Windows 10 nebo Windows 11 Enterprise vzdálené plochy s více relacemi
Azure Virtual Desktop pro více relací s Microsoft Intune je teď obecně dostupná.
Teď můžete použít Microsoft Intune ke správě Windows 10 nebo Windows 11 Enterprise vzdálené plochy s více relacemi v Centru pro správu Microsoft Intune, stejně jako můžete spravovat sdílené Windows 10 nebo Windows 11 klienta. Zařízení. Při správě takových virtuálních počítačů budete moct používat jak konfiguraci založenou na zařízeních, tak konfiguraci založenou na uživatelích.
Windows 10 nebo Windows 11 Enterprise více relací je nový hostitel relace vzdálené plochy, který je výhradní pro Azure Virtual Desktop v Azure. Poskytuje následující výhody:
- Umožňuje více souběžných uživatelských relací.
- Poskytuje uživatelům známé Windows 10 nebo Windows 11 prostředí.
- Podporuje použití stávajících licencí Microsoft 365 pro jednotlivé uživatele.
Můžete spravovat Windows 10 a Windows 11 Enterprise virtuální počítače s více relacemi vytvořené v Azure Government Cloudu v komunitě GCC (US Government Community), GCC High a DoD.
Důležité
Microsoft Intune podporu více relací služby Azure Virtual Desktop není v současné době k dispozici pro Citrix DaaS a VMware Horizon Cloud.
Přehled
Obecně dostupná je podpora konfigurace zařízení v Microsoft Intune pro Windows 10 nebo Windows 11 Enterprise více relací . To znamená , že zásady definované v oboru operačního systému a aplikace nakonfigurované pro instalaci v kontextu systému je možné použít na virtuální počítače Azure Virtual Desktopu s více relacemi, pokud jsou přiřazené ke skupinám zařízení.
Poznámka
Konfiguraci založenou na zařízení nelze přiřadit uživatelům a konfiguraci založenou na uživatelích nelze přiřadit k zařízením. Bude nahlášena jako Chyba nebo Nepoužitelné.
Podpora konfigurace uživatelů v Microsoft Intune pro Windows 10 nebo Windows 11 virtuální počítače s více relacemi je obecně dostupná. Díky tomu můžete:
Nakonfigurujte zásady oboru uživatele pomocí katalogu Nastavení a přiřaďte je skupinám uživatelů. Pomocí panelu hledání můžete prohledat všechny konfigurace s oborem nastaveným na "uživatel".
Nakonfigurujte certifikáty uživatelů a přiřaďte je uživatelům.
Nakonfigurujte skripty PowerShellu pro instalaci v kontextu uživatele a přiřazení uživatelům.
Požadavky
Tato funkce podporuje Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi, které jsou:
- Spuštění Windows 10 více relací verze 1903 nebo novější nebo spuštění Windows 11 více relací.
- Nastavte jako vzdálené plochy ve fondech hostitelů nasazených prostřednictvím Azure Resource Manager.
- Spuštění verze agenta Služby Azure Virtual Desktop 1.0.2944.1400 nebo novější.
- Hybridní Azure AD připojená a zaregistrovaná v Microsoft Intune pomocí jedné z následujících metod:
- Nakonfigurované pomocí zásad skupiny služby Active Directory, nastavené na používání přihlašovacích údajů zařízení a nastavené na automatickou registraci zařízení, která jsou připojená k hybridním Azure AD.
- Configuration Manager spoluspráva.
- Azure AD připojení a registraci v Microsoft Intune povolením registrace virtuálního počítače pomocí Intune v Azure Portal.
- Licencování: Příslušná licence služby Azure Virtual Desktop a Microsoft Intune se vyžaduje, pokud má uživatel nebo zařízení přímé nebo nepřímé výhody ze služby Microsoft Intune, včetně přístupu ke službě Microsoft Intune prostřednictvím rozhraní Microsoft API. Další informace najdete v tématu Microsoft Intune licencování.
Poznámka
Pokud připojujete hostitele relací k Azure Active Directory Domain Services, nemůžete je spravovat pomocí Intune.
Důležité
Pokud používáte buildy Windows 10 verze 2004, 20H2 nebo 21H1, nezapomeňte nainstalovat služba Windows Update nebo novější aktualizaci Windows z července 2021. V opačném případě nebudou správně fungovat vzdálené akce v Centru pro správu Microsoft Intune, jako je vzdálená synchronizace. V důsledku toho může použití čekajících zásad přiřazených k zařízením trvat až 8 hodin.
