Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Virtual Desktop pro více relací s Microsoft Intune je teď obecně dostupná.
Microsoft Intune teď můžete použít ke správě vzdálených ploch Windows Enterprise s více relacemi v Centru pro správu Microsoft Intune stejně jako ke správě sdíleného klientského zařízení s Windows. Při správě takových virtuálních počítačů můžete použít konfiguraci založenou na zařízeních nebo konfiguraci založenou na uživatelích.
Windows Enterprise multi-session je nový hostitel relace vzdálené plochy, který je výhradní pro Službu Azure Virtual Desktop v Azure. Poskytuje následující výhody:
- Umožňuje více souběžných uživatelských relací.
- Poskytuje uživatelům známé prostředí Windows.
- Podporuje použití stávajících licencí Microsoft 365 pro jednotlivé uživatele.
Virtuální počítače s více relacemi Windows Enterprise vytvořené v Azure Government Cloudu můžete spravovat v komunitě GCC (US Government Community), GCC High a DoD.
Důležité
Podpora více relací služby Azure Virtual Desktop v Microsoft Intune není v současné době k dispozici pro Citrix DaaS a VMware Horizon Cloud. Vzhledem k tomu, že Intune nemůže nabízet podporu pro Citrix DaaS, projděte si dokumentaci společnosti Citrix a seznamte se s možnostmi podpory citrixu pro podporu více relací. Všechny dotazy, připomínky nebo pomoc by měly být směřovány na společnost Citrix s žádostí o podporu v rámci více relací. Viz podpora citrixu.
Přehled
Podpora konfigurace zařízení v Microsoft Intune pro více relací Windows Enterprise je obecně dostupná (GA). To znamená , že zásady definované v oboru operačního systému a aplikace nakonfigurované pro instalaci v kontextu systému je možné použít na virtuální počítače Azure Virtual Desktopu s více relacemi, pokud jsou přiřazené ke skupinám zařízení.
Poznámka
Konfiguraci založenou na zařízení nelze přiřadit uživatelům a konfiguraci založenou na uživatelích nelze přiřadit k zařízením. Hlásí se jako Chyba nebo Nepoužitelné.
Podpora konfigurace uživatelů v Microsoft Intune pro virtuální počítače s více relacemi Windows Enterprise je obecně dostupná. Díky tomu můžete:
Nakonfigurujte zásady oboru uživatele pomocí katalogu Nastavení a přiřaďte je skupinám uživatelů. Pomocí panelu hledání můžete prohledat všechny konfigurace s oborem nastaveným na "uživatel".
Nakonfigurujte certifikáty uživatelů a přiřaďte je uživatelům.
Nakonfigurujte skripty PowerShellu pro instalaci v kontextu uživatele a přiřazení uživatelům.
Požadavky
Tato funkce podporuje virtuální počítače s více relacemi Windows Enterprise, které jsou:
- Nastavte jako vzdálené plochy ve fondech hostitelů nasazených prostřednictvím Azure Resource Manager.
- Ve stejném tenantovi jako Intune.
- Spuštění verze agenta Služby Azure Virtual Desktop 1.0.2944.1400 nebo novější.
-
Microsoft Entra hybridní připojení a zaregistrované v Microsoft Intune pomocí jedné z následujících metod:
- Nakonfigurováno pomocí zásad skupiny služby Active Directory, nastavené na používání přihlašovacích údajů zařízení a nastavené na automatickou registraci zařízení, která jsou Microsoft Entra hybridně připojená.
- Configuration Manager spoluspráva.
- Microsoft Entra se připojili a zaregistrovali v Microsoft Intune tím, že v Azure Portal povolíte možnost Zaregistrovat virtuální počítač do Intune.
- Licencování: Příslušná licence služby Azure Virtual Desktop a Microsoft Intune se vyžaduje, pokud uživatel nebo zařízení má přímý nebo nepřímý prospěch ze služby Microsoft Intune, včetně přístupu ke službě Microsoft Intune prostřednictvím rozhraní Microsoft API. Další informace najdete v tématu Licencování Microsoft Intune.
- Další informace o licenčních požadavcích služby Azure Virtual Desktop najdete v tématu Licencování služby Azure Virtual Desktop .
Omezení
Intune nepodporuje použití klonované image počítače, který je už zaregistrovaný. To zahrnuje fyzická i virtuální zařízení, jako je Azure Virtual Desktop (AVD). Když se registrace zařízení nebo tokeny identity replikují mezi zařízeními, dojde k selhání registrace nebo synchronizace zařízení v Intune.
