Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Windows 365 fornece duas opções de implementação para a conectividade de rede utilizada pelo CLOUD PC.
Rede Alojada da Microsoft – (Recomendado)
Azure Ligação de Rede (ANC) – (Para requisitos legados ou especializados)
A Rede Alojada da Microsoft é a opção de implementação recomendada para a maioria dos cenários. É simples, moderno e alinha-se com Confiança Zero princípios. Esta abordagem é preferida porque reduz a complexidade e a sobrecarga de gestão. Azure Ligação de Rede (ANC) é uma alternativa quando os requisitos legados, como a Associação Azure AD Híbrida ou a linha de visão direta para a rede empresarial, não podem ser evitados.
Rede Alojada da Microsoft – Opção de Implementação Recomendada
Deve escolher a opção Rede Alojada da Microsoft ao implementar PCs na Cloud. Apenas reverter a implementações do ANC como último recurso.
A Rede Alojada da Microsoft é uma opção totalmente gerida onde a Microsoft configura e gere a rede subjacente para os seus PCs na Cloud. Esta abordagem proporciona uma implementação SaaS completa de Windows 365, simplificando a gestão de rede, melhorando a segurança e reduzindo os custos. É uma opção ideal para organizações que pretendem uma implementação de Windows 365 moderna, simples, segura e dimensionável.
Quando escolhe a Rede Alojada da Microsoft, a única configuração de infraestrutura necessária é a escolha da região para implementação, a Microsoft trata do resto, incluindo quaisquer requisitos futuros de gestão e manutenção.
Benefícios da opção Rede Alojada da Microsoft
Escolher a Rede Alojada da Microsoft reduz a complexidade, acelera o tempo a valorizar e melhora a fiabilidade das Windows 365.
Segurança
Proteger por predefinição. Só são permitidas ligações de saída, sem conectividade lateral ou de entrada. Aplique a sua VPN ou SWG padrão no dispositivo, tal como faria num portátil gerido.
Alinhado com Confiança Zero. O acesso baseia-se na identidade, dispositivo, carga de trabalho e sinais de dados em vez da localização de rede. O Gateway Web Seguro Moderno (SWG) e as ferramentas de Acesso Privado no dispositivo integram-se bem com este modelo.
Simplicidade & operações
Simples por predefinição. Não existem Azure Rede Virtual, firewalls, rotas ou UDRs geridos pelo cliente, gateways NAT ou regras para criar e manter. Tudo o que precisa de fazer é escolher uma região para a qual implementar; para o melhor aprovisionamento bem-sucedido, selecione Automático.
Menor sobrecarga operacional. Não é necessária nenhuma equipa de rede dedicada Azure para configurar ou manter o ambiente. A resolução de problemas é mais simples e alinha-se com a gestão moderna de pontos finais através de políticas de Intune, controlos de segurança e relatórios incorporados.
Eficiência dos custos
Custo da infraestrutura mais baixo. Não paga para executar Redes Virtuais, aplicações virtuais de rede, largura de banda ou nat gateways para os seus PCs na Cloud. A Microsoft opera a rede subjacente em seu nome.
Não é necessária Azure subscrição. A Microsoft fornece e gere todas as Azure infraestrutura de que os PCs na Cloud precisam de operar, removendo uma dependência comum de aprovisionamento e faturação.
Confiabilidade
Maior fiabilidade. Uma rede gerida e padronizada reduz o risco de configuração incorreta e melhora a fiabilidade geral do Cloud PC.
Conectividade de débito elevado. Os PCs na cloud têm conectividade internet de alta velocidade e entrada direta na rede global da Microsoft para serviços como o Microsoft 365.
Escala
Implantação rápida. As dependências mínimas nos elementos de rede do cliente significam que os PCs na Cloud podem ser implementados rapidamente.
Capacidade elástica. A Microsoft gere o dimensionamento, para que possa adicionar um grande número de PCs na Cloud a pedido sem primeiro expandir a infraestrutura de rede. A recuperação após desastre entre regiões, por exemplo, não requer redes pré-aprovisionadas quando a rede alojada na Microsoft é escolhida.
Considerações sobre a Rede Alojada da Microsoft
Antes de escolher a Rede Alojada da Microsoft, reveja estes pontos para confirmar que se adequa aos seus objetivos de implementação.
Não compatível com Microsoft Entra associação híbrida – este modelo suporta apenas PCs na Cloud associados à cloud e não tem conectividade direta ao Active Directory local Domain Services (AD DS). Se depender de Política de Grupo, migre essas políticas para Microsoft Intune utilizando o Catálogo de Definições, a ingestão de ADMX ou as linhas de base de segurança.
Sem controlo do cliente da VNet – A rede virtual é totalmente gerida pela Microsoft. Aplique controlos de saída no CLOUD PC (por exemplo, regras de cliente VPN/SWG baseadas no dispositivo, Firewall do Windows, controlos web Microsoft Defender para Ponto de Extremidade) ou na saída da Internet da sua organização, não dentro da VNet.
Solução de Acesso Privado ou VPN necessária para aceder a recursos no local – Utilize uma solução de VPN ou Acesso Privado/ZTNA para aceder a aplicações no local. É necessário dividir o túnel para que o TRÁFEGO RDP e outro tráfego de serviço para Windows 365 não percorram a VPN. Este padrão alinha-se com uma abordagem Confiança Zero.
Gestão nativa da cloud necessária - Planeie a gestão moderna de pontos finais com Intune em vez de operações centradas em GPO.
IP público gerido pela Microsoft - A Microsoft gere o endereço IP público do seu tráfego. Se tiver um requisito para que determinado tráfego chegue ao destino a partir de um endereço IP conhecido, terá de encaminhar este tráfego através de uma saída que controla, como um Proxy, VPN ou Gateway Web Seguro.
Restrições de rede predefinidas.
A porta 25 (SMTP) está bloqueada.
O ICMP/ping está bloqueado.
Nenhuma comunicação lateral (Cloud PC para Cloud PC).
Não existe conectividade de entrada direta para PCs na Cloud.
O endereçamento IP é gerido pelo serviço. Não pode escolher intervalos de IP privados ou espaço de endereços NAT de saída. Windows 365 atribui e gere o endereçamento IP automaticamente.
Diagrama: opção Rede Alojada da Microsoft
Diagrama 1: Exemplo de Implementação de Rede Alojada da Microsoft
Este diagrama mostra três elementos-chave da Rede Alojada da Microsoft:
Tanto o Cloud PC como a respetiva conectividade de rede subjacente são implementados num ambiente totalmente gerido pela Microsoft
A conectividade de saída pode ser gerida com um Gateway Web Seguro moderno e uma solução de Acesso Privado implementada no PC na Cloud.
Em alternativa, pode ser utilizada uma VPN tradicional.
Ambos os 2 & 3 podem ser fornecidos de formas idênticas à forma como pode já o fazer para dispositivos de utilizadores em roaming.
Opção de Implementação da Ligação de Rede do Azure
Quando escolher Azure Ligação de Rede (ANC)
Utilize o ANC quando tiver requisitos de rede ou legados específicos que não podem ser resolvidos e, assim, impedir a utilização da Rede Alojada da Microsoft, por exemplo:
Microsoft Entra associação híbrida é necessária.
As aplicações/serviços requerem uma linha de visão direta para recursos no local (por exemplo, AD DS, Kerberos/NTLM, partilhas SMB, protocolos legados).
Não está pronto para avançar totalmente para um modelo de Confiança Zero e precisa de mais tempo para a transição.
Precisa de conectividade gerida de forma privada a partir de redes no local para PCs na Cloud (por exemplo, VPN site a site, ExpressRoute, IPs de saída fixos, DNS privado).
Recomendação: Opere a Rede Alojada da Microsoft como predefinição. Utilize o ANC apenas para personas e cenários que o exijam estritamente. Ambos os modelos podem ser executados lado a lado.
O que o ANC fornece
Controlo de Rede Virtual completo (VNet). O card de rede virtual (vNIC) do Cloud PC reside na sua subscrição Azure e na VNet. Controla os Grupos de Segurança de Rede (NSGs), as Rotas Definidas pelo Utilizador (UDRs), as tabelas de rotas, o Firewall do Azure, o NAT Gateway e o registo.
Conectividade direta ao local. Utilize a VPN site a site ou o ExpressRoute para aceder ao AD DS, partilhas de ficheiros, servidores de impressão e aplicações no local.
Comportamento "na rede". Expandir a rede empresarial para a VNet permite que os PCs na Cloud funcionem como se estivessem dentro do limite de rede.
