Bureaux à distance Windows 10 ou Windows 11 Entreprise multisession
Azure Virtual Desktop multisession avec Microsoft Intune est désormais en disponibilité générale.
Vous pouvez désormais utiliser Microsoft Intune pour gérer les bureaux à distance multisession Windows 10 ou Windows 11 Entreprise dans le Centre d’administration Microsoft Intune, tout comme vous pouvez gérer un appareil client Windows 10 ou Windows 11 partagé. Lors de la gestion de ces machines virtuelles, vous pouvez utiliser à la fois la configuration basée sur l’appareil ciblée sur les appareils ou la configuration basée sur l’utilisateur ciblée sur les utilisateurs.
Windows 10 ou Windows 11 Entreprise sessions multiples est un nouvel hôte de session Bureau à distance exclusif à Azure Virtual Desktop sur Azure. Elle offre les avantages suivants :
- Autorise de plusieurs sessions utilisateur simultanées.
- Offre aux utilisateurs une expérience Windows 10 ou Windows 11 expérience utilisateur.
- Prend en charge l’utilisation des licences Microsoft 365 par utilisateur existantes.
Vous pouvez gérer les machines virtuelles Windows 10 et Windows 11 Enterprise multisession créées dans le cloud Azure Government dans la communauté gouvernementale américaine (Cloud de la communauté du secteur public), Cloud de la communauté du secteur public High et DoD.
Importante
La prise en charge de Microsoft Intune pour Azure Virtual Desktop multisession n’est actuellement pas disponible pour Citrix DaaS et VMware Horizon Cloud.
Vue d’ensemble
La prise en charge de la configuration des appareils dans Microsoft Intune pour Windows 10 ou Windows 11 Entreprise multisession est en disponibilité générale (GA). Cela signifie que les stratégies définies dans l’étendue du système d’exploitation et les applications configurées pour s’installer dans le contexte système peuvent être appliquées aux machines virtuelles multisession Azure Virtual Desktop lorsqu’elles sont affectées à des groupes d’appareils.
Remarque
La configuration basée sur l’appareil ne peut pas être attribuée aux utilisateurs et la configuration basée sur l’utilisateur ne peut pas être attribuée aux appareils. Il sera signalé comme Erreur ou Non applicable.
La prise en charge de la configuration utilisateur dans Microsoft Intune pour les machines virtuelles Windows 10 ou Windows 11 multisession est généralement disponible. Avec cela, