Připojení aplikace MSIX a připojení aplikace ve službě Azure Virtual Desktop

Důležité

Připojení aplikace je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Azure Virtual Desktop nabízí dvě funkce, které umožňují dynamicky připojovat aplikace z balíčku aplikace k uživatelské relaci ve službě Azure Virtual Desktop – připojení aplikace MSIX a připojení aplikace (Preview). Připojení aplikace MSIX je obecně dostupné, ale připojení aplikace je k dispozici ve verzi Preview, což zlepšuje možnosti správy a uživatelů. S připojením aplikace MSIX i připojením aplikace nejsou aplikace nainstalované místně na hostitelích relací nebo imagích, což usnadňuje vytváření vlastních imagí pro hostitele relací a snížení provozní režie a nákladů pro vaši organizaci. Aplikace běží v kontejnerech, které oddělují uživatelská data, operační systém a další aplikace, zvyšují zabezpečení a usnadňují řešení potíží.

Následující tabulka porovnává připojení aplikace MSIX s připojením aplikace:

Připojení aplikace MSIX Připojení aplikace
Aplikace se doručují pomocí RemoteAppu nebo jako součást relace plochy. Oprávnění jsou řízena přiřazením ke skupinám aplikací, ale všichni uživatelé plochy vidí všechny aplikace MSIX připojit aplikace ve skupině desktopových aplikací. Aplikace se doručují pomocí RemoteAppu nebo jako součást relace plochy. Oprávnění se použijí pro každou aplikaci na uživatele, abyste měli větší kontrolu nad aplikacemi, ke kterým mají uživatelé přístup ve vzdálené relaci. Desktopoví uživatelé vidí, že aplikace připojí aplikace, které jsou jim přiřazené.
Aplikace můžou běžet jenom v jednom fondu hostitelů. Pokud chcete, aby běžel v jiném fondu hostitelů, musíte vytvořit další balíček. Stejný balíček aplikace je možné použít ve více fondech hostitelů.
Aplikace se můžou spouštět jenom ve fondu hostitelů, do kterého se přidají. Aplikace můžou běžet na libovolném hostiteli relace, na kterém běží klientský operační systém Windows ve stejné oblasti Azure jako balíček aplikace.
Chcete-li aplikaci aktualizovat, musíte aplikaci odstranit a znovu vytvořit s jinou verzí balíčku. Aplikaci byste měli aktualizovat v časovém období údržby. Aplikace je možné upgradovat na novou verzi aplikace s novou imagí disku bez nutnosti časového období údržby.
Uživatelé nemůžou na stejném hostiteli relace spouštět dvě verze stejné aplikace. Uživatelé můžou současně spouštět dvě verze stejné aplikace na stejném hostiteli relace.
Telemetrie pro využití a stav je teď dostupná prostřednictvím Azure Log Analytics. Telemetrie pro využití a stav je dostupná prostřednictvím Azure Log Analytics.

Můžete použít následující typy balíčků aplikací a formáty souborů:

Typ balíčku Formáty souborů Dostupnost funkcí
Sada MSIX a MSIX .msix
.msixbundle
Připojení aplikace MSIX
Připojení aplikace
Sada Appx a Appx .appx
.appxbundle
Pouze připojení aplikace

MSIX a Appx jsou formáty balíčků aplikací pro Windows, které poskytují moderní prostředí balení pro aplikace pro Windows. Aplikace běží v kontejnerech, které oddělují uživatelská data, operační systém a další aplikace, zvyšují zabezpečení a usnadňují řešení potíží. MSIX a Appx jsou podobné, kde hlavní rozdíl spočívá v tom, že MSIX je nadmnožinou Appxu. MSIX podporuje všechny funkce Appxu a další funkce, díky kterým je vhodnější pro podnikové použití.

Tip

Výběrem tlačítka v horní části tohoto článku si můžete vybrat mezi připojením aplikace MSIX (aktuální) a připojením aplikace (Preview) a zobrazit příslušnou dokumentaci.

Balíčky MSIX můžete získat od dodavatelů softwaru nebo můžete vytvořit balíček MSIX z existujícího instalačního programu. Další informace o MSIX najdete v tématu Co je MSIX?

