Vue d’ensemble de la connexion réseau Azure
Une connexion réseau Azure (ANC) est un objet du centre d’administration Microsoft Intune qui fournit des profils de provisionnement de PC cloud avec les informations requises pour se connecter aux ressources réseau. Les ANC sont utilisés :
- Quand un PC cloud est provisionné pour la première fois.
- Quand Windows 365 effectue ses vérifications périodiques de la connexion à l’infrastructure locale pour garantir la meilleure expérience possible à l’utilisateur final.
Types de connexion réseau
Il existe deux types d’ANC en fonction de leur type de jointure. Tous deux vous permettent de gérer le trafic et l’accès des PC cloud aux ressources réseau, mais ils ont des exigences de connectivité différentes.
- Jointure Microsoft Entra : ne nécessite pas de connectivité à un domaine Windows Server Active Directory (AD).
- Jointure Microsoft Entra hybride : nécessite une connectivité à un domaine Windows Server AD. Vous devez fournir les détails du domaine AD lorsque vous créer l’ANC.
Approvisionnement
Lorsqu’un PC cloud est approvisionné, les informations contenues dans l’ANC sont utilisées par la stratégie d’approvisionnement pour provisionner le PC cloud dans le sous-réseau Azure. Les informations requises dans un ANC incluent :
- Détails réseau : l’abonnement Azure, le groupe de ressources, le réseau virtuel et le sous-réseau auxquels le PC cloud sera associé. Lorsqu’une stratégie de provisionnement s’exécute, elle crée un PC cloud dans l’abonnement Azure hébergé par Microsoft. Pour se connecter à un réseau local de clients, une carte d’interface de réseau virtuel (vNic) est injectée dans un réseau virtuel Azure (vNet) fourni par le client. Pour créer cette carte réseau virtuelle, Windows 365 a besoin d’autorisations suffisantes pour accéder à un abonnement Azure.
- Domaine Active Directory : le domaine Active Directory auquel se joindre, une destination d’unité d’organisation pour l’objet ordinateur et des informations d’identification Active Directory avec des autorisations suffisantes pour effectuer la jonction de domaine. Lorsqu’une stratégie de provisionnement est exécutée, le PC cloud est joint à ce domaine Active Directory. Les informations d’identification seront stockées de façon sécurisée dans le service Windows 365.
Pendant l’approvisionnement, le PC cloud est connecté au sous-réseau Azure et joint à un domaine (windows Server Active Directory ou ID Microsoft Entra). Ce processus entraîne la création d’un PC Cloud qui est :
- Sur votre réseau.
- Inscrit à l’ID Microsoft Entra.
- Inscrit à Microsoft Intune.
- Prêt à accepter les demandes de connexion de l’utilisateur.
Les paramètres ANC sont appliqués au PC cloud uniquement au moment de l’approvisionnement.
Autres ancs
Pour améliorer la fiabilité de l’approvisionnement des PC cloud dans les rares cas de contraintes de capacité dans une région, vous avez la possibilité d’affecter d’autres ancs à une stratégie d’approvisionnement. Vous pouvez définir l’ordre de priorité des ANC que la stratégie utilisera. Si le premier ANC n’est pas disponible, la stratégie utilise automatiquement le deuxième ANC dans la liste des priorités. Si le deuxième n’est pas disponible, il passe au suivant, et ainsi de suite. Cela permet aux administrateurs de préparer plusieurs ANC dans différentes régions Azure, ce qui rend l’approvisionnement plus fiable. Vous n’avez pas besoin d’utiliser plusieurs ANC. Pour plus d’informations sur l’utilisation d’autres AC lors de la création de vos stratégies d’approvisionnement, consultez Créer des stratégies d’approvisionnement.
Premier contrôle d’intégrité
Les informations incluses dans l’ANC sont utilisées pour approvisionner un PC cloud. Pour que l’approvisionnement réussisse, les ressources référencées dans l’ANC doivent être saines et accessibles. Une fois qu’un objet ANC est créé, Windows 365 vérifie que :
- Les objets référencés par l’ANC sont sains.
- Des connexions peuvent être établies avec ces objets.
Ces contrôles d’intégrité utilisent les informations ANC fournies pour approvisionner un PC cloud. Pour obtenir la liste complète des vérifications, consultez vérifications d’intégrité des connexions réseau Azure.
Pendant que ce premier contrôle d’intégrité ANC est en cours, vous ne pouvez pas l’affecter à une stratégie d’approvisionnement. Une fois le contrôle d’intégrité terminé et réussi, l’ANC peut être affecté à une ou plusieurs stratégies d’approvisionnement.
