네트워크 배포 옵션

Windows 365 클라우드 PC에서 사용하는 네트워크 연결에 대한 두 가지 배포 옵션을 제공합니다.

• Microsoft Hosted Network - (권장)

• ANC(Azure 네트워크 연결) - (레거시 또는 특수 요구 사항의 경우)

Microsoft Hosted Network는 대부분의 시나리오에 권장되는 배포 옵션입니다. 간단하고 최신이며 제로 트러스트 원칙에 부합합니다. 이 방법은 복잡성 및 관리 오버헤드를 줄이기 때문에 선호됩니다. AZURE ANC(네트워크 연결)는 하이브리드 Azure AD 조인 또는 회사 네트워크에 대한 직접 가시선과 같은 레거시 요구 사항을 피할 수 없는 경우의 대안입니다.

Microsoft Hosted Network – 권장 배포 옵션

클라우드 PC를 배포할 때 Microsoft Hosted Network 옵션을 선택해야 합니다. ANC 배포를 최후의 수단으로만 되돌리기.

Microsoft Hosted Network는 Microsoft가 클라우드 PC에 대한 기본 네트워크를 구성하고 관리하는 완전 관리형 옵션입니다. 이 방법은 Windows 365 완전한 SaaS 배포를 제공하고, 네트워크 관리를 간소화하고, 보안을 강화하고, 비용을 절감합니다. 최신의 간단하고 안전하며 확장 가능한 Windows 365 배포를 원하는 조직에 적합합니다.

Microsoft Hosted Network를 선택할 때 필요한 유일한 인프라 설정은 배포를 위한 지역 선택뿐이며, Microsoft는 향후 관리 및 유지 관리 요구 사항을 포함하여 나머지를 처리합니다.

Microsoft Hosted Network 옵션의 이점

Microsoft Hosted Network를 선택하면 복잡성이 줄어들고, 가치 창출 시간이 단축되며, Windows 365 대한 안정성이 향상됩니다.

보안

• 기본적으로 안전합니다. 인바운드 또는 횡적 연결이 가능하지 않은 아웃바운드 연결만 허용됩니다. 관리형 랩톱에서와 마찬가지로 디바이스에 표준 VPN 또는 SWG를 적용합니다.

• 제로 트러스트 맞춰 정렬됩니다. 액세스는 네트워크 위치가 아닌 ID, 디바이스, 워크로드 및 데이터 신호를 기반으로 합니다. 디바이스의 최신 SWG(보안 웹 게이트웨이) 및 프라이빗 액세스 도구는 이 모델과 잘 통합됩니다.

단순성 & 작업

• 디자인에 따라 단순합니다. 고객이 관리하는 Azure Virtual Network, 방화벽, 경로 또는 UDR, NAT 게이트웨이 또는 빌드 및 유지 관리 규칙이 없습니다. 배포할 지역을 선택하기만 하면 됩니다. 최상의 프로비전 성공을 위해 자동을 선택합니다.

• 운영 오버헤드를 줄입니다. 환경을 구성하거나 유지 관리하기 위해 전용 Azure 네트워킹 팀이 필요하지 않습니다. 문제 해결은 더 간단하며 Intune 정책, 보안 제어 및 기본 제공 보고를 통해 최신 엔드포인트 관리와 일치합니다.

비용 효율성

• 인프라 비용을 낮춥다. 클라우드 PC에 대한 가상 네트워크, 네트워크 가상 어플라이언스, 대역폭 또는 NAT 게이트웨이를 실행하는 데 비용을 지불하지 않습니다. Microsoft는 사용자를 대신하여 기본 네트워크를 운영합니다.

• Azure 구독이 필요하지 않습니다. Microsoft는 클라우드 PC가 작동하는 데 필요한 모든 Azure 인프라를 공급하고 관리하여 일반적인 조달 및 청구 종속성을 제거합니다.

안정성

• 안정성이 향상되었습니다. 관리형 표준화된 네트워크는 잘못된 구성의 위험을 줄이고 전반적인 클라우드 PC 안정성을 개선합니다.

• 높은 처리량 연결. 클라우드 PC는 고속 인터넷 연결이 있으며 Microsoft 365와 같은 서비스를 위해 Microsoft의 글로벌 네트워크에 직접 진입합니다.

확장

• 신속한 배포. 고객 네트워크 요소에 대한 종속성을 최소화하면 클라우드 PC를 신속하게 배포할 수 있습니다.

