Vzdálená plocha windows 10 nebo Windows 11 Enterprise s více relacemi

Azure Virtual Desktop pro více relací s Microsoft Intune je teď obecně dostupná.

Microsoft Intune teď můžete používat ke správě vzdálených ploch Windows 10 nebo Windows 11 Enterprise s více relacemi v Centru pro správu Microsoft Intune stejně jako můžete spravovat sdílené klientské zařízení s Windows 10 nebo Windows 11. Při správě takových virtuálních počítačů budete moct používat jak konfiguraci založenou na zařízeních, tak konfiguraci založenou na uživatelích.

Windows 10 nebo Windows 11 Enterprise pro více relací je nový hostitel relace vzdálené plochy, který je výhradní pro Azure Virtual Desktop v Azure. Poskytuje následující výhody:

• Umožňuje více souběžných uživatelských relací.
• Poskytuje uživatelům známé prostředí Windows 10 nebo Windows 11.
• Podporuje použití stávajících licencí Microsoft 365 pro jednotlivé uživatele.

Virtuální počítače s Windows 10 a Windows 11 Enterprise s více relacemi vytvořené v cloudu Azure Government můžete spravovat ve službě US Government Community (GCC), GCC High a DoD.

Důležité

Podpora více relací služby Azure Virtual Desktop v Microsoft Intune není v současné době k dispozici pro Citrix DaaS a VMware Horizon Cloud.

Přehled

Podpora konfigurace zařízení v Microsoft Intune pro Windows 10 nebo Windows 11 Enterprise s více relacemi je obecně dostupná (GA). To znamená , že zásady definované v oboru operačního systému a aplikace nakonfigurované pro instalaci v kontextu systému je možné použít na virtuální počítače Azure Virtual Desktopu s více relacemi, pokud jsou přiřazené ke skupinám zařízení.

Poznámka

Konfiguraci založenou na zařízení nelze přiřadit uživatelům a konfiguraci založenou na uživatelích nelze přiřadit k zařízením. Bude nahlášena jako Chyba nebo Nepoužitelné.

Podpora konfigurace uživatelů v Microsoft Intune pro virtuální počítače s více relacemi s Windows 10 nebo Windows 11 je obecně dostupná. Díky tomu můžete:

• Nakonfigurujte zásady oboru uživatele pomocí katalogu Nastavení a přiřaďte je skupinám uživatelů. Pomocí panelu hledání můžete prohledat všechny konfigurace s oborem nastaveným na "uživatel".

• Nakonfigurujte certifikáty uživatelů a přiřaďte je uživatelům.

• Nakonfigurujte skripty PowerShellu pro instalaci v kontextu uživatele a přiřazení uživatelům.

Požadavky

Tato funkce podporuje virtuální počítače s Windows 10 nebo Windows 11 Enterprise s více relacemi, které jsou:

• Systém Windows 10 s více relacemi verze 1903 nebo novější nebo windows 11 s více relacemi.
• Nastavení jako vzdálené plochy ve fondech hostitelů nasazených prostřednictvím Azure Resource Manageru
• Ve stejném tenantovi jako Intune.
• Spuštění verze agenta Služby Azure Virtual Desktop 1.0.2944.1400 nebo novější.
• Microsoft Entra hybrid join a zaregistrovaný v Microsoft Intune pomocí jedné z následujících metod:
  • Nakonfigurované pomocí zásad skupiny služby Active Directory, nastavené na používání přihlašovacích údajů zařízení a nastavené na automatickou registraci zařízení, která jsou hybridním připojením k Microsoft Entra.
  • Spoluspráva nástroje Configuration Manager.
• Microsoft Entra se připojil a zaregistroval v Microsoft Intune povolením registrace virtuálního počítače pomocí Intune na webu Azure Portal.
• Licencování: Příslušná licence služby Azure Virtual Desktop a Microsoft Intune se vyžaduje, pokud uživatel nebo zařízení má přímý nebo nepřímý prospěch ze služby Microsoft Intune, včetně přístupu ke službě Microsoft Intune prostřednictvím rozhraní Microsoft API. Další informace najdete v tématu Licencování Microsoft Intune.
• Další informace o licenčních požadavcích služby Azure Virtual Desktop najdete v tématu Co je Azure Virtual Desktop? .

