Configuración de inquilinos para Windows 365 Government

La forma más rápida de usar Windows 365 es usar AADJ, imágenes de galería y la opción Microsoft Hosted Network. Las instrucciones de esta página son solo si debe usar o ambas:

• Imágenes personalizadas. Windows 365 proporciona imágenes de galería optimizadas, incluidas imágenes con aplicaciones de Microsoft 365 preinstaladas. Una vez implementada la imagen de la galería, Intune se puede usar para personalizar aún más la configuración común y la implementación de aplicaciones. Si debe usar la imagen personalizada existente, para obtener más información, consulte Agregar una imagen personalizada.
• Azure Network Connections (ANC). Las ANC le permiten aprovisionar equipos en la nube que están conectados a una red virtual que administra. Algunos ejemplos son:
  • Azure Virtual Network (VNet).
  • Azure VPN Gateway o una conexión dedicada a través de ExpressRoute.
  • Otros recursos de Azure, incluidos los recursos de pc en la nube.
• Para más información, consulte Creación de una conexión de red de Azure.

Solo para los clientes de Government Community Cloud (GCC), las siguientes instrucciones permiten que Intune se ejecute en Azure para administrar equipos en la nube que se ejecutan en Azure Government regiones.

Nota:

• No necesita una suscripción Azure Government para usar Windows 365 Government. Estas instrucciones son específicamente para GCC y solo si se requieren imágenes personalizadas o Connections de Azure Network. Las instrucciones de esta página no se aplican a GCC High.
• Para los clientes gubernamentales que no tienen una suscripción Azure Government o requieren integración con Azure, considere la posibilidad de usar Windows 365 Enterprise. Asegúrese de que cumple los requisitos de cumplimiento. Windows 365 Enterprise es compatible con FedRAMP. Consulte Windows 365 Descripción del servicio

Antes de empezar

Para la asignación de inquilinos y la concesión de permisos para imágenes personalizadas o para conectarse a sus propias redes, necesita:

• Una suscripción Azure Government.
• Credenciales de un usuario que tiene:
  • Rol de administrador global en el inquilino de Azure (que termina en onmicrosoft.com).
• Credenciales de un usuario que tiene:
  • Rol de propietario en la suscripción de Azure Government, AND
  • Rol de administrador global en el inquilino de Azure Government (que termina en onmicrosoft.us).
• Para cumplir los requisitos de licencia.
• (Si procede) La siguiente información para aplicar permisos para configurar la conexión de red de Azure. La red virtual y la subred ya deben existir.
  • Id. de suscripción.
  • Grupo de recursos.
  • Virtual Network.
  • Subred.

Nota:

Aunque los equipos en la nube de los usuarios de GCC se hospedan y protegen en la nube Azure Government, los puntos de conexión para administradores y usuarios finales se encuentran en el dominio comercial de Azure. Los usuarios iniciarán sesión en los equipos en la nube con las credenciales sincronizadas con Microsoft Entra ID.

opciones de Microsoft Entra

Si desea usar Microsoft Entra combinación o Microsoft Entra combinación híbrida, tenga en cuenta estas preparaciones:

Microsoft Entra equipos en la nube unidos: si desea usar una infraestructura de combinación de Microsoft Entra y su propia red, necesita un inquilino y una suscripción de Azure en la nube de Azure Government. El inquilino del dominio de Azure .com debe asignarse al inquilino del dominio Azure Government (.us).

Equipos en la nube unidos a Microsoft Entra híbridos: si desea usar una infraestructura de unión híbrida Microsoft Entra, debe configurar el inquilino comercial (.com) y los inquilinos gubernamentales (.us) antes de crear las redes virtuales de Azure.

Preparación de Windows 365 herramienta de configuración de GCC

Para que la Windows 365 herramienta de instalación de GCC complete la asignación de inquilinos, se debe conceder permiso a la aplicación de Windows 365 Microsoft Entra para acceder al inquilino de Azure Government AD a través de una entidad de servicio. El objeto de entidad de servicio define lo que la aplicación puede hacer en el inquilino, quién puede acceder a la aplicación y a qué recursos puede acceder la aplicación. Antes de ejecutar la Windows 365 herramienta de instalación de GCC la primera vez, debe hacer lo siguiente:

