AFM_Adm 11 Posted January 30 Report Posted January 30 Moin zusammen, wir nutzen einen Proxy für den Zugriff Richtung WAN. Nun soll auf den Windows 11 Clients Intune, Azure Virtual Desktop etc. genutzt werden. Der Proxy ist in den Systemeinstellungen vom Windows 11 Client hinterlegt. Generell wird der Proxy auch verwendet, dass sieht man im Log, jedoch versucht der Client bestimmten Traffic direkt Richtung Azure Cloud zu schicken über die Firewall. Habt ihr Erfahrung mit Intune, Azure Virtual Desktop und Proxy, wie kann ich den Client dazu bringen, den gesamten Traffic Richtung Proxy zu schicken? Oder ist dies nativ in den Services, etc. zu tief verankert, dass es nicht möglich ist einen Proxy dafür zu nutzen? Quote
Gu4rdi4n 67 Posted February 3 Report Posted February 3 (edited) Ich nehme mal an ihr nutzt SSL inspection? Das ist nicht supported von Microsoft soweit ich weiß. Zitat For some tasks, Intune requires unauthenticated proxy server access to manage.microsoft.com, *.azureedge.net, and graph.microsoft.com. Note SSL traffic inspection is not supported for '*.manage.microsoft.com', '*.dm.microsoft.com', or the Device Health Attestation (DHA) endpoints listed in the compliance section. https://learn.microsoft.com/en-us/mem/intune/fundamentals/intune-endpoints?tabs=north-america Edited February 3 by Gu4rdi4n 1 Quote
AFM_Adm 11 Posted February 3 Author Report Posted February 3 vor einer Stunde schrieb Gu4rdi4n: Ich nehme mal an ihr nutzt SSL inspection? Das ist nicht supported von Microsoft soweit ich weiß. https://learn.microsoft.com/en-us/mem/intune/fundamentals/intune-endpoints?tabs=north-america Danke für den Hinweis, aber nein machen wir für die genannten FQDN's nicht. Aber selbst wenn, dann würde der Traffic nicht sauber durch den Proxy durch gehen, aber würde ja nicht erklären, wieso Anfragen vom Client zum Teil ja erst garnicht auf dem Proxy ankommen, sondern versuchen direkt Richtung Internet zu quatschen. Oder was ist dein Ansatz? Quote
cj_berlin 1,382 Posted February 3 Report Posted February 3 Moin, speziell für AVD weiß ich es nicht, aber normales RDP versucht immer eine direkte Verbindung, bevor es zu anderen Mitteln greift, um zu bestimmen, ob RD Gateway benutzt werden soll. RDP Shortpath in AVD (erkennst Du am UDP-Traffic) wird auch nur direkt ausgeführt, am Proxy vorbei. Vielleicht habt ihr das ja aktiviert? Quote
AFM_Adm 11 Posted February 4 Author Report Posted February 4 Traffic ist TCP auf Port 443, verhält sich auch ähnlich mit Intune. Der Windows 11 Client baut ein Großteil der Verbindungen zu MS Cloud (Azure) über den Proxy auf, ein kleiner Teil versucht direkt raus zuquatschen. Solange dieser Traffic nicht erlaubt ist, kriegt der Client auch keine Softwarepakete von Intune. Quote
Gu4rdi4n 67 Posted February 4 Report Posted February 4 (edited) Zitat If your organization's network and security policies require proxy servers for web traffic, you can configure your environment to bypass Azure Virtual Desktop connections while still routing the traffic through the proxy server. However, each organization's policies are unique, so some methods may work better for your deployment than others. Here are some configuration methods you can try to prevent performance and reliability loss in your environment: Azure service tags with Azure Firewall Proxy server bypass using Proxy Auto Configuration (.PAC) files Bypass list in the local proxy configuration Using proxy servers for per-user configuration Using RDP Shortpath for the RDP connection while keeping the service traffic over the proxy https://learn.microsoft.com/en-us/azure/virtual-desktop/proxy-server-support Zitat Don't use proxy servers that need authentication Azure Virtual Desktop components on the session host run in the context of their operating system, so they don't support proxy servers that require authentication. If the proxy server requires authentication, the connection will fail. Edited February 4 by Gu4rdi4n Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.