Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
K tomu, abyste mohli začít používat Azure Virtual Desktop, je potřeba pár věcí. Tady najdete požadavky, které je potřeba splnit, abyste uživatelům mohli úspěšně poskytnout plochy a aplikace.
Na vysoké úrovni potřebujete:
- Účet Azure s aktivním předplatným
- Podporovaný zprostředkovatel identity
- Podporovaný operační systém pro virtuální počítače hostitele relace
- Příslušné licence
- Připojení k síti
- Klient Vzdálené plochy
Účet Azure s aktivním předplatným
K nasazení služby Azure Virtual Desktop potřebujete účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
Pokud chcete nasadit Azure Virtual Desktop, musíte přiřadit příslušné role řízení přístupu na základě role (RBAC) v Azure. Konkrétní požadavky na role jsou popsané v jednotlivých souvisejících článcích o nasazení služby Azure Virtual Desktop, které jsou uvedené v části Další kroky .
Také se ujistěte, že jste pro své předplatné zaregistrovali poskytovatele prostředků Microsoft.DesktopVirtualization . Pokud chcete zkontrolovat stav poskytovatele prostředků a v případě potřeby se zaregistrovat, vyberte příslušnou kartu pro váš scénář a postupujte podle pokynů.
Důležité
Musíte mít oprávnění k registraci poskytovatele prostředků, což vyžaduje */register/action operaci. Tato možnost je zahrnutá, pokud má váš účet přiřazenou roli přispěvatele nebo vlastníka ve vašem předplatném.
Přihlaste se na portál Microsoft Azure.
Vyberte Předplatná.
Vyberte název vašeho předplatného.
Vyberte Poskytovatelé prostředků.
Vyhledejte Microsoft.DesktopVirtualization.
Pokud je stav NotRegistered, vyberte Microsoft.DesktopVirtualization a pak vyberte Zaregistrovat.
Ověřte, že stav Microsoft.DesktopVirtualization je Registrováno.
Identita
Pokud chcete získat přístup k plochám a aplikacím z hostitelů relací, musí být uživatelé schopni se ověřit. Microsoft Entra ID je centralizovaná cloudová služba identit Od Microsoftu, která tuto funkci umožňuje. Microsoft Entra ID se vždy používá k ověřování uživatelů služby Azure Virtual Desktop. Hostitelé relací mohou být připojeni ke stejnému Microsoft Entra tenantovi nebo k doméně služby Active Directory pomocí služby Active Directory Domain Services (AD DS) nebo Microsoft Entra Doménové služby, abyste měli na výběr flexibilní možnosti konfigurace.
Hostitelé relací
Musíte se připojit k hostitelům relací, kteří poskytují plochy a aplikace, ke stejnému Microsoft Entra tenantovi, jako jsou vaši uživatelé, nebo k doméně služby Active Directory (služba AD DS nebo Microsoft Entra Doménové služby).
Poznámka
V případě Lokální Azure můžete hostitele relací připojit jenom k doméně Active Directory Domain Services. Hostitele relací můžete připojit jenom v Lokální Azure k doméně Active Directory Domain Services (AD DS). To zahrnuje použití Microsoft Entra hybridního připojení, kde můžete využívat některé funkce poskytované id Microsoft Entra.
Pokud chcete připojit hostitele relací k Microsoft Entra ID nebo doméně služby Active Directory, potřebujete následující oprávnění:
Pro Microsoft Entra ID potřebujete účet, který může připojit počítače k vašemu tenantovi. Další informace najdete v tématu Správa identit zařízení. Další informace o připojování hostitelů relací k ID Microsoft Entra najdete v tématu Microsoft Entra hostitelé připojených relací.
Pro doménu služby Active Directory potřebujete účet domény, který může připojit počítače k vaší doméně. Pro Microsoft Entra Doménové služby byste museli být členem skupiny AAD DC Administrators.
