microsoft
Uitgaande connectiviteit kan worden beheerd met een moderne oplossing voor beveiligde webgateway en privétoegang die is geïmplementeerd op de cloud-pc.
U kunt ook een traditionele VPN gebruiken.
Zowel 2 & 3 kunnen op dezelfde manier worden aangeboden als op apparaten van zwervende gebruikers.
implementatieoptie voor Azure netwerkverbinding
Wanneer kiest u Azure netwerkverbinding (ANC)
Gebruik ANC wanneer u specifieke verouderde of netwerkvereisten hebt die niet kunnen worden opgelost en dus het gebruik van Microsoft Hosted Network verhinderen, bijvoorbeeld:
Microsoft Entra hybride koppeling is vereist.
Voor apps/services is een directe line-of-sight naar on-premises resources vereist (bijvoorbeeld AD DS, Kerberos/NTLM, SMB-shares, verouderde protocollen).
U bent nog niet klaar om volledig over te stappen op een Zero Trust-model en hebt meer tijd nodig voor de overgang.
U hebt privé-beheerde connectiviteit van on-premises netwerken met cloud-pc's nodig (bijvoorbeeld site-naar-site-VPN, ExpressRoute, IP-adressen voor vaste uitgaande verbindingen, privé-DNS).
Aanbeveling: Gebruik Microsoft Hosted Network als uw standaardnetwerk. Gebruik ANC alleen voor persona's en scenario's waarvoor dit strikt is vereist. Beide modellen kunnen naast elkaar worden uitgevoerd.
Wat ANC biedt
Volledig Virtual Network (VNet) besturingselement. De virtuele netwerkkaart (vNIC) van de cloud-pc bevindt zich in uw Azure-abonnement en VNet. U beheert netwerkbeveiligingsgroepen (NSG's), door de gebruiker gedefinieerde routes (UDR's), routetabellen, Azure Firewall, NAT-gateway en logboekregistratie.
Directe verbinding met on-premises. Gebruik site-naar-site-VPN of ExpressRoute voor toegang tot AD DS, bestandsshares, afdrukservers en on-premises apps.
'On-network'-gedrag. Door het bedrijfsnetwerk uit te breiden naar het VNet kunnen cloud-pc's werken alsof ze zich binnen de netwerkgrens bevinden.
Peering met andere VNets.Koppel het VNet van de cloud-pc met andere Azure VNets en bereik rechtstreeks Azure gehoste resources.
Afwegingen en verantwoordelijkheden
Het kiezen van ANC verschuift het eigendom van het netwerk naar uw team en verhoogt de complexiteit:
Azure abonnement vereist. Alle netwerken bevinden zich in (en worden gefactureerd aan) uw abonnement.
U bent eigenaar van het ontwerp en de bewerkingen. Adressering, routering, DNS, beveiligingscontroles, logboekregistratie, hoge beschikbaarheid en herstel na noodgevallen voor NVA's (Network Virtual Appliances), patching, capaciteit en wijzigingsbeheer zijn uw verantwoordelijkheid.
Hoger kostenprofiel. Uw organisatie is verantwoordelijk voor de kosten van netwerkbandbreedte, virtuele netwerkapparaten (NVA's), Azure Firewall, NAT-gateway en logboekopslag, naast de personeelskosten om toezicht te houden op de connectiviteitsinfrastructuur.
Langere tijdlijnen. Meer vereisten en goedkeuringen breiden de implementatie doorgaans aanzienlijk uit in vergelijking met Microsoft Hosted Network.
Hoger risico op onjuiste configuratie. Meer bewegende onderdelen kunnen leiden tot een hoger risico op connectiviteits- of prestatieproblemen als ze niet zorgvuldig worden beheerd.
Diagram: Azure optie Netwerkverbinding
Diagram 2: Voorbeeld van ANC-implementatie
Belangrijke elementen in dit diagram:
De cloud-pc wordt geïmplementeerd in een door Microsoft beheerde Azure-omgeving.
In Azure ANC-implementaties (Network Connection) wordt de cloud-pc-netwerkinterface in een beheerd virtueel netwerk (VNet) in het abonnement van de klant geplaatst. De klant is verantwoordelijk voor het leveren van alle vereiste netwerkconnectiviteit met dat VNet.
Serviceconnectiviteit moet rechtstreeks naar het netwerk van Microsoft worden gerouteerd. Leid dit verkeer niet via on-premises uitgaande punten.
Een snelle internetverbinding kan rechtstreeks vanuit Azure worden geleverd. Deze aanpak levert aanzienlijk betere prestaties dan routering via on-premises uitgaande locaties.
Gebruik ExpressRoute of site-naar-site-VPN om het VNet te verbinden met het bedrijfsnetwerk.
Opties voor gelijktijdige implementatie
U kunt Microsoft Hosted Network en Azure Network Connection (ANC) naast elkaar uitvoeren. Gebruik ANC alleen voor de subset van gebruikers of workloads met strikte verouderde behoeften, zoals een finance-team dat een directe zichtlijn naar on-premises gegevens vereist. Voor alle andere gebruikers zonder deze vereisten gebruikt u Microsoft Hosted Network om complexiteit, kosten en time-to-value te minimaliseren.
Vergelijking van implementatieopties
| Categorie | Microsoft Hosted Network | Azure-netwerkverbinding (ANC) |
|---|---|---|
| Aanbevolen use-case | Standaard- en voorkeursoptie voor de meeste gebruikers | Alleen voor verouderde of specifieke gebruiksvoorbeelden waarvoor on-premises toegang is vereist |
| Infrastructuurbeheer | Volledig beheerd door Microsoft | Beheerd door de klant |
| Azure-abonnement vereist | Nee | Ja |
| Implementatiecomplexiteit | Laag – minimale installatie vereist | Hoog: vereist configuratie van virtuele netwerken, firewalls, routering, enzovoort. |
| Schaalbaarheid | Hoog – automatisch en flexibel | Beperkt: is afhankelijk van door de klant beheerde infrastructuur |
| Beveiligingsmodel | Zero Trust uitgelijnd | Traditioneel model voor netwerkvertrouwen |
| Connectiviteit met on-premises | Vereist VPN of SWG | Directe line-of-sight via site-naar-site-VPN of ExpressRoute. Of punt-naar-site-VPN/SWG |
| Gevolgen voor kosten | Geen netwerkinfrastructuur of beheerkosten | Gemaakte kosten voor infrastructuur, uitgaand verkeer en netwerkbeheer |
| Problemen met & betrouwbaarheid oplossen | Eenvoudiger en betrouwbaarder door beheerde installatie | Complexer en gevoeliger voor onjuiste configuratie |
| Use Case-voorbeelden | Cloudeigen gebruikers, extern personeel, modern identiteitsbeheer | Hybride gekoppelde gebruikers, verouderde apps die directe toegang nodig hebben tot on-premises resources |
| Beperkingen | Geen controle over IP-bereiken of het onderliggende netwerk. | Vereist Azure netwerkexpertise, langere implementatietijdlijnen |