Freigeben über


App Attach in Azure Virtual Desktop

Mit App Attach können Sie Anwendungen aus einem Anwendungspaket dynamisch an eine Benutzersitzung in Azure Virtual Desktop anfügen. Anwendungen werden nicht lokal auf Sitzungshosts oder Images installiert, was das Erstellen benutzerdefinierter Images für Ihre Sitzungshosts erleichtert und den Betriebsaufwand und die Kosten für Ihre organization reduziert. Anwendungen werden in Containern ausgeführt, die Benutzerdaten, das Betriebssystem und andere Anwendungen trennen, wodurch die Sicherheit erhöht und die Problembehandlung vereinfacht wird.

Hier sind einige der wichtigsten Vorteile von App Attach:

  • Anwendungen werden mithilfe von RemoteApp oder als Teil einer Desktopsitzung bereitgestellt. Berechtigungen werden pro Anwendung und Benutzer angewendet, sodass Sie besser steuern können, auf welche Anwendungen Ihre Benutzer in einer Remotesitzung zugreifen können. Desktopbenutzern werden nur die app attach-Anwendungen angezeigt, die ihnen zugewiesen sind.
  • Dasselbe Anwendungspaket kann für mehrere Hostpools verwendet werden.
  • Anwendungen können auf jedem Sitzungshost ausgeführt werden, auf dem ein Windows-Clientbetriebssystem in derselben Azure-Region wie das Anwendungspaket ausgeführt wird.
  • Anwendungen können auf eine neue Anwendungsversion mit einem neuen Datenträgerimage aktualisiert werden, ohne dass ein Wartungsfenster erforderlich ist.
  • Benutzer können mehrere Versionen derselben Anwendung gleichzeitig auf demselben Sitzungshost ausführen.
  • Telemetriedaten für Nutzung und Integrität sind über Azure Log Analytics verfügbar.

Sie können die folgenden Anwendungspakettypen und Dateiformate verwenden:

Pakettyp Dateiformate
MSIX- und MSIX-Paket .msix
.msixbundle
Appx- und Appx-Bündel .appx
.appxbundle
App-V .appv

MSIX und Appx sind Windows-Anwendungspaketformate, die eine moderne Paketerstellung für Windows-Anwendungen bereitstellen. Anwendungen werden in Containern ausgeführt, die Benutzerdaten, das Betriebssystem und andere Anwendungen trennen, wodurch die Sicherheit erhöht und die Problembehandlung vereinfacht wird. MSIX und Appx sind ähnlich, wobei der Standard Unterschied darin besteht, dass MSIX eine Obermenge von Appx ist. MSIX unterstützt alle Features von Appx sowie andere Features, die es für den Unternehmenseinsatz besser geeignet machen.

Microsoft Application Virtualization (App-V) für Windows stellt Win32-Anwendungen als virtuelle Anwendungen an Benutzer bereit. Virtuelle Anwendungen werden auf zentral verwalteten Servern installiert und den Benutzern als Service in Echtzeit und nach Bedarf bereitgestellt. Benutzer starten virtuelle Anwendungen über vertraute Zugriffspunkte und interagieren mit ihnen, als wären sie lokal installiert.

Sie können MSIX-Pakete von Softwareanbietern abrufen oder ein MSIX-Paket aus einem vorhandenen Installationsprogramm erstellen. Weitere Informationen zu MSIX finden Sie unter Was ist MSIX?.

Wie ein Benutzer eine Anwendung erhält

Sie können verschiedenen Benutzern im selben Hostpool oder auf demselben Sitzungshost unterschiedliche Anwendungen zuweisen. Während der Anmeldung müssen alle drei der folgenden Anforderungen erfüllt sein, damit der Benutzer die richtige Anwendung zum richtigen Zeitpunkt erhält:

  • Die Anwendung muss dem Hostpool zugewiesen werden. Wenn Sie die Anwendung dem Hostpool zuweisen, können Sie auswählen, auf welchen Hostpools die Anwendung verfügbar ist, um sicherzustellen, dass die richtigen Hardwareressourcen für die Verwendung durch die Anwendung verfügbar sind. Wenn eine Anwendung beispielsweise grafikintensiv ist, können Sie sicherstellen, dass sie nur in einem Hostpool mit GPU-optimierten Sitzungshosts ausgeführt wird.