Omezení

Intune nepodporuje použití klonované image počítače, který je už zaregistrovaný. To zahrnuje fyzická i virtuální zařízení, jako je Azure Virtual Desktop (AVD). Když se registrace zařízení nebo tokeny identity replikují mezi zařízeními, dojde k selhání registrace nebo synchronizace zařízení v Intune.

• Další informace najdete v tématu Registrace mobilních zařízení – Správa klientů Windows a ověřování certifikátů – Správa klientů Windows – Správa klientů Windows.
• Informace o řešení potíží souvisejících s klonováním imagí najdete v tématu Chyba hr 0x8007064c: Počítač je už zaregistrovaný.

Poznámka

Pokud připojujete hostitele relací ke službě Microsoft Entra Domain Services, nemůžete je spravovat pomocí Intune.

Důležité

• Pokud používáte buildy Windows 10 verze 2004, 20H2 nebo 21H1, ujistěte se, že jste nainstalovali aktualizaci Windows Update z července 2021 nebo novější. V opačném případě nebudou správně fungovat vzdálené akce v Centru pro správu Microsoft Intune, jako je vzdálená synchronizace. V důsledku toho může použití čekajících zásad přiřazených k zařízením trvat až 8 hodin.
• Intune v současné době nepodporuje funkci roamingu tokenů mezi zařízeními. Pokud se ke správě profilů uživatelů a nastavení windows používá FSLogix nebo podobná technologie, musíte zajistit, aby se tokeny neočekávaně nepřechávaly nebo nezdvojovaly mezi zařízeními. Pokud chcete ověřit, že používáte podporovanou verzi a konfiguraci FSLogix se zakázaným roamingem tokenů, projděte si referenční informace k nastavení konfigurace FSLogix RoamIdentity.

Virtuální počítače s Windows 10 nebo Windows 11 Enterprise s více relacemi se považují za samostatnou edici operačního systému a některé konfigurace Windows 10 nebo Windows 11 Enterprise nebudou pro tuto edici podporované. Použití Microsoft Intune nezávisí na správě služby Azure Virtual Desktop stejného virtuálního počítače ani do této správy nezasahuje.

Vytvoření konfiguračního profilu

Pokud chcete konfigurovat zásady konfigurace pro virtuální počítače s Windows 10 nebo Windows 11 Enterprise s více relacemi, budete muset použít katalog Nastavení v Centru pro správu Microsoft Intune.

Existující šablony profilu konfigurace zařízení nejsou podporované pro virtuální počítače s Windows 10 nebo Windows 11 Enterprise s výjimkou následujících šablon:

• Důvěryhodný certifikát – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
• Certifikát SCEP – Zařízení (počítač) při cílení na zařízení a uživatel při cílení na uživatele
• Certifikát PKCS – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
• VPN – pouze tunel zařízení

Microsoft Intune nedoručí nepodporované šablony zařízením s více relacemi a tyto zásady se v sestavách zobrazují jako Nepoužitelné .

Poznámka

Pokud používáte spolusprávu pro Intune a Configuration Manager, nastavte v Configuration Manageru posuvník úloh pro Zásady přístupu k prostředkům na Intune nebo Pilotní Intune. Toto nastavení umožňuje klientům s Windows 10 a Windows 11 zahájit proces žádosti o certifikát.

