על Windows 365 וכאלה
האם כדאי להתבסס על טכנולוגיות שונות המספקות וירטואליזציה לתחנות בענן? תלוי את מי שואלים, ואם נביט אל התקופה האחרונה אז נוכל לראות הבדלים ואת היתרון של ארגונים שאימצו ענן בתקופה שלפני כן. באופן אישי אני סבור שטכנולוגיות VDI למינהם בענן הם הדבר הבא, וליתר דיוק אנו כבר נמצאים עם טכנולוגיות קיימות, למשל הפלטפורמה של Azure Virtaul Desktop.
כיום ישנם מספר טכנולוגיות המספקות פתרונות VDI מתקדמים עבור וירטואליזציה של תחנות עבודה, חלקן מיושמות ברמה המקומית על גבי דטאהסנטר, וחלקן מנוהלות בענן. בתקופה הנוכחית, יותר מתמיד, ישנו פוקוס על בחינה ומעבר אל פתרון VDI כזה או אחר, והחשיבה היא על פני שדרוג פיזי של תחנות קצה, והסיבות לכך הם שונות ומגוונות, בין אם מדובר על מעבר מתוך תחנות לגאסי כמו Windows 7 או הצורך בהנגשה של תחנות עבודה מרוחקות, וכמובן כאשר עולה הצורך באבטחת מידע.
המאמר הינו מאמר הקדמה על Windows 365 עם נקודות חשובות, הערות ומידע על הפתרון שהוכרז לאחרונה. פורום ועדכונים בקבוצות הבאות:
- קבוצת ווטס Windows11.Warriors בנושא Windows 11 + W365
- קבוצת ווטס M365.HERO בנושאי M365
- קבוצת טלגרם Cloud.Pro בנושאי ענן שונים
באירוע השנתי של Microsoft Inspire השנתי שנערך ביולי 2021 הכריזה Microsoft על פלטפורמה חדשה בענן – פתרון וירטואליזציה לתחנות קצה – Windows 365.
הפתרון החדש נועד לבסס וירטואליזציה של Windows כדרך גרנולרית, מודרנית, מתקדמת בענן בכדי שיוכל לספק חווית משתמש ניידת על גבי Windows מכל מכשיר ומכל מקום.
חשוב להגיש כי הפתרון החדש של Windows 365 אינו מחליף את הטכנולוגיה המעולה של Azure Virtual Desktop, אלא מגיע כפתרון משלים, נכון לרגע ההכרזה ההבדלים המהותיים בין הטכנולוגיות הם המודל המסחרי ופשטות הניהול.
קצת היסטוריה. בספטמבר 2019 יצא לעולם הפתרון של Azure Virtaul Desktop (בזמנו נקרא Windows Virtaul Desktop) וכיום הוא הפתרון וירטואליזציה של Microsoft בענן, ולמעשה Azure Virtual Desktop הוא הדרך המודרנית והלגטימית לספק יישומים שונים על גבי Windows בענן.
הפופולריות של Azure Virtaul Desktop הגיחה בעקבות הפנדמיה העולמית שתפסה אותנו מאז מרץ 2020 ומאז הפתרון תפס תאוצה פסיכית, בעיקר בגלל הדרישה של שולחנות עבודה מנוהלים. כיום ישנם מעל למיליארד תחנות מבוססות Windows 10, אך רק אחוז קטן מהם הם תחנות מבוססות Azure Virtual Desktop, אחת הסיבות לכך היא שבכדי להקים Azure Virtual Desktop צריך הבנה וידע (הייתי אומר גם ידע מתקדם) בכדי שיאפשר להקים Azure Virtaul Desktop בצורה נכונה ויעילה.
אין ספק כי Windows 365 יגדיל משמעותית את הגישה של ארגונים לוירטואליזציה של תחנות בענן ע"י כך שהוא מאפשר פריסה קלה ופשוטה יותר וע"י כך שהוא מוריד את המורכבות היומיומית. השאלה היא, האם Windows 365 מתאים לכל ארגון? מסקנות בנקודות שונות בתוך המאמר.