Další informace o licenčních požadavcích služby Azure Virtual Desktop najdete v tématu Co je Azure Virtual Desktop?
Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi se považují za samostatnou edici operačního systému a některé konfigurace Windows 10 nebo Windows 11 Enterprise nebudou pro tuto edici podporovány. Použití Microsoft Intune nezávisí na správě služby Azure Virtual Desktop stejného virtuálního počítače ani na něm nenarušuje.
Vytvoření konfiguračního profilu
Pokud chcete nakonfigurovat zásady konfigurace pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi, budete muset použít katalog Nastavení v Centru pro správu Microsoft Intune.
Existující šablony profilu konfigurace zařízení se nepodporují pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi s výjimkou následujících šablon:
- Důvěryhodný certifikát – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
- Certifikát SCEP – Zařízení (počítač) při cílení na zařízení a uživatel při cílení na uživatele
- Certifikát PKCS – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
- VPN – pouze tunel zařízení
Microsoft Intune nedoručí nepodporované šablony do zařízení s více relacemi a tyto zásady se zobrazí jako Nepoužitelné v sestavách.
Poznámka
Pokud pro Intune a Configuration Manager používáte spolusprávu, nastavte v Configuration Manager posuvník úlohy zásady přístupu k prostředkům na Intune nebo pilotní Intune. Toto nastavení umožňuje Windows 10 a Windows 11 klientům zahájit proces žádosti o certifikát.
Konfigurace zásad
- Přihlaste se do Centra pro správu Microsoft Intune a zvolte Zařízení>Profily konfigurace>Windows>Vytvořit profil.
- V části Platforma vyberte Windows 10 a novější.
- V části Typ profilu vyberte Katalog nastavení nebo při nasazení nastavení pomocí šablony vyberte Šablony a pak název podporované šablony.
- Vyberte Vytvořit.
- Na stránce Základy zadejte Název a (volitelně) Popis>Další.
- Na stránce Nastavení konfigurace vyberte Přidat nastavení.
- V části Výběr nastavení vyberte Přidat filtr a vyberte následující možnosti:
- Klíč: Edice operačního systému
- Operátor: ==
- Hodnota: Organizace pro více relací
- Vyberte Použít. Filtrovaný seznam teď zobrazuje všechny kategorie konfiguračních profilů, které podporují Windows 10 nebo Windows 11 Enterprise více relací. Rozsah zásad se zobrazuje v parantézách. Pro obor uživatele se zobrazuje jako (Uživatel) a všechny ostatní jsou zásady s oborem zařízení.
- Z filtrovaného seznamu vyberte požadované kategorie.
- Pro každou kategorii, kterou vyberete, vyberte nastavení, která chcete použít pro nový konfigurační profil.
- Pro každé nastavení vyberte požadovanou hodnotu pro tento konfigurační profil.
- Až dokončíte přidávání nastavení, vyberte Další .
- Na stránce Přiřazení zvolte skupiny Azure AD obsahující zařízení, ke kterým chcete tento profil přiřadit >Další.
- Na stránce Značky oboru volitelně přidejte značky oboru, které chcete použít pro tento profil >Další. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.
- Na stránce Zkontrolovat a vytvořit zvolte Vytvořit a vytvořte profil.
Šablony pro správu
Windows 10 nebo Windows 11 šablony pro správu jsou podporované pro Windows 10 nebo Windows 11 Enterprise více relací prostřednictvím katalogu Nastavení s určitými omezeními:
- Podporují se zásady založené na ADMX. Některé zásady zatím nejsou v katalogu Nastavení k dispozici.
- Podporují se zásady ingestované službou ADMX, včetně nastavení Office a Microsoft Edge, která jsou k dispozici v souborech šablon pro správu Office a v souborech šablon pro správu Microsoft Edge. Úplný seznam kategorií zásad přijatých službou ADMX najdete v tématu Konfigurace zásad aplikací Win32 a Přemostění na desktop. Některá nastavení ingestované službou ADMX nebudou použitelná pro Windows 10 nebo Windows 11 Enterprise více relací.