• 탄력적 용량. Microsoft는 규모를 관리하므로 먼저 네트워크 인프라를 확장하지 않고도 요청 시 많은 수의 클라우드 PC를 추가할 수 있습니다. 예를 들어 지역 간 재해 복구는 Microsoft 호스팅 네트워크를 선택할 때 미리 프로비전된 네트워킹이 필요하지 않습니다.

Microsoft Hosted Network에 대한 고려 사항

Microsoft Hosted Network를 선택하기 전에 이러한 지점을 검토하여 배포 목표에 맞는지 확인합니다.

• Microsoft Entra 하이브리드 조인과 호환되지 않음 - 이 모델은 클라우드 조인 클라우드 PC만 지원하며 AD DS(온-프레미스 Active Directory Domain Services)에 대한 직접 연결이 없습니다. 그룹 정책 의존하는 경우 설정 카탈로그, ADMX 수집 또는 보안 기준을 사용하여 해당 정책을 Microsoft Intune 마이그레이션합니다.

• VNet에 대한 고객 제어 없음 - 가상 네트워크는 Microsoft에서 완전히 관리됩니다. 클라우드 PC(예: 디바이스 기반 VPN/SWG 클라이언트 규칙, Windows 방화벽, 엔드포인트용 Microsoft Defender 웹 컨트롤) 또는 VNet 내부가 아닌 organization 인터넷 송신에 아웃바운드 컨트롤을 적용합니다.

• 온-프레미스 리소스에 액세스하는 데 필요한 VPN 또는 프라이빗 액세스 솔루션 - VPN 또는 Private Access/ZTNA 솔루션을 사용하여 온-프레미스 앱에 연결합니다. 분할 터널링이 필요하므로 WINDOWS 365 RDP 및 기타 서비스 트래픽이 VPN을 트래버스하지 않습니다. 이 패턴은 제로 트러스트 접근 방식과 일치합니다.

• 클라우드 네이티브 관리 필요 - GPO 중심 작업이 아닌 Intune 사용하여 최신 엔드포인트 관리를 계획합니다.

• Microsoft 관리 공용 IP - Microsoft는 트래픽이 시작되는 공용 IP 주소를 관리합니다. 특정 트래픽이 알려진 IP 주소에서 대상에 도달해야 하는 경우 프록시, VPN 또는 보안 웹 게이트웨이와 같이 제어하는 송신을 통해 이 트래픽을 라우팅해야 합니다.

기본 네트워크 제한.

• 포트 25(SMTP)가 차단됩니다.

• ICMP/ping이 차단됩니다.

• 횡적(클라우드 PC에서 클라우드 PC로) 통신이 없습니다.

• 클라우드 PC에 대한 직접 인바운드 연결이 없습니다.

• IP 주소 지정은 서비스 관리입니다. 개인 IP 범위 또는 아웃바운드 NAT 주소 공간을 선택할 수 없습니다. Windows 365 IP 주소 지정을 자동으로 할당하고 관리합니다.

다이어그램: Microsoft Hosted Network 옵션

다이어그램 1: Microsoft Hosted Network 배포 예제

이 다이어그램은 Microsoft Hosted Network의 세 가지 주요 요소를 보여줍니다.

1. 클라우드 PC와 기본 네트워크 연결은 모두 Microsoft에서 완전히 관리되는 환경에 배포됩니다.

2. 아웃바운드 연결은 클라우드 PC에 배포된 최신 보안 웹 게이트웨이 및 프라이빗 액세스 솔루션으로 관리할 수 있습니다.

3. 또는 기존 VPN을 사용할 수 있습니다.

2 & 3은 로밍 사용자 디바이스에 대해 이미 수행 중인 방법과 동일한 방법으로 제공할 수 있습니다.

Azure 네트워크 연결 배포 옵션

AZURE 네트워크 연결(ANC)을 선택하는 경우

해결할 수 없는 특정 레거시 또는 네트워크 요구 사항이 있는 경우 ANC 를 사용하여 Microsoft Hosted Network를 사용할 수 없습니다. 예를 들면 다음과 같습니다.

• Microsoft Entra 하이브리드 조인이 필요합니다.

• 앱/서비스에는 온-프레미스 리소스 (예: AD DS, Kerberos/NTLM, SMB 공유, 레거시 프로토콜)에 대한 직접 가시선이 필요합니다.

• 제로 트러스트 모델로 완전히 이동할 준비가 되지 않았으며 전환에 더 많은 시간이 필요합니다.