1. Si aún no se ha completado, instale la CLI de Azure en el equipo donde va a crear la entidad de servicio. Para más información, consulte Instalación de la CLI de Azure.
2. Inicie sesión en el inquilino de Azure Government AD mediante los pasos de la CLI de Azure definidos en Inicio de sesión con la CLI de Azure. Se requieren permisos de administrador global para crear la entidad de servicio para la aplicación de Windows 365.
3. Para más información sobre cómo trabajar con entidades de servicio en Azure, consulte Trabajo con la entidad de servicio de Azure mediante la CLI de Azure. Conceda los permisos de aplicación Windows 365 Microsoft Entra al inquilino mediante la ejecución del siguiente comando de PowerShell: az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
4. Una vez que el comando se complete correctamente, debería poder ver los detalles sobre la entidad de servicio ejecutando el siguiente comando de PowerShell: az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. Debería ver la aplicación Windows 365 en la vista Todas las aplicaciones de la hoja Aplicación empresarial de Azure Portal.

La entidad de seguridad de Windows 365 App Service solo puede acceder a los recursos de Azure necesarios para configurar la imagen personalizada y la compatibilidad con Azure Network Connection (ANC) en Windows 365. Una vez creada, la entidad de servicio solo se puede eliminar cuando se han desaprovisionado imágenes personalizadas, objetos ANC y equipos en la nube correspondientes que los usan. De lo contrario, es posible que se produzcan errores en las tareas de aprovisionamiento de equipos en la nube y que los equipos en la nube existentes no sean accesibles.

Introducción a Windows 365 herramienta de instalación de GCC

Siga estos pasos para configurar la asignación de inquilinos mediante la Windows 365 herramienta de instalación de GCC.

1. Inicie el GCCSetupTool.exe. Esta herramienta está disponible en https://aka.ms/gccsetuptool.
2. En la página Vamos a empezar , seleccione Siguiente.
3. Inicie sesión con su cuenta de Azure. Esta cuenta debe tener permisos de administrador global.
4. Confirme que desea continuar con su cuenta > comercial Siguiente.
5. Inicie sesión con su cuenta > de Azure Government A continuación>, escriba sus credenciales.
6. Confirme que desea continuar con su cuenta > gubernamental Siguiente.
7. En la pantalla Seleccionar característica para habilitar , asegúrese de que la opción Imágenes personalizadas está seleccionada. Esta opción se selecciona de forma predeterminada porque no hay ninguna razón para ejecutar la Windows 365 herramienta de instalación de GCC a menos que necesite al menos una de estas características a continuación.

   Nota:

   ANC incluye los permisos para imágenes personalizadas.

8. Seleccione Conexiones de red de Azure y, a continuación, seleccione la suscripción, la red virtual y la subred que desea configurar. Seleccione Siguiente.
9. En la página Revisar configuración , revise las selecciones que ha realizado y seleccione Conceder.
10. Una vez completada la instalación, puede cerrar la herramienta.

Solución de problemas

Si tiene problemas al ejecutar la Windows 365 herramienta de instalación de GCC:

1. En la misma carpeta donde se ejecuta el GCCSetupTool.exe, vaya a la carpeta Registro y revise el GCCAdminTool.log archivo.
2. Si sigue teniendo problemas, póngase en contacto con el soporte técnico y proporcione el archivo GCCADminTool.log.

Uso posterior de la herramienta de configuración de GCC

La Windows 365 herramienta de instalación de GCC se puede volver a ejecutar después de la configuración inicial. Es posible que quiera volver a usar la herramienta de instalación de GCC si:

• No configuró las ANC antes, o
• Quiere expandir el uso de LAS ADC a otras redes.

Alternativa de script

Como alternativa al uso de la herramienta de instalación de GCC para configurar ANC, también puede usar el siguiente script para configurar permisos para más NIC.

Nota:

La asignación de inquilinos debe realizarse correctamente antes de continuar con el script para configurar las NIC.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1

1. Si no tiene Cloud Shell configurada (se requiere una cuenta de Azure Storage), tiene dos opciones para ejecutar el script:
   • Seleccione Copiar en el script y ejecute el script de PowerShell localmente en el equipo.
   • Seleccione Abrir Cloudshell> y pegue el script en la sesión > de Azure Government suscripción Cloud Shell ejecutar el script.
2. Después de ejecutar el script, en el símbolo del sistema, seleccione la opción 2. Esta opción configura los permisos para el ANC.
3. En la lista de suscripciones de Azure Government, seleccione la suscripción a la que desea conceder permisos.
4. En la lista de grupos de recursos, seleccione el grupo de recursos que desea usar.
5. Seleccione la red virtual.
6. El script concede permisos y enumera lo que se configuró.

Siguientes pasos

Obtenga más información sobre Windows 365 Government.