Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avant de planifier votre réseau pour Windows 365, il est essentiel de comprendre les principes de connectivité qui garantissent que vos utilisateurs disposent d’un accès sécurisé, fiable et hautes performances à leur PC cloud. Cet article vous aide à comprendre les conseils les plus récents pour optimiser de manière sécurisée ce trafic critique.
Les réseaux d’entreprise traditionnels sont principalement conçus pour fournir l’accès aux applications et aux données hébergées dans un centre de données géré par l’entreprise. Ces réseaux s’appuient sur la sécurité du périmètre, qui inclut des pare-feu, des systèmes de détection des intrusions et des outils d’inspection du trafic pour se protéger contre le monde extérieur non approuvé. Ce modèle traditionnel suppose que les utilisateurs accèdent aux applications et aux données à partir du réseau d’entreprise, soit directement à partir de sites d’entreprise, soit à distance via des connexions de réseau privé virtuel (VPN). Cette architecture est optimisée pour les contrôles et la protection centralisés, mais peut introduire une latence et une complexité lors de l’accès aux services cloud.
Windows 365 pouvez fournir une expérience entièrement saaS pour un PC cloud, ce qui permet aux organisations de fournir des environnements de bureau sécurisés, fiables et hautes performances aux utilisateurs du monde entier. La connectivité à l’infrastructure fournie pour permettre cette connectivité globalement transparente nécessite donc une optimisation spéciale pour garantir les performances et la qualité les plus élevées possibles aux utilisateurs finaux.
Architecture Windows 365
Windows 365 est un service SaaS (Software as a Service) distribué géographiquement. Les PC cloud peuvent être déployés dans plusieurs régions mondiales pour répondre aux besoins des utilisateurs et de l’organisation.
La connectivité entre l’utilisateur et son PC cloud doit être conçue conformément aux instructions fournies. Cette approche permet d’optimiser les performances en utilisant le réseau mondial et l’infrastructure de périphérie de service de Microsoft le plus proche de l’utilisateur et du PC cloud, au lieu de baser la conception sur l’emplacement de la cible.
Microsoft exploite l’un des plus grands réseaux mondiaux, offrant des connexions hautement disponibles, à bande passante élevée et à faible latence entre les centres de données et la périphérie Internet. Avec 185 points de présence réseau mondiaux et une croissance croissante, cette infrastructure offre une connectivité proche de vos utilisateurs.
Windows 365 utilise des points d’entrée de service distribués à l’échelle mondiale, notamment un service de passerelle pour les connexions RDP (Remote Desktop Protocol) basées sur le protocole TCP (Transmission Control Protocol) et les relais TURN pour les connexions UDP (User Datagram Protocol). Ces points d’entrée sont placés près des utilisateurs, où qu’ils se trouvent, pour garantir une connectivité optimale.
Les PC cloud peuvent accéder directement au réseau principal de Microsoft pour atteindre ces portes d’entrée de service une fois qu’un utilisateur s’y est connecté. S’il est correctement routé, le trafic vers les points de terminaison hébergés par Microsoft ne touche jamais Internet à partir du PC cloud.
L’utilisation correcte des trois éléments permet de garantir une connectivité rapide et fiable entre les utilisateurs et leurs PC cloud, quel que soit l’emplacement des utilisateurs.
Éléments de connectivité à comprendre
Windows 365 exigences de connectivité peuvent être regroupées en trois catégories :
a. Connectivité RDP
Le trafic RDP constitue la connexion principale entre l’utilisateur final et son PC cloud. Il utilise les mêmes points de terminaison sortants sur l’appareil physique et le PC cloud. L’optimisation de ce trafic est essentielle pour garantir une connectivité fiable et hautes performances
b. Connectivité du service côté cloud
Ce trafic est essentiel pour l’approvisionnement des PC cloud et l’exploitation du service. La plupart des points de terminaison sont hébergés sur le réseau principal de Microsoft, de sorte que le routage du trafic directement vers eux améliore les performances et la fiabilité. Il offre également les niveaux de sécurité les plus élevés, car le trafic ne traverse pas l’Internet public.
c. Connectivité du client physique
Outre les connexions RDP décrites ici, toutes les autres exigences de point de terminaison physique côté client peuvent être traitées comme du trafic web normal et gérées conformément aux pratiques standard de votre organization.
Windows 365 les principes de connectivité
Microsoft recommande les principes suivants pour obtenir une connectivité et des performances optimales. L’objectif principal de la conception du réseau pour Windows 365 est de réduire la latence en réduisant le temps d’aller-retour (RTT) entre votre réseau et le réseau global Microsoft. Ce réseau principal interconnecte tous les centres de données de Microsoft et offre une faible latence entre les emplacements des centres de données et la périphérie réseau, près de vos utilisateurs. Pour optimiser les performances et la fiabilité lors de la connexion à partir du PC cloud, appliquez les optimisations suivantes :
1. Déployer le PC cloud aussi près que possible de l’utilisateur
Le fait de placer le PC cloud aussi près que possible de l’emplacement de l’utilisateur final permet de réduire la latence. Microsoft propose des options de déploiement dans de nombreuses régions Azure dans le monde entier. Le choix de la région la plus proche de l’utilisateur réduit la latence entre l’utilisateur et son PC cloud, offrant ainsi des performances optimales.
Dans certains cas, le déploiement de PC cloud local peut ne pas être possible en raison des exigences de conformité ou des contraintes de latence des données d’application. Lorsque le déploiement local n’est pas possible, l’optimisation au niveau du réseau devient plus critique pour maintenir les performances sur de plus longues distances.
Quel que soit l’endroit où le PC cloud est déployé, suivez ces principes de réseau pour garantir des performances et une fiabilité maximales.
2. Identifier et différencier le trafic Windows 365
L’identification Windows 365 trafic réseau est la première étape pour différencier ce trafic du trafic réseau générique lié à Internet, le cas échéant. Windows 365 connectivité peut être optimisée en implémentant une combinaison d’approches telles que :
Optimisation des itinéraires réseau
Contournement vpn/passerelle web sécurisée (SWG)
Règles de pare-feu
Paramètres du proxy du navigateur.
Contourner les périphériques d’inspection réseau pour certains points de terminaison.
Les détails des points de terminaison requis pour le service peuvent être résumés dans l’une des trois catégories suivantes
a. RDP : exigences identiques côté cloud et appareil physique
b. Connectivité du service côté cloud
c. Exigences de connectivité des clients physiques
Le trafic sous les zones (a) et (b) nécessite une optimisation spéciale, contrairement au trafic sous (c). La répartition des points de terminaison au sein de ces catégories se trouve dans les liens fournis. Pour plus d’informations sur ces points de terminaison, consultez la documentation relative à la configuration réseau requise.
3. Sortie des connexions réseau localement
Pour les points de terminaison conseillés, le trafic doit être sortant localement et direct,
Côté PC cloud, le trafic doit être routé directement à partir du réseau virtuel vers le réseau de Azure en évitant les tunnels VPN, les passerelles web sécurisées, les proxys ou les sorties locales.
Pour les appareils clients physiques, laissez le trafic de service clé quitter le plus près possible de l’utilisateur (par exemple. par le biais d’une sortie SD-WAN locale ou d’un fournisseur de services Internet (ISP) local plutôt que de le renvoyer d’abord à un site central.
Diagramme 1 : Optimisation RDP avec petit groupe local
Cette image illustre les éléments suivants :
- La sortie locale du trafic RDP dans Chennai garantit que le trafic entre dans le réseau global de Microsoft à l’emplacement de peering Chennai.
- Les portes d’entrée du service local (passerelles Bureau à distance et relais TURN) réduisent la latence en conservant les connexions proches de l’utilisateur.
- L’élément de liaison longue distance de la porte d’entrée du service vers le PC cloud dans la région USA Centre s’exécute entièrement sur le réseau de Microsoft, fournissant un chemin optimisé, à bande passante élevée et à faible latence avec des liaisons redondantes.
- Cette conception offre la latence la plus faible possible, des performances élevées, un risque réduit de déconnexions et une excellente expérience utilisateur, évitant ainsi l’Internet public pour la majorité du chemin.