Jak uživatel získá aplikaci

Různé aplikace můžete přiřadit různým uživatelům ve stejném fondu hostitelů nebo na stejném hostiteli relace. Při přihlašování musí být splněny všechny tři z následujících požadavků, aby uživatel získal správnou aplikaci ve správný čas:

  • Aplikace musí být přiřazena fondu hostitelů. Přiřazování aplikace do fondu hostitelů umožňuje selektivně určit, na kterých fondech hostitelů je aplikace k dispozici, abyste zajistili, že aplikace bude mít k dispozici správné hardwarové prostředky. Pokud je například aplikace náročná na grafiku, můžete zajistit, aby běžela jenom na fondu hostitelů s hostiteli optimalizovanými pro GPU.

  • Uživatel se musí přihlásit k hostitelům relací ve fondu hostitelů, takže musí být ve skupině aplikací Desktop nebo RemoteApp. U skupiny aplikací RemoteApp musí být aplikace pro připojení aplikace přidána do skupiny aplikací, ale aplikaci nemusíte přidávat do skupiny desktopových aplikací.

  • Aplikace musí být přiřazena uživateli. Můžete použít skupinu nebo uživatelský účet.

Pokud jsou splněny všechny tyto požadavky, uživatel aplikaci získá. Tento proces poskytuje kontrolu nad tím, kdo získá aplikaci ve kterém fondu hostitelů a jak je to možné pro uživatele v rámci jednoho fondu hostitelů nebo dokonce přihlášené ke stejnému hostiteli relací s více relacemi, aby získali různé kombinace aplikací. Uživatelé, kteří nesplňují požadavky, aplikaci nezískají.

Jak uživatel získá aplikaci

Různé aplikace můžete přiřadit různým uživatelům ve stejném fondu hostitelů. Pomocí připojení aplikace MSIX přidáte balíčky MSIX do fondu hostitelů a řídíte přiřazení aplikací pomocí desktopových nebo skupin aplikací RemoteApp. Při přihlašování musí být splněny následující požadavky, aby uživatel získal správnou aplikaci ve správný čas:

  • Uživatel se musí přihlásit k hostitelům relací ve fondu hostitelů, takže musí být ve skupině aplikací Desktop nebo RemoteApp.

  • Image MSIX musí být přidána do fondu hostitelů.

Pokud jsou tyto požadavky splněné, uživatel aplikaci získá. Přiřazení aplikací pomocí desktopové skupiny aplikací je přidá do nabídky Start uživatele. Uživatelé, kteří nesplňují požadavky, aplikaci nezískají.

Image aplikací

Než budete moct používat balíčky aplikací s Azure Virtual Desktopem, musíte vytvořit image MSIX z existujících balíčků aplikací pomocí nástroje MSIXMGR. Potom je potřeba uložit každou bitovou kopii disku do sdílené složky, která je přístupná hostiteli relací. Další informace o požadavcích na sdílenou složku najdete v tématu Sdílená složka.

Typy imagí disků

Pro diskové image můžete použít systém souborů CimFS (Composite Image File System), VHDX nebo VHD, ale nedoporučujeme používat VHD. Připojení a odpojení imagí CimFS je rychlejší než soubory VHD a VHDX a také spotřebovává méně procesoru a paměti. Pokud hostitelé relací používají Windows 11, doporučujeme pro image aplikací používat jenom CimFS.

Obrázek CimFS je kombinací několika souborů: jeden soubor má příponu .cim souboru a obsahuje metadata, spolu s alespoň dvěma dalšími soubory, jeden začínající objectid_ a druhý počínaje region_ skutečnými daty aplikace. Doprovodné .cim soubory nemají příponu souboru. Následující tabulka obsahuje seznam ukázkových souborů, které byste našli pro obrázek CimFS:

Název souboru Velikost
MyApp.cim 1 kB
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 27 kB
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 20 kB
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 42 kB
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 428 kB
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 217 kB
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 264 132 KB

Následující tabulka uvádí porovnání výkonu mezi VHDX a CimFS. Tato čísla byla výsledkem testovacího spuštění s 500 soubory o velikosti 300 MB na každý formát a testy byly provedeny na virtuálním počítači Azure DSv4.

Metrika VHD CimFS
Průměrná doba připojení 356 ms 255 ms
Average unmount time 1615 ms 36 ms
Paměťové nároky 6 % (z 8 GB) 2 % (z 8 GB)
Procesor (špička počtu) Maxed out multiple times Žádný vliv

Registrace aplikace

Aplikace připojí image disků obsahující vaše aplikace ze sdílené složky k relaci uživatele během přihlašování a pak proces registrace zpřístupní aplikace uživateli. Existují dva typy registrace:

Aplikace MSIX připojí image disků obsahující vaše aplikace ze sdílené složky k relaci uživatele během přihlašování a pak proces registrace zpřístupní aplikace uživateli. Existují dva typy registrace:

  • Na vyžádání: Aplikace se registrují pouze částečně při přihlášení a úplná registrace aplikace se odloží, dokud uživatel aplikaci nespustí. Na vyžádání je typ registrace, který doporučujeme použít, protože nemá vliv na dobu potřebnou k přihlášení k Azure Virtual Desktopu. Na vyžádání je výchozí metoda registrace.

  • Přihlášení k blokování: Každá aplikace, kterou přiřadíte uživateli, je plně zaregistrovaná. Registrace probíhá, když se uživatel přihlašuje ke své relaci, což může mít vliv na dobu přihlášení k Azure Virtual Desktopu.

Důležité

Všechny balíčky aplikací MSIX a Appx obsahují certifikát. Zodpovídáte za zajištění důvěryhodnosti certifikátů ve vašem prostředí. Certifikáty podepsané svým držitelem jsou podporovány s odpovídajícím řetězem důvěryhodnosti.

Připojení aplikace neomezuje počet aplikací, které můžou uživatelé používat. Měli byste zvážit dostupnou propustnost sítě a počet otevřených popisovačů na soubor (každý obrázek), který vaše sdílená složka podporuje, protože může omezit počet uživatelů nebo aplikací, které můžete podporovat. Další informace najdete v tématu Sdílená složka.

Důležité

Všechny balíčky aplikací MSIX obsahují certifikát. Zodpovídáte za zajištění důvěryhodnosti certifikátů ve vašem prostředí. Podporují se certifikáty podepsané svým držitelem.

Připojení aplikace MSIX neomezuje počet aplikací, které můžou uživatelé používat. Měli byste zvážit dostupnou propustnost sítě a počet otevřených popisovačů na soubor (každý obrázek), který vaše sdílená složka podporuje, protože může omezit počet uživatelů nebo aplikací, které můžete podporovat. Další informace najdete v tématu Sdílená složka.

Stav aplikace

Balíček MSIX a Appx je nastavený jako aktivní nebo neaktivní. Balíčky nastavené na aktivní zpřístupňuje aplikaci uživatelům. Balíčky nastavené na neaktivní se ignorují službou Azure Virtual Desktop a nepřidají se při přihlášení uživatele.

Balíček MSIX je nastavený jako aktivní nebo neaktivní. Balíčky MSIX nastavené na aktivní zpřístupňuje aplikaci uživatelům. Balíčky MSIX nastavené na neaktivní se ignorují službou Azure Virtual Desktop a nepřidají se při přihlášení uživatele.

Nové verze aplikací

Novou verzi aplikace můžete přidat tak, že zadáte novou image obsahující aktualizovanou aplikaci. Tento nový obrázek můžete použít dvěma způsoby:

  • Vedle sebe: Vytvořte novou aplikaci pomocí nové image disku a přiřaďte ji stejným fondům hostitelů a uživatelům jako stávající aplikace.

  • Místní: Vytvořte novou image, ve které se změní číslo verze aplikace, a aktualizujte stávající aplikaci tak, aby používala novou image. Číslo verze může být vyšší nebo nižší, ale nemůžete aktualizovat aplikaci se stejným číslem verze. Neodstraňovat existující image, dokud ji všichni uživatelé nedokončí.

Po aktualizaci uživatelé při příštím přihlášení získají aktualizovanou verzi aplikace. Uživatelé nemusí přestat používat předchozí verzi, aby mohli přidat novou verzi.

Nové verze aplikací

Když připojíte aplikaci MSIX, musíte balíček aplikace odstranit, pak vytvořit novou aplikaci pomocí nové image disku a přiřadit ji stejným fondům hostitelů. Místní aktualizaci nejde aktualizovat tak, jak je to možné s připojením aplikace. Uživatelé při příštím přihlášení získají novou image s aktualizovanou aplikací. Tyto úlohy byste měli provádět během časového období údržby.

Zprostředkovatelé identit

Tady jsou zprostředkovatelé identity, které můžete použít s připojením aplikace:

Zprostředkovatel identity Stav
Microsoft Entra ID Podporováno
Služba Active Directory Domain Services (AD DS) Podporováno
Microsoft Entra Domain Services Nepodporováno

Tady jsou zprostředkovatelé identity, které můžete použít s připojením aplikace MSIX:

Zprostředkovatel identity Stav
Microsoft Entra ID Nepodporováno
Služba Active Directory Domain Services (AD DS) Podporováno
Microsoft Entra Domain Services (Azure AD DS) Nepodporováno

Sdílená složka

Připojení aplikace vyžaduje, aby image aplikací byly uložené ve sdílené složce SMB, která se pak připojí ke každému hostiteli relace při přihlašování. Připojení aplikace nemá závislosti na typu prostředků infrastruktury úložiště, které sdílená složka používá. Službu Azure Files doporučujeme používat, protože je kompatibilní s MICROSOFT Entra ID nebo Doména služby Active Directory Services a nabízí skvělou hodnotu mezi náklady a režií na správu.

Můžete také použít Azure NetApp Files, ale to vyžaduje, aby se hostitelé relací připojili k Doména služby Active Directory Services.

Připojení aplikace MSIX vyžaduje, aby image aplikací byly uložené ve sdílené složce SMB verze 3, která se pak připojí k jednotlivým hostiteli relace během přihlašování. Připojení aplikace MSIX nemá závislosti na typu prostředků infrastruktury úložiště, které sdílená složka používá. Službu Azure Files doporučujeme používat, protože je kompatibilní s podporovanými zprostředkovateli identit, které můžete použít pro připojení aplikace MSIX, a nabízí skvělou hodnotu mezi náklady a režií na správu. Můžete také použít Azure NetApp Files, ale to vyžaduje, aby vaši hostitelé relací měli připojení ke službám Doména služby Active Directory Services.

Následující části obsahují pokyny k oprávněním, výkonu a dostupnosti vyžadované pro sdílenou složku.

Oprávnění

Každý hostitel relace připojí image aplikací ze sdílené složky. Musíte nakonfigurovat oprávnění ntfs a sdílené složky, aby každý objekt hostitelského počítače relace mohl číst přístup k souborům a sdílené složce. Způsob konfigurace správného oprávnění závisí na tom, jakého zprostředkovatele úložiště a zprostředkovatele identity používáte pro sdílené složky a hostitele relací.

  • Pokud chcete použít Službu Azure Files, když je vaše relace připojená k ID Microsoft Entra, musíte k instančním objektům poskytovatele ARM Azure přiřadit roli Čtenář a Přístup k datům v Azure na základě role (RBAC). Toto přiřazení role RBAC umožňuje hostitelům relací přístup k účtu úložiště pomocí přístupových klíčů. Účet úložiště musí být ve stejném předplatném Azure jako hostitelé relací. Informace o přiřazování role Azure RBAC instančním objektům služby Azure Virtual Desktop najdete v tématu Přiřazení rolí RBAC instančním objektům služby Azure Virtual Desktop.

    Další informace o používání služby Soubory Azure s hostiteli relací, kteří jsou připojeni k Microsoft Entra ID, Doména služby Active Directory Services nebo Microsoft Entra Domain Services, najdete v tématu Přehled možností ověřování na základě identit služby Azure Files pro přístup k protokolu SMB.

    Upozorňující

    Přiřazení instančního objektu poskytovatele ARM služby Azure Virtual Desktop k účtu úložiště uděluje službě Azure Virtual Desktop všechna data v účtu úložiště. Doporučujeme, abyste aplikace ukládaly jenom pro použití s aplikací v tomto účtu úložiště a pravidelně obměňujte přístupové klíče.

  • Pro službu Azure Files se službami Doména služby Active Directory Services je potřeba přiřadit roli řízení přístupu na základě role (RBAC) v Azure pro správu přístupu na základě role (RBAC) pro data souboru úložiště a nakonfigurovat oprávnění NTFS tak, aby poskytovala přístup pro čtení k objektu počítače každého hostitele relace.

    Další informace o používání služby Soubory Azure s hostiteli relací, kteří jsou připojeni k Microsoft Entra ID, Doména služby Active Directory Services nebo Microsoft Entra Domain Services, najdete v tématu Přehled možností ověřování na základě identit služby Azure Files pro přístup k protokolu SMB.

  • Pro službu Azure Files se službami Doména služby Active Directory Services je potřeba přiřadit roli řízení přístupu na základě role (RBAC) v Azure pro správu přístupu na základě role (RBAC) pro data souboru úložiště a nakonfigurovat oprávnění NTFS tak, aby poskytovala přístup pro čtení k objektu počítače každého hostitele relace.

    Další informace o používání služby Azure Files s hostiteli relací připojenými ke službám Doména služby Active Directory nebo službě Microsoft Entra Domain Services najdete v tématu Přehled možností ověřování na základě identit služby Azure Files pro přístup k protokolu SMB.

  • Pro Službu Azure NetApp Files můžete vytvořit svazek SMB a nakonfigurovat oprávnění NTFS tak, aby poskytovala přístup pro čtení k objektu počítače každého hostitele relace. Hostitelé relací se musí připojit ke službám Doména služby Active Directory services nebo službě Microsoft Entra Domain Services.

Pomocí nástroje PsExec můžete ověřit správnost oprávnění. Další informace najdete v tématu Kontrola přístupu ke sdílené složce.

Výkon

Požadavky se můžou výrazně lišit v závislosti na tom, kolik zabalených aplikací je uložených na imagi a potřebujete otestovat aplikace, abyste porozuměli vašim požadavkům. U větších imagí je potřeba přidělit větší šířku pásma. Následující tabulka uvádí příklad požadavků na jednu image MSIX o velikosti 1 GB obsahující jednu aplikaci, která vyžaduje na hostitele relace:

Prostředek Požadavky
Vstupně-výstupní operace za sekundu v stabilním stavu Jeden IOP
Přihlášení ke spuštění počítače 10 vstupně-výstupních operací za sekundu
Latence 400 ms

Pokud chcete optimalizovat výkon vašich aplikací, doporučujeme:

  • Vaše sdílená složka by měla být ve stejné oblasti Azure jako hostitelé relací. Pokud používáte Službu Azure Files, musí být váš účet úložiště ve stejné oblasti Azure jako hostitelé relací.

  • Vylučte image disků obsahující vaše aplikace z antivirových kontrol, protože jsou jen pro čtení.

  • Zajistěte, aby úložiště a síťová prostředky infrastruktury poskytovaly odpovídající výkon. Měli byste se vyhnout použití stejné sdílené složky s kontejnery profilů FSLogix.

Dostupnost

Všechny plány zotavení po havárii pro Azure Virtual Desktop musí zahrnovat replikaci aplikace MSIX, která připojí sdílenou složku do sekundárního umístění převzetí služeb při selhání. Musíte také zajistit, aby cesta ke sdílené složce byla přístupná v sekundárním umístění. K poskytnutí jednoho názvu sdílené složky mezi různými sdílenými složkami můžete například použít obory názvů DFS (Distributed File System) se službou Azure Files . Další informace o zotavení po havárii pro Azure Virtual Desktop najdete v tématu Nastavení plánu provozní kontinuity a zotavení po havárii.

Soubory Azure

Služba Azure Files má omezení počtu otevřených popisovačů na kořenový adresář, adresář a soubor. Při použití připojení aplikace MSIX nebo připojení aplikace se image disků VHDX nebo CimFS připojují pomocí účtu počítače hostitele relace, což znamená, že jeden popisovač se otevře na hostitele relace na bitovou kopii disku, a ne na uživatele. Další informace o omezeních a nastavení velikosti najdete v tématu Škálovatelnost a výkonnostní cíle služby Azure Files a pokyny k určení velikosti služby Azure Files pro Azure Virtual Desktop.

Certifikáty balíčků MSIX a Appx

Všechny balíčky MSIX a Appx vyžadují platný podpisový certifikát kódu. Pokud chcete tyto balíčky používat s připojením aplikace, musíte zajistit, aby byl celý řetěz certifikátů na hostitelích relací důvěryhodný. Podpisový certifikát kódu má identifikátor 1.3.6.1.5.5.7.3.3objektu . Podpisový certifikát kódu pro balíčky můžete získat z:

  • Veřejná certifikační autorita (CA).

  • Interní podniková nebo samostatná certifikační autorita, jako je služba Active Directory Certificate Services. Musíte exportovat podpisový certifikát kódu, včetně jeho privátního klíče.

  • Nástroj, jako je rutina PowerShellu New-SelfSignedCertificate , která generuje certifikát podepsaný svým držitelem. V testovacím prostředí byste měli používat jenom certifikáty podepsané svým držitelem. Další informace o vytvoření certifikátu podepsaného svým držitelem pro balíčky MSIX a Appx najdete v tématu Vytvoření certifikátu pro podepisování balíčků.

Jakmile certifikát získáte, musíte digitálně podepsat balíčky MSIX nebo Appx certifikátem. Při vytváření balíčku MSIX můžete balíčky podepsat pomocí nástroje MSIX Packaging Tool. Další informace najdete v tématu Vytvoření balíčku MSIX z libovolného instalačního programu na ploše.

Pokud chcete zajistit, aby byl certifikát důvěryhodný pro hostitele relací, potřebujete hostitele relací, aby důvěřovali celému řetězu certifikátů. Postup závisí na tom, odkud jste získali certifikát a jak spravujete hostitele relací a zprostředkovatele identity, kterého používáte. Následující tabulka obsahuje několik pokynů k zajištění důvěryhodnosti certifikátu u hostitelů relací:

  • Veřejná certifikační autorita: Certifikáty z veřejné certifikační autority jsou ve výchozím nastavení důvěryhodné ve Windows a Windows Serveru.

  • Interní certifikační autorita organizace:

    • U hostitelů relací připojených ke službě Active Directory jsou služba AD CS nakonfigurovaná jako interní certifikační autorita organizace ve výchozím nastavení důvěryhodná a uložená v kontextu pojmenování konfigurace služby Doména služby Active Directory Services. Pokud je služba AD CS nakonfigurovaná jako samostatná certifikační autorita, musíte nakonfigurovat zásady skupiny tak, aby distribuovaly kořenové a zprostředkující certifikáty hostitelům relací. Další informace naleznete v tématu Distribuce certifikátů do zařízení s Windows pomocí zásad skupiny.

    • U hostitelů relací připojených k Microsoft Entra ID můžete pomocí Microsoft Intune distribuovat kořenové a zprostředkující certifikáty hostitelům relací. Další informace najdete v tématu Profily důvěryhodných kořenových certifikátů pro Microsoft Intune.

    • U hostitelů relací využívajících hybridní připojení Microsoft Entra můžete v závislosti na vašich požadavcích použít některou z předchozích metod.

  • Podepsané svým držitelem: Nainstalujte důvěryhodný kořen do úložiště důvěryhodných kořenových certifikačních autorit na každého hostitele relace. Tento certifikát nedoporučujeme distribuovat pomocí zásad skupiny nebo Intune, protože by se měl používat jenom k testování.

Důležité

Měli byste časovým razítkem balíčku zajistit, aby platnost certifikátu vypršela. Jinak po vypršení platnosti certifikátu musíte balíček aktualizovat novým platným certifikátem a znovu se ujistit, že je důvěryhodný pro hostitele relací.

Další kroky

Naučte se přidávat a spravovat aplikace pro připojení aplikací ve službě Azure Virtual Desktop.