Uživatelé
Vaši uživatelé potřebují účty, které jsou v Microsoft Entra ID. Pokud v nasazení služby Azure Virtual Desktop používáte také službu AD DS nebo Microsoft Entra Doménové služby, musí se jednat o hybridní identity, což znamená, že uživatelské účty se synchronizují. Na základě toho, kterého zprostředkovatele identity používáte, je potřeba mít na paměti následující věci:
- Pokud se službou AD DS používáte id Microsoft Entra, musíte nakonfigurovat Microsoft Entra Connect tak, aby synchronizoval data identit uživatelů mezi službou AD DS a ID Microsoft Entra.
- Pokud používáte ID Microsoft Entra s Microsoft Entra Doménové služby, uživatelské účty se synchronizují jedním způsobem z id Microsoft Entra do Microsoft Entra Doménové služby. Tento proces synchronizace je automatický.
Důležité
Uživatelský účet musí existovat v tenantovi Microsoft Entra, který používáte pro Azure Virtual Desktop. Azure Virtual Desktop nepodporuje účty B2B, B2C ani osobní účty Microsoft.
Při použití hybridních identit se musí mezi Active Directory Domain Services a ID Microsoft Entra shodovat hlavní název uživatele (UPN) nebo identifikátor zabezpečení (SID). Další informace najdete v tématu Podporované identity a metody ověřování.
Podporované scénáře identit
Následující tabulka shrnuje scénáře identit, které Služba Azure Virtual Desktop aktuálně podporuje:
| Scénář identity | Hostitelé relací | Uživatelské účty |
|---|---|---|
| ID Microsoft Entra + AD DS | Připojeno ke službě AD DS | V Microsoft Entra ID a AD DS se synchronizuje |
| ID Microsoft Entra + AD DS | Připojeno k id Microsoft Entra | V Microsoft Entra ID a AD DS se synchronizuje |
| ID Microsoft Entra + Microsoft Entra Doménové služby | Připojeno k Microsoft Entra Doménové služby | V Microsoft Entra ID a Microsoft Entra Doménové služby synchronizované |
| ID Microsoft Entra + Microsoft Entra Doménové služby + AD DS | Připojeno k Microsoft Entra Doménové služby | V Microsoft Entra ID a AD DS se synchronizuje |
| ID Microsoft Entra + Microsoft Entra Doménové služby | Připojeno k id Microsoft Entra | V Microsoft Entra ID a Microsoft Entra Doménové služby synchronizované |
| pouze Microsoft Entra | Připojeno k id Microsoft Entra | Id Microsoft Entra |
Podrobnější informace o podporovaných scénářích identit, včetně jednotného přihlašování a vícefaktorového ověřování, najdete v tématu Podporované identity a metody ověřování.
Kontejner profilu FSLogix
Pokud chcete při připojování hostitelů relací k ID Microsoft Entra použít kontejner profilu FSLogix, musíte ukládat profily na Azure Files nebo Azure NetApp Files a uživatelské účty musí být hybridní identity. Tyto účty musíte vytvořit ve službě AD DS a synchronizovat je s id Microsoft Entra. Další informace o nasazení kontejneru profilu FSLogix s různými scénáři identit najdete v následujících článcích:
- Nastavte kontejner profilu FSLogix pomocí Azure Files a Active Directory Domain Services nebo Microsoft Entra Doménové služby.
- Nastavte kontejner profilu FSLogix s ID Azure Files a Microsoft Entra.
- Nastavení kontejneru profilu FSLogix pomocí Azure NetApp Files
Parametry nasazení
Při nasazování hostitelů relací je potřeba zadat následující parametry identity:
- Název domény, pokud používáte službu AD DS nebo Microsoft Entra Doménové služby.
- Přihlašovací údaje pro připojení hostitelů relací k doméně
- Organizační jednotka (OU), což je volitelný parametr, který umožňuje umístit hostitele relací do požadované organizační jednotky v době nasazení.
Důležité
Účet, který používáte pro připojení k doméně, nemůže mít povolené vícefaktorové ověřování (MFA).