- Une fois correctement configuré, le trafic RDP du PC cloud vers la porte d’entrée du service reste entièrement sur le réseau de Microsoft et ne traverse jamais l’Internet public.
Utilisez une connexion Internet locale près de l’utilisateur pour que le trafic entre rapidement dans le réseau global de Microsoft. Cette approche permet aux points d’entrée Microsoft à proximité d’optimiser la connexion et de garantir un accès fiable au PC cloud, quel que soit son emplacement d’hébergement.
Cette infrastructure comprend :
Plus de 185 points de présence à la périphérie d’Internet
Plus de 165 000 miles de fibre optique et de câblage sous-marin connectant les utilisateurs au cloud Microsoft
Passerelles RDP pour RDP basée sur TCP dans plus de 40 régions Azure
TURN Relays pour RDP udp dans plus de 40 régions Azure
Les breakouts Internet locaux connectent les utilisateurs à Windows 365 infrastructure à proximité de leur emplacement. À partir de là, tout le trafic vers le PC cloud transite sur le réseau global sécurisé, à haut débit et à faible latence de Microsoft.
4. Évaluez les proxys de contournement, les VPN, les passerelles web sécurisées et les appareils d’inspection du trafic.
Les clients d’entreprise doivent examiner leurs contrôles de sécurité pour Windows 365 trafic et autoriser un chemin d’accès direct pour le trafic de service clé. Cela réduit la dépendance vis-à-vis d’outils de sécurité coûteux et intrusifs qui peuvent nuire aux performances et à la fiabilité. La plupart des réseaux d’entreprise appliquent la sécurité réseau pour le trafic Internet à l’aide de technologies telles que les proxys, l’inspection TLS (Transport Layer Security), l’inspection des paquets et les systèmes de protection contre la perte de données. Ces technologies fournissent une atténuation importante des risques pour les requêtes Internet génériques, mais peuvent réduire considérablement les performances, la scalabilité et la qualité de l’expérience de l’utilisateur final lorsqu’elles sont appliquées à certains points de terminaison Windows 365. Les optimisations réseau suivantes sont recommandées pour tous les points de terminaison Windows 365 mis en surbrillance :
Pour le trafic RDP :
Contournez le trafic du déchiffrement TLS, de l’interception, de l’inspection approfondie des paquets et du filtrage de contenu & de paquets réseau côté PC cloud et côté appareil physique. L’inspection de ce trafic n’est pas prise en charge et n’offre aucun avantage.
Dans Azure utilisez un itinéraire défini par l’utilisateur (UDR) pour envoyer le trafic RDP directement à Internet, en évitant tout appareil d’inspection tel qu’un pare-feu. Par exemple, envoyez directement à une passerelle NAT, en évitant le chemin du pare-feu. Consultez Windows 365 documentation Pare-feu Azure pour obtenir un exemple détaillé.
Excluez le trafic RDP du VPN, de la passerelle web sécurisée (SWG) et des tunnels proxy configurés sur les PC cloud et les appareils physiques.
Fournissez un chemin d’accès direct pour que le trafic atteigne Internet côté client physique de la même façon que pour le trafic multimédia Teams.
Fournissez un breakout Internet local pour le trafic RDP du client physique au lieu d’effectuer un retour vers une sortie centrale ou distante, afin qu’il puisse utiliser l’infrastructure de service et le réseau global de Microsoft à proximité.
Pour les exigences de connectivité du service côté cloud :
Vérifiez que l’itinéraire par défaut envoie le trafic vers un point de sortie Azure (par exemple, un Pare-feu Azure) au lieu de le renvoyer en local.
Excluez Windows 365 trafic du déchiffrement TLS, de l’interception, de l’inspection approfondie des paquets et du filtrage de contenu pour éviter les problèmes de performances et de fiabilité. Lorsque le filtrage est requis, autorisez-le directement via Pare-feu Azure.
Contournez les configurations VPN, SWG (Secure Web Gateway) et proxy pour le trafic Windows 365.
Pour la connectivité du client physique
Excluez le trafic RDP du VPN, de la passerelle web sécurisée (SWG) et des tunnels proxy configurés sur l’appareil.
Fournir une répartition Internet directe et locale pour tout le trafic RDP afin de réduire la latence et d’améliorer la fiabilité.
Désactivez l’inspection TLS sur le chemin de sortie du trafic RDP afin d’éviter toute interruption de session.
Gérez tous les autres points de terminaison en tant que trafic web standard en fonction du modèle de connectivité externe normal de votre organization.
Windows 365 considérations relatives à la sécurité
Lorsque vous implémentez des optimisations pour Windows 365 connectivité, gardez à l’esprit les points suivants :
La plupart des points de terminaison requis sont du service uniquement. Ils existent pour faire fonctionner le service Windows 365 et ne transportent pas les données générées par l’utilisateur.
Le trafic RDP (Remote Desktop Protocol) est l’exception. Les données telles que la redirection du Presse-papiers sont transmises dans ce trafic, mais son chemin est isolé de la connexion entre l’appareil physique et le PC cloud.
L’inspection ou le routage non optimisé peuvent nuire aux performances. Des techniques telles que l’inspection approfondie des paquets, l’interception TLS ou le backhauling introduisent souvent une latence et réduisent la fiabilité.
L’inspection TLS n’offre aucun avantage pour ces points de terminaison. Les points de terminaison utilisent déjà TLS pour la communication sécurisée, et les données sont liées au service.
Le trafic RDP est doublement chiffré. Les outils d’inspection en ligne traditionnels ne peuvent pas le déchiffrer.
Le trafic à volume élevé peut surcharger les appliances de sécurité. Lorsque ce scénario se produit, d’autres services critiques qui partagent la même infrastructure peuvent être interrompus.
La plupart des points de terminaison sont hébergés dans l’infrastructure de Microsoft.
Diriger la sortie locale dans la colonne vertébrale de Azure est le chemin le plus efficace et le plus sécurisé. À partir du PC cloud, le trafic reste sur le réseau mondial de Microsoft sans traverser l’Internet public.
La plupart du trafic est déjà chiffré par TLS, ce qui protège la confidentialité en transit.
Le trafic sur le port TCP 80 ne transporte pas de données privées. Il est requis pour des fonctions spécifiques, telles que les vérifications de la communication Azure fabric et de la liste de révocation de certificats (CRL).
Toutes les exceptions sont clairement documentées. Le trafic qui ne répond pas à ces critères est identifié dans les exigences de point de terminaison Windows 365 et peut suivre les chemins Internet standard.
Simplifier le déploiement
Windows 365 offre deux options pour la connectivité réseau. Le choix du bon peut réduire considérablement la complexité, les coûts et les risques.
Azure connexion réseau (ANC) : avec ANC, vous gérez la connectivité sous-jacente. L’implémentation de ces exigences implique souvent des semaines ou des mois de travail pour configurer la mise en réseau, les règles de pare-feu, les UDR, ExpressRoute et les groupes de sécurité réseau (NSG), ainsi qu’une maintenance continue. Il reflète une extension réseau d’entreprise traditionnelle, dont de nombreuses organisations s’éloignent.
Réseau hébergé Microsoft : L’option Réseau hébergé Microsoft permet un déploiement rapide avec une surcharge réseau minimale. Microsoft conçoit, gère et sécurise l’environnement pour garantir une connectivité optimale. Votre tâche principale consiste à vous assurer que le trafic clé contourne les tunnels VPN ou SWG, ce qui est généralement rapide à configurer. Ce modèle s’aligne sur les principes Confiance nulle et fonctionne bien avec les solutions SWG et d’accès privé modernes.
De nombreuses organisations utilisent déjà une approche similaire pour les employés distants, en fournissant des ordinateurs portables gérés via une gestion moderne des points de terminaison et des Confiance nulle. Le réseau hébergé Microsoft applique le même concept aux PC cloud, en les traitant comme des appareils domestiques sécurisés qui n’effectuent que des connexions sortantes. Cette conception raccourcit les délais du projet, augmente la flexibilité et simplifie la gestion continue.
Pour plus d’informations sur ce choix de conception, consultez Windows 365 documentation sur les options de déploiement.