Windows 365架構

  • 發行項

Windows 365會代表 Microsoft Azure 中的客戶裝載雲端電腦,以提供每個使用者每月的授權模型。 在此模型中,不需要考慮儲存體、計算基礎結構架構或成本。 Windows 365架構也可讓您使用現有的 Azure 網路和安全性投資。 每個雲端電腦都是根據您在 Microsoft Intune 系統管理中心的 Windows 365 區段中定義的設定來布建。

虛擬網路連線能力

在 Microsoft Azure 中,每個雲端電腦都有虛擬網路介面卡 (NIC) 。 您有兩個 NIC 管理選項:

  • 如果您使用Microsoft Entra加入和 Microsoft 託管的網路,則不需要帶入 Azure 訂用帳戶或管理 NIC。
  • 如果您自備網路,並使用 Azure 網路連線 (ANC) ,則 NIC 是由 Azure 訂用帳戶中的 Windows 365 所建立。

NIC 會根據您的 Azure 網路連線 (ANC) 設定,連結至 Azure 虛擬網路

許多 Azure 區域都支援Windows 365。 您可以透過兩種方式來控制使用哪個 Azure 區域:

  • 選取 Microsoft 裝載的網路和 Azure 區域。
  • 建立 ANC時,從您的 Azure 訂用帳戶選取 Azure 虛擬網路。

Azure 虛擬網路的區域會決定雲端電腦的建立和 裝載位置

使用您自己的虛擬網路時,您可以將目前 Azure 區域之間的存取延伸到Windows 365支援的其他 Azure 區域。 若要擴充至其他區域,您可以使用 Azure虛擬網路對等互連Virtual WAN

藉由使用您自己的 Azure 虛擬網路,Windows 365可讓您使用虛擬網路安全性和路由功能,包括:

提示

針對雲端電腦的 Web 篩選和網路保護,請考慮使用 適用於端點的 Microsoft Defender 的網路保護Web 保護功能。 這些功能可以使用 Microsoft Intune 系統管理中心部署到實體和虛擬端點。

Microsoft Intune整合

Microsoft Intune用來管理所有雲端電腦。 Microsoft Intune和相關聯的 Windows 元件具有必須透過虛擬網路允許的各種網路端點。 如果您不使用Microsoft Intune來管理這些裝置類型,則可以放心地忽略 Apple 和 Android 端點。

提示

請務必允許存取 Windows 通知服務 (WNS) 。 如果存取遭到封鎖,您可能不會立即注意到影響。 不過,WNS 可讓Microsoft Intune立即在 Windows 端點上觸發動作,而不是在這些裝置上等候一般原則輪詢間隔,或在啟動/登入行為時等候原則輪詢。 WNS 建議 從 Windows 用戶端直接連線到 WNS。

您只需要根據Microsoft Intune租使用者位置來授與端點子集的存取權。 若要尋找租使用者位置 (或 Azure 縮放單位 (ASU) ) ,請登入Microsoft Intune系統管理中心,選擇 [租使用者管理>租使用者詳細資料]。 在[租使用者位置] 底下,您會看到類似 「北美洲 0501」 或 「Europe 0202」 的內容。 Microsoft Intune檔中的資料列會依地理區域區分。 區域會以名稱中的前兩個字母表示 (na = 北美洲、eu = Europe、ap = 亞太地區) 。 由於租使用者可能會在區域內重新放置,因此最好允許存取整個區域,而不是該區域中的特定端點。

如需Microsoft Intune服務區域和資料位置資訊的詳細資訊,請參閱Intune 中的資料儲存和處理

身分識別服務

Windows 365使用 Microsoft Entra 識別碼和 內部部署的 Active Directory Domain Services (AD DS) 。 Microsoft Entra識別碼提供:

  • 與任何其他 Microsoft 365 服務) 一樣Windows 365 (的使用者驗證。
  • 透過混合式加入或Microsoft Entra加入Microsoft Entra Microsoft Intune的裝置身分識別服務。

將雲端電腦設定為使用Microsoft Entra混合式聯結時,AD DS 會提供:

  • 雲端電腦的內部部署網域加入。
  • 遠端桌面通訊協定 (RDP) 連線的使用者驗證。

將雲端電腦設定為使用Microsoft Entra聯結時,Microsoft Entra識別碼會提供:

