Architecture Windows 365

Windows 365 fournit un modèle de licence par utilisateur et par mois en hébergeant des PC cloud pour le compte de clients dans Microsoft Azure. Dans ce modèle, il n’est pas nécessaire de tenir compte du stockage, de l’architecture de l’infrastructure de calcul, ni des coûts. L’architecture Windows 365 vous permet également d’utiliser vos investissements existants en matière de réseau et de sécurité Azure. Chaque PC Cloud est approvisionné en fonction de la configuration que vous définissez dans la section Windows 365 du Centre d’administration Microsoft Endpoint Manager.

Connectivité de réseau virtuel

Chaque PC cloud dispose d’une carte d’interface réseau virtuelle (NIC) dans Microsoft Azure :

  • Si vous utilisez Jonction Azure Active Directory (Azure AD) et un réseau hébergé par Microsoft, vous n’avez pas besoin d’apporter un abonnement Azure ni de gérer la carte réseau.
  • Si vous apportez votre propre réseau et utilisez une connexion réseau Azure (ANC), les NIC sont créées par Windows 365 dans votre abonnement Azure.

Les cartes réseau sont rattachées à un réseau virtuel Azure en fonction de la configuration de votre connexion réseau Azure (ANC).

Windows 365 est pris en charge dans de nombreuses régions Azure. Vous pouvez contrôler la région Azure utilisée de deux manières :

  • En sélectionnant le réseau hébergé par Microsoft et une région Azure.
  • En sélectionnant un réseau virtuel Azure à partir de votre abonnement Azure lors de la création d'un ANC.

La région du réseau virtuel Azure détermine où l’ordinateur cloud est créé et hébergé.

Lorsque vous utilisez votre propre réseau virtuel, vous pouvez étendre l’accès entre vos régions Azure actuelles à d’autres régions Azure prises en charge par Windows 365. Pour l’étendre à d’autres régions, vous pouvez utiliser l’appairage de réseaux virtuels Azure ou Virtual WAN.

En utilisant votre propre réseau virtuel Azure, Windows 365 vous permet d’utiliser les fonctionnalités de routage et de sécurité du réseau virtuel, notamment :

Conseil

Pour le filtrage web et la protection réseau pour les PC cloud, envisagez d’utiliser les fonctionnalités de protection réseau et de protection web de Microsoft Defender pour point de terminaison. Ces fonctionnalités peuvent être déployées sur des points de terminaison physiques et virtuels à l’aide du centre d’administration Microsoft Endpoint Manager.

Intégration de Microsoft Endpoint Manager

Microsoft Endpoint Manager est utilisé pour gérer tous vos PC cloud. Microsoft Endpoint Manager et les composants Windows associés disposent de divers points de terminaison réseau qui doivent être autorisés via le réseau virtuel. Les points de terminaison Apple et Android peuvent être ignorés sans risque si vous n’utilisez pas Microsoft Endpoint Manager pour gérer ces types d’appareils.

Conseil

Veillez à autoriser l’accès à Windows Notification Services (WNS). Vous ne remarquerez peut-être pas immédiatement un impact si l’accès est bloqué. Toutefois, WNS permet à Microsoft Endpoint Manager de déclencher des actions sur les points de terminaison Windows immédiatement au lieu d’attendre des intervalles d’interrogation de stratégie normaux sur ces appareils ou un comportement d’interrogation de stratégie au moment du démarrage ou de l’ouverture de session. WNS recommande la connectivité directe du client Windows à WNS.

Vous devez uniquement accorder l’accès à un sous-ensemble de points de terminaison en fonction de la localisation de votre client Microsoft Endpoint Manager. Pour trouver la localisation de votre locataire (ou unité d’échelle Azure (ASU)), connectez-vous au Centre d’administration Microsoft Endpoint Manager, choisissez Administration de locataire > Détails du locataire. Sous Emplacement du locataire, vous verrez un nom semblable à « Amérique du Nord 0501 » ou « Europe 0202 ». Les lignes de la documentation Microsoft Endpoint Manager sont différenciées par région géographique. Les régions sont indiquées par les deux premières lettres dans les noms (na = Amérique du Nord, eu = Europe, ap = Asie-Pacifique). Étant donné que les locataires peuvent être déplacés dans une région, il est préférable d’autoriser l’accès à une région entière plutôt qu’à un point de terminaison spécifique dans cette région.

Pour plus d’informations sur les régions de service Microsoft Endpoint Manager et les informations de localisation des données, consultez Stockage et traitement des données dans Intune.

Services d’identité

Windows 365 utilise Microsoft Azure AD et les Services de domaine Active Directory (AD DS) locaux :

  • Authentification utilisateur pour Windows 365 (comme avec tout autre service Microsoft 365).
  • Services d’identité d’appareil pour Microsoft Endpoint Manager via Jonction Azure AD Hybride ou Jonction Azure AD.

Lors de la configuration des PC Cloud pour utiliser Jonction Azure AD Hybride, AD DS fournit :

  • Jonction de domaine locale pour les PC Cloud.
  • Authentification utilisateur pour les connexions RDP (Protocole Bureau à distance).

Lors de la configuration des PC Cloud pour utiliser Jonction Azure AD, Azure AD fournit :

  • Le mécanisme de jonction de domaine pour les PC Cloud.
  • Authentification utilisateur pour les connexions RDP.

Pour plus d’informations sur l’impact des services d’identité sur le déploiement, la gestion et l’utilisation des PC cloud, consultez Identité et d’authentification.