- Další informace najdete v tématu Registrace mobilních zařízení – Správa klientů Windows a ověřování certifikátů – Správa klientů Windows – Správa klientů Windows.
- Informace o řešení potíží souvisejících s klonováním imagí najdete v tématu Chyba hr 0x8007064c: Počítač je už zaregistrovaný.
Poznámka
Pokud připojujete hostitele relací k Microsoft Entra Doménové služby, nemůžete je spravovat pomocí Intune.
Důležité
- Intune v současné době nepodporuje funkci roamingu tokenů mezi zařízeními. Pokud se ke správě profilů uživatelů a nastavení windows používá FSLogix nebo podobná technologie, musíte zajistit, aby se tokeny neočekávaně nepřechávaly nebo nezdvojovaly mezi zařízeními. Pokud chcete ověřit, že používáte podporovanou verzi a konfiguraci FSLogix se zakázaným roamingem tokenů, projděte si referenční informace k nastavení konfigurace FSLogix RoamIdentity.
Virtuální počítače s Více relacemi Windows Enterprise se považují za samostatnou edici operačního systému a některé konfigurace Windows Enterprise nebudou pro tuto edici podporované. Použití Microsoft Intune nezávisí na správě služby Azure Virtual Desktop stejného virtuálního počítače ani do této správy nezasahuje.
Vytvoření konfiguračního profilu
Pokud chcete nakonfigurovat zásady konfigurace pro virtuální počítače s více relacemi Windows Enterprise, použijte katalog Nastavení v Centru pro správu Microsoft Intune.
Virtuální počítače s více relacemi s Windows Enterprise podporují pouze následující šablony konfiguračních profilů:
- Důvěryhodný certifikát – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
- Certifikát SCEP – Zařízení (počítač) při cílení na zařízení a uživatel při cílení na uživatele
- Certifikát PKCS – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
- VPN – pouze tunel zařízení
Microsoft Intune nedoručí nepodporované šablony zařízením s více relacemi a tyto zásady se v sestavách zobrazují jako Nepoužitelné .
Poznámka
Pokud používáte spolusprávu pro Intune a Configuration Manager, nastavte v Configuration Manager posuvník úlohy pro Zásady přístupu k prostředkům na Intune nebo Pilotní Intune. Toto nastavení umožňuje klientům windows zahájit proces vyžádání certifikátu.
Konfigurace zásad
- Přihlaste se k Centru pro správu Microsoft Intune a zvolte Zařízení>podle platformy>Windows>Spravovat zařízení>Konfigurace>Vytvořit>novou zásadu.
- V části Platforma vyberte Windows 10 a novější.
- V části Typ profilu vyberte Katalog nastavení nebo při nasazení nastavení pomocí šablony vyberte Šablony a pak název podporované šablony.
- Vyberte Vytvořit.
- Na stránce Základy zadejte Název a (volitelně) Popis>Další.
- Na stránce Nastavení konfigurace vyberte Přidat nastavení.
- V části Výběr nastavení vyberte Přidat filtr a vyberte následující možnosti:
- Klíč: Edice operačního systému
- Operátor: ==
- Hodnota: Organizace pro více relací
- Vyberte Použít. Filtrovaný seznam teď zobrazuje všechny kategorie konfiguračních profilů, které podporují více relací Windows Enterprise. Rozsah zásad se zobrazuje v závorkách. Pro obor uživatele se zobrazuje jako (Uživatel) a všechny ostatní jsou zásady s oborem zařízení.
- Z filtrovaného seznamu vyberte požadované kategorie.
- Pro každou kategorii, kterou vyberete, vyberte nastavení, která chcete použít pro nový konfigurační profil.
- Pro každé nastavení vyberte požadovanou hodnotu pro tento konfigurační profil.
- Až dokončíte přidávání nastavení, vyberte Další .
- Na stránce Přiřazení zvolte skupiny Microsoft Entra obsahující zařízení, ke kterým chcete tento profil přiřadit >Další.
- Na stránce Značky oboru volitelně přidejte značky oboru, které chcete použít pro tento profil >Další. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.
- Na stránce Zkontrolovat a vytvořit zvolte Vytvořit a vytvořte profil.
Šablony pro správu
Šablony pro správu v katalogu nastavení Intune jsou podporované pro více relací Windows Enterprise s určitými omezeními:
- Podporují se zásady založené na ADMX. Některé zásady ještě nejsou dostupné v katalogu Nastavení.
- Podporují se zásady ingestované službou ADMX. Úplný seznam kategorií zásad přijatých službou ADMX najdete v tématu Konfigurace zásad aplikací Win32 a Přemostění na desktop. Některá nastavení ingestované službou ADMX nebudou použitelná pro více relací Windows Enterprise.
Dodržování předpisů a podmíněný přístup
Virtuální počítače s Windows Enterprise s více relacemi můžete zabezpečit konfigurací zásad dodržování předpisů a zásad podmíněného přístupu v Centru pro správu Microsoft Intune. Na virtuálních počítačích s Více relacemi s Windows Enterprise se podporují následující zásady dodržování předpisů:
- Minimální verze operačního systému
- Maximální verze operačního systému
- Platná sestavení operačního systému
- Jednoduchá hesla
- Typ hesla
- Minimální délka hesla
- Složitost hesla
- Vypršení platnosti hesla (dny)
- Počet předchozích hesel, aby se zabránilo opakovanému použití
- Microsoft Defender Antimalware
- Microsoft Defender aktuální antimalwarové bezpečnostní informace
- Brána firewall
- Antivirus
- Antispyware
- Ochrana v reálném čase
- Microsoft Defender minimální verze antimalwaru
- Defender ATP Risk Score
Všechny ostatní zásady se hlásí jako Nepoužitelné.
Důležité
Budete muset vytvořit nové zásady dodržování předpisů a zacílit je na skupinu zařízení obsahující virtuální počítače s více relacemi. Konfigurace dodržování předpisů cílené na uživatele se nepodporují.
Zásady podmíněného přístupu podporují konfigurace založené na uživatelích i zařízeních pro více relací Windows Enterprise.
Zabezpečení koncových bodů
Profily můžete nakonfigurovat v části Zabezpečení koncového bodu pro virtuální počítače s více relacemi tak, že vyberete Windows platformy. Pokud tato platforma není dostupná, profil se nepodporuje na virtuálních počítačích s více relacemi.
Další informace najdete v tématu Správa zabezpečení zařízení pomocí zásad zabezpečení koncových bodů v Microsoft Intune.
Nasazení aplikace
Všechny aplikace pro Windows je možné nasadit do více relací Windows Enterprise s následujícími omezeními:
- Všechny aplikace musí být nakonfigurované tak, aby se nainstalovaly v kontextu systému nebo zařízení, a musí být cílené na zařízení. Webové aplikace se ve výchozím nastavení vždy použijí v kontextu uživatele, takže se nebudou vztahovat na virtuální počítače s více relacemi.
- Všechny aplikace musí být nakonfigurované se záměrem Povinné nebo Odinstalovat přiřazení aplikace. Záměr Nasazení dostupných aplikací se na virtuálních počítačích s více relacemi nepodporuje.
- Pokud má aplikace Win32 nakonfigurovanou tak, aby se nainstalovala v kontextu systému, závislosti nebo vztah nahrazování u všech aplikací nakonfigurovaných tak, aby se nainstalovaly v kontextu uživatele, aplikace se nenainstaluje. Pokud chcete použít virtuální počítač s více relacemi Windows Enterprise, vytvořte samostatnou instanci aplikace kontextu systému nebo se ujistěte, že všechny závislosti aplikací jsou nakonfigurované tak, aby se nainstalovaly v kontextu systému.
- Microsoft Intune v současné době nepodporuje vzdálenou aplikaci Azure Virtual Desktop a připojení aplikace MSIX.
Nasazení skriptu
Skripty nakonfigurované tak, aby běžely v kontextu systému a přiřazené k zařízením, jsou podporovány ve více relacích Windows Enterprise. To můžete nakonfigurovat v nastavení skriptu nastavením Možnosti Spustit tento skript pomocí přihlášených přihlašovacích údajů na Hodnotu Ne.
Skripty nakonfigurované tak, aby běžely v kontextu uživatele a přiřazené uživatelům, jsou podporovány ve více relacích Windows Enterprise. To se dá nakonfigurovat v nastavení skriptu tak, že nastavíte Spustit tento skript pomocí přihlášených přihlašovacích údajů na Ano.
zásady klienta služba Windows Update
Katalog nastavení můžete použít ke správě nastavení služba Windows Update pro aktualizace kvality (zabezpečení) pro virtuální počítače s více relacemi Windows Enterprise. Pokud chcete najít podporovaná nastavení v katalogu, nakonfigurujte filtr nastavení pro podnikové více relací a rozbalte kategorii služba Windows Update pro firmy.