Konfigurace zásad

1. Přihlaste se k Centru pro správu Microsoft Intune a zvolte Zařízení>podle platformy>Windows>Spravovat zařízení>Konfigurace>Vytvořit>novou zásadu.
2. V části Platforma vyberte Windows 10 a novější.
3. V části Typ profilu vyberte Katalog nastavení nebo při nasazení nastavení pomocí šablony vyberte Šablony a pak název podporované šablony.
4. Vyberte Vytvořit.
5. Na stránce Základy zadejte Název a (volitelně) Popis>Další.
6. Na stránce Nastavení konfigurace vyberte Přidat nastavení.
7. V části Výběr nastavení vyberte Přidat filtr a vyberte následující možnosti:
   • Klíč: Edice operačního systému
   • Operátor: ==
   • Hodnota: Organizace pro více relací
   • Vyberte Použít. Filtrovaný seznam teď zobrazuje všechny kategorie konfiguračních profilů, které podporují více relací Windows 10 nebo Windows 11 Enterprise. Rozsah zásad se zobrazuje v závorkách. Pro obor uživatele se zobrazuje jako (Uživatel) a všechny ostatní jsou zásady s oborem zařízení.
8. Z filtrovaného seznamu vyberte požadované kategorie.
   • Pro každou kategorii, kterou vyberete, vyberte nastavení, která chcete použít pro nový konfigurační profil.
   • Pro každé nastavení vyberte požadovanou hodnotu pro tento konfigurační profil.
9. Až dokončíte přidávání nastavení, vyberte Další .
10. Na stránce Zadání zvolte skupiny Microsoft Entra obsahující zařízení, ke kterým chcete tento profil přiřadit >Další.
11. Na stránce Značky oboru volitelně přidejte značky oboru, které chcete použít pro tento profil >Další. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.
12. Na stránce Zkontrolovat a vytvořit zvolte Vytvořit a vytvořte profil.

Šablony pro správu

Šablony pro správu Windows 10 nebo Windows 11 se podporují pro více relací Windows 10 nebo Windows 11 Enterprise prostřednictvím katalogu Nastavení s určitými omezeními:

• Podporují se zásady založené na ADMX. Některé zásady ještě nejsou dostupné v katalogu Nastavení.
• Podporují se zásady ingestované službou ADMX, včetně nastavení Office a Microsoft Edge, která jsou k dispozici v souborech šablon pro správu Office a v souborech šablon pro správu Microsoft Edge. Úplný seznam kategorií zásad ingestovaných službou ADMX najdete v tématu Konfigurace zásad aplikací Přemostit plochy a Win32. Některá nastavení ingestované službou ADMX nebudou použitelná pro více relací Windows 10 nebo Windows 11 Enterprise.

Dodržování předpisů a podmíněný přístup

Virtuální počítače s Windows 10 nebo Windows 11 Enterprise s více relacemi můžete zabezpečit konfigurací zásad dodržování předpisů a zásad podmíněného přístupu v Centru pro správu Microsoft Intune. Na virtuálních počítačích s Windows 10 nebo Windows 11 Enterprise s více relacemi se podporují následující zásady dodržování předpisů:

• Minimální verze operačního systému
• Maximální verze operačního systému
• Platná sestavení operačního systému
• Jednoduchá hesla
• Typ hesla
• Minimální délka hesla
• Složitost hesla
• Vypršení platnosti hesla (dny)
• Počet předchozích hesel, aby se zabránilo opakovanému použití
• Microsoft Defender Antimalware
• Aktuální informace o zabezpečení v programu Microsoft Defender Antimalware
• Firewall
• Antivirový
• Antispyware
• Ochrana v reálném čase
• Minimální verze Antimalwaru v programu Microsoft Defender
• Defender ATP Risk Score

Všechny ostatní zásady se hlásí jako Nepoužitelné.

Důležité

Budete muset vytvořit nové zásady dodržování předpisů a zacílit je na skupinu zařízení obsahující virtuální počítače s více relacemi. Konfigurace dodržování předpisů cílené na uživatele se nepodporují.

Zásady podmíněného přístupu podporují konfigurace založené na uživatelích a zařízeních pro Windows 10 nebo Windows 11 Enterprise pro více relací.

Poznámka

Podmíněný přístup pro místní Exchange se nepodporuje u virtuálních počítačů s Windows 10 nebo Windows 11 Enterprise s více relacemi.

Poznámka

Zásady konfigurace a dodržování předpisů pro Nástroj BitLocker, zabezpečené spouštění a funkce využívající vTPM (Virtual Trusted Platform Module) se v současnosti nepodporují pro virtuální počítače Azure Virtual Desktop.