Azure AD

Azure AD fournit l’authentification et l’autorisation utilisateur pour le portail web Windows 365 et pour les applications clientes Bureau à distance. Les deux prennent en charge une authentification moderne, ce qui signifie que l’accès conditionnel Azure AD peut être intégré pour fournir les éléments suivants :

  • Authentification multifacteur
  • restrictions basées sur l’emplacement
  • gestion des risques de connexion
  • limites de session, y compris :
    • fréquence de connexion pour les clients Bureau à distance et le portail web Windows 365
    • persistance des cookies pour le portail web Windows 365
  • contrôles de conformité des appareils

Pour plus d’informations sur l’utilisation de l’accès conditionnel Azure AD avec Windows 365, consultez Définir des stratégies d’accès conditionnel.

Services de domaine Active Directory

Les PC Windows 365 Cloud peuvent être une jointure hybride Azure AD ou une jointure Azure AD. Lorsque vous utilisez Jonction Azure AD Hybride, les PC Cloud doivent joindre un domaine à un domaine AD DS. Ce domaine doit être synchronisé avec Azure AD. Les contrôleurs de domaine du domaine peuvent être hébergés dans Azure ou localement. S’ils sont hébergés localement, la connectivité doit être établie à partir d’Azure vers l’environnement local. La connectivité peut se présenter sous la forme d’Azure Express Route ou d’un VPN de site à site. Pour plus d’informations sur l’établissement d’une connectivité réseau hybride, consultez Implémenter un réseau hybride sécurisé. La connectivité doit autoriser la communication à partir des PC cloud vers les contrôleurs de domaine requis par Active Directory. Pour plus d’informations, consultez Configurer le pare-feu pour le domaine AD et les approbations.

Connectivité des utilisateurs

La connectivité des PC Cloud est assurée par Azure Virtual Desktop. Aucune connexion entrante directe à partir d’Internet n’est effectuée au PC cloud. Au lieu de cela, les connexions sont réalisées à partir de :

  • Les PC Cloud vers les points de terminaison Azure Virtual Desktop.
  • Les clients Bureau à distance vers les points de terminaison Azure Virtual Desktop.

Pour plus d’informations sur ces ports, consultez Liste des URL requises par Azure Virtual Desktop. Pour faciliter la configuration des contrôles de sécurité réseau, utilisez des étiquettes de service pour Azure Virtual Desktop afin d’identifier ces points de terminaison. Pour plus d’informations sur les balises de service Azure, voir Vue d’ensemble des balises de service Azure.

Il n’est pas nécessaire de configurer vos PC Cloud pour établir ces connexions. Windows 365 intègre en toute transparence les composants de connectivité Azure Virtual Desktop dans la galerie ou dans des images personnalisées.

Pour plus d’informations sur l’architecture réseau d’Azure Virtual Desktop, consultez Compréhension de la connectivité réseau d’Azure Virtual Desktop.

Les PC Cloud Windows 365 ne prennent pas en charge les courtiers de connexion tiers.

Architecture « hébergé pour le compte de »

L’architecture « hébergé pour le compte de » permet aux services Microsoft, une fois que les autorisations appropriées et étendues à un réseau virtuel leur ont été déléguées par le propriétaire d’un abonnement, d’attacher les services Azure hébergés à un abonnement client. Ce modèle de connectivité permet à un service Microsoft de fournir des logiciels en tant que service et des services avec licence associée à un utilisateur, par opposition à des services standard basés sur la consommation.

Les schémas suivants illustrent l'architecture logique d'une configuration Azure AD Join utilisant un réseau hébergé par Microsoft, d'une configuration Azure AD Join utilisant la connexion réseau d'un client (« apporter votre propre réseau ») et d'une configuration hybride Azure AD Join utilisant un ANC, respectivement.

L’architecture de Jonction Azure AD avec le réseau hébergé par Microsoft

L’architecture de Jonction Azure AD architecture avec le réseau BYO

Architecture de Jonction Azure AD Hybride

Toute la connectivité des PC cloud est assurée par la carte d’interface réseau virtuelle. L’architecture « hébergée pour le compte de » signifie que les PC cloud existent dans l’abonnement détenu par Microsoft. Par conséquent, Microsoft induit les coûts d’exécution et de gestion de cette infrastructure.

Windows 365 gère la capacité et la disponibilité en région des abonnements Windows 365. Windows 365 détermine la taille et le type de machine virtuelle en fonction de la licence que vous attribuez à l’utilisateur. Windows 365 détermine la région Azure pour héberger vos PC cloud dans en fonction du réseau virtuel que vous sélectionnez lors de la création d’une connexion réseau locale.

Windows 365 s’aligne sur les stratégies et les provisionnements de protection des données Microsoft 365. Les données client dans les services cloud d’entreprise de Microsoft sont protégées par divers technologies et processus :

  • Différentes formes de chiffrement.
  • Isolement logique par rapport aux autres locataires.
  • Accessibilité à un ensemble limité, contrôlé et sécurisé d’utilisateurs, à partir de clients spécifiques.
  • Sécurisation pour un accès à l’aide de contrôles d’accès basés sur les rôles.
  • Réplication vers plusieurs serveurs, points de terminaison de stockage et centres de données pour assurer la redondance.
  • Surveillance des accès non autorisés, de la consommation excessive des ressources et de la disponibilité.

Pour plus d’informations Windows chiffrement de PC Cloud Windows 365, consultez Chiffrement des données dans Windows 365.

Prochaines étapes

En savoir plus sur l’identité et l’authentification Windows 365.