נקודה נוספת ומעניינת היא, באחד מהסקרים שנעשו ע"י Microsoft נמצא כי 73% מהעובדים עדיין מעוניינים להמשיך לעבוד מרחוק, ויחד עם זאת כל אותם משתמשים עדיין מעוניינים לעבוד עם הכלים המתקדמים. הסיטואציה הזאת מביאה ארגונים רבים למצב פרדוקסלי בהתמודדות של עבודה מרחוק והנגשת עבודה מרחוק בתצורה היברידית מכל מקום בעולם עם כל הכלים, האפליקציות והתכנים.
מהו Windows 365
הפתרון של Windows 365 מספק חוויית משתמש מיידית המאפשרת למשתמשים להזרים את כל האפליקציות, יישומים, הגדרות מותאמות (אישיות), כלים ותכנים מהענן ולכל מכשיר, כולל מכשירים מבוססים Mac, iPad, הפצות לינוקס שונות וכן אנדרואיד. היתרון ברור, שולחן העבודה נשאר כמו שהוא וניתן להמשיך מאותה נקודה שהופסקה ללא כל שינוי שהוא ולהמשיך לעבוד באופן שוטף.
כאמור, הפתרון של Windows 365 הוא שירות שולחן עבודה וירטואלי והוא חלק מתוך השירות של Microsoft 365. הטכנולוגיה מציעה לארגונים מנוי חודשי במחיר קבוע לתחנה בענן (Cloud PC) אשר שייכת לכל משתמש ספציפי, ומאפשרת ניהול של כל תחנה באמצעות אותם כלים, והניהול הוא זהה כמו כל תחנה מבוססת Windows רגילה.
לאחר סט הגדרות ראשוניות של תחנה בענן (Cloud PC), התחנה זמינה לכל משתמש ספציפי, וטרם ביצוע הגדרות נוספות ושיוך למערכות ניהול (בהתאם לתצורה) צריך לדעת כי ישנם שלושה מאפיינים מרכזיים לכל תחנה בענן (Cloud PC) אשר שייכת אל Windows 365:
- תחנה בענן (Cloud PC) היא ייעודית לכל משתמש
- העלות היא עלות Fixed בלבד
- הרישוי הינו חלק מתוך רישוי M365 (לא Azure)
כמו שהזכרתי קודם לכן, אחד מהעקרונות החשובים של Windows 365 הוא הפשטות. למשל, ניתן לבחור את גודל התחנה שעונה לדרישות המשתמש לאותה תקופה, ולהתאים את התחנה בהתאם לביצועים הנדרשים.
לצד זה, Windows 365 מותאם לאופן שבו מנהלים מכונות בארגון, כלומר תחנות בענן (Cloud PC) מופיעות לצד המכונות האחרות בממשק Microsoft Endpoint Manager, מכאן, ניתן להחיל עליהם מדיניות IT וכן מדיניות אבטחה בצורה אחידה וזהה כמו שנעשה לכלל המכונות האחרות בארגון.
העבודה של משתמש על תחנה בענן (Cloud PC) מאפשרת המשכיות כי כל תחנה בענן היא מכונה וירטואלית לכל דבר המותאמת למשתמש ספציפי, ולכן כל האפליקציות והיישומים המותקנים בתחנה בענן אינם נעלמים כאשר המשתמש מתנתק. פרופיל המשתמש אינו מועבר למיקום משותף של קבצים באמצעות FSLogix כמו Azure Virtaul Desktop.
בנוסף לכך, כלי אבטחה שמכילים סנסורים או Agent למינהם מזהים את המכונה כתחנת Windows לכל דבר ומשייכים את התחנה למשתמש אשר מבצע פעולות וכן מפעיל את אותה מערכת הפעלה ארגונית של Windows 10 או Windows 11.
המשמעויות וכן התנהגות של תחנות בענן (Cloud PC) במערכת לכל דבר הן חשובות כי הם מאפשרות פשטות, ניהול ודינמיות בהחלפה של תחנות ללא הפרעה למשתמש – החלק הזה חשוב מאוד כי הוא שומר על חווית המשתמש לאורך כל הדרך.