  • Der Benutzer muss sich bei Sitzungshosts im Hostpool anmelden können, sodass er sich in einer Desktop- oder RemoteApp-Anwendungsgruppe befinden muss. Für eine RemoteApp-Anwendungsgruppe muss die App Attach-Anwendung der Anwendungsgruppe hinzugefügt werden, Sie müssen die Anwendung jedoch nicht zu einer Desktopanwendungsgruppe hinzufügen.

  • Die Anwendung muss dem Benutzer zugewiesen werden. Sie können eine Gruppe oder ein Benutzerkonto verwenden.

Wenn alle diese Anforderungen erfüllt sind, erhält der Benutzer die Anwendung. Dieser Prozess ermöglicht die Kontrolle darüber, wer eine Anwendung in welchem Hostpool erhält und wie es möglich ist, dass Benutzer innerhalb eines einzelnen Hostpools oder sogar bei demselben Sitzungshost mit mehreren Sitzungen angemeldet sind, unterschiedliche Anwendungskombinationen abrufen. Benutzer, die die Anforderungen nicht erfüllen, erhalten die Anwendung nicht.

Anwendungsbilder

Bevor Sie MSIX-Anwendungspakete mit Azure Virtual Desktop verwenden können, müssen Sie ein MSIX-Image aus Ihren vorhandenen Anwendungspaketen erstellen. Alternativ können Sie stattdessen ein App-V-Paket verwenden. Anschließend müssen Sie jedes MSIX-Image oder App-V-Paket auf einer Dateifreigabe speichern, auf die Ihre Sitzungshosts zugreifen können. Weitere Informationen zu den Anforderungen für eine Dateifreigabe finden Sie unter Dateifreigabe.

Datenträgerimagetypen

Für MSIX- und Appx-Datenträgerimages können Sie Das Composite Image File System (CimFS),VHDX oder VHD verwenden. Die Verwendung von VHD wird jedoch nicht empfohlen. Das Einbinden und Aufheben der Bereitstellung von CimFS-Images ist schneller als VHD- und VHDX-Images und verbraucht außerdem weniger CPU und Arbeitsspeicher. Es wird nur empfohlen, CimFS für Ihre Anwendungsimages zu verwenden, wenn Ihre Sitzungshosts Windows 11 ausgeführt werden.

Ein CimFS-Image ist eine Kombination aus mehreren Dateien: Eine Datei verfügt über die .cim Dateierweiterung und enthält Metadaten, zusammen mit mindestens zwei anderen Dateien, eine beginnt mit objectid_ und die andere beginnt mit region_ , die die tatsächlichen Anwendungsdaten enthalten. Die Dateien, die der .cim Datei beigefügt sind, haben keine Dateierweiterung. Die folgende Tabelle enthält eine Liste der Beispieldateien, die Sie für ein CimFS-Image finden würden:

Dateiname Size
MyApp.cim 1 KB
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 27 KB
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 20 KB
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 42 KB
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 428 KB
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 217 KB
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 264.132 KB

Die folgende Tabelle enthält einen Leistungsvergleich zwischen VHDX und CimFS. Diese Zahlen waren das Ergebnis eines Testlaufs mit 500 Dateien mit jeweils 300 MB pro Format, und die Tests wurden auf einem virtuellen DSv4-Azure-Computer ausgeführt.

Metrik VHD CimFS
Durchschnittliche Bereitstellungszeit 356 ms 255 ms
Durchschnittliche Zeit für das Aufheben der Bereitstellung 1615 ms 36 ms
Arbeitsspeicherbelegung 6 % (von 8 GB) 2 % (von 8 GB)
CPU (Anzahl spitzen) Mehrfaches Maximum überschritten Kein Effekt

Achtung

Ein Problem betrifft derzeit CimFS-Images mit Windows 11 Version 24H2, die verhindert, dass die Images eingebunden werden. Wir arbeiten aktiv an einer Lösung, die voraussichtlich im Juni 2025 verfügbar sein wird. Problemumgehungen verwenden stattdessen VHDX-Images oder eine Version von Windows 11 vor 24H2.

Anwendungsregistrierung

App Attach bindet Datenträgerimages oder App-V-Pakete, die Ihre Anwendungen enthalten, während der Anmeldung aus einer Dateifreigabe in die Sitzung eines Benutzers ein. Anschließend stellt ein Registrierungsprozess die Anwendungen für den Benutzer zur Verfügung. Es gibt zwei Arten von Registrierung:

  • Bedarfsgesteuert: Anwendungen werden bei der Anmeldung nur teilweise registriert, und die vollständige Registrierung einer Anwendung wird verschoben, bis der Benutzer die Anwendung startet. On-Demand ist der Registrierungstyp, den Wir empfehlen, sie zu verwenden, da er sich nicht auf die Zeit auswirkt, die für die Anmeldung bei Azure Virtual Desktop benötigt wird. On-Demand ist die Standardregistrierungsmethode.

  • Blockierung der Anmeldung: Jede Anwendung, die Sie einem Benutzer zuweisen, ist vollständig registriert. Die Registrierung erfolgt, während sich der Benutzer bei seiner Sitzung anmeldet. Dies kann sich auf die Anmeldezeit bei Azure Virtual Desktop auswirken.

Wichtig

Alle MSIX- und Appx-Anwendungspakete enthalten ein Zertifikat. Sie sind dafür verantwortlich, sicherzustellen, dass die Zertifikate in Ihrer Umgebung als vertrauenswürdig eingestuft werden. Selbstsignierte Zertifikate werden mit der entsprechenden Vertrauenskette unterstützt.

App Attach beschränkt nicht die Anzahl der Anwendungen, die Benutzer verwenden können. Sie sollten ihren verfügbaren Netzwerkdurchsatz und die Anzahl der geöffneten Handles pro Datei (jedes Image) berücksichtigen, die Ihre Dateifreigabe unterstützt, da dies die Anzahl der Benutzer oder Anwendungen einschränken kann, die Sie unterstützen können. Weitere Informationen finden Sie unter Dateifreigabe.

Anwendungsstatus

Anwendungspakete werden als aktiv oder inaktiv festgelegt. Pakete, die auf aktiv festgelegt sind, macht die Anwendung für Benutzer verfügbar. Azure Virtual Desktop ignoriert Pakete, die auf inaktiv festgelegt sind, und werden nicht hinzugefügt, wenn sich ein Benutzer anmeldet.

Neue Versionen von Anwendungen

Sie können eine neue Version einer Anwendung hinzufügen, indem Sie ein neues Image bereitstellen, das die aktualisierte Anwendung enthält. Sie können dieses neue Image auf zwei Arten verwenden:

  • Parallel: Erstellen Sie eine neue Anwendung mit dem neuen Datenträgerimage, und weisen Sie sie denselben Hostpools und Benutzern wie die vorhandene Anwendung zu.

  • In-Place: Erstellen Sie ein neues Image, in dem sich die Versionsnummer der Anwendung ändert, und aktualisieren Sie dann die vorhandene Anwendung, um das neue Image zu verwenden. Die Versionsnummer kann höher oder niedriger sein, aber Sie können eine Anwendung nicht mit der gleichen Versionsnummer aktualisieren. Löschen Sie das vorhandene Image erst, wenn alle Benutzer es verwendet haben.

Nach der Aktualisierung erhalten Benutzer die aktualisierte Anwendungsversion, wenn sie sich das nächste Mal anmelden. Benutzer müssen nicht aufhören, die vorherige Version zu verwenden, um eine neue Version hinzuzufügen.

Identitätsanbieter

Hier sind die Identitätsanbieter aufgeführt, die Sie mit App Attach verwenden können:

Identitätsanbieter Status
Microsoft Entra-ID Unterstützt
Active Directory-Domänendienste (AD DS) Unterstützt
Microsoft Entra Domain Services Nicht unterstützt

Dateifreigabe

App Attach erfordert, dass Ihre Anwendungsimages auf einer SMB-Dateifreigabe gespeichert werden, die dann während der Anmeldung auf jedem Sitzungshost eingebunden wird. App Attach weist keine Abhängigkeiten vom Typ des Von der Dateifreigabe verwendeten Speicherfabrics auf. Es wird empfohlen, Azure Files zu verwenden, da es mit Microsoft Entra ID oder Active Directory Domain Services kompatibel ist und ein großes Preis-Leistungs-Verhältnis zwischen Kosten und Verwaltungsaufwand bietet.

Sie können auch Azure NetApp Files verwenden, dies erfordert jedoch, dass Ihre Sitzungshosts mit Active Directory Domain Services verknüpft werden.

Die folgenden Abschnitte enthalten einige Anleitungen zu berechtigungen, leistung und verfügbarkeit, die für die Dateifreigabe erforderlich sind.

Berechtigungen

Jeder Sitzungshost bindet Anwendungsimages aus der Dateifreigabe ein. Sie müssen NTFS- und Freigabeberechtigungen konfigurieren, um jedem Sitzungshostcomputerobjekt Lesezugriff auf die Dateien und die Dateifreigabe zu ermöglichen. Wie Sie die richtige Berechtigung konfigurieren, hängt davon ab, welchen Speicheranbieter und Identitätsanbieter Sie für Ihre Dateifreigabe und Sitzungshosts verwenden.

  • Um Azure Files zu verwenden, wenn Ihre Sitzungshosts mit Microsoft Entra ID verknüpft sind, müssen Sie sowohl den Azure Virtual Desktop- als auch den Azure Virtual Desktop-ARM-Anbieterdienstprinzipalen die Rolle Leser und Datenzugriff für die rollenbasierte Zugriffssteuerung (RBAC) zuweisen. Diese RBAC-Rollenzuweisung ermöglicht Ihren Sitzungshosts den Zugriff auf das Speicherkonto mithilfe von Zugriffsschlüsseln oder Microsoft Entra.

  • Informationen zum Zuweisen einer Azure RBAC-Rolle zu Azure Virtual Desktop-Dienstprinzipalen finden Sie unter Zuweisen von RBAC-Rollen zu azure Virtual Desktop-Dienstprinzipalen. In einem zukünftigen Update müssen Sie den Azure Virtual Desktop ARM-Anbieterdienstprinzipal nicht zuweisen.

    Weitere Informationen zur Verwendung von Azure Files mit Sitzungshosts, die mit Microsoft Entra ID, Active Directory Domain Services oder Microsoft Entra Domain Services verknüpft sind, finden Sie unter Übersicht über Azure Files identitätsbasierte Authentifizierungsoptionen für den SMB-Zugriff.

    Warnung

    Durch Zuweisen des Azure Virtual Desktop ARM-Anbieterdienstprinzipals zum Speicherkonto wird der Azure Virtual Desktop-Dienst für alle Daten innerhalb des Speicherkontos gewährt. Es wird empfohlen, nur Apps für die Verwendung mit App Attach in diesem Speicherkonto zu speichern und die Zugriffsschlüssel regelmäßig zu rotieren.

