Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bevor Sie Ihr Netzwerk für Windows 365 planen, ist es wichtig, die Konnektivitätsprinzipien zu verstehen, die sicherstellen, dass Ihre Benutzer sicheren, zuverlässigen und leistungsstarken Zugriff auf ihren Cloud-PC haben. Dieser Artikel hilft Ihnen, die neuesten Anleitungen zur sicheren Optimierung dieses kritischen Datenverkehrs zu verstehen.
Herkömmliche Unternehmensnetzwerke sind in erster Linie darauf ausgelegt, Zugriff auf Anwendungen und Daten zu ermöglichen, die im vom Unternehmen betriebenen Rechenzentrum gehostet werden. Diese Netzwerke basieren auf der Umkreissicherheit, die Firewalls, Angriffserkennungssysteme und Tools zur Datenverkehrsüberprüfung umfasst, um sich vor der nicht vertrauenswürdigen Außenwelt zu schützen. Bei diesem herkömmlichen Modell wird davon ausgegangen, dass Benutzer innerhalb des Unternehmensnetzwerks entweder direkt von Unternehmensstandorten oder remote über VPN-Verbindungen (Virtual Private Network) auf Anwendungen und Daten zugreifen. Diese Architektur ist für zentralisierte Steuerungen und Den Schutz optimiert, kann aber beim Zugriff auf cloudbasierte Dienste Latenz und Komplexität mit sich bringen.
Windows 365 können eine vollständig SaaS-basierte Erfahrung für einen Cloud-PC bereitstellen, sodass Organisationen sichere, zuverlässige und leistungsstarke Desktopumgebungen für Benutzer auf der ganzen Welt bereitstellen können. Die Konnektivität mit der Infrastruktur, die für diese global nahtlose Konnektivität bereitgestellt wird, erfordert daher eine spezielle Optimierung, um den Endbenutzern die höchstmögliche Leistung und Qualität zu gewährleisten.
Windows 365-Architektur
Windows 365 ist ein geografisch verteilter SaaS-Dienst (Software-as-a-Service). Cloud-PCs können in mehreren globalen Regionen bereitgestellt werden, um die Anforderungen von Benutzern und Organisationen zu erfüllen.
Die Konnektivität zwischen dem Benutzer und dem Cloud-PC sollte gemäß den bereitgestellten Anleitungen gestaltet werden. Dieser Ansatz trägt zur Leistungsoptimierung bei, indem die globale Netzwerk- und Service-Edgeinfrastruktur von Microsoft verwendet wird, die sowohl dem Benutzer als auch dem Cloud-PC am nächsten ist, anstatt den Entwurf auf dem Standort des Ziels zu basieren.
Microsoft betreibt eines der größten globalen Netzwerke, das hochverfügbare Verbindungen mit hoher Bandbreite und geringer Latenz zwischen Rechenzentren und dem Internet-Edge bietet. Mit 185 globalen Netzwerk-Points of Presence (PoPs) und einer wachsenden Infrastruktur bringt diese Infrastruktur konnektivitätsnah zu Ihren Benutzern.
Windows 365 verwendet global verteilte Diensteinstiegspunkte, einschließlich eines Gatewaydiensts für TCP-basierte RDP-Verbindungen (Remote Desktop Protocol) und TURN-Relays für UDP-Verbindungen (User Datagram Protocol). Diese Einstiegspunkte werden in der Nähe von Benutzern positioniert, unabhängig davon, wo sie sich befinden, um eine optimale Konnektivität sicherzustellen.
Cloud-PCs können direkt auf das Backbone-Netzwerk von Microsoft zugreifen, um diese Dienst-Front-Doors zu erreichen, sobald ein Benutzer eine Verbindung mit ihnen herstellt. Bei richtiger Weiterleitung berührt Datenverkehr an von Microsoft gehostete Endpunkte niemals das Internet vom Cloud-PC.
Wenn Sie alle drei Elemente richtig verwenden, können Sie eine schnelle und zuverlässige Konnektivität zwischen Benutzern und ihren Cloud-PCs sicherstellen, unabhängig davon, wo sich die Benutzer befinden.
Zu verstehende Konnektivitätselemente
Windows 365 Konnektivitätsanforderungen können in drei Kategorien gruppiert werden:
a. RDP-Konnektivität
RDP-Datenverkehr bildet die Kernverbindung zwischen dem Endbenutzer und dem Cloud-PC. Es werden die gleichen ausgehenden Endpunkte sowohl auf dem physischen Gerät als auch auf dem Cloud-PC verwendet. Die Optimierung dieses Datenverkehrs ist unerlässlich, um zuverlässige und leistungsstarke Konnektivität sicherzustellen.
b. Cloudseitige Dienstkonnektivität
Dieser Datenverkehr ist für die Bereitstellung von Cloud-PCs und den Betrieb des Diensts unerlässlich. Die meisten Endpunkte werden auf dem Backbone von Microsoft gehostet, sodass das direkte Weiterleiten von Datenverkehr zu ihnen die Leistung und Zuverlässigkeit verbessert. Es bietet auch die höchsten Sicherheitsstufen, da der Datenverkehr nicht das öffentliche Internet durchläuft.
c. Physische Clientkonnektivität
Abgesehen von den hier beschriebenen RDP-Verbindungen können alle anderen anforderungen an physische clientseitige Endpunkte als normaler Webdatenverkehr behandelt und gemäß den Standardpraktiken Ihrer organization verwaltet werden.
Windows 365 Konnektivitätsprinzipien
Microsoft empfiehlt die folgenden Prinzipien, um eine optimale Konnektivität und Leistung zu erzielen. Das primäre Ziel beim Netzwerkentwurf für Windows 365 besteht darin, die Latenz zu minimieren, indem die Roundtripzeit (Roundtrip Time, RTT) zwischen Ihrem Netzwerk und dem globalen Microsoft-Netzwerk reduziert wird. Dieser Netzwerk-Backbone verbindet alle Rechenzentren von Microsoft und bietet eine geringe Latenz sowohl zwischen Rechenzentrumsstandorten als auch am Netzwerkrand in der Nähe Ihrer Benutzer. Wenden Sie die folgenden Optimierungen an, um eine optimale Leistung und Zuverlässigkeit beim Herstellen einer Verbindung über den Cloud-PC zu erzielen:
1. Bereitstellen des Cloud-PCs so nah wie möglich am Benutzer
Wenn Sie den Cloud-PC so nah wie möglich am Standort des Endbenutzers platzieren, können Sie die Latenz minimieren. Microsoft bietet Bereitstellungsoptionen in vielen Azure Regionen weltweit. Wenn Sie die dem Benutzer am nächsten gelegene Region auswählen, wird die Latenz zwischen dem Benutzer und dem Cloud-PC reduziert und die beste Leistung erzielt.
In einigen Fällen ist die lokale Cloud-PC-Bereitstellung aufgrund von Complianceanforderungen oder Einschränkungen der Anwendungsdatenlatenz möglicherweise nicht möglich. Wenn eine lokale Bereitstellung nicht möglich ist, wird die Optimierung auf Netzwerkebene wichtiger, um die Leistung über längere Entfernungen aufrechtzuerhalten.
Befolgen Sie unabhängig davon, wo der Cloud-PC bereitgestellt wird, diese Netzwerkprinzipien, um maximale Leistung und Zuverlässigkeit zu gewährleisten.
2. Identifizieren und Unterscheiden von Windows 365 Datenverkehr
Die Identifizierung Windows 365 Netzwerkdatenverkehrs ist der erste Schritt, um diesen Datenverkehr ggf. von generischem internetgebundenem Netzwerkdatenverkehr unterscheiden zu können. Windows 365 Konnektivität kann optimiert werden, indem eine Kombination von Ansätzen implementiert wird, z. B.:
Netzwerkroutenoptimierung
VPN/SWG-Umgehung (Secure Web Gateway)
Firewallregeln
Browserproxyeinstellungen.
Umgehung von Netzwerkinspektionsgeräten für bestimmte Endpunkte.
Details zu den für den Dienst erforderlichen Endpunkten können in einer der folgenden drei Kategorien zusammengefasst werden:
a. RDP – Identische Anforderungen auf Cloud- und physischer Geräteseite
b. Cloudseitige Dienstkonnektivität
c. Konnektivitätsanforderungen für physische Clients
Der Datenverkehr unter den Bereichen (a) und (b) benötigt eine spezielle Optimierung, während der Datenverkehr unter (c) dies nicht tut. Die Aufschlüsselung der Endpunkte innerhalb dieser Kategorien finden Sie unter den bereitgestellten Links. Details zu diesen Endpunkten finden Sie in der Dokumentation zu Netzwerkanforderungen.
3. Ausgehende Netzwerkverbindungen lokal
Für die empfohlenen Endpunkte sollte der Datenverkehr lokal und direkt gesendet werden.
Aufseiten des Cloud-PCs sollte Datenverkehr direkt aus dem VNET in das Netzwerk von Azure weitergeleitet werden, um VPN-Tunnel, sichere Webgateways, Proxys oder lokale Ausgehende Daten zu vermeiden.
Lassen Sie bei physischen Clientgeräten den Datenverkehr des Schlüsseldiensts so nah wie möglich am Benutzer beenden (z. B. über einen lokalen SD-WAN-Ausgang oder einen privaten Internetdienstanbieter (ISP), anstatt ihn zuerst an einen zentralen Standort zurückzusenden.
Diagramm 1: RDP-Optimierung mit lokalem Breakout
In dieser Abbildung wird Folgendes veranschaulicht:
- Der lokale Ausgang von RDP-Datenverkehr in Chennai stellt sicher, dass der Datenverkehr in das globale Netzwerk von Microsoft am Peeringstandort Chennai gelangt.
- Lokale Dienst-Front-Doors (Remotedesktopgates und TURN-Relays) minimieren die Latenz, indem Verbindungen in der Nähe des Benutzers gehalten werden.
- Das Long Distance Backhaul-Element von der Dienst-Front door zum Cloud-PC in der Mitte der USA läuft vollständig im Netzwerk von Microsoft und bietet einen optimierten Pfad mit hoher Bandbreite und geringer Latenz mit redundanten Verbindungen.
- Dieses Design bietet die geringstmögliche Latenz, hohe Leistung, reduziertes Risiko von Trennungen und eine hervorragende Benutzererfahrung, wodurch das öffentliche Internet für den Großteil des Pfads vermieden wird.
- Bei richtiger Konfiguration verbleibt der RDP-Datenverkehr vom Cloud-PC zur Dienst-Front Door vollständig im Microsoft-Netzwerk und durchläuft nie das öffentliche Internet.
Verwenden Sie einen lokalen Internet-Breakout in der Nähe des Benutzers, damit Datenverkehr schnell in das globale Netzwerk von Microsoft gelangt. Mit diesem Ansatz können nahe gelegene Microsoft-Einstiegspunkte die Verbindung optimieren und unabhängig vom Hostingstandort einen zuverlässigen Zugriff auf den Cloud-PC sicherstellen.
Diese Infrastruktur umfasst Folgendes:
Über 185 Points of Presence am Internet Edge
Über 165.000 Meilen Glasfaser- und Unterwasserverkabelung, die Benutzer mit der Microsoft Cloud verbinden
RDP-Gateways für TCP-basiertes RDP in über 40 Azure Regionen
TURN Relays für UDP-basiertes RDP in über 40 Azure Regionen
Lokale Internet-Breakouts verbinden Benutzer mit Windows 365 Infrastruktur in der Nähe ihres Standorts. Von dort aus wird der gesamte Datenverkehr zum Cloud-PC durch das sichere globale Netzwerk von Microsoft mit hoher Geschwindigkeit und geringer Latenz übertragen.
4. Bewerten Sie die Umgehung von Proxys, VPNs, Secure Web Gateways und Geräten zur Überprüfung des Datenverkehrs.
Unternehmenskunden sollten ihre Sicherheitskontrollen auf Windows 365 Datenverkehr überprüfen und einen direkten Pfad für den Datenverkehr wichtiger Dienste zulassen. Dadurch wird die Abhängigkeit von kostspieligen, aufdringlichen Sicherheitstools reduziert, die leistung und zuverlässigkeit beeinträchtigen können. Die meisten Unternehmensnetzwerke erzwingen netzwerksicherheit für Internetdatenverkehr mithilfe von Technologien wie Proxys, Transport Layer Security (TLS) Inspektion, Paketüberprüfung und Systemen zur Verhinderung von Datenverlust. Diese Technologien bieten eine wichtige Risikominderung für generische Internetanforderungen, können aber die Leistung, Skalierbarkeit und Qualität der Endbenutzererfahrung erheblich reduzieren, wenn sie auf bestimmte Windows 365 Endpunkte angewendet werden. Die folgenden Netzwerkoptimierungen werden für alle hervorgehobenen Windows 365-Endpunkte empfohlen:
Für RDP-Datenverkehr:
Umgehen Sie Datenverkehr von TLS-Entschlüsselung, Abfangen, eingehender Paketüberprüfung und Netzwerkpaketfilterung & Inhaltsfilterung sowohl aufseiten des Cloud-PCs als auch auf der Physischen Geräteseite. Die Überprüfung dieses Datenverkehrs wird nicht unterstützt und bietet keinen Vorteil.
Verwenden Sie innerhalb Azure eine benutzerdefinierte Route (User Defined Route, UDR) verwenden, um RDP-Datenverkehr direkt an das Internet zu senden, um Inspektionsgeräte wie eine Firewall zu vermeiden. Senden Sie z. B. direkt an ein NAT-Gateway, und vermeiden Sie dabei den Firewallpfad. Ein ausführliches Beispiel finden Sie in Windows 365 Azure Firewall Dokumentation.
Ausschließen von RDP-Datenverkehr von VPN, Secure Web Gateway (SWG) und Proxytunneln, die sowohl auf Cloud-PCs als auch auf physischen Geräten konfiguriert sind.
Geben Sie einen direkten Pfad für den Datenverkehr an, um das Internet auf der physischen Clientseite auf die gleiche Weise zu erreichen wie für den Teams-Mediendatenverkehr.
Stellen Sie lokale Internet-Breakouts für physischen CLIENT-RDP-Datenverkehr bereit, anstatt zu einem zentralen oder remote ausgehenden Datenverkehr zurückzuleiten, sodass die Infrastruktur und das globale Netzwerk von Microsoft in der Nähe verwendet werden kann.
Anforderungen an cloudseitige Dienstkonnektivität:
Stellen Sie sicher, dass die Standardroute Datenverkehr an einen Azure Ausgehenden Punkt (z. B. einen Azure Firewall) sendet, anstatt ihn lokal zu backhauen.
Schließen Sie Windows 365 Datenverkehr von TLS-Entschlüsselung, Abfangen, eingehender Paketüberprüfung und Inhaltsfilterung aus, um Leistungs- und Zuverlässigkeitsprobleme zu vermeiden. Wenn eine Filterung erforderlich ist, lassen Sie sie direkt über Azure Firewall zu.
Umgehen Sie VPN- und SWG-Konfigurationen (Secure Web Gateway) und Proxykonfigurationen für Windows 365 Datenverkehr.
Für physische Clientkonnektivität
Schließen Sie RDP-Datenverkehr von VPN, Secure Web Gateway (SWG) und auf dem Gerät konfigurierten Proxytunneln aus.
Stellen Sie einen direkten lokalen Internet-Breakout für den gesamten RDP-Datenverkehr bereit, um die Latenz zu minimieren und die Zuverlässigkeit zu verbessern.
Deaktivieren Sie die TLS-Überprüfung für den ausgehenden Pfad für RDP-Datenverkehr, um Sitzungsunterbrechungen zu verhindern.
Verarbeiten Sie alle anderen Endpunkte als Standardwebdatenverkehr gemäß dem normalen externen Konnektivitätsmodell Ihrer organization.
Windows 365 Sicherheitsüberlegungen
Beachten Sie beim Implementieren von Optimierungen für Windows 365 Konnektivität die folgenden Punkte:
Die meisten erforderlichen Endpunkte sind nur dienstpflichtig. Sie sind zum Betreiben des Windows 365-Diensts vorhanden und enthalten keine vom Benutzer generierten Daten.
RdP-Datenverkehr (RemoteDesktopprotokoll) ist die Ausnahme. Daten wie die Umleitung der Zwischenablage werden innerhalb dieses Datenverkehrs übertragen, der Pfad ist jedoch zur Verbindung zwischen dem physischen Gerät und dem Cloud-PC isoliert.
Inspektion oder nicht optimiertes Routing kann die Leistung beeinträchtigen. Techniken wie umfassende Paketüberprüfung, TLS-Abfangen oder Backhauling führen häufig zu Latenz und verringern die Zuverlässigkeit.
Die TLS-Überprüfung bietet für diese Endpunkte keinen Vorteil. Die Endpunkte verwenden bereits TLS für die sichere Kommunikation, und die Daten beziehen sich auf den Dienst.
RDP-Datenverkehr ist doppelt verschlüsselt. Herkömmliche Inline-Inspektionstools können sie nicht entschlüsseln.
Datenverkehr mit hohem Volumen kann Sicherheitsappliances überlasten. Wenn dieses Szenario eintritt, können andere kritische Dienste, die dieselbe Infrastruktur nutzen, unterbrochen werden.
Die meisten Endpunkte werden in der Microsoft-Infrastruktur gehostet.
Der direkte lokale Ausgang in den Backbone von Azure ist der effizienteste und sicherste Pfad. Vom Cloud-PC aus verbleibt der Datenverkehr im globalen Netzwerk von Microsoft, ohne das öffentliche Internet zu durchlaufen.
Der größte Teil des Datenverkehrs ist bereits TLS-verschlüsselt, was die Vertraulichkeit während der Übertragung schützt.
Datenverkehr an TCP-Port 80 enthält keine privaten Daten. Sie ist für bestimmte Funktionen erforderlich, z. B. Azure Fabric-Kommunikation und Zertifikatsperrlistenüberprüfungen (Certificate Revocation List, CRL).
Alle Ausnahmen sind klar dokumentiert. Datenverkehr, der diese Kriterien nicht erfüllt, wird in den Windows 365 Endpunktanforderungen identifiziert und kann standardinternen Pfaden folgen.
Vereinfachen der Bereitstellung
Windows 365 bietet zwei Optionen für die Netzwerkkonnektivität. Durch die Auswahl des richtigen können Komplexität, Kosten und Risiken erheblich reduziert werden.
Azure Network Connection (ANC): Mit ANC verwalten Sie die zugrunde liegende Konnektivität. Die Implementierung dieser Anforderungen erfordert häufig wochen- oder monatelange Arbeit zum Konfigurieren von Netzwerken, Firewallregeln, UDRs, ExpressRoute und Netzwerksicherheitsgruppen (NSGs) sowie laufender Wartung. Es spiegelt eine herkömmliche Unternehmensnetzwerkerweiterung wieder, von der viele Organisationen sich entfernen.
Von Microsoft gehostetes Netzwerk: Die Option Microsoft Hosted Network ermöglicht eine schnelle Bereitstellung mit minimalem Netzwerkaufwand. Microsoft entwirft, verwaltet und schützt die Umgebung, um eine optimale Konnektivität sicherzustellen. Ihre Hauptaufgabe besteht darin, sicherzustellen, dass der wichtige Datenverkehr VPN- oder SWG-Tunnel umgeht, was in der Regel schnell zu konfigurieren ist. Dieses Modell entspricht Zero Trust Prinzipien und eignet sich gut für moderne SWG- und Private Access-Lösungen.
Viele Organisationen verwenden bereits einen ähnlichen Ansatz für Remotemitarbeiter und stellen Laptops bereit, die über moderne Endpunktverwaltung und Zero Trust verwaltet werden. Microsoft Hosted Network wendet das gleiche Konzept auf Cloud-PCs an und behandelt sie wie sichere Heimgeräte, die nur ausgehende Verbindungen herstellen. Dieser Entwurf verkürzt die Projektzeitpläne, erhöht die Flexibilität und vereinfacht die laufende Verwaltung.
Weitere Informationen zu dieser Entwurfsauswahl finden Sie in Windows 365 Dokumentation zu Bereitstellungsoptionen.