הערה: ריבוי הפעלות אינו נתמך כרגע בפתרון של Windows 365
מכיוון שהפתרון של Windows 365 היא פלטפורמת SaaS לכל דבר, המשמעות היא שהפתרון הוא חלק מתוך המשפחה הגדולה והענפה של Microsoft 365, ומכאן אפשר להבין כי תחנות ענן (Cloud PC) נרכשים באותם ערוצי הרישוי של Microsoft 365 על בסיס הפלאנים השונים.
תחנות ענן (Cloud PC) מנוהלים באמצעות כלים שונים כמו זה של Microsoft Endpoint Manager וכן פורטל ניהול ייעודי, ולא באמצעות הכלים והפורטל של Azure – כלומר אין אפשרות לנהל מכונות מתוך הממשק של Azure Virtaul Desktop.
אנקדוטה מהחיים עצמם, הפתרון של Windows 365 הוא זהה להכרזה של Exchange Online שהיתה באזור 2010, גם אז הפלטפורמה התחילה מדבר יחסית קטן אבל לא לאט הוסרו כל המגבלות והמורכבויות, ולכן המקרה הוא זהה.
איך עובד Windows 365
בפלטפורמה של Windows 365 ישנם שתי גרסאות של תחנות ענן: Business & Enterprise.
תחנות ענן (Cloud PC) בגרסת Enterprise מיועדות לארגונים שמבוססים על תשתית Microsoft Endpoint Manager ועובדים עם היכולות השונות בפלטפורמה בכדי לנהל מכונות מבוססות Windows 10 וכן מערכות הפעלה נוספות. תחנות ענן בגרסת Enterprise דורשות רישוי Intune עבור כל משתמש שהוקצה לו תחנת ענן עם רישוי M365 SKU.
תחנות ענן (Cloud PC) בגרסת Business מיועדות לארגונים קטנים שאינם מנהלים את התחנות שלהם בצורה מסודרת. במצב כזה תחנות ענן נרשמות כמנוי Business עם תחנת ענן. בסנריו כזה התחנות מוכנות ומוגדרות תוך זמן קצר מאוד. תחנות ענן אינן דורשות רישוי Intune ומנוהלות ע"י המשתמש כאילו זה היה מחשב פיזי לכל דבר.
הערה: תחנות ענן בגרסת Business מותאמות לארגונים שרוכשים תחנות באופן לא מסודר
הדיאגרמה הכללית הבאה מתארת את ארכיטקטורת הפריסה של תחנות ענן Business & Enterprise כאחד.
תחנות ענן בגרסת Enterprise
תחנות ענן ארגוניות תלויות בתשתית Azure המוגדרות עם רשתות vNet וכן מבוססות על תשתית Active Directory שמוגדרת בתרחישים שונים, בינהם גם תצורת Hybrid AD Joined
המכונה עצמה פועלת בחשבון Azure המנוהל ע"י Microsoft, כלומר לאדמינים אין גישה אליו ישירות ובנוסף לכך אין עלות נוספת של המכונות על אותו חשבון (חלק מהרישוי). בנוסף לכך, כרטיס הרשת (NIC) של המכונה "מוזרק" לתוך vNet בחשבון Azure של הארגון. מכאן, כל תעבורת הרשת נכנסת ויוצאת אל המכונה באמצעות vNet המנוהל על-ידי הארגון עצמו.
הערה: עלויות ההעברה כמו Egress משויכות אל הארגון.
מאחר שלאדמינים אין גישה ישירה למכונה הפועלת בחשבון Azure, כל משימות הניהול (למשל התקנת אפליקציות, עדכון, פריטי מדיניות) מבוצעות באמצעות ממשק Endpoint Manager.
דרישות מוקדמות של תחנת ענן ארגוני:
- חשבון Azure עם vNet
- לרכיב Azure vNet יש אפשרות לגשת לבקר המכונות של Active Directory
- שרתי DNS מותאמים אישית, ניתוב נחוץ ומונגש עם Firewall
- חיבור Azure AD מוגדר ופועל בתוך Active Directory כאשר צירוף היברידי של Azure AD זמין
- Intune זמין ומוגדר מול Azure AD
- לכל משתמש במחשב ענן מוקצה רשיון Intune
- מנהל המערכת המגדיר את הפריסה הראשונית חייב להיות עם הרשאות Owner
- אין תמיכה ברכיבי AD DS
תחנות ענן בגרסת Business
תחנות ענן בגרסת Business הן תחנות הפועלות במלואם בחשבון Azure, כולל תשתית הרשת. במצב כזה הארגון אינו זקוק לחשבון Azure. כמו כן, אין תלות בתשתית Active Directory מאחר שתחנות ענן בגרסת Business מצורפים אל תשתית Azure AD. כמו כן, אין דרישה לרישוי Endpoint Manager.
