Windows 10- oder Windows 11 Enterprise-Remotedesktops mit mehreren Sitzungen
Azure Virtual Desktop mit mehreren Sitzungen mit Microsoft Intune ist nun allgemein verfügbar.
Sie können jetzt Microsoft Intune verwenden, um Windows 10- oder Windows 11 Enterprise-Remotedesktops mit mehreren Sitzungen im Microsoft Intune Admin Center genauso wie ein freigegebenes Windows 10- oder Windows 11-Clientgerät zu verwalten. Bei der Verwaltung solcher virtuellen Computer (VMs) können Sie sowohl gerätebasierte Konfigurationen für Geräte als auch benutzerbasierte Konfigurationen für Benutzer verwenden.
Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen ist ein neuer Remotedesktop-Sitzungshost exklusiv für Azure Virtual Desktop in Azure. Das bietet die folgenden Vorteile:
- Ermöglicht mehrere gleichzeitige Benutzersitzungen
- Bietet Benutzern eine vertraute Windows 10- oder Windows 11-Umgebung.
- Unterstützt die Verwendung vorhandener benutzerbasierter Microsoft 365-Lizenzierung
Sie können Windows 10-VMs und Windows 11 Enterprise-VMs mit mehreren Sitzungen verwalten, die in Azure Government Cloud in der US Government Community (GCC), GCC High und DoD erstellt wurden.
Wichtig
Microsoft Intune-Unterstützung für Azure Virtual Desktop mit mehreren Sitzungen ist derzeit nicht für Citrix DaaS und VMware Horizon Cloud verfügbar.
Übersicht
Die Unterstützung der Gerätekonfiguration in Microsoft Intune für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen ist allgemein verfügbar (GA). Dies bedeutet, dass Richtlinien, die im Betriebssystembereich definiert sind , und Apps, die für die Installation im Systemkontext konfiguriert sind, auf Azure Virtual Desktop-VMs mit mehreren Sitzungen angewendet werden können, wenn sie Gerätegruppen zugewiesen werden.
Hinweis
Die gerätebasierte Konfiguration kann benutzern nicht zugewiesen werden, und die benutzerbasierte Konfiguration kann nicht geräten zugewiesen werden. Es wird als Fehler oder Nicht zutreffend gemeldet.
Die Unterstützung der Benutzerkonfiguration in Microsoft Intune für virtuelle Windows 10- oder Windows 11-Computer mit mehreren Sitzungen ist allgemein verfügbar. Damit sind Sie in der Lage:
Benutzerbereichsrichtlinien mithilfe des Einstellungskatalogs konfigurieren und sie Benutzergruppen zuweisen. Sie können die Suchleiste verwenden, um alle Konfigurationen zu durchsuchen, deren Bereich auf „Benutzer“ festgelegt ist.
Benutzerzertifikate konfigurieren und Benutzern zuweisen.
PowerShell-Skripts so konfigurieren, dass sie im Benutzerkontext installiert und Benutzern zugewiesen werden.
Voraussetzungen
Dieses Feature unterstützt virtuelle Windows 10- oder Windows 11 Enterprise-Computer mit mehreren Sitzungen, auf die Folgendes zutrifft:
- Ausführung von Windows 10 mit mehreren Sitzungen, Version 1903 oder höher, oder von Windows 11 mit mehreren Sitzungen.
- Als Remotedesktops in gepoolten Hostpools eingerichtet, die über Azure Resource Manager bereitgestellt wurden.
- Unter demselben Mandanten wie Intune.
- Azure Virtual Desktop-Agent-Version 1.0.2944.1400 oder höher wird ausgeführt.
-
In Microsoft Entra hybrid eingebunden und in Microsoft Intune mit einer der folgenden Methoden registriert:
- Konfiguriert mit Einer Active Directory-Gruppenrichtlinie, legen Sie fest, dass Geräteanmeldeinformationen verwendet werden, und legen Sie fest, dass Geräte, die in Microsoft Entra hybrid eingebunden sind, automatisch registriert werden.
- Co-Verwaltung mit Configuration Manager
- Microsoft Entra ist in Microsoft Intune eingebunden und in Microsoft Intune registriert, indem Sie im Azure-Portal Die VM mit Intune registrieren aktivieren.
- Lizenzierung: Die entsprechende Azure Virtual Desktop- und Microsoft Intune-Lizenz ist erforderlich, wenn ein Benutzer oder Gerät direkt oder indirekt vom Microsoft Intune-Dienst profitiert, einschließlich des Zugriffs auf den Microsoft Intune-Dienst über eine Microsoft-API. Weitere Informationen findest du unter Microsoft Intune-Lizenzierung.
- Weitere Informationen zu den Lizenzierungsanforderungen für Azure Virtual Desktop finden Sie unter Was ist Azure Virtual Desktop?.
Begrenzungen
Intune unterstützt nicht die Verwendung eines geklonten Images eines computers, der bereits registriert ist. Dies umfasst sowohl physische als auch virtuelle Geräte wie Azure Virtual Desktop (AVD). Wenn Geräteregistrierungs- oder Identitätstoken zwischen Geräten repliziert werden, treten Fehler bei der Registrierung oder Synchronisierung von Intune-Geräten auf.
- Weitere Informationen finden Sie unter Registrierung mobiler Geräte – Windows-Clientverwaltung und Zertifikatauthentifizierung – Windows-Clientverwaltung.
- Informationen zur Behandlung von Problemen im Zusammenhang mit dem Klonen von Images finden Sie unter Fehler 0x8007064c: Der Computer ist bereits registriert.
Hinweis
Wenn Sie Sitzungshosts mit Microsoft Entra Domain Services verknüpfen, können Sie diese nicht mit Intune verwalten.
Wichtig
- Wenn Sie Windows 10, Versionen 2004, 20H2 oder 21H1-Builds verwenden, stellen Sie sicher, dass Sie das Windows Update vom Juli 2021 oder ein höheres Windows-Update installieren. Andernfalls funktionieren Remoteaktionen im Microsoft Intune Admin Center, z. B. die Remotesynchronisierung, nicht ordnungsgemäß. Deshalb kann es bis zu 8 Stunden dauern, bis alle ausstehenden, den Geräten zugewiesenen Richtlinien angewendet werden.
- Intune unterstützt derzeit keine Tokenroamingfunktionen zwischen Geräten. Wenn FSLogix oder eine ähnliche Technologie zum Verwalten von Windows-Benutzerprofilen und -einstellungen verwendet wird, müssen Sie sicherstellen, dass Token nicht unerwartet auf allen Geräten übertragen oder dupliziert werden. Um zu bestätigen, dass Sie eine unterstützte Version und Konfiguration von FSLogix mit deaktiviertem Tokenroaming ausführen, lesen Sie die Referenz zu DEN FSLogix RoamIdentity-Konfigurationseinstellungen.
Windows 10- oder Windows 11 Enterprise-VMs mit mehreren Sitzungen werden als separate Betriebssystemedition behandelt, und einige Windows 10- oder Windows 11 Enterprise-Konfigurationen werden für diese Edition nicht unterstützt. Die Verwendung von Microsoft Intune ist nicht von der Azure Virtual Desktop-Verwaltung derselben VM abhängig oder beeinträchtigt diese.
Erstellen des Konfigurationsprofils
Zum Konfigurieren von Konfigurationsrichtlinien für windows 10- oder Windows 11 Enterprise-VMs mit mehreren Sitzungen müssen Sie den Einstellungskatalog im Microsoft Intune Admin Center verwenden.
Die vorhandenen Vorlagen für Gerätekonfigurationsprofile werden für virtuelle Windows 10- oder Windows 11 Enterprise-Computer mit mehreren Sitzungen nicht unterstützt, mit Ausnahme der folgenden Vorlagen:
- Vertrauenswürdiges Zertifikat : Gerät (Computer) beim Ziel von Geräten und Benutzer beim Zielbenutzer
- SCEP-Zertifikat : Gerät (Computer) beim Ziel von Geräten und Benutzer beim Zielbenutzer
- PKCS-Zertifikat : Gerät (Computer) beim Ziel von Geräten und Benutzer beim Zielbenutzer
- VPN – nur Gerätetunnel
Microsoft Intune stellt keine nicht unterstützten Vorlagen für Geräte mit mehreren Sitzungen bereit, und diese Richtlinien werden in Berichten als Nicht zutreffend angezeigt.
Hinweis
Wenn Sie die Co-Verwaltung für Intune und Configuration Manager verwenden, legen Sie in Configuration Manager den Workload Schieberegler für Ressourcenzugriffsrichtlinien auf Intune oder Pilot Intune fest. Diese Einstellung ermöglicht es Windows 10- und Windows 11-Clients, den Prozess zum Anfordern des Zertifikats zu starten.
So konfigurieren Sie Richtlinien
- Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>nach Plattform>Windows>Geräte> verwaltenKonfiguration>Neue Richtlinieerstellen> aus.
- Wählen Sie unter Plattform die Option Windows 10 und höher aus.
- Für Profiltyp die Option Einstellungskatalog auswählen, oder wählen Sie bei der Bereitstellung von Einstellungen mithilfe einer Vorlage Vorlagen und dann den Namen der unterstützten Vorlage aus.
- Wählen Sie Erstellen aus.
- Geben Sie auf der Seite Grundlagen unter Name einen Wert und (optional) eine Beschreibung an, und klicken Sie auf >Weiter.
- Wählen Sie unter Konfigurationseinstellungen die Option Einstellungen hinzufügen aus.
- Klicken Sie unter Einstellungsauswahl auf die Option Filter hinzufügen, und wählen Sie die folgenden Optionen aus:
- Schlüssel: Betriebssystemedition
- Operator: ==
- Wert:Enterprise mit mehreren Sitzungen
- Wählen Sie Anwenden aus. In der gefilterten Liste werden jetzt alle Konfigurationsprofilkategorien angezeigt, die Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen unterstützen. Der Bereich für eine Richtlinie wird in Klammern angezeigt. Für den Benutzerbereich wird es als (Benutzer) angezeigt, und der Rest sind Richtlinien mit Gerätebereich.
- Wählen Sie in der gefilterten Liste die gewünschten Kategorien aus.
- Wählen Sie für jede ausgewählte Kategorie die Einstellungen aus, die Sie auf Ihr neues Konfigurationsprofil anwenden möchten.
- Wählen Sie für jede Einstellung den gewünschten Wert für dieses Konfigurationsprofil aus.
- Wählen Sie Weiter aus, wenn Sie mit dem Hinzufügen von Einstellungen fertig sind.
- Wählen Sie auf der Seite Zuweisungen die Microsoft Entra-Gruppen aus, die die Geräte enthalten, denen dieses Profil zugewiesen werden >soll Weiter.
- Fügen Sie auf der Seite Bereichstags optional die Bereichstags hinzu, die Sie auf dieses Profil > anwenden möchten. Weiter. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).
- Wählen Sie auf der Seite Überprüfen + Erstellen den Befehl Erstellen aus, um das Profil zu erstellen.
Administrative Vorlagen
Administrative Vorlagen für Windows 10 oder Windows 11 werden für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen über den Einstellungskatalog mit einigen Einschränkungen unterstützt:
- Durch ADMX unterstützte Richtlinien werden unterstützt. Einige Richtlinien sind im Einstellungskatalog noch nicht verfügbar.
- Die in ADMX erfassten Richtlinien werden unterstützt, einschließlich Office- und Microsoft Edge-Einstellungen, die in administrativen Office-Vorlagendateien und administrativen Microsoft Edge-Vorlagendateien verfügbar sind. Eine vollständige Liste der in ADMX erfassten Richtlinienkategorien finden Sie unter Konfigurieren von Win32- und Desktop-Brücke-App-Richtlinien. Einige in ADMX erfassten Einstellungen gelten nicht für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen.
Um unterstützte administrative Vorlagen aufzulisten, müssen Sie den Filter im Einstellungskatalog verwenden.
Konformität und bedingter Zugriff
Sie können Ihre windows 10- oder Windows 11 Enterprise-VMs mit mehreren Sitzungen schützen, indem Sie Konformitätsrichtlinien und Richtlinien für bedingten Zugriff im Microsoft Intune Admin Center konfigurieren. Die folgenden Konformitätsrichtlinien werden auf Windows 10- und Windows 11 Enterprise-VMs mit mehreren Sitzungen unterstützt:
- Minimale Version des Betriebssystems
- Maximale Version des Betriebssystems
- Gültige Betriebssystembuilds
- Einfache Kennwörter
- Kennworttyp
- Minimale Kennwortlänge
- Kennwortkomplexität
- Kennwortablauf (Tage)
- Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird
- Microsoft Defender-Antischadsoftware
- Sicherheitsinformationen zur Microsoft Defender-Antischadsoftware auf dem neuesten Stand
- Firewall
- Antivirus
- Antispyware
- Echtzeitschutz
- Mindestversion der Microsoft Defender-Antischadsoftware
- Defender ATP-Risikobewertung
Alle anderen Richtlinien werden als Nicht zutreffend angegeben.
Wichtig
Sie müssen eine neue Konformitätsrichtlinie erstellen und diese auf die Gerätegruppe ausrichten, die Ihre virtuellen Computer mit mehreren Sitzungen enthält. Benutzerorientierte Konformitätskonfigurationen werden nicht unterstützt.
Richtlinien für bedingten Zugriff unterstützen sowohl benutzer- als auch gerätebasierte Konfigurationen für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen.
Hinweis
Bedingter Zugriff für Exchange lokal wird bei VMs mit Windows 10 oder Windows 11 Enterprise Multi-Session nicht unterstützt.
Hinweis
Konfigurations- und Konformitätsrichtlinien für BitLocker, sicherer Start und Features, die vTPM (Virtual Trusted Platform Module) nutzen, werden derzeit nicht für Azure Virtual Desktop-VMs unterstützt.
Endpunktsicherheit
Sie können Profile unter Endpunktsicherheit für VMs mit mehreren Sitzungen konfigurieren, indem Sie "Plattform Windows 10", "Windows 11" und "Windows Server" auswählen. Wenn diese Plattform nicht verfügbar ist, wird das Profil auf VMs mit mehreren Sitzungen nicht unterstützt.
Weitere Informationen finden Sie unter Verwalten der Gerätesicherheit mit Endpunktsicherheitsrichtlinien in Microsoft Intune
Anwendungsbereitstellung
Alle Windows 10- oder Windows 11-Apps können mit den folgenden Einschränkungen für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen bereitgestellt werden:
- Alle Apps müssen für die Installation im System-/Gerätekontext konfiguriert sein und Geräte als Ziel festgelegt haben. Web-Apps werden standardmäßig immer im Benutzerkontext angewendet, sodass sie nicht auf VMs mit mehreren Sitzungen angewendet werden.
- Alle Apps müssen mit der App-Zuweisungsabsicht Erforderlich oder Deinstallieren konfiguriert werden. Die Bereitstellungsabsicht Verfügbare Apps wird auf VMs mit mehreren Sitzungen nicht unterstützt.
- Wenn eine für die Installation im Systemkontext konfigurierte Win32-App Abhängigkeiten oder Ablösungsbeziehungen für Apps aufweist, die für die Installation im Benutzerkontext konfiguriert sind, wird die App nicht installiert. Um eine Windows 10 oder Windows 11 Enterprise-VM mit mehreren Sitzungen zu verwenden, erstellen Sie eine separate Instanz der Systemkontext-App, oder stellen Sie sicher, dass alle App-Abhängigkeiten für die Installation im Systemkontext konfiguriert sind.
- Das Anfügen von Azure Virtual Desktop RemoteApp und MSIX-Apps wird in Microsoft Intune derzeit nicht unterstützt.
Skriptbereitstellung
Skripts, die für die Ausführung im Systemkontext konfiguriert und Geräten zugewiesen sind, werden unter Windows 10 oder Windows 11 Enterprise Multi-Session unterstützt. Dies kann unter „Skripteinstellungen“ konfiguriert werden, indem Sie Dieses Skript mit den Anmeldeinformationen des angemeldeten Benutzers ausführen auf Nein festlegen.
Skripts, die für die Ausführung im Benutzerkontext konfiguriert sind und Benutzern zugewiesen sind, werden unter Windows 10 und Windows 11 Enterprise mit mehreren Sitzungen unterstützt. Dies kann unter Skripteinstellungen konfiguriert werden, indem dieses Skript mit den angemeldeten Anmeldedaten ausführen auf Ja gesetzt wird.
Windows Update for Business
Sie können den Einstellungskatalog verwenden, um Windows Update-Einstellungen für Qualitätsupdates (Sicherheitsupdates) für Windows 10- oder Windows 11 Enterprise-VMs mit mehreren Sitzungen zu verwalten. Um die unterstützten Einstellungen im Katalog zu finden, konfigurieren Sie einen Einstellungsfilter für Enterprise mit mehreren Sitzungen, und erweitern Sie dann die Kategorie Windows Update for Business.
Die folgenden Einstellungen sind im Katalog verfügbar, mit den Links, die die Windows CSP-Dokumentation öffnen:
- Ende der aktiven Stunden
- Maximaler Bereich für Nutzungszeit
- Beginn der aktiven Stunden
- Funktion „Updates aussetzen“ blockieren
- Karenzzeit für Stichtag konfigurieren
- Rückstellungszeitraum für Qualitätsupdates (Tage)
- Startzeitpunkt für das Anhalten von Qualitätsupdates
- Frist für Qualitätsupdate (Tage)
Remoteaktionen
Die folgenden Remoteaktionen für Windows 10- oder Windows 11-Desktopgeräte werden nicht unterstützt und werden in der Benutzeroberfläche ausgegraut und in Graph für Windows 10- oder Windows 11 Enterprise-VMs mit mehreren Sitzungen deaktiviert:
- Autopilot-Zurücksetzung
- BitLocker-Schlüsselrotation
- Neustart
- Remotesperre
- Kennwort zurücksetzen
- Wischen
Auslaufen
Beim Löschen von VMs aus Azure werden verwaiste Gerätedatensätze im Microsoft Intune Admin Center zurückgehalten. Sie werden automatisch gemäß den für den Mandanten konfigurierten Bereinigungsregeln bereinigt.
Sicherheitsbasispläne
Sicherheitsbaselines sind derzeit nicht für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen verfügbar. Es wird empfohlen, die verfügbaren Sicherheitsbaselines zu lesen und die empfohlenen Richtlinien und Werte im Einstellungskatalog zu konfigurieren.
Zusätzliche Konfigurationen, die auf Windows 10- oder Windows 11 Enterprise-VMs mit mehreren Sitzungen nicht unterstützt werden
Die OOBE-Registrierung (Out-of-Box-Experience) wird für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen nicht unterstützt. Diese Einschränkung bedeutet Folgendes:
- Der Windows-Selbstbereitstellungsmodus mit Autopilot und die kommerzielle OOBE-Registrierung werden nicht unterstützt.
- Die Seite zum Registrierungsstatus wird nicht unterstützt.
Die Verwaltung von Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen durch Microsoft Intune wird derzeit nicht für die souveräne Cloud in China unterstützt.
Problembehandlung
In den folgenden Abschnitten finden Sie Anleitungen zur Problembehandlung bei häufig auftretenden Problemen.
Probleme bei der Registrierung
Problem | Detail |
---|---|
Fehler bei der Registrierung eines hybrid eingebundenen virtuellen Computers in Microsoft Entra |
|
Fehler bei der Registrierung eines in Microsoft Entra eingebundenen virtuellen Computers |
|
Konfigurationsprobleme
Problem | Detail |
---|---|
Fehler bei der Einstellungskatalogrichtlinie | Bestätigen Sie, dass der virtuelle Computer mithilfe von Geräteanmeldeinformationen registriert ist. Die Registrierung mit Benutzeranmeldeinformationen wird derzeit für Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen nicht unterstützt. |
Die Konfigurationsrichtlinie wurde nicht angewendet. | Vorlagen (mit Ausnahme von Zertifikaten) werden in Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen nicht unterstützt. Alle Richtlinien müssen über den Einstellungskatalog erstellt werden. |
Konfigurationsrichtlinie wird als „Nicht zutreffend“ gemeldet | Einige Richtlinien gelten nicht für virtuelle Azure Virtual Desktop-Computer. |
Microsoft Edge/Microsoft Office ADMX-Richtlinie wird nicht angezeigt, wenn ich den Filter auf Windows 10- oder Windows 11 Enterprise-Edition mit mehreren Sitzungen anwende | Die Anwendbarkeit für diese Einstellungen basiert nicht auf der Windows Version oder Edition, sondern darauf, ob diese Apps auf dem Gerät installiert wurden. Um diese Einstellungen Ihrer Richtlinie hinzuzufügen, müssen Sie möglicherweise alle Filter entfernen, die in der Einstellungsauswahl angewendet wurden. |
App, die für die Installation im Systemkontext konfiguriert wurde, wurde nicht angewendet | Vergewissern Sie sich, dass die App keine Abhängigkeits- oder Überlagerungsbeziehung für Apps aufweist, die für die Installation im Benutzerkontext konfiguriert sind. Benutzerkontext-Apps werden derzeit unter Windows 10 oder Windows 11 Enterprise mit mehreren Sitzungen nicht unterstützt. |
Updateringe für Windows 10 und spätere Richtlinien wurden nicht angewendet | Richtlinien für Windows-Updateringe werden derzeit nicht unterstützt. Qualitätsupdates können über einstellungen verwaltet werden, die im Einstellungskatalog verfügbar sind. |