V katalogu jsou k dispozici následující nastavení s odkazy, které otevírají dokumentaci k programu CSP systému Windows:
- Konec aktivních hodin
- Maximální rozsah aktivních hodin
- Začátek aktivních hodin
- Blokovat možnost Pozastavit Aktualizace
- Konfigurace období odkladu konečného termínu
- Pozdržet kvalitu Aktualizace období (dny)
- Pozastavit čas spuštění Aktualizace zvýšení kvality
- Konečné období aktualizace kvality (dny)
Vzdálené akce
Následující vzdálené akce desktopových zařízení s Windows se nepodporují a v uživatelském rozhraní se zobrazí šedě a v Graphu pro virtuální počítače s více relacemi Windows Enterprise se zašednou barvou:
- Obnovení windows Autopilotu do továrního nastavení
- Obměně klíčů nástroje BitLocker
- Začít znovu
- Vzdálené uzamčení
- Resetujte heslo.
- Vymazání
Vyřazení
Odstraněním virtuálních počítačů z Azure zůstanou záznamy osamocených zařízení v Centru pro správu Microsoft Intune. Počítače AVD se automaticky odstraní po 30 dnech a trvale se odeberou po 60 dnech. Další informace najdete tady:
Výchozí hodnoty zabezpečení
Standardní hodnoty zabezpečení jsou k dispozici pro více relací Windows Enterprise. Doporučujeme projít si dostupné standardní hodnoty zabezpečení a nakonfigurovat doporučené zásady a hodnoty v katalogu Nastavení.
Další konfigurace, které nejsou podporované na virtuálních počítačích s více relacemi Windows Enterprise
Registrace prostředí prvního spuštění počítače (OOBE) se nepodporuje pro více relací Windows Enterprise. Toto omezení znamená, že:
- Windows Autopilot a komerční OOBE se nepodporují.
- Stránka stavu registrace se nepodporuje.
Více relací Windows Enterprise spravovaných pomocí Microsoft Intune se v současné době nepodporuje pro Sovereign Cloud v Číně.
Řešení problémů
Následující části obsahují pokyny k řešení běžných problémů.
Problémy s registrací
| Problém | Detail |
|---|---|
| Registrace Microsoft Entra virtuálních počítačů připojených k hybridnímu připojení selže |
|
| Selhání registrace virtuálního počítače připojeného k Microsoft Entra |
|
Problémy s konfigurací
| Problém | Detail |
|---|---|
| Selhání zásad katalogu nastavení | Pomocí přihlašovacích údajů zařízení ověřte, že je virtuální počítač zaregistrovaný. Registrace s přihlašovacími údaji uživatele se v současné době nepodporuje pro více relací Windows Enterprise. |
| Zásady konfigurace se nepoužily. | Šablony (s výjimkou certifikátů) nejsou podporovány ve více relacích Windows Enterprise. Všechny zásady se musí vytvořit prostřednictvím katalogu nastavení. |
| Zásady konfigurace se hlásí jako Nepoužitelné | Některé zásady se nevztahují na virtuální počítače Azure Virtual Desktopu. |
| Při použití filtru pro edici Windows Enterprise s více relacemi se zásady Microsoft Edge/Microsoft Office ADMX nezobrazují | Použitelnost těchto nastavení není založená na verzi nebo edici Windows, ale na tom, jestli byly tyto aplikace na zařízení nainstalované. Pokud chcete tato nastavení přidat do zásad, možná budete muset odebrat všechny filtry použité ve výběru nastavení. |
| Aplikace nakonfigurovaná pro instalaci v kontextu systému se nepoužila. | Ověřte, že aplikace nemá závislost nebo vztah nahrazování u žádné aplikace nakonfigurované pro instalaci v kontextu uživatele. Aplikace kontextu uživatele se v současné době nepodporují ve více relacích Windows Enterprise. |
| Nepoužily se aktualizační kanály pro Windows. | Zásady okruhů windows update se v současné době nepodporují. Aktualizace pro zvýšení kvality je možné spravovat prostřednictvím nastavení dostupných v katalogu nastavení. |
Další kroky
Přečtěte si další informace o službě Azure Virtual Desktops.