Peering para outras VNets.Crie um peering entre a VNet do PC na Cloud e outras VNets Azure e alcance diretamente os recursos alojados Azure.
Compromissos e responsabilidades
Escolher o ANC muda a propriedade da rede para a sua equipa e aumenta a complexidade:
Azure subscrição necessária. Todas as redes residem (e faturam) a sua subscrição.
É o proprietário do design e das operações. Endereçamento, encaminhamento, DNS, controlos de segurança, registo, elevada disponibilidade e recuperação após desastre para Aplicações Virtuais de Rede (NVAs), aplicação de patches, capacidade e gestão de alterações são da sua responsabilidade.
Perfil de custo mais elevado. A sua organização é responsável pelos custos da largura de banda de rede, das aplicações virtuais de rede (NVAs), do Firewall do Azure, do NAT Gateway e do armazenamento de registos, além dos custos de pessoal para supervisionar a infraestrutura de conectividade.
Linhas cronológicas mais longas. Normalmente, mais pré-requisitos e aprovações expandem consideravelmente a implementação em comparação com a Rede Alojada da Microsoft.
Maior risco de configuração incorreta. Mais peças móveis podem levar a um maior risco de problemas de conectividade ou desempenho se não forem cuidadosamente geridas.
Diagrama: Azure opção Ligação de Rede
Diagrama 2: Exemplo de Implementação do ANC
Elementos principais apresentados neste diagrama:
O Cloud PC é implementado num ambiente de Azure gerido pela Microsoft.
Nas implementações da Ligação de Rede (ANC) do Azure, a interface de rede do CLOUD PC é colocada numa rede virtual (VNet) pertencente ao cliente e gerida na subscrição do cliente. O cliente é responsável por fornecer toda a conectividade de rede necessária a essa VNet.
A conectividade do serviço tem de ser encaminhado diretamente para a rede da Microsoft. Não encaminhe este tráfego através de pontos de saída no local.
A conectividade internet de alta velocidade pode ser fornecida diretamente a partir de Azure. Esta abordagem proporciona um desempenho significativamente melhor do que o encaminhamento através de localizações de saída no local.
Utilize o ExpressRoute ou a VPN site a site para ligar a VNet à rede empresarial.
Opções de implementação simultâneas
Pode executar a Rede Alojada da Microsoft e Azure Ligação de Rede (ANC) lado a lado. Utilize o ANC apenas para o subconjunto de utilizadores ou cargas de trabalho que têm necessidades legadas rigorosas, como uma equipa de Finanças que requer uma linha de visão direta para os dados no local. Para todos os outros utilizadores sem esses requisitos, utilize a Rede Alojada da Microsoft para minimizar a complexidade, o custo e o tempo de valorização.
Comparação de Opções de Implementação
| Categoria | Rede Alojada da Microsoft | Azure Ligação de Rede (ANC) |
|---|---|---|
| Caso de Utilização Recomendada | Opção predefinida e preferencial para a maioria dos utilizadores | Apenas para casos de utilização legados ou específicos que necessitem de acesso no local |
| Gestão de Infraestrutura | Totalmente gerido pela Microsoft | Gerido pelo cliente |
| Subscrição do Azure Necessária | Não | Sim |
| Complexidade da Implementação | Baixa – é necessária uma configuração mínima | Elevada – requer a configuração de Redes Virtuais, firewalls, encaminhamento, etc. |
| Escalabilidade | Alto – automático e flexível | Limitado – depende da infraestrutura gerida pelo cliente |
| Modelo de Segurança | Confiança Zero alinhado | Modelo de confiança de rede tradicional |
| Conectividade ao local | Requer VPN ou SWG | Linha de visão direta através da VPN Site a Site ou do ExpressRoute. Ou VPN ponto a site/SWG |
| Implicações de Custos | Sem custos de gestão ou infraestrutura de rede | Custos incorridos para gestão de infraestrutura, saída e rede |
| Resolução de problemas de Fiabilidade do & | Mais fácil e fiável devido à configuração gerida | Mais complexo e propenso a configuração incorreta |
| Exemplos de Casos de Utilização | Utilizadores nativos da cloud, força de trabalho remota, gestão de identidades moderna | Utilizadores associados híbridos, aplicações legadas que precisam de acesso direto a recursos no local |
| Limitações | Sem controlo sobre os intervalos de IP ou a rede subjacente. | Requer Azure conhecimentos de rede, linhas cronológicas de implementação mais longas |