• 온-프레미스 네트워크에서 클라우드 PC로 프라이빗 관리형 연결이 필요합니다(예: 사이트 간 VPN, ExpressRoute, 고정 송신 IP, 프라이빗 DNS).

추천: Microsoft Hosted Network를 기본값으로 작동합니다. 엄격하게 필요한 가상 사용자 및 시나리오에 대해서만 ANC를 사용합니다. 두 모델 모두 나란히 실행할 수 있습니다.

ANC에서 제공하는 내용

• 전체 Virtual Network(VNet) 컨트롤입니다. 클라우드 PC의 vNIC(가상 네트워크 카드)는 Azure 구독 및 VNet에 있습니다. NSG(네트워크 보안 그룹), UDR(사용자 정의 경로), 경로 테이블, Azure Firewall, NAT 게이트웨이 및 로깅을 제어합니다.

• 온-프레미스에 직접 연결 AD DS, 파일 공유, 인쇄 서버 및 온-프레미스 앱에 액세스하려면 사이트 및 사이트 간의 VPN 또는 ExpressRoute를 사용합니다.

• "온-네트워크" 동작. 회사 네트워크를 VNet으로 확장하면 클라우드 PC가 네트워크 경계 내에 있는 것처럼 작동할 수 있습니다.

• 다른 VNet에 피어링.클라우드 PC VNet을 다른 Azure VNet과 피어링하고 Azure 호스팅 리소스에 직접 연결합니다.

장만 및 책임

ANC를 선택하면 네트워크 소유권이 팀으로 이동하고 복잡성이 증가합니다.

• Azure 구독이 필요합니다. 모든 네트워킹은 구독에 있으며 청구됩니다.

• 디자인 및 작업을 소유하고 있습니다. NVA(네트워크 가상 어플라이언스), 패치, 용량 및 변경 관리에 대한 주소 지정, 라우팅, DNS, 보안 제어, 로깅, 고가용성 및 재해 복구는 사용자의 책임입니다.

• 더 높은 비용 프로필. organization 연결 인프라를 감독하는 인력 비용 외에도 네트워크 대역폭, NVA(네트워크 가상 어플라이언스), Azure Firewall, NAT 게이트웨이 및 로그 스토리지 비용을 담당합니다.

• 더 긴 타임라인. 더 많은 필수 구성 요소 및 승인은 일반적으로 Microsoft Hosted Network에 비해 배포를 상당히 확장합니다.

• 잘못된 구성의 위험이 높습니다. 부품이 더 많이 이동하면 신중하게 관리되지 않는 경우 연결 또는 성능 문제의 위험이 높아질 수 있습니다.

다이어그램: Azure 네트워크 연결 옵션

다이어그램 2: 예제 ANC 배포

이 다이어그램에 표시된 주요 요소는 다음과 같습니다.

1. 클라우드 PC는 Microsoft 관리형 Azure 환경에 배포됩니다.

2. AZURE ANC(네트워크 연결) 배포에서 클라우드 PC 네트워크 인터페이스는 고객 구독 내의 고객 소유 및 관리형 VNet(가상 네트워크)에 배치됩니다. 고객은 해당 VNet에 필요한 모든 네트워크 연결을 제공할 책임이 있습니다.

3. 서비스 연결은 Microsoft의 네트워크로 직접 라우팅되어야 합니다. 온-프레미스 송신 지점을 통해 이 트래픽을 라우팅하지 마세요.

4. 고속 인터넷 연결은 Azure 직접 제공할 수 있습니다. 이 방법은 온-프레미스 송신 위치를 통해 라우팅하는 것보다 훨씬 더 나은 성능을 제공합니다.

5. ExpressRoute 또는 사이트간 VPN을 사용하여 VNet을 회사 네트워크에 연결합니다.

동시 배포 옵션

Microsoft Hosted Network를 실행하고 ANC(네트워크 연결)를 나란히 Azure 수 있습니다. 온-프레미스 데이터에 대한 직접 가시선이 필요한 재무 팀과 같이 엄격한 레거시 요구 사항이 있는 사용자 또는 워크로드의 하위 집합에 대해서만 ANC를 사용합니다. 이러한 요구 사항이 없는 다른 모든 사용자의 경우 Microsoft Hosted Network를 사용하여 복잡성, 비용 및 가치 창출 시간을 최소화합니다.

배포 옵션 비교