Zabezpečení koncových bodů

Profily v části Zabezpečení koncového bodu pro virtuální počítače s více relacemi můžete nakonfigurovat tak, že vyberete Platform Windows 10, Windows 11 a Windows Server. Pokud tato platforma není dostupná, profil se nepodporuje na virtuálních počítačích s více relacemi.

Další informace najdete v tématu Správa zabezpečení zařízení pomocí zásad zabezpečení koncových bodů v Microsoft Intune.

Nasazení aplikace

Všechny aplikace pro Windows 10 nebo Windows 11 je možné nasadit do více relací Windows 10 nebo Windows 11 Enterprise s následujícími omezeními:

• Všechny aplikace musí být nakonfigurované tak, aby se nainstalovaly v kontextu systému nebo zařízení, a musí být cílené na zařízení. Webové aplikace se ve výchozím nastavení vždy použijí v kontextu uživatele, takže se nebudou vztahovat na virtuální počítače s více relacemi.
• Všechny aplikace musí být nakonfigurované se záměrem Povinné nebo Odinstalovat přiřazení aplikace. Záměr Nasazení dostupných aplikací se na virtuálních počítačích s více relacemi nepodporuje.
• Pokud má aplikace Win32 nakonfigurovanou tak, aby se nainstalovala v kontextu systému, závislosti nebo vztah nahrazování u všech aplikací nakonfigurovaných tak, aby se nainstalovaly v kontextu uživatele, aplikace se nenainstaluje. Pokud chcete použít virtuální počítač s Windows 10 nebo Windows 11 Enterprise s více relacemi, vytvořte samostatnou instanci aplikace kontextu systému nebo se ujistěte, že všechny závislosti aplikací jsou nakonfigurované tak, aby se nainstalovaly v kontextu systému.
• Microsoft Intune v současné době nepodporuje vzdálenou aplikaci Azure Virtual Desktop a připojení aplikace MSIX.

Nasazení skriptu

Skripty nakonfigurované tak, aby běžely v kontextu systému a přiřazené k zařízením, jsou podporované ve Windows 10 nebo Windows 11 Enterprise pro více relací. To můžete nakonfigurovat v nastavení skriptu nastavením Možnosti Spustit tento skript pomocí přihlášených přihlašovacích údajů na Hodnotu Ne.

Skripty nakonfigurované tak, aby běžely v kontextu uživatele a přiřazené uživatelům, jsou podporovány ve Windows 10 a Windows 11 Enterprise pro více relací. To se dá nakonfigurovat v nastavení skriptu tak, že nastavíte Spustit tento skript pomocí přihlášených přihlašovacích údajů na Ano.

Windows Update pro firmy

Katalog nastavení můžete použít ke správě nastavení služby Windows Update pro aktualizace pro zvýšení kvality (zabezpečení) pro virtuální počítače s Windows 10 nebo Windows 11 Enterprise s více relacemi. Pokud chcete najít podporovaná nastavení v katalogu, nakonfigurujte filtr nastavení pro podnikové více relací a rozbalte kategorii Windows Update pro firmy .

V katalogu jsou k dispozici následující nastavení s odkazy, které otevírají dokumentaci k programu CSP systému Windows:

• Konec aktivních hodin
• Maximální rozsah aktivních hodin
• Začátek aktivních hodin
• Blokovat možnost Pozastavit aktualizace
• Konfigurace období odkladu konečného termínu
• Odložení období aktualizací kvality (dny)
• Pozastavit čas spuštění aktualizací pro zvýšení kvality
• Konečné období aktualizace kvality (dny)

Vzdálené akce

Následující vzdálené akce zařízení s Windows 10 nebo Windows 11 se nepodporují, v uživatelském rozhraní se zobrazí šedě a v Graphu pro virtuální počítače s více relacemi s Windows 10 nebo Windows 11 Enterprise:

• Resetování autopilota
• Obměně klíčů nástroje BitLocker
• Začít znovu
• Vzdálené uzamčení
• Resetujte heslo.
• Vymazání

Vyřazení

Odstraněním virtuálních počítačů z Azure zůstanou záznamy osamocených zařízení v Centru pro správu Microsoft Intune. Automaticky se vyčistí podle pravidel čištění nakonfigurovaných pro tenanta.