  • Für Azure Files mit Active Directory Domain Services müssen Sie die Rolle Storage File Data SMB Share Reader azure role-based access control (RBAC) als Standardberechtigung auf Freigabeebene zuweisen und NTFS-Berechtigungen konfigurieren, um Lesezugriff auf das Computerobjekt jedes Sitzungshosts zu gewähren.

    Weitere Informationen zur Verwendung von Azure Files mit Sitzungshosts, die mit Microsoft Entra ID, Active Directory Domain Services oder Microsoft Entra Domain Services verknüpft sind, finden Sie unter Übersicht über Azure Files identitätsbasierte Authentifizierungsoptionen für den SMB-Zugriff.

  • Für Azure NetApp Files können Sie ein SMB-Volume erstellen und NTFS-Berechtigungen konfigurieren, um Lesezugriff auf das Computerobjekt jedes Sitzungshosts zu gewähren. Ihre Sitzungshosts müssen mit Active Directory Domain Services oder Microsoft Entra Domain Services verknüpft werden.

Sie können mithilfe von PsExec überprüfen, ob die Berechtigungen korrekt sind. Weitere Informationen finden Sie unter Überprüfen des Dateifreigabezugriffs.

Leistung

Die Anforderungen können stark variieren, je nachdem, wie viele gepackte Anwendungen in einem Image gespeichert sind, und Sie müssen Ihre Anwendungen testen, um Ihre Anforderungen zu verstehen. Bei größeren Images müssen Sie mehr Bandbreite zuweisen. Die folgende Tabelle enthält ein Beispiel für die Anforderungen, die ein einzelnes 1-GB-Image oder App-V-Paket mit einer Anwendung pro Sitzungshost erfordert:

Ressource Anforderungen
IOPs im stabilen Zustand Ein IOP
Anmeldung beim Starten des Computers 10 IOPs
Latency 400 ms

Um die Leistung Ihrer Anwendungen zu optimieren, empfehlen wir Folgendes:

  • Ihre Dateifreigabe sollte sich in derselben Azure-Region wie Ihre Sitzungshosts befinden. Wenn Sie Azure Files verwenden, muss sich Ihr Speicherkonto in derselben Azure-Region wie Ihre Sitzungshosts befinden.

  • Schließen Sie die Datenträgerimages, die Ihre Anwendungen enthalten, von Antivirenscans aus, da sie schreibgeschützt sind.

  • Stellen Sie sicher, dass Ihr Speicher- und Netzwerkfabric eine angemessene Leistung bieten kann. Vermeiden Sie die Verwendung derselben Dateifreigabe mit FSLogix-Profilcontainern.

Verfügbarkeit

Alle Notfallwiederherstellungspläne für Azure Virtual Desktop müssen die Replikation der Dateifreigabe an Ihren sekundären Failoverspeicherort beinhalten. Außerdem müssen Sie sicherstellen, dass der Dateifreigabepfad am sekundären Speicherort zugänglich ist. Beispielsweise können Sie DFS-Namespaces (Distributed File System) mit Azure Files verwenden, um einen einzelnen Freigabenamen für verschiedene Dateifreigaben bereitzustellen. Weitere Informationen zur Notfallwiederherstellung für Azure Virtual Desktop finden Sie unter Einrichten eines Plans für Geschäftskontinuität und Notfallwiederherstellung.

Azure Files

Azure Files verfügt über Grenzwerte für die Anzahl geöffneter Handles pro Stammverzeichnis, Verzeichnis und Datei. VHDX- oder CimFS-Datenträgerimages werden mithilfe des Computerkontos des Sitzungshosts bereitgestellt. Dies bedeutet, dass ein Handle pro Sitzungshost und Datenträgerimage statt pro Benutzer geöffnet wird. Weitere Informationen zu den Grenzwerten und zur Größenanpassung finden Sie unter Azure Files Skalierbarkeits- und Leistungsziele und Azure Files Leitfaden zur Größenanpassung für Azure Virtual Desktop.

MSIX- und Appx-Paketzertifikate

Alle MSIX- und Appx-Pakete erfordern ein gültiges Codesignaturzertifikat. Um diese Pakete mit App Attach verwenden zu können, müssen Sie sicherstellen, dass die gesamte Zertifikatkette auf Ihren Sitzungshosts vertrauenswürdig ist. Ein Codesignaturzertifikat verfügt über den Objektbezeichner 1.3.6.1.5.5.7.3.3. Sie können ein Codesignaturzertifikat für Ihre Pakete aus folgenden Gründen abrufen:

Nachdem Sie ein Zertifikat erhalten haben, müssen Sie Ihre MSIX- oder Appx-Pakete mit dem Zertifikat digital signieren. Sie können das MSIX Packaging Tool verwenden, um Ihre Pakete zu signieren, wenn Sie ein MSIX-Paket erstellen. Weitere Informationen finden Sie unter Erstellen eines MSIX-Pakets aus einem beliebigen Desktopinstallationsprogramm.

Um sicherzustellen, dass das Zertifikat auf Ihren Sitzungshosts vertrauenswürdig ist, müssen Ihre Sitzungshosts der gesamten Zertifikatkette vertrauen. Wie Ihre Sitzungshosts der Zertifikatkette vertrauen, hängt davon ab, woher Sie das Zertifikat erhalten haben und wie Sie Ihre Sitzungshosts und den von Ihnen verwendeten Identitätsanbieter verwalten. Die folgende Tabelle enthält einige Anleitungen, wie Sie sicherstellen können, dass das Zertifikat auf Ihren Sitzungshosts vertrauenswürdig ist:

  • Öffentliche Zertifizierungsstelle: Zertifikate von einer öffentlichen Zertifizierungsstelle werden in Windows und Windows Server standardmäßig als vertrauenswürdig eingestuft.

  • Interne Unternehmenszertifizierungsstelle:

    • Bei Sitzungshosts, die in Active Directory eingebunden sind und AD CS als interne Unternehmenszertifizierungsstelle konfiguriert ist, werden standardmäßig als vertrauenswürdig eingestuft und im Konfigurationsnamenskontext von Active Directory Domain Services gespeichert. Wenn AD CS als eigenständige Zertifizierungsstelle konfiguriert ist, müssen Sie Gruppenrichtlinie konfigurieren, um die Stamm- und Zwischenzertifikate an Sitzungshosts zu verteilen. Weitere Informationen finden Sie unter Verteilen von Zertifikaten an Windows-Geräte mithilfe von Gruppenrichtlinie.

    • Für Sitzungshosts, die mit Microsoft Entra ID verknüpft sind, können Sie Microsoft Intune verwenden, um die Stamm- und Zwischenzertifikate an Sitzungshosts zu verteilen. Weitere Informationen finden Sie unter Vertrauenswürdige Stammzertifikatprofile für Microsoft Intune.

    • Für Sitzungshosts, die Microsoft Entra Hybridjoin verwenden, können Sie je nach Ihren Anforderungen eine der vorherigen Methoden verwenden.

  • Selbstsigniert: Installieren Sie den vertrauenswürdigen Stamm im Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf jedem Sitzungshost. Es wird nicht empfohlen, dieses Zertifikat mit Gruppenrichtlinie oder Intune zu verteilen, da es nur zu Testzwecken verwendet werden sollte.

Wichtig

Sie sollten einen Zeitstempel für Ihr Paket ausführen, damit seine Gültigkeit das Ablaufdatum Ihres Zertifikats überdauern kann. Andernfalls müssen Sie nach Ablauf des Zertifikats das Paket mit einem neuen gültigen Zertifikat aktualisieren und erneut sicherstellen, dass die Sitzungshosts der Zertifikatkette vertrauen.

Nächste Schritte

Erfahren Sie, wie Sie App Attach-Anwendungen in Azure Virtual Desktop hinzufügen und verwalten.