Sdílet prostřednictvím

Nastavení tenantů pro Windows 365 Government

  • Článek

Nejrychlejší způsob, jak používat Windows 365, je použít AADJ, image z galerie a možnost Microsoft Hosted Network. Pokyny na této stránce jsou pouze v případě, že musíte použít jednu nebo obě:

Pouze pro zákazníky GCC (Government Community Cloud) následující pokyny umožňují Intune spuštěné v Azure spravovat cloudové počítače spuštěné v Azure Government oblastech.

Poznámka

  • K používání služby Windows 365 Government nepotřebujete předplatné Azure Government. Tyto pokyny jsou specifické pro GCC a pouze v případě, že se vyžadují vlastní image nebo síťové Connections Azure. Pokyny na této stránce se nevztahují na GCC High.
  • Pro zákazníky státní správy, kteří nemají Azure Government předplatné nebo vyžadují integraci s Azure, zvažte použití Windows 365 Enterprise. Ujistěte se, že splňuje vaše požadavky na dodržování předpisů. Windows 365 Enterprise je kompatibilní s FedRAMP. Viz popis služby Windows 365.

Než začnete

Pro mapování tenanta a udělování oprávnění pro vlastní image nebo pro připojení k vlastním sítím potřebujete:

  • Předplatné Azure Government.
  • Přihlašovací údaje uživatele, který má:
    • Role globálního správce ve vašem tenantovi Azure (končící na onmicrosoft.com)
  • Přihlašovací údaje uživatele, který má:
    • Role vlastníka ve vašem předplatném Azure Government AND
    • Role globálního správce v tenantovi Azure Government (končící na onmicrosoft.us).
  • Splnění licenčních požadavků.
  • (Pokud je to možné) Následující informace o použití oprávnění k nastavení síťového připojení Azure Virtuální síť a podsíť už musí existovat.
    • ID předplatného.
    • Skupina prostředků.
    • Virtual Network.
    • Podsíť.

Poznámka

Zatímco cloudové počítače uživatelů GCC jsou hostované a zabezpečené v Azure Government cloudu, koncové body pro správce a koncové uživatele jsou v komerční doméně Azure. Uživatelé se budou ke cloudovým počítačům přihlašovat pomocí přihlašovacích údajů synchronizovaných s Microsoft Entra ID.

možnosti Microsoft Entra

Pokud chcete použít Microsoft Entra připojení nebo Microsoft Entra hybridní připojení, zvažte tyto přípravy:

Microsoft Entra připojených cloudových počítačů: Pokud chcete použít Microsoft Entra připojit infrastrukturu a vlastní síť, potřebujete tenanta a předplatné Azure v Azure Government cloudu. Tenant v doméně Azure .com musí být namapovaný na tenanta v doméně Azure Government (.us).

Hybridní Microsoft Entra připojené ke cloudovým počítačům: Pokud chcete použít infrastrukturu Microsoft Entra hybridního připojení, musíte před vytvořením virtuálních sítí Azure nakonfigurovat svého komerčního (.com) tenanta a tenanty státní správy (.us).

Příprava nástroje Windows 365 GCC Setup Tool

Aby nástroj pro nastavení Windows 365 GCC dokončil mapování tenanta, musí být aplikaci Windows 365 Microsoft Entra uděleno oprávnění pro přístup k vašemu tenantovi Azure Government AD prostřednictvím instančního objektu. Instanční objekt definuje, co může aplikace v tenantovi dělat, kdo má k aplikaci přístup a k jakým prostředkům má aplikace přístup. Před prvním spuštěním nástroje Windows 365 GCC Setup Tool musíte provést následující kroky:

  1. Pokud ještě není dokončeno, nainstalujte Azure CLI na počítač, na kterém budete vytvářet instanční objekt. Další informace najdete v tématu Postup instalace Azure CLI.
  2. Přihlaste se ke svému tenantovi Azure Government AD pomocí kroků Azure CLI definovaných v tématu Přihlášení pomocí Azure CLI. K vytvoření instančního objektu pro aplikaci pro Windows se vyžadují oprávnění globálního správce.
  3. Další informace o práci s instančními objekty v Azure najdete v tématu Práce s instančním objektem Azure pomocí Azure CLI. Spuštěním následujícího příkazu PowerShellu udělte Windows 365 Microsoft Entra aplikaci oprávnění k vašemu tenantovi: az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
  4. Po úspěšném dokončení příkazu byste měli být schopni zobrazit podrobnosti o instančním objektu spuštěním následujícího příkazu PowerShellu: az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. Aplikace pro Windows by měla být uvedená v zobrazení Všechny aplikace v okně Podniková aplikace v Azure Portal.

Instanční objekt windows app má přístup pouze k prostředkům Azure nezbytným ke konfiguraci vlastní image a podpory azure síťového připojení (ANC) v Windows 365. Po vytvoření je možné instanční objekt odstranit pouze v případě, že se zruší zřízení vlastních imagí, objektů ANC a odpovídajících cloudových počítačů, které je používají. V opačném případě můžou selhat úlohy zřizování cloudových počítačů a stávající cloudové počítače můžou být nedostupné.

Začínáme s nástrojem Windows 365 GCC Setup Tool

Pomocí tohoto postupu nakonfigurujte mapování tenanta pomocí nástroje Windows 365 GCC Setup Tool.

  1. Spusťte GCCSetupTool.exe. Tento nástroj je k dispozici na adrese https://aka.ms/gccsetuptool.
  2. Na stránce Pojďme začít vyberte Další.
  3. Přihlaste se pomocí svého účtu Azure. Tento účet musí mít oprávnění globálního správce.
  4. Potvrďte, že chcete pokračovat se svým komerčním účtem >Next.
  5. Přihlaste se pomocí účtu > Azure Government Další> zadejte přihlašovací údaje.
  6. Potvrďte, že chcete pokračovat s účtem > pro státní správu Next.
  7. Na obrazovce Vyberte funkci, kterou chcete povolit , zkontrolujte, že je vybraná možnost Vlastní obrázky . Tato možnost je ve výchozím nastavení vybraná, protože neexistuje žádný důvod ke spuštění nástroje Windows 365 GCC Setup Tool, pokud nepotřebujete aspoň jednu z těchto funkcí níže.

    Poznámka

    ANC zahrnuje oprávnění pro vlastní image.

  8. Vyberte Síťová připojení Azure a pak vyberte Předplatné, Virtuální síť a Podsíť , které chcete nakonfigurovat. Vyberte Další.
  9. Na stránce Zkontrolovat nastavení zkontrolujte provedené výběry a vyberte Udělit.
  10. Po dokončení instalace můžete nástroj zavřít.

Řešení problémů

Pokud máte problémy se spuštěním nástroje Windows 365 GCC Setup Tool:

  1. Ve stejné složce, ve které je spuštěná GCCSetupTool.exe, přejděte do složky Log a zkontrolujte GCCAdminTool.log soubor.
  2. Pokud problémy přetrvávají, obraťte se na podporu a poskytněte GCCADminTool.log soubor.

Následné použití nástroje GCC Setup Tool

Nástroj Windows 365 GCC Setup Tool lze po počáteční instalaci spustit znovu. Nástroj pro nastavení GCC můžete chtít znovu použít v následujících případech:

  • Nenastavil(a) jste ještě nic, nebo
  • Chcete rozšířit používání řadičů anc do jiných sítí.

Alternativní skript

Jako alternativu k nastavení ANC pomocí nástroje GCC Setup Tool můžete také použít následující skript k nastavení oprávnění pro více anc.

Poznámka

Mapování tenanta musí být úspěšné, než budete pokračovat ve skriptu pro nastavení anc.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
  1. Pokud nemáte nastavené Cloud Shell (vyžaduje se účet Azure Storage), máte dvě možnosti spuštění skriptu:
    • Ve skriptu vyberte Kopírovat a spusťte skript PowerShellu místně na svém počítači.
    • Vyberte Otevřít CloudShell>, vložte skript do Cloud Shell relace > předplatného Azure Government spusťte skript.
  2. Po spuštění skriptu vyberte na příkazovém řádku možnost 2. Tato možnost nastaví oprávnění pro ANC.
  3. V seznamu Azure Government předplatných vyberte předplatné, kterému chcete udělit oprávnění.
  4. V seznamu skupin prostředků vyberte skupinu prostředků, kterou chcete použít.
  5. Vyberte svoji virtuální síť.
  6. Skript udělí oprávnění a zobrazí seznam nakonfigurovaných položek.

Další kroky

Přečtěte si další informace o Windows 365 Government.