תחנות ענן בגרסת Business מנתבים את כל תעבורת הרשת דרך תשתית רשת המנוהלת של Microsoft ואין לאדמינים דרך לשלוט בקישוריות הנכנסת או היוצאת אל סוגי אליה ומחוצה לה. נכון לגרסה הנוכחית אין דרך להקצות כתובות IPS סטטיות לתחנות ענן בגרסת Business. מאחר שתחנות ענן פועלות בחשבון Azure ואינן רשומות בתשתית של Intune, אין ממשק ניהול לתחנות אלה.
הערה: תחנות ענן בגרסת Business מנוהלות ישירות רק על ידי המשתמש, בדיוק כמו מכשיר Windows פיזי עצמאי
יתרון בתחנות ענן בגרסת Business היא שאין דרישות מוקדמות ואין צורך בשלבי התקנה. המשתמש יקבל הודעת דוא"ל עם הוראות כניסה כדי להתחיל להשתמש במחשב הענן החדש שלו.
חוויית משתמש
Windows 365 בנוי על גבי התשתית הגלובלית של שולחן העבודה הווירטואלי של Azure ויהיה מוכר מאותה חווית משתמש של Azure Virtaul Desktop, ולכן אפליקציות משתמש זהות והן זמינות עבור Windows, MacOS, iOS, Android וכן HTML. בעת התחברות למחשב ענן, משתמש יבצע אימות מול Azure AD.
טים: ניתן לממש חווית אבטחה מבוססת Zero Trust בכדי לקבל את כל אותן תכונות אבטחה מתקדמות
מינוף אותה תשתית כמו AVD מספק למשתמשים את היתרון של חוויה מאוחדת בשולחנות עבודה וירטואליים של Windows 365. אדמינים יכולים לשלוט במשאבים הגלויים למשתמשי קצה והמשתמש יראה הכל בממשק באמצעות אותה אפליקציה.
עלויות וכאלה
קיימים שני רכיבי עלות למחשב ענן: Compute License וכן Software License.
הרישוי כולל מפרט של 12 תחנות קצה הנעים בין vCPU אחד ל-8 vCPUs, 2 GB עד 32 GB של זיכרון RAM ו-64 GB עד 512 GB של אחסון. מנקודת מבט של רישוי, דרוש רישוי של Windows 10או רישוי של Windows 11, וכן רישוי Intune.
רישוי OEM אינו עומד בדרישות, ולכן ניתן להשתמש רק ברישוי Microsoft 365 לפתרון של Windows עבור תחנות ענן, והפלאנים המוכרים של Microsoft 365 יהיו חלק מתוך הרישוי של Widnows 365 כמו M365 Business Premium, E3, E5 ו- Windows 10 Enterprise E3/E5/VDA.
בכדי לנהל תחנות ענן באמצעות MEM, נדרש רישוי Intune. רישיונות אלה מגיעים עם מנויי M365 E3, E5 ו- Business Premium וניתן גם לרכוש אותם גם כרישוי Add-on.
עלות חודשית קבועה של תחנות ענן הם מחשבי SUS חודשיים בדיוק כמו הרישוי של M365 E3 או של רישוי M365 אחרים. אין תמחור מבוסס צריכה, כמו בשולחן העבודה הווירטואלי של Azure.
קישורים נבחרים
Windows 365 Cloud PC | Microsoft
Microsoft unveils Windows 365 — ushering in a new category of computing – Stories
Introducing a new era of hybrid personal computing: the Windows 365 Cloud PC | Microsoft 365 Blog
מאמרים נוספים בנושא Windows 365 יעלו בקרוב