Operační systémy a licence
Máte na výběr operačních systémů( OS), které můžete použít pro hostitele relací k poskytování desktopů a aplikací. K zajištění flexibility pro uživatele můžete použít různé operační systémy s různými fondy hostitelů. 64bitové operační systémy a skladové položky podporujeme v následujících seznamech tabulek (kde jsou podporované verze a data v souladu se zásadami životního cyklu Microsoftu) a metody licencování platné pro jednotlivé komerční účely:
| Operační systém (jenom 64bitová verze) |
Metoda licencování (Interní komerční účely) |
Metoda licencování (Externí komerční účely) |
|---|---|---|
|
Ceny přístupu jednotlivých uživatelů po registraci předplatného Azure | |
|
Nepodporováno Ceny přístupu podle uživatele nejsou k dispozici pro Windows Server operační systémy. |
Další informace o licencích, které můžete použít, včetně cen přístupu podle uživatele, najdete v tématu Licencování služby Azure Virtual Desktop.
Důležité
- Hostitelé relací nepodporují následující položky:
- 32bitové operační systémy.
- N, KN, LTSC a další edice operačních systémů Windows, které nejsou uvedené v předchozí tabulce.
- Disky Úrovně Ultra pro disky s operačním systémem.
- Dočasné disky s operačním systémem pro virtuální počítače Azure
- Virtual Machine Scale Sets.
- Virtuální počítače Azure založené na Arm64.
Pro Azure můžete použít image operačního systému poskytované Microsoftem na Azure Marketplace nebo vytvořit vlastní image uložené ve službě Azure Compute Gallery nebo jako spravovanou image. Použití vlastních šablon imagí pro Azure Virtual Desktop umožňuje snadno vytvořit vlastní image, kterou můžete použít při nasazování virtuálních počítačů hostitelů relací. Další informace o vytváření vlastních imagí najdete tady:
- Vlastní šablony imagí ve službě Azure Virtual Desktop
- Ukládání a sdílení obrázků v Galerii výpočetních prostředků Azure
- Vytvořte spravovanou image generalizovaného virtuálního počítače v Azure.
Případně pro Lokální Azure můžete použít image operačního systému z:
- Azure Marketplace. Další informace najdete v tématu Vytvoření image Lokální Azure virtuálního počítače pomocí imagí z Azure Marketplace.
- Účet Azure Storage. Další informace najdete v tématu Vytvoření image Lokální Azure virtuálního počítače pomocí image v účtu Azure Storage.
- Místní sdílená složka. Další informace najdete v tématu Vytvoření image Lokální Azure virtuálního počítače pomocí imagí v místní sdílené složce.
Virtuální počítače, které se mají použít jako hostitelé relací, můžete z těchto imagí nasadit některou z následujících metod:
- Automaticky v rámci procesu nastavení fondu hostitelů v Azure Portal.
- Ručně přidáním hostitelů relací do existujícího fondu hostitelů v Azure Portal.
- Programově pomocí Azure CLI nebo Azure PowerShell.
Pokud vaše licence opravňuje k používání služby Azure Virtual Desktop, nemusíte instalovat ani používat samostatnou licenci, ale pokud používáte ceny přístupu podle uživatele pro externí uživatele, musíte si zaregistrovat předplatné Azure. Musíte se ujistit, že licence windows používaná na hostitelích relací je správně přiřazená v Azure a že je aktivovaný operační systém. Další informace najdete v tématu Použití licence Windows na virtuální počítače hostující relace.
U hostitelů relací ve službě Lokální Azure je nutné licencovat a aktivovat virtuální počítače, které používáte, než je použijete se službou Azure Virtual Desktop. Pro aktivaci Windows 10 a Windows 11 Enterprise více relací a Windows Server 2022 Datacenter: Azure Edition použijte ověření Azure pro virtuální počítače. Pro všechny ostatní image operačního systému (například Windows 10 a Windows 11 Enterprise a další edice Windows Server) byste měli dál používat existující metody aktivace. Další informace najdete v tématu Aktivace Windows Server virtuálních počítačů na Lokální Azure.
Poznámka
Abyste zajistili pokračování funkcí s nejnovější aktualizací zabezpečení, aktualizujte virtuální počítače na Lokální Azure na nejnovější kumulativní aktualizaci do 17. června 2024. Tato aktualizace je nezbytná pro to, aby virtuální počítače dál používaly výhody Azure. Další informace najdete v tématu Ověřování Virtuálních počítačů v Azure.
Tip
Kvůli zjednodušení přístupových práv uživatelů během počátečního vývoje a testování podporuje Služba Azure Virtual Desktop ceny pro vývoj/testování. Pokud službu Azure Virtual Desktop nasadíte v předplatném Azure pro vývoj/testování, můžou se koncoví uživatelé připojit k tomuto nasazení bez samostatného licenčního nároku, aby mohli provést testy přijetí nebo poskytnout zpětnou vazbu.
Síť
K úspěšnému nasazení služby Azure Virtual Desktop je potřeba splnit několik síťových požadavků. To umožňuje uživatelům připojit se ke svým plochám a aplikacím a zároveň jim poskytnout nejlepší možné uživatelské prostředí.
Uživatelé, kteří se připojují ke službě Azure Virtual Desktop, bezpečně navazují zpětné připojení ke službě, což znamená, že nemusíte otevírat žádné příchozí porty. Ve výchozím nastavení se používá protokol TCP (Transmission Control Protocol) na portu 443, ale RDP Shortpath lze použít pro spravované sítě a veřejné sítě , které navazují přímý přenos založený na protokolu UDP (User Datagram Protocol).
K úspěšnému nasazení služby Azure Virtual Desktop musíte splnit následující požadavky na síť:
Pro hostitele relací potřebujete virtuální síť a podsíť. Pokud hostitele relace vytváříte současně s fondem hostitelů, musíte tuto virtuální síť vytvořit předem, aby se zobrazila v rozevíracím seznamu. Vaše virtuální síť musí být ve stejné oblasti Azure jako hostitel relace.
Pokud používáte službu AD DS nebo Microsoft Entra Doménové služby, ujistěte se, že se tato virtuální síť může připojit k řadičům domény a relevantním serverům DNS, protože potřebujete připojit hostitele relací k doméně.
Hostitelé relací a uživatelé se musí mít možnost připojit ke službě Azure Virtual Desktop. Tato připojení také používají protokol TCP na portu 443 ke konkrétnímu seznamu adres URL. Další informace najdete v tématu Seznam požadovaných adres URL. Pokud chcete, aby nasazení fungovalo správně a bylo podporováno, musíte zajistit, aby tyto adresy URL neblokovalo filtrování sítě nebo brána firewall. Pokud vaši uživatelé potřebují přístup k Microsoftu 365, ujistěte se, že se hostitelé relací můžou připojit ke koncovým bodům Microsoftu 365.
Zvažte také následující:
Vaši uživatelé můžou potřebovat přístup k aplikacím a datům hostovaným v různých sítích, proto se ujistěte, že se k nim hostitelé relací můžou připojit.
Latence doby odezvy (RTT) ze sítě klienta do oblasti Azure, která obsahuje fondy hostitelů, by měla být menší než 150 ms. Pokud chcete zjistit, která umístění mají nejlepší latenci, vyhledejte požadované umístění ve statistikách latence sítě Azure. Pokud chcete optimalizovat výkon sítě, doporučujeme vytvořit hostitele relací v oblasti Azure, která je nejblíže vašim uživatelům.
Azure Firewall pro nasazení služby Azure Virtual Desktop vám pomůže uzamknout vaše prostředí a filtrovat odchozí provoz.
Pro lepší zabezpečení prostředí Služby Azure Virtual Desktop v Azure doporučujeme neotevírejte na hostitelích relací příchozí port 3389. Azure Virtual Desktop nevyžaduje otevřený příchozí port. Pokud pro účely řešení potíží potřebujete otevřít port 3389, doporučujeme použít přístup k virtuálním počítačům za běhu. Doporučujeme také nepřiřazovat veřejné IP adresy hostitelům relací.
Další informace najdete v tématu Principy síťového připojení služby Azure Virtual Desktop.
