AFM_Adm 11 Geschrieben 30. Januar Melden Geschrieben 30. Januar Moin zusammen, wir nutzen einen Proxy für den Zugriff Richtung WAN. Nun soll auf den Windows 11 Clients Intune, Azure Virtual Desktop etc. genutzt werden. Der Proxy ist in den Systemeinstellungen vom Windows 11 Client hinterlegt. Generell wird der Proxy auch verwendet, dass sieht man im Log, jedoch versucht der Client bestimmten Traffic direkt Richtung Azure Cloud zu schicken über die Firewall. Habt ihr Erfahrung mit Intune, Azure Virtual Desktop und Proxy, wie kann ich den Client dazu bringen, den gesamten Traffic Richtung Proxy zu schicken? Oder ist dies nativ in den Services, etc. zu tief verankert, dass es nicht möglich ist einen Proxy dafür zu nutzen? Zitieren
Gu4rdi4n 73 Geschrieben 3. Februar Melden Geschrieben 3. Februar (bearbeitet) Ich nehme mal an ihr nutzt SSL inspection? Das ist nicht supported von Microsoft soweit ich weiß. Zitat For some tasks, Intune requires unauthenticated proxy server access to manage.microsoft.com, *.azureedge.net, and graph.microsoft.com. Note SSL traffic inspection is not supported for '*.manage.microsoft.com', '*.dm.microsoft.com', or the Device Health Attestation (DHA) endpoints listed in the compliance section. https://learn.microsoft.com/en-us/mem/intune/fundamentals/intune-endpoints?tabs=north-america bearbeitet 3. Februar von Gu4rdi4n 1 Zitieren
AFM_Adm 11 Geschrieben 3. Februar Autor Melden Geschrieben 3. Februar vor einer Stunde schrieb Gu4rdi4n: Ich nehme mal an ihr nutzt SSL inspection? Das ist nicht supported von Microsoft soweit ich weiß. https://learn.microsoft.com/en-us/mem/intune/fundamentals/intune-endpoints?tabs=north-america Danke für den Hinweis, aber nein machen wir für die genannten FQDN's nicht. Aber selbst wenn, dann würde der Traffic nicht sauber durch den Proxy durch gehen, aber würde ja nicht erklären, wieso Anfragen vom Client zum Teil ja erst garnicht auf dem Proxy ankommen, sondern versuchen direkt Richtung Internet zu quatschen. Oder was ist dein Ansatz? Zitieren
cj_berlin 1.393 Geschrieben 3. Februar Melden Geschrieben 3. Februar Moin, speziell für AVD weiß ich es nicht, aber normales RDP versucht immer eine direkte Verbindung, bevor es zu anderen Mitteln greift, um zu bestimmen, ob RD Gateway benutzt werden soll. RDP Shortpath in AVD (erkennst Du am UDP-Traffic) wird auch nur direkt ausgeführt, am Proxy vorbei. Vielleicht habt ihr das ja aktiviert? Zitieren
AFM_Adm 11 Geschrieben 4. Februar Autor Melden Geschrieben 4. Februar Traffic ist TCP auf Port 443, verhält sich auch ähnlich mit Intune. Der Windows 11 Client baut ein Großteil der Verbindungen zu MS Cloud (Azure) über den Proxy auf, ein kleiner Teil versucht direkt raus zuquatschen. Solange dieser Traffic nicht erlaubt ist, kriegt der Client auch keine Softwarepakete von Intune. Zitieren
Gu4rdi4n 73 Geschrieben 4. Februar Melden Geschrieben 4. Februar (bearbeitet) Zitat If your organization's network and security policies require proxy servers for web traffic, you can configure your environment to bypass Azure Virtual Desktop connections while still routing the traffic through the proxy server. However, each organization's policies are unique, so some methods may work better for your deployment than others. Here are some configuration methods you can try to prevent performance and reliability loss in your environment: Azure service tags with Azure Firewall Proxy server bypass using Proxy Auto Configuration (.PAC) files Bypass list in the local proxy configuration Using proxy servers for per-user configuration Using RDP Shortpath for the RDP connection while keeping the service traffic over the proxy https://learn.microsoft.com/en-us/azure/virtual-desktop/proxy-server-support Zitat Don't use proxy servers that need authentication Azure Virtual Desktop components on the session host run in the context of their operating system, so they don't support proxy servers that require authentication. If the proxy server requires authentication, the connection will fail. bearbeitet 4. Februar von Gu4rdi4n Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.