  • 雲端電腦的網域加入機制。
  • RDP 連線的使用者驗證。

如需身分識別服務如何影響雲端電腦部署、管理和使用方式的詳細資訊,請參閱身分識別 和驗證

Microsoft Entra識別碼

Microsoft Entra識別碼可為Windows 365入口網站和遠端桌面用戶端應用程式提供使用者驗證和授權。 兩者都支援新式驗證,這表示Microsoft Entra條件式存取可以整合以提供:

  • 多重要素驗證
  • 以位置為基礎的限制
  • 登入風險管理
  • 會話限制,包括:
    • 遠端桌面用戶端和 Windows 365 入口網站的登入頻率
    • Windows 365入口網站的 Cookie 持續性
  • 裝置合規性控制

如需如何搭配Windows 365使用Microsoft Entra條件式存取的詳細資訊,請參閱設定條件式存取原則

Active Directory 網域服務

Windows 365雲端電腦可以Microsoft Entra混合式加入或Microsoft Entra加入。 使用Microsoft Entra混合式加入時,雲端電腦必須加入 AD DS 網域的網域。 此網域必須與Microsoft Entra識別碼同步處理。 網域的網域控制站可能裝載于 Azure 或內部部署。 如果裝載于內部部署,則必須建立從 Azure 到內部部署環境的連線能力。 連線可以是 Azure Express Route站對站 VPN 的形式。 如需建立混合式網路連線的詳細資訊,請參閱 實作安全的混合式網路。 連線必須允許從雲端電腦到 Active Directory 所需網域控制站的通訊。 如需詳細資訊, 請參閱設定 AD 網域和信任的防火牆

使用者連線能力

雲端電腦連線能力是由 Azure 虛擬桌面提供。 不會直接從網際網路對雲端電腦進行輸入連線。 相反地,連線是從下列專案建立:

  • Azure 虛擬桌面端點的雲端電腦。
  • Azure 虛擬桌面端點的遠端桌面用戶端。

如需這些埠的詳細資訊,請參閱 Azure 虛擬桌面必要 URL 清單。 若要簡化網路安全性控制的設定,請使用 Azure 虛擬桌面的服務標籤來識別這些端點。 如需 Azure 服務標籤的詳細資訊,請參閱 Azure 服務標籤概觀

不需要設定雲端電腦來進行這些連線。 Windows 365將 Azure 虛擬桌面連線元件順暢地整合到資源庫或自訂映射中。

如需 Azure 虛擬桌面網路架構的詳細資訊,請參閱 瞭解 Azure 虛擬桌面網路連線能力

Windows 365雲端電腦不支援協力廠商連線代理人。

「代表代管」架構

「代管」架構可讓 Microsoft 服務在訂用帳戶擁有者將適當且限定範圍的許可權委派給虛擬網路之後,將託管的 Azure 服務附加至客戶訂用帳戶。 此連線模型可讓 Microsoft 服務提供軟體即服務和使用者授權服務,而不是以標準耗用量為基礎的服務。

下圖顯示使用 Microsoft 託管網路的Microsoft Entra聯結設定邏輯架構、使用客戶網路連線的Microsoft Entra聯結設定 (「攜帶您自己的網路」) ,以及分別使用 ANC 的Microsoft Entra混合式聯結設定。

使用 Microsoft 託管網路Microsoft Entra聯結架構的螢幕擷取畫面

使用 BYO 網路Microsoft Entra聯結架構的螢幕擷取畫面

Microsoft Entra混合式聯結架構的螢幕擷取畫面

所有雲端電腦連線都由虛擬網路介面卡提供。 「代管」架構表示雲端電腦存在於 Microsoft 所擁有的訂用帳戶中。 因此,Microsoft 會產生執行和管理此基礎結構的成本。

Windows 365管理Windows 365訂用帳戶中的容量和區域內可用性。 Windows 365會根據您指派給使用者授權來決定 VM 的大小和類型。 Windows 365會根據您在建立內部部署網路聯機時選取的虛擬網路,決定要在 其中裝載雲端電腦的 Azure 區域。

Windows 365與 Microsoft 365 資料保護原則一致。 Microsoft 企業雲端服務內的客戶資料受到各種技術和程式的保護:

  • 各種形式的加密。
  • 以邏輯方式與其他租使用者隔離。
  • 可從特定用戶端存取受限制、受控制且受保護的使用者集合。
  • 使用角色型存取控制來保護存取權。
  • 複寫到多部伺服器、儲存體端點和資料中心以進行備援。
  • 監視未經授權的存取、過多的資源耗用量和可用性。

如需Windows 365 雲端電腦加密的詳細資訊,請參閱Windows 365中的資料加密

後續步驟

瞭解Windows 365身分識別和驗證