Poznámka
Aby byla služba Azure Virtual Desktop spolehlivá a škálovatelná, agregujeme vzorce provozu a využití, abychom zkontrolovali stav a výkon řídicí roviny infrastruktury. Tyto informace agregujeme ze všech umístění, kde se nachází infrastruktura služeb, a pak je pošleme do oblasti USA. Data odeslaná do oblasti USA zahrnují vyčisťovaná data, ale ne zákaznická data. Další informace najdete v tématu Umístění dat pro Azure Virtual Desktop.
Správa hostitelů relací
Při správě hostitelů relací zvažte následující body:
Nepovolujte žádné zásady ani konfigurace, které zakazují Instalační službu systému Windows. Pokud zakážete Instalační službu systému Windows, služba nebude moct instalovat aktualizace agenta na hostitele relací a hostitelé relací nebudou správně fungovat.
Pokud připojujete hostitele relací k doméně služby AD DS a chcete je spravovat pomocí Intune, musíte nakonfigurovat Microsoft Entra Connect a povolit Microsoft Entra hybridní připojení.
Pokud připojujete hostitele relací k Microsoft Entra Doménové služby doméně, nemůžete je spravovat pomocí Intune.
Pokud pro hostitele relací používáte Microsoft Entra připojení pomocí Windows Server, nemůžete je zaregistrovat do Intune, protože Windows Server intune nepodporuje. Musíte použít Microsoft Entra hybridní připojení a Zásady skupiny z domény služby Active Directory nebo místní Zásady skupiny na každém hostiteli relace.
Oblasti Azure
Fondy hostitelů, pracovní prostory a skupiny aplikací můžete nasadit v následujících oblastech Azure. V tomto seznamu oblastí se dají ukládat metadata pro fond hostitelů. Hostitelé relací pro uživatelské relace se ale můžou nacházet v libovolné oblasti Azure a místně při použití služby Azure Virtual Desktop na Lokální Azure, což vám umožní nasadit výpočetní prostředky blízko uživatelům. Další informace o typech dat a umístěních najdete v tématu Umístění dat pro Azure Virtual Desktop.
- Austrálie – východ
- Kanada – střed
- Kanada – východ
- Indie – střed
- USA – střed
- USA – východ
- USA – východ 2
- Japonsko – východ
- Japonsko – západ
- USA – středosever
- Severní Evropa
- Jižní Afrika – sever
- USA – středo jih
- Velká Británie – jih
- Velká Británie – západ
- USA – středozápad
- Západní Evropa
- USA – západ
- USA – západ 2
- USA – západ 3
Azure Virtual Desktop je k dispozici také v suverénních cloudech, jako je Azure for US Government a Azure provozovaný společností 21Vianet v Číně.
Další informace o architektuře a odolnosti služby Azure Virtual Desktop najdete v tématu Architektura a odolnost služby Azure Virtual Desktop.
Připojení ke vzdálené relaci
Vaši uživatelé musí pro připojení ke stolním počítačům a aplikacím použít Windows App nebo klienta Vzdálené plochy. Můžete se připojit z:
- Windows
- macOS
- iOS/iPadOS
- Android/Chrome OS
- Webový prohlížeč
Další informace najdete v tématu Začínáme s Windows App pro připojení k zařízením a aplikacím.
Důležité
Azure Virtual Desktop nepodporuje připojení z klienta radc (RemoteApp and Desktop Connections) ani z klienta Připojení ke vzdálené ploše (MSTSC).
Informace o tom, které adresy URL klienti používají k připojení a které musíte povolit prostřednictvím bran firewall a internetových filtrů, najdete v seznamu Požadovaných adres URL.
Další kroky
Až budete připraveni vyzkoušet službu Azure Virtual Desktop, pomocí rychlého startu nasaďte ukázkové prostředí Služby Azure Virtual Desktop s Windows 11 Enterprise více relací.
Podrobnější a přizpůsobitelný přístup k nasazení služby Azure Virtual Desktop najdete v tématu Nasazení služby Azure Virtual Desktop.