Dodržování předpisů a podmíněný přístup
Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi můžete zabezpečit konfigurací zásad dodržování předpisů a zásad podmíněného přístupu v Centru pro správu Microsoft Intune. Na Windows 10 nebo Windows 11 Enterprise virtuálních počítačích s více relacemi se podporují následující zásady dodržování předpisů:
- Minimální verze operačního systému
- Maximální verze operačního systému
- Platná sestavení operačního systému
- Jednoduchá hesla
- Typ hesla
- Minimální délka hesla
- Složitost hesla
- Vypršení platnosti hesla (dny)
- Počet předchozích hesel, aby se zabránilo opakovanému použití
- Microsoft Defender Antimalware
- Microsoft Defender aktuální antimalwarové bezpečnostní informace
- Brány firewall
- Antivirus
- Antispyware
- Ochrana v reálném čase
- Microsoft Defender minimální verze antimalwaru
- Defender ATP Risk Score
Všechny ostatní zásady se hlásí jako Nepoužitelné.
Důležité
Budete muset vytvořit nové zásady dodržování předpisů a zacílit je na skupinu zařízení obsahující virtuální počítače s více relacemi. Konfigurace dodržování předpisů cílené na uživatele se nepodporují.
Zásady podmíněného přístupu podporují konfigurace založené na uživatelích a zařízeních pro Windows 10 nebo Windows 11 Enterprise více relací.
Poznámka
Podmíněný přístup pro místní Exchange se nepodporuje pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi.
Poznámka
Zásady konfigurace a dodržování předpisů pro Nástroj BitLocker, zabezpečené spouštění a funkce využívající vTPM (Virtual Trusted Platform Module) se v současnosti nepodporují pro virtuální počítače Azure Virtual Desktop.
Zabezpečení koncových bodů
Profily v části Zabezpečení koncových bodů pro virtuální počítače s více relacemi můžete nakonfigurovat tak, že vyberete Windows 10 platformy, Windows 11 a Windows Server. Pokud tato platforma není dostupná, profil se nepodporuje na virtuálních počítačích s více relacemi.
Další informace najdete v tématu Správa zabezpečení zařízení pomocí zásad zabezpečení koncových bodů v Microsoft Intune
Poznámka
Ochrana před falšováním není na virtuálních počítačích Azure Virtual Desktop v současnosti podporovaná. Tato funkce bude povolena v budoucí verzi.
Nasazení aplikace
Všechny aplikace Windows 10 nebo Windows 11 je možné nasadit do Windows 10 nebo Windows 11 Enterprise více relací s následujícími omezeními:
- Všechny aplikace musí být nakonfigurované tak, aby se nainstalovaly v kontextu systému nebo zařízení, a musí být cílené na zařízení. Webové aplikace se ve výchozím nastavení vždy použijí v kontextu uživatele, takže se nebudou vztahovat na virtuální počítače s více relacemi.
- Všechny aplikace musí být nakonfigurované se záměrem Povinné nebo Odinstalovat přiřazení aplikace. Záměr Nasazení dostupných aplikací se na virtuálních počítačích s více relacemi nepodporuje.
- Pokud má aplikace Win32 nakonfigurovaná tak, aby se nainstalovala v kontextu systému, závislosti nebo vztah nahrazování u všech aplikací nakonfigurovaných tak, aby se nainstalovaly v kontextu uživatele, aplikace se nenainstaluje. Pokud chcete použít Windows 10 nebo Windows 11 Enterprise virtuální počítač s více relacemi, vytvořte samostatnou instanci aplikace kontextu systému nebo se ujistěte, že jsou všechny závislosti aplikací nakonfigurované tak, aby se nainstalovaly v kontextu systému.
- Připojení aplikace RemoteApp služby Azure Virtual Desktop a MSIX se v současné době v Microsoft Intune nepodporuje.
Nasazení skriptu
Skripty nakonfigurované tak, aby běžely v kontextu systému a přiřazené k zařízením, se podporují v Windows 10 nebo Windows 11 Enterprise více relacích. To můžete nakonfigurovat v nastavení skriptu nastavením Možnosti Spustit tento skript pomocí přihlášených přihlašovacích údajů na Hodnotu Ne.
Skripty nakonfigurované tak, aby běžely v kontextu uživatele a přiřazené uživatelům, jsou podporovány ve Windows 10 a Windows 11 Enterprise více relacích. To se dá nakonfigurovat v nastavení skriptu tak, že nastavíte Spustit tento skript pomocí přihlášených přihlašovacích údajů na Ano.
služba Windows Update pro firmy
Katalog nastavení můžete použít ke správě nastavení služba Windows Update pro aktualizace kvality (zabezpečení) pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi. Pokud chcete najít podporovaná nastavení v katalogu, nakonfigurujte filtr nastavení pro podnikové více relací a rozbalte kategorii služba Windows Update pro firmy.