Výchozí hodnoty zabezpečení

Standardní hodnoty zabezpečení nejsou v tuto chvíli dostupné pro Windows 10 nebo Windows 11 Enterprise pro více relací. Doporučujeme projít si dostupné standardní hodnoty zabezpečení a nakonfigurovat doporučené zásady a hodnoty v katalogu Nastavení.

Další konfigurace, které nejsou podporované na virtuálních počítačích s Windows 10 nebo Windows 11 Enterprise s více relacemi

Registrace prostředí prvního spuštění počítače (OOBE) není podporovaná pro více relací Windows 10 nebo Windows 11 Enterprise. Toto omezení znamená, že:

• Windows Autopilot a komerční OOBE se nepodporují.
• Stránka stavu registrace se nepodporuje.

Více relací windows 10 nebo Windows 11 Enterprise spravovaných službou Microsoft Intune se v současné době nepodporuje pro čínský suverénní cloud.

Řešení problémů

Následující části obsahují pokyny k řešení běžných problémů.

Problémy s registrací

Problém	Detail
Selhání registrace virtuálního počítače připojeného k hybridnímu připojení k Microsoft Entra	Automatická registrace je nakonfigurovaná tak, aby používala přihlašovací údaje uživatele. Virtuální počítače s Windows 10 nebo Windows 11 Enterprise s více relacemi musí být zaregistrované pomocí přihlašovacích údajů zařízení. Agent Služby Azure Virtual Desktop, který používáte, musí být verze 1.0.2944.1400 nebo novější. Máte víc než jednoho poskytovatele MDM, který se nepodporuje. Virtuální počítač s Windows 10 nebo Windows 11 Enterprise s více relacemi je nakonfigurovaný mimo fond hostitelů. Microsoft Intune podporuje jenom virtuální počítače zřízené jako součást fondu hostitelů. Fond hostitelů služby Azure Virtual Desktop se nevytvořil prostřednictvím šablony Azure Resource Manageru.
Registrace virtuálního počítače připojeného k Microsoft Entra selže	Agent služby Azure Virtual Desktop, který používáte, se neaktualizuje. Agent musí mít verzi 1.0.2944.1400 nebo vyšší. Fond hostitelů služby Azure Virtual Desktop se nevytvořil prostřednictvím šablony Azure Resource Manageru.

Problémy s konfigurací

Problém	Detail
Selhání zásad katalogu nastavení	Pomocí přihlašovacích údajů zařízení ověřte, že je virtuální počítač zaregistrovaný. Registrace s přihlašovacími údaji uživatele se v současné době nepodporuje pro Windows 10 nebo Windows 11 Enterprise pro více relací.
Zásady konfigurace se nepoužily.	Šablony (s výjimkou certifikátů) nejsou podporovány ve Windows 10 nebo Windows 11 Enterprise pro více relací. Všechny zásady se musí vytvořit prostřednictvím katalogu nastavení.
Zásady konfigurace se hlásí jako Nepoužitelné	Některé zásady se nevztahují na virtuální počítače Azure Virtual Desktopu.
Při použití filtru pro edici Windows 10 nebo Windows 11 Enterprise s více relacemi se zásady Microsoft Edge nebo Microsoft Office ADMX nezobrazují	Použitelnost těchto nastavení není založená na verzi nebo edici Windows, ale na tom, jestli byly tyto aplikace na zařízení nainstalované. Pokud chcete tato nastavení přidat do zásad, možná budete muset odebrat všechny filtry použité ve výběru nastavení.
Aplikace nakonfigurovaná pro instalaci v kontextu systému se nepoužila.	Ověřte, že aplikace nemá závislost nebo vztah nahrazování u žádné aplikace nakonfigurované pro instalaci v kontextu uživatele. Aplikace kontextu uživatele nejsou v současné době podporovány ve Windows 10 nebo Windows 11 Enterprise pro více relací.
Nepoužily se zásady aktualizačních kanálů pro Windows 10 a novější.	Zásady okruhů windows update se v současné době nepodporují.

Další kroky

Přečtěte si další informace o službě Azure Virtual Desktops.