Vérifications d’intégrité périodiques
Après l’approvisionnement, les informations contenues dans un ANC sont également utilisées pour le suivi de :
- l’intégrité de la connexion entre vos ressources réseau
- le PC cloud hébergé dans l’abonnement hébergé par Microsoft
Windows 365 signale des problèmes de configuration susceptibles de provoquer des échecs d’approvisionnement ou des expériences utilisateur final médiocres. Cette surveillance réduit votre charge de gestion. Pour plus d’informations sur ces vérifications périodiques, consultez vérifications d’intégrité des connexions réseau Azure.
Fréquence des contrôles d’intégrité
Les vérifications ANC sont effectuées toutes les 1 à 6 heures.
Le contrôle d’intégrité complet de bout en bout peut prendre jusqu’à 30 minutes. Les contrôles d’intégrité sont exécutés sur une machine virtuelle Azure temporaire qui est créée automatiquement à cet effet. Cette machine virtuelle est créée automatiquement et elle est supprimée une fois les contrôles d’intégrité terminés. La machine virtuelle est connectée au réseau virtuel que vous avez spécifié, et des vérifications sont effectuées pour garantir la réussite du provisionnement.
Une fois la vérification terminée, les résultats sont publiés dans le volet Connexion réseau Azure du Centre d’administration Microsoft Intune. Pour plus d’informations sur les résultats de la vérification, consultez vérifications d’intégrité des connexions réseau Azure.
Réessayer un contrôle d’intégrité
Pour déclencher manuellement un contrôle d’intégrité complet, connectez-vous au Centre d’administration Microsoft Intune, sélectionnez Appareils>Windows 365 (sous Provisionnement)>Connexion> réseau Azure sélectionnez une connexion > réseau Azure Réessayer.
Autorisations requises pour les connexions réseau Azure
L’Assistant ANC requiert l’accès à Azure et, éventuellement, aux ressources de domaine locales. Les autorisations suivantes sont requises pour l’ANC :
- Rôle Administrateur Intune ou Administrateur Windows 365 .
- Un compte d’utilisateur Active Directory disposant des autorisations suffisantes pour joindre le domaine AD à cette unité d’organisation (anC de jointure hybride Microsoft Entra uniquement).
Pour créer ou modifier un ANC, vous devez au moins avoir le rôle Lecteur d’abonnement dans l’abonnement Azure où se trouve le réseau virtuel associé à l’ANC.
Pour obtenir la liste complète des conditions requises, consultez Configuration requise pour Windows 365.
Modification d’une connexion réseau Azure
La modification des paramètres dans un ANC n’affectera pas les PC cloud précédemment approvisionnés avec cet ANC. Seuls les PC cloud approvisionnés après les modifications apportées à l’ANC refléteront ces modifications ultérieures.
Si vous souhaitez modifier les paramètres associés à l’ANC sur un PC cloud précédemment configuré, vous devez réapprovisionner le PC cloud. Le réapprovisionnement est une action destructrice. Assurez-vous donc qu’il s’agit d’une action que vous voulez vraiment entreprendre. Pour plus d’informations, consultez Reprovisionnement.
Supprimer une connexion réseau Azure
Vous ne pouvez pas supprimer un ANC en cours d’utilisation. Avant de pouvoir supprimer l’objet, vous devez effectuer l’une des actions suivantes pour chaque stratégie d’approvisionnement qui utilise cet ANC :
- Modifiez la stratégie pour utiliser un ANC différent.
- Supprimez la stratégie. Pour plus d’informations, Supprimer une connexion réseau Azure.
Après avoir effectué l’une de ces opérations, vous pouvez supprimer l’ANC.
Nombre maximal de connexions réseau Azure
Chaque client a une limite de 10 connexions réseau Azure. Si votre organisation a besoin de plus de 10 connexions réseau Azure, contactez le support.
Connexion de l'utilisateur
Lorsque les utilisateurs tentent de se connecter à leur PC cloud, l’authentification de l’utilisateur s’active.
Pour les ANC de jointure hybride Microsoft Entra, l’ANC est utilisé pour acheminer la demande d’authentification vers vos contrôleurs de domaine. Si l’ANC ou la connexion réseau à votre domaine n’est pas saine, la connexion de l’utilisateur ne peut pas se produire. Les informations d’identification Windows mises en cache ne peuvent pas être utilisées sur le canal Bureau à distance. La disponibilité des contrôleurs de domaine est donc essentielle. Faites en sorte que votre réseau soit stable ou placez un serveur contrôleur de domaine sur le même sous-réseau que vos PC cloud.
Pour les ANC de jonction Microsoft Entra, l’ANC est utilisé pour acheminer la demande d’authentification vers l’ID Microsoft Entra. Les informations d’identification mises en cache Windows ne peuvent pas être utilisées sur le canal Bureau à distance. La connectivité à l’ID Microsoft Entra est donc essentielle.