V katalogu jsou k dispozici následující nastavení s odkazy, které otevírají dokumentaci k programu CSP systému Windows:
- Konec aktivních hodin
- Maximální rozsah aktivních hodin
- Začátek aktivních hodin
- Blokovat možnost Pozastavit Aktualizace
- Konfigurace období odkladu konečného termínu
- Pozdržet kvalitu Aktualizace období (dny)
- Pozastavit čas spuštění Aktualizace zvýšení kvality
- Konečné období aktualizace kvality (dny)
Vzdálené akce
Následující vzdálené akce Windows 10 nebo Windows 11 desktopových zařízení se nepodporují. V uživatelském rozhraní se zobrazí šedě a v Graphu se pro virtuální počítače Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi zakáže:
- Resetování autopilota
- Obměně klíčů nástroje BitLocker
- Začít znovu
- Vzdálené uzamčení
- Resetujte heslo.
- Vymazání
Vyřazení
Odstraněním virtuálních počítačů z Azure zůstanou záznamy osamocených zařízení v Centru pro správu Microsoft Intune. Automaticky se vyčistí podle pravidel čištění nakonfigurovaných pro tenanta.
Výchozí hodnoty zabezpečení
Standardní hodnoty zabezpečení nejsou v současnosti dostupné pro Windows 10 nebo Windows 11 Enterprise více relací. Doporučujeme projít si dostupné standardní hodnoty zabezpečení a nakonfigurovat doporučené zásady a hodnoty v katalogu Nastavení.
Další konfigurace, které se nepodporují na Windows 10 nebo Windows 11 Enterprise virtuálních počítačích s více relacemi
Registrace prostředí prvního spuštění počítače (OOBE) není podporovaná pro Windows 10 ani Windows 11 Enterprise více relací. Toto omezení znamená, že:
- Windows Autopilot a komerční OOBE se nepodporují.
- Stránka stavu registrace se nepodporuje.
Windows 10 nebo Windows 11 Enterprise více relací spravovaných službou Microsoft Intune se v současné době nepodporuje pro čínský suverénní cloud.
Řešení problémů
Následující části obsahují pokyny k řešení běžných problémů.
Problémy s registrací
| Problém | Podrobností |
|---|---|
| Selhání registrace virtuálního počítače připojeného k hybridnímu Azure AD |
|
| Registrace Azure AD připojeného virtuálního počítače selže |
|
Problémy s konfigurací
| Problém | Podrobností |
|---|---|
| Selhání zásad katalogu nastavení | Pomocí přihlašovacích údajů zařízení ověřte, že je virtuální počítač zaregistrovaný. Registrace s přihlašovacími údaji uživatele se v současné době nepodporuje pro Windows 10 nebo Windows 11 Enterprise více relací. |
| Zásady konfigurace se nepoužily. | Šablony (s výjimkou certifikátů) nejsou podporovány ve Windows 10 nebo Windows 11 Enterprise více relacích. Všechny zásady se musí vytvořit prostřednictvím katalogu nastavení. |
| Zásady konfigurace se hlásí jako Nepoužitelné | Některé zásady se nevztahují na virtuální počítače Azure Virtual Desktopu. |
| Při použití filtru pro Windows 10 nebo Windows 11 Enterprise multi-session edition se zásady Microsoft Edge nebo Microsoft Office ADMX nezobrazují | Použitelnost těchto nastavení není založená na verzi nebo edici Windows, ale na tom, jestli byly tyto aplikace na zařízení nainstalované. Pokud chcete tato nastavení přidat do zásad, možná budete muset odebrat všechny filtry použité ve výběru nastavení. |
| Aplikace nakonfigurovaná pro instalaci v kontextu systému se nepoužila. | Ověřte, že aplikace nemá závislost nebo vztah nahrazování u žádné aplikace nakonfigurované pro instalaci v kontextu uživatele. Aplikace kontextu uživatele nejsou v současné době podporovány ve Windows 10 nebo Windows 11 Enterprise více relacích. |
| Nepoužily se aktualizační kanály pro Windows 10 a novější zásady | Zásady služba Windows Update pro firmy se v současné době nepodporují. |
Další kroky
Přečtěte si další informace o službě Azure Virtual Desktops.