Vereisten voor netwerkfirewall
Windows 365 is een cloudservice waarmee gebruikers via internet vanaf elk apparaat, vanaf elke locatie, verbinding kunnen maken met een Windows-bureaublad dat wordt uitgevoerd in Azure. Als u deze internetverbinding wilt ondersteunen, moet u de netwerkvereisten volgen die in dit artikel worden vermeld.
Elke klant heeft zijn specifieke vereisten op basis van de workload die ze gebruiken om de netwerkvereisten van hun cloud-pc-omgeving te berekenen.
Opmerking
Dit artikel is alleen van toepassing als u cloud-pc's wilt inrichten in uw eigen virtuele Azure-netwerk, in plaats van een door Microsoft gehost netwerk.
Algemene netwerkvereisten
Als u uw eigen netwerk wilt gebruiken en Microsoft Entra gekoppelde cloud-pc's wilt inrichten, moet u aan de volgende vereisten voldoen:
- Virtueel Azure-netwerk: u moet een virtueel netwerk (vNET) in uw Azure-abonnement hebben in dezelfde regio als waar de Windows 365 bureaubladen worden gemaakt.
- Netwerkbandbreedte: zie De netwerkrichtlijnen van Azure.
- Een subnet binnen het vNet en beschikbare IP-adresruimte.
Als u uw eigen netwerk wilt gebruiken en Microsoft Entra hybride gekoppelde cloud-pc's wilt inrichten, moet u voldoen aan de bovenstaande vereisten en de volgende vereisten:
- Het virtuele Azure-netwerk moet DNS-vermeldingen voor uw Active Directory Domain Services (AD DS)-omgeving kunnen oplossen. Ter ondersteuning van deze oplossing definieert u uw AD DS DNS-servers als de DNS-servers voor het virtuele netwerk.
- Het Azure vNet moet netwerktoegang hebben tot een ondernemingsdomeincontroller, in Azure of on-premises.
Netwerkverbinding toestaan
U moet verkeer in uw netwerkconfiguratie toestaan naar de volgende service-URL's en poorten ter ondersteuning van het inrichten en beheren van cloud-pc's en voor externe connectiviteit met cloud-pc's. Hoewel de meeste configuratie voor het cloud-pc-netwerk is, vindt de connectiviteit van eindgebruikers plaats vanaf een fysiek apparaat. Daarom moet u ook de connectiviteitsrichtlijnen op het netwerk van het fysieke apparaat volgen.
| Apparaat of service | Vereiste URL's en poorten voor netwerkconnectiviteit | Opmerkingen |
|---|---|---|
| Fysiek apparaat | Koppelen | Voor extern bureaublad-clientconnectiviteit en -updates. |
| Microsoft Intune service | Koppelen | Voor Intune cloudservices zoals apparaatbeheer, levering van toepassingen en eindpuntanalyses. |
| Azure Virtual Desktop-sessiehost virtuele machine | Koppelen | Voor externe connectiviteit tussen cloud-pc's en de back-end Azure Virtual Desktop-service. |
| Windows 365 service | Koppelen | Voor inrichting en statuscontroles. |
Windows 365 service
De volgende URL's en poorten zijn vereist voor het inrichten van cloud-pc's en de statuscontroles van de Azure-netwerkverbinding (ANC):
- *.infra.windows365.microsoft.com
- cpcsaamssa1prodprap01.blob.core.windows.net
- cpcsaamssa1prodprau01.blob.core.windows.net
- cpcsaamssa1prodpreu01.blob.core.windows.net
- cpcsaamssa1prodpreu02.blob.core.windows.net
- cpcsaamssa1prodprna01.blob.core.windows.net
- cpcsaamssa1prodprna02.blob.core.windows.net
- cpcstcnryprodprap01.blob.core.windows.net
- cpcstcnryprodprau01.blob.core.windows.net
- cpcstcnryprodpreu01.blob.core.windows.net
- cpcstcnryprodpreu02.blob.core.windows.net
- cpcstcnryprodprna01.blob.core.windows.net
- cpcstcnryprodprna02.blob.core.windows.net
- cpcstprovprodpreu01.blob.core.windows.net
- cpcstprovprodpreu02.blob.core.windows.net
- cpcstprovprodprna01.blob.core.windows.net
- cpcstprovprodprna02.blob.core.windows.net
- cpcstprovprodprap01.blob.core.windows.net
- cpcstprovprodprau01.blob.core.windows.net
- prna01.prod.cpcgateway.trafficmanager.net
- prna02.prod.cpcgateway.trafficmanager.net
- preu01.prod.cpcgateway.trafficmanager.net
- preu02.prod.cpcgateway.trafficmanager.net
- prap01.prod.cpcgateway.trafficmanager.net
- prau01.prod.cpcgateway.trafficmanager.net
- Communicatie-eindpunten voor cloud-pc's
- endpointdiscovery.cmdagent.trafficmanager.net
- registration.prna01.cmdagent.trafficmanager.net
- registration.preu01.cmdagent.trafficmanager.net
- registration.prap01.cmdagent.trafficmanager.net
- registration.prau01.cmdagent.trafficmanager.net
- registration.prna02.cmdagent.trafficmanager.net
- Registratie-eindpunten
- login.microsoftonline.com
- login.live.com
- enterpriseregistration.windows.net
- global.azure-devices-provisioning.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
- hm-iot-in-4-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
Alle eindpunten maken verbinding via poort 443, tenzij anders is opgegeven.
FQDN-tags gebruiken voor eindpunten via Azure Firewall
Windows 365 FQDN-tags (Fully Qualified Domain Name) maken het eenvoudiger om toegang te verlenen tot Windows 365 vereiste service-eindpunten via een Azure-firewall. Zie Azure Firewall gebruiken om Windows 365 omgevingen te beheren en te beveiligen voor meer informatie.
RdP-broker-service-eindpunten (Remote Desktop Protocol)
Directe connectiviteit met Azure Virtual Desktop RDP-brokerservice-eindpunten is essentieel voor externe prestaties naar een cloud-pc. Deze eindpunten zijn van invloed op zowel de connectiviteit als de latentie. Als u wilt afstemmen op de Microsoft 365-netwerkverbindingsprincipes, moet u deze eindpunten categoriseren als Eindpunten optimaliseren . U wordt aangeraden een direct pad van uw virtuele Azure-netwerk naar deze eindpunten te gebruiken.
Als u het configureren van netwerkbeveiligingsbesturingselementen eenvoudiger wilt maken, gebruikt u Azure Virtual Desktop-servicetags om deze eindpunten te identiteiten voor directe routering met behulp van een door de gebruiker gedefinieerde route (UDR) van Azure Networking. Een UDR resulteert in directe routering tussen uw virtuele netwerk en de RDP-broker voor de laagste latentie. Zie Overzicht van Azure-servicetags voor meer informatie over Azure-servicetags.
Als u de netwerkroutes van een cloud-pc wijzigt (op de netwerklaag of op de cloud-pc-laag, zoals VPN), kan de verbinding tussen de cloud-pc en de Azure Virtual Desktop RDP-broker worden verbroken. Als dat het zo is, wordt de verbinding van de eindgebruiker met de cloud-pc verbroken totdat de verbinding opnieuw tot stand wordt gebracht.
DNS-vereisten
Als onderdeel van de vereisten voor Microsoft Entra hybride koppeling moeten uw cloud-pc's kunnen deelnemen aan on-premises Active Directory. Dit vereist dat de cloud-pc's DNS-records voor uw on-premises AD-omgeving kunnen oplossen.
Configureer uw Azure Virtual Network waar de cloud-pc's als volgt worden ingericht:
- Zorg ervoor dat uw Azure Virtual Network netwerkverbinding heeft met DNS-servers die uw Active Directory-domein kunnen omzetten.
- Selecteer dns-servers in de Instellingen van de Azure Virtual Network en kies vervolgens Aangepast.
- Voer het IP-adres in van de DNS-servers die uw AD DS-domein kunnen omzetten.
Tip
Door ten minste twee DNS-servers toe te voegen, net als bij een fysieke pc, wordt het risico van een single point of failure in name resolution beperkt.
Zie Azure Virtual Networks-instellingen configureren voor meer informatie.
Vereisten voor Extern bureaublad-protocol
Windows 365 maakt gebruik van het Remote Desktop Protocol (RDP).
| Scenario | Standaardmodus | H.264/AVC 444-modus | Beschrijving |
|---|---|---|---|
| Idle | 0,3 Kbps | 0,3 Kbps | De gebruiker heeft zijn werk onderbroken en er zijn geen actieve schermupdates. |
| Microsoft Word | 100-150 Kbps | 200-300 Kbps | De gebruiker werkt actief met Microsoft Word: typen, afbeeldingen plakken en schakelen tussen documenten. |
| Microsoft Excel | 150-200 Kbps | 400-500 Kbps | Gebruiker werkt actief met Microsoft Excel: meerdere cellen met formules en grafieken worden tegelijkertijd bijgewerkt |
| Microsoft PowerPoint | 4-4,5 Mbps | 1,6-1,8 Mbps | De gebruiker werkt actief met Microsoft PowerPoint: typen, plakken, uitgebreide afbeeldingen wijzigen en diaovergangseffecten gebruiken. |
| Surfen op het web | 6-6,5 Mbps | 0,9-1 Mbps | Gebruiker werkt actief met een grafisch rijke website die meerdere statische en geanimeerde afbeeldingen bevat. Gebruiker schuift de pagina's zowel horizontaal als verticaal |
| Afbeeldingengalerie | 3,3-3,6 Mbps | 0,7-0,8 Mbps | De gebruiker werkt actief met de toepassing afbeeldingengalerie: bladeren, zoomen, formaat wijzigen en afbeeldingen draaien |
| Video afspelen | 8,5-9,5 Mbps | 2,5-2,8 Mbps | Gebruiker bekijkt een video van 30 FPS die 1/2 van het scherm verbruikt. |
| Video in volledig scherm afspelen | 7,5-8,5 Mbps | 2,5-3,1 Mbps | De gebruiker bekijkt een video van 30 FPS die is gemaximaliseerd op een volledig scherm. |
Vereisten voor Microsoft Teams
Microsoft Teams is een van de belangrijkste Microsoft 365-services binnen cloud-pc's. Windows 365 offloadt het audio- en videoverkeer naar uw eindpunt om de video-ervaring zoals Teams op een fysieke pc te maken.
De netwerkkwaliteit is belangrijk per scenario. Zorg ervoor dat u de juiste bandbreedte beschikbaar hebt voor de kwaliteit die u wilt bieden.
Full HD (1920x1080p) is geen ondersteunde oplossing voor Microsoft Teams op cloud-pc's.
| Bandbreedte (omhoog/omlaag) | Scenario's |
|---|---|
| 30 kbps | Peer-to-peer-audiogesprekken. |
| 130 kbps | Peer-to-peer-audiogesprekken en scherm delen. |
| 500 kbps | Videogesprekken van peer-to-peerkwaliteit 360p bij 30 fps. |
| 1,2 Mbps | Peer-to-peer videogesprekken in HD-kwaliteit met een resolutie van HD 720p bij 30 fps. |
| 500kbps/1Mbps | Groepsvideogesprekken. |
Technologieën voor het onderscheppen van verkeer
Sommige zakelijke klanten gebruiken verkeersonderschepping, SSL-ontsleuteling, deep packet inspection en andere vergelijkbare technologieën voor beveiligingsteams om netwerkverkeer te bewaken. Voor het inrichten van cloud-pc's is mogelijk directe toegang tot de virtuele machine nodig. Deze technologieën voor het onderscheppen van verkeer kunnen problemen veroorzaken met het uitvoeren van azure-netwerkverbindingscontroles of het inrichten van cloud-pc's. Zorg ervoor dat er geen netwerkonderschepping wordt afgedwongen voor cloud-pc's die zijn ingericht binnen de Windows 365-service.
Bandbreedte
Windows 365 maakt gebruik van de Azure-netwerkinfrastructuur. Een Azure-abonnement is vereist wanneer een virtueel netwerk wordt geselecteerd tijdens het implementeren van Windows 365 Enterprise. Bandbreedtekosten voor gebruik van cloud-pc's zijn onder andere:
- Netwerkverkeer naar een cloud-pc is gratis.
- Uitgaand verkeer brengt kosten in rekening voor het Azure-abonnement voor het virtuele netwerk.
- Voor Office-gegevens (zoals e-mail en OneDrive voor Bedrijven bestandssynchronisatie) worden uitgaande kosten in rekening gebracht als de cloud-pc en de gegevens van een gebruiker zich in verschillende regio's bevinden.
- RDP-netwerkverkeer brengt altijd uitgaande kosten in rekening.
Als u uw eigen netwerk gebruikt, raadpleegt u Bandbreedteprijzen.
Als u een door Microsoft gehost netwerk gebruikt: uitgaande gegevens/maand zijn gebaseerd op het RAM-geheugen van de cloud-pc:
- 2 GB RAM = 12 GB uitgaande gegevens
- 4 GB of 8 GB RAM = 20 GB uitgaande gegevens
- 16 GB RAM = 40 GB uitgaande gegevens
- 32 GB RAM = 70 GB uitgaande gegevens
De gegevensbandbreedte kan worden beperkt wanneer deze niveaus worden overschreden.
Volgende stappen
Meer informatie over op rollen gebaseerd toegangsbeheer voor cloud-pc's.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor