Einrichten von Mandanten für Windows 365 Government
Die schnellste Möglichkeit, Windows 365 zu verwenden, besteht darin, AADJ, Katalogimages und die Option Microsoft Hosted Network zu verwenden. Die Anweisungen auf dieser Seite gelten nur, wenn Sie eine oder beides verwenden müssen:
- Benutzerdefinierte Images. Windows 365 bietet optimierte Katalogimages, einschließlich Images mit vorinstallierten Microsoft 365-Apps. Nachdem das Katalogimage bereitgestellt wurde, können Intune für die weitere Anpassung allgemeiner Einstellungen und die Anwendungsbereitstellung verwendet werden. Wenn Sie Ihr vorhandenes benutzerdefiniertes Image verwenden müssen, finden Sie weitere Informationen unter Hinzufügen eines benutzerdefinierten Images.
-
Azure Network Connections (ANC). Mit ANCs können Sie Cloud-PCs bereitstellen, die an ein von Ihnen verwaltetes virtuelles Netzwerk angefügt sind. Dazu gehören:
- Azure Virtual Network (VNET).
- Azure VPN Gateway oder eine dedizierte Verbindung über ExpressRoute.
- Andere Azure-Ressourcen, einschließlich Cloud-PC-Ressourcen.
- Weitere Informationen finden Sie unter Erstellen einer Azure-Netzwerkverbindung.
Nur für GCC-Kunden (Government Community Cloud) können Intune in Azure ausgeführt werden, um Cloud-PCs zu verwalten, die in Azure Government Regionen ausgeführt werden.
Hinweis
- Sie benötigen kein Azure Government-Abonnement, um Windows 365 Government verwenden zu können. Diese Anweisungen gelten speziell für GCC und nur, wenn benutzerdefinierte Images und/oder Azure Network Connections erforderlich sind. Die Anweisungen auf dieser Seite gelten nicht für GCC High.
- Für Behördenkunden, die über kein Azure Government-Abonnement verfügen oder eine Integration in Azure benötigen, sollten Sie Windows 365 Enterprise verwenden. Stellen Sie sicher, dass dies Ihre Complianceanforderungen erfüllt. Windows 365 Enterprise ist FedRAMP-konform. Siehe Windows 365-Dienstbeschreibung
Bevor Sie beginnen
Für die Mandantenzuordnung und das Erteilen von Berechtigungen für benutzerdefinierte Images und/oder das Herstellen einer Verbindung mit Ihren eigenen Netzwerken benötigen Sie Folgendes:
- Ein Azure Government-Abonnement.
- Anmeldeinformationen eines Benutzers, der über Folgendes verfügt:
- Rolle "Globaler Administrator " in Ihrem Azure-Mandanten (endet mit onmicrosoft.com).
- Anmeldeinformationen eines Benutzers, der über Folgendes verfügt:
- Rolle "Besitzer" in Ihrem Azure Government-Abonnement, UND
- Rolle "Globaler Administrator" in Ihrem Azure Government Mandanten (endet mit onmicrosoft.us).
- Zur Erfüllung der Lizenzierungsanforderungen.
- (Falls zutreffend) Die folgenden Informationen zum Anwenden von Berechtigungen zum Einrichten der Azure-Netzwerkverbindung. Das virtuelle Netzwerk und subnetz müssen bereits vorhanden sein.
- Abonnement-ID.
- Ressourcengruppe.
- Virtual Network.
- Subnetz.
Hinweis
Während die Cloud-PCs der GCC-Benutzer in der Azure Government Cloud gehostet und geschützt werden, befinden sich die Endpunkte für Administratoren und Endbenutzer in der kommerziellen Azure-Domäne. Benutzer melden sich mit Anmeldeinformationen, die mit Microsoft Entra ID synchronisiert werden, bei den Cloud-PCs an.
Microsoft Entra Optionen
Wenn Sie Microsoft Entra Join oder Microsoft Entra Hybrid Join verwenden möchten, sollten Sie die folgenden Vorbereitungen in Betracht ziehen:
Microsoft Entra eingebundenen Cloud-PCs: Wenn Sie eine Microsoft Entra-Join-Infrastruktur und Ihr eigenes Netzwerk verwenden möchten, benötigen Sie einen Mandanten und ein Azure-Abonnement in der Azure Government Cloud. Der Mandant in der Azure .com-Domäne muss dem Mandanten in der domäne Azure Government (.us) zugeordnet werden.
Hybride Microsoft Entra Cloud-PCs: Wenn Sie eine Microsoft Entra Hybrid Join-Infrastruktur verwenden möchten, müssen Sie Ihren kommerziellen Mandanten (.com) und Ihre Behördenmandanten (.us) konfigurieren, bevor Sie Ihre virtuellen Azure-Netzwerke erstellen.
Vorbereiten des Windows 365 GCC-Setuptools
Damit das Windows 365 GCC-Setuptool die Mandantenzuordnung abschließen kann, muss der Windows 365 Microsoft Entra Anwendung die Berechtigung erteilt werden, über einen Dienstprinzipal auf Ihren Azure Government AD-Mandanten zuzugreifen. Das Dienstprinzipalobjekt definiert, was die App im Mandanten tun kann, wer auf die App zugreifen kann und auf welche Ressourcen die App zugreifen kann. Bevor Sie das Windows 365 GCC-Setuptool zum ersten Mal ausführen, müssen Sie folgendes tun:
- Falls noch nicht abgeschlossen, installieren Sie die Azure CLI auf dem Computer, auf dem Sie den Dienstprinzipal erstellen. Weitere Informationen finden Sie unter Installieren der Azure CLI.
- Melden Sie sich bei Ihrem Azure Government AD-Mandanten an, indem Sie die schritte der Azure CLI verwenden, die unter Anmelden mit der Azure CLI definiert sind. Globale Administratorberechtigungen sind erforderlich, um den Dienstprinzipal für die Windows-App zu erstellen.
- Weitere Informationen zum Arbeiten mit Dienstprinzipalen in Azure finden Sie unter Arbeiten mit einem Azure-Dienstprinzipal mithilfe der Azure CLI. Erteilen Sie dem Windows 365 Microsoft Entra App-Berechtigungen für Ihren Mandanten, indem Sie den folgenden PowerShell-Befehl ausführen:
az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
. - Nachdem der Befehl erfolgreich abgeschlossen wurde, sollten Sie Details zum Dienstprinzipal anzeigen können, indem Sie den folgenden PowerShell-Befehl ausführen:
az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
. Windows-App sollte in der Ansicht Alle Anwendungen auf dem Blatt Unternehmensanwendung in Azure-Portal aufgeführt werden.
Der Windows App Service-Prinzipal kann nur auf Azure-Ressourcen zugreifen, die zum Konfigurieren der Unterstützung von benutzerdefinierten Images und Azure-Netzwerkverbindungen (ANC) in Windows 365 erforderlich sind. Nach der Erstellung kann der Dienstprinzipal nur gelöscht werden, wenn die Bereitstellung von benutzerdefinierten Images, ANC-Objekten und entsprechenden Cloud-PCs, die sie verwenden, aufgehoben wurde. Andernfalls können Cloud-PC-Bereitstellungsaufgaben fehlschlagen, und auf vorhandene Cloud-PCs kann möglicherweise nicht mehr zugegriffen werden.
Erste Schritte mit dem Windows 365 GCC Setup Tool
Führen Sie die folgenden Schritte aus, um die Mandantenzuordnung mit dem Windows 365 GCC Setup Tool zu konfigurieren.
- Starten Sie die GCCSetupTool.exe. Dieses Tool ist unter https://aka.ms/gccsetuptoolverfügbar.
- Wählen Sie auf der Seite Erste Schritte die Option Weiter aus.
- Melden Sie sich mit Ihrem Azure-Konto an. Dieses Konto muss über globale Administratorberechtigungen verfügen.
- Bestätigen Sie, dass Sie mit Ihrem kommerziellen Konto > fortfahren möchten Weiter.
- Melden Sie sich mit Ihrem Azure Government-Konto > an Als Nächstes> geben Sie Ihre Anmeldeinformationen ein.
- Bestätigen Sie, dass Sie mit Ihrem Regierungskonto > fortfahren möchten Weiter.
-
Stellen Sie auf dem Bildschirm Feature zum Aktivieren auswählen sicher, dass Benutzerdefinierte Bilder ausgewählt ist. Diese Option ist standardmäßig ausgewählt, da es keinen Grund gibt, das Windows 365 GCC-Setuptool auszuführen, es sei denn, Sie benötigen mindestens eines dieser Features unten.
Hinweis
ANC enthält die Berechtigungen für benutzerdefinierte Images.
- Wählen Sie Azure-Netzwerkverbindungen und dann das Abonnement, das virtuelle Netzwerk und das Subnetz aus, die Sie konfigurieren möchten. Wählen Sie Weiter aus.
- Überprüfen Sie auf der Seite Einstellungen überprüfen die von Ihnen vorgenommenen Auswahlen, und wählen Sie Gewähren aus.
- Nach Abschluss des Setups können Sie das Tool schließen.
Problembehandlung
Wenn Sie Probleme beim Ausführen des Windows 365 GCC-Setuptools haben:
- Navigieren Sie in dem Ordner, in dem die GCCSetupTool.exe ausgeführt wird, zum Ordner Protokoll , und überprüfen Sie die
GCCAdminTool.log
Datei. - Wenn weiterhin Probleme auftreten, wenden Sie sich an den Support , und geben Sie die GCCADminTool.log Datei an.
Nachfolgende Verwendung des GCC-Setuptools
Das Windows 365 GCC Setup Tool kann nach der erst eingerichteten Einrichtung erneut ausgeführt werden. Sie können das GCC-Setuptool erneut verwenden, wenn Sie:
- Zuvor keine ANCs eingerichtet haben, oder
- Sie möchten die Verwendung von ANCs auf andere Netzwerke ausweiten.
Skriptalternative
Alternativ zur Verwendung des GCC-Setuptools zum Einrichten von ANC können Sie auch das folgende Skript verwenden, um Berechtigungen für weitere ANCs einzurichten.
Hinweis
Die Mandantenzuordnung muss erfolgreich sein, bevor Sie mit dem Skript zum Einrichten von ANCs fortfahren.
connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
- Wenn Sie Cloud Shell nicht eingerichtet haben (ein Azure Storage-Konto erforderlich), haben Sie zwei Optionen zum Ausführen des Skripts:
- Wählen Sie im Skript Kopieren aus, und führen Sie das PowerShell-Skript lokal auf Ihrem Computer aus.
- Wählen Sie Open CloudShell (Cloudshell> öffnen) aus, fügen Sie das Skript in die Cloud Shell Sitzungsausführung > ihres Azure Government Abonnements ein.
- Wählen Sie nach dem Ausführen des Skripts an der Eingabeaufforderung Option 2 aus. Mit dieser Option werden Berechtigungen für den ANC eingerichtet.
- Wählen Sie in der Liste der Azure Government Abonnements das Abonnement aus, dem Sie Berechtigungen erteilen möchten.
- Wählen Sie in der Liste der Ressourcengruppen die Ressourcengruppe aus, die Sie verwenden möchten.
- Wählen Sie Ihr vNET aus.
- Das Skript gewährt Berechtigungen und listet auf, was konfiguriert wurde.