共用方式為

Windows 365 連接原則

在規劃 Windows 365 網路之前,了解連結原則至關重要,以確保使用者能安全、可靠且高效能地存取雲端電腦。 本文將協助你了解最新安全優化這些關鍵流量的指引。

傳統企業網路主要設計用來存取公司營運資料中心所託管的應用程式與資料。 這些網路依賴邊界安全,包括防火牆、入侵偵測系統及流量檢查工具,以防範不受外界干擾。 此傳統模型假設使用者可直接從企業網路內部存取應用程式與資料,或透過虛擬私人網路 (VPN) 連線遠端存取。 此架構優化於集中控制與保護,但在存取雲端服務時可能會帶來延遲與複雜性。

Windows 365 能為雲端電腦提供完全 SaaS 的體驗,使組織能為全球使用者提供安全、可靠且高效能的桌面環境。 因此,為實現全球無縫連接所提供的基礎設施連接,需要特別優化,以確保最終用戶能獲得最高的效能與品質。

Windows 365 架構

Windows 365 是一個地理分布的軟體即服務(SaaS) (SaaS) 服務。 雲端電腦可部署於 多個全球區域 ,以滿足使用者與組織需求。

使用者與其雲端電腦之間的連接應依照所提供的指引設計。 此方法透過利用 Microsoft 全球網路與服務邊緣基礎設施,最接近使用者與雲端 PC,而非僅基於目標地點來設計,有助於優化效能。

  • Microsoft 經營全球 最大網路之一,提供資料中心與網際網路邊緣間的高可用性、高頻寬及低延遲連線。 擁有 185 個全球網路接入點 (PoP) 且持續成長,這套基礎設施讓連線更貼近你的用戶。

  • Windows 365 使用全球分散式的服務入口點,包括傳輸控制協定的閘道服務 (基於 TCP) 的遠端桌面協定 (RDP) 連線,以及用於使用者資料報協定 (UDP) 連線的 TURN 中繼。 這些入口點設置在用戶附近,無論他們位於何處,以確保最佳連線。

  • 雲端 PC 能直接存取 Microsoft 的骨幹網路,在使用者連接後抵達這些服務前門。 如果路由正確,雲端 PC 對 Microsoft 主機端點的流量不會直接接觸網際網路。

正確運用這三個元素,有助於確保使用者與雲端電腦之間快速且可靠的連線,無論使用者身處何處。

需要理解的連接性元素

Windows 365 的連接需求可分為三類:

a.     RDP 連接性

RDP 流量構成終端使用者與其雲端電腦之間的核心連結。 它在實體裝置和雲端電腦上使用相同的出站端點。 優化這些流量對於確保可靠且高效能的連線至關重要

b.     雲端服務連接

這些流量對於配置雲端電腦及服務運作至關重要。 大多數端點都託管在 Microsoft 的骨幹網路上,因此直接路由流量到它們,能提升效能與可靠性。 它同時也提供最高等級的安全,因為流量不會穿越公共網際網路。

c.     實體用戶端連接

除了此處描述的 RDP 連線外,所有其他實體用戶端端點需求都可以視為一般網路流量,並依照貴組織的標準作法管理。

Windows 365 連接原則

Microsoft 建議以下原則以達成最佳連接與效能。 Windows 365網路設計的主要目標是透過縮短網路與Microsoft全球網路之間的往返時間 (RTT) ,以降低延遲。 這個網路骨幹網連接了 Microsoft 所有的資料中心,並在資料中心位置與靠近使用者的網路邊緣間提供低延遲。 為了在從雲端電腦連線時達到最佳效能與可靠性,請進行以下優化:

1. 將雲端電腦部署得盡可能靠近使用者

將雲端電腦盡可能靠近終端使用者位置,有助於降低延遲。 Microsoft 在全球多個 Azure 區域提供部署選項。 選擇離使用者最近的區域可以減少用戶與雲端電腦之間的延遲,帶來最佳效能。

在某些情況下,由於合規要求或應用程式資料延遲限制,本地雲端電腦部署可能無法實現。 當無法本地部署時,網路層級的優化變得更加重要,以維持長距離的效能。

無論雲端電腦部署在哪裡,都應遵循這些網路原則,以確保最佳效能與可靠性。

2. 識別並區分 Windows 365 流量

識別 Windows 365 網路流量是能夠在適當情況下區分該流量與一般網際網路流量的第一步。 Windows 365 的連接性可以透過實施多種方法的組合來優化,例如:

網路路由優化

  • VPN/安全網頁閘道 (SWG) 繞過

  • 防火牆規則

  • 瀏覽器代理設定。

  • 為特定端點繞過網路檢查裝置。

服務所需端點的細節可歸納為以下三類之一

a.      RDP – 雲端與實體裝置端的需求相同

b.     雲端服務連接

c.      實體用戶端連接需求

) 和 (b (區域的流量) 需要特別優化,而 (c) 下的流量則不需要。 這些類別中端點的分布可在所提供的連結中找到。 這些端點的詳細資訊可見 於網路需求文件中。

3. 本地出口網路連接

對於建議端點,流量應在本地且直接出口,

  • 對於雲端 PC 端,流量應該直接從 VNet 路由到 Azure 網路,避免任何 VPN 隧道、安全網路閘道、代理或本地出口。

  • 對於實體用戶端裝置,例如讓金鑰服務流量盡可能靠近使用者 (。 透過本地的 SD-WAN 出口或家用網際網路服務供應商 (ISP) ,而非先回傳至中央站點。

遠端桌面優化

圖 1:帶有局部分拆的 RDP 優化

這張圖片展示了以下內容:

  • 在清奈本地輸出 RDP 流量確保流量進入 Microsoft 的全球網路,位於清奈對等點。
  • 本地服務前門 (遠端桌面閘道器與 TURN 中繼) 透過保持連線靠近使用者來降低延遲。
  • 從服務前門到美國中部雲端電腦的長距離回程部分完全運行於 Microsoft 網路,提供優化、高頻寬、低延遲的路徑,並具備冗餘連結。
  • 此設計提供最低延遲、高效能、降低斷線風險及優秀使用者體驗,且大部分路徑避免使用公共網路。
  • 若設定正確,從雲端 PC 到 服務前端的 RDP 流量會完全停留在 Microsoft 網路上,且不會穿越公共網際網路。

使用靠近使用者的本地網路斷線,讓流量能快速進入 Microsoft 的全球網路。 此方法讓鄰近的 Microsoft 入口優化連線,確保無論主機位置為何,都能可靠存取雲端電腦。

此基礎設施包括:

  • 網際網路邊緣超過185個接入點

  • 超過165,000英里的光纖與海底電纜,將使用者連接到Microsoft雲端

  • 超過 40 個 Azure 區域的 RDP Gateway for TCP 基礎 RDP

  • TURN Relays 用於超過 40 個 Azure 區域的基於 UDP 的 RDP

本地網路中斷會將使用者連接到靠近其位置的 Windows 365 基礎設施。 從那裡,所有傳送到雲端 PC 的流量都經過 Microsoft 安全、高速、低延遲的 全球網路

4. 評估繞過代理、VPN、安全網路閘道及流量檢查裝置。

企業客戶應檢視其對 Windows 365 流量的安全控制,並允許關鍵服務流量直接路徑。 這樣做能減少對昂貴且侵入性強的安全工具的依賴,這些工具可能損害效能與可靠性。 大多數企業網路會利用代理、傳輸層安全 (TLS) 檢查、封包檢查及資料遺失防護系統等技術來執行網際網路流量的網路安全。 這些技術對一般網際網路請求提供重要風險緩解,但應用於某些 Windows 365 端點時,可能會大幅降低效能、可擴展性及終端使用者體驗品質。 建議針對所有重點顯示的 Windows 365 端點進行以下網路優化:

針對 RDP 流量:

  • 繞過 TLS 解密、攔截、深度封包檢查及網路封包 & 內容過濾的流量,涵蓋雲端 PC 端與 實體裝置端。 檢查這些流量並未被支援,也沒有任何好處。

  • 在Azure內使用使用者定義路由 (UDR) ,直接將 RDP 流量傳送至網際網路,避免任何檢查裝置如防火牆。 例如,直接傳送到 NAT 閘道,避免走防火牆路徑。 詳細範例請參閱 Windows 365 Azure 防火牆文件

  • 排除 VPN 中的 RDP 流量、Secure Web Gateway (SWG) ,以及在雲端電腦和實體裝置上設定的代理隧道。

  • 提供一條直接路徑,讓流量能直接抵達實體用戶端的網際網路,就像 Teams 媒體流量一樣。

  • 為實體客戶端 RDP 流量提供本地網際網路分流,而非回傳至中央或遠端出口,讓它能使用 Microsoft 附近的服務基礎設施與全球網路。

針對雲端服務連接需求:

  • 確保預設路由將流量傳送到Azure出口點 (例如Azure 防火牆) ,而非在本地回傳。

  • 將 Windows 365 流量排除在 TLS 解密、攔截、深度封包檢查及內容過濾之外,以避免效能與可靠性問題。 如果需要過濾,請允許直接透過 Azure 防火牆進行過濾。

  • 繞過 VPN、安全網路閘道 (SWG) ,以及Windows 365流量的代理設定。

用於實體客戶端連接

  • 將 VPN、安全網路閘道 (SWG) 以及裝置上設定的代理隧道排除 RDP 流量。

  • 為所有 RDP 流量提供直接的本地網際網路斷開,以降低延遲並提升可靠性。

  • 關閉 RDP 流量出口路徑的 TLS 檢查,以防止會話中斷。

  • 根據組織一般的外部連接模式,將所有其他端點視為標準網路流量處理。

Windows 365 安全考量

在實施 Windows 365 連線優化時,請牢記以下幾點:

  • 大多數必需端點都是僅服務的。 它們存在的目的是操作 Windows 365 服務,並不攜帶使用者產生的資料。

  • 遠端桌面協定 (RDP) 流量是例外,像剪貼簿重定向這類資料會在此流量中傳送,但其路徑被隔離於實體裝置與雲端電腦之間的連線。

  • 檢查或未優化的路由可能會損害效能。 像深度封包檢查、TLS 攔截或回程等技術,常常會帶來延遲並降低可靠性。

  • TLS 檢查對這些端點沒有任何好處。 端點已經使用 TLS 進行安全通訊,且資料與服務相關。

  • RDP 流量是雙重加密的。 傳統的線上檢測工具無法解密。

  • 大量流量會讓安全設備過載。 當這種情況發生時,共享相同基礎設施的其他關鍵服務可能會中斷。

  • 大多數端點都託管在 Microsoft 的基礎設施中。

  • 直接本地出口進入 Azure 主幹網路是最有效率且安全的路徑。 從雲端 PC 出發,流量仍停留在 Microsoft 的全球網路上,且不會經過公共網際網路。

  • 大多數流量已經被 TLS 加密,這在傳輸過程中保護了機密性。

  • TCP 80 埠的流量不會攜帶私人資料。 它適用於特定功能,例如Azure織體通訊及憑證撤銷清單 (CRL) 檢查。

任何例外都有明確紀錄。 不符合這些條件的流量會在 Windows 365 端點需求中被識別,並可依標準網際網路路徑行駛。

簡化部署

Windows 365 提供兩種網路連接選項。 選擇合適的方案能大幅降低複雜度、成本與風險。

  • Azure ANC) (網路連線:透過 ANC,你管理底層的連接。 實施這些需求通常需要數週甚至數月的時間來配置網路、防火牆規則、UDR、ExpressRoute,以及網路安全群組 (NSG) ,並持續維護。 它反映了許多組織正在逐漸遠離的傳統企業網路擴展。

  • Microsoft 託管網路: Microsoft 託管網路選項能快速部署,且網路負擔最低。 Microsoft 設計、維護並保障環境安全,以確保最佳的連線性。 你的主要任務是確保關鍵流量能繞過 VPN 或 SWG 隧道,這通常設定起來很快。 此模式符合零信任原則,並與現代 SWG 及私人存取解決方案良好配合。

許多組織已經對遠端員工採用類似方式,透過現代端點管理與零信任管理筆記型電腦。 Microsoft Hosted Network 將相同概念應用於雲端 PC,將其視為僅進行外撥連線的安全家用裝置。 此設計縮短專案時程、提升彈性,並簡化持續管理。

想了解更多關於此設計選擇的資訊,請參閱 Windows 365 部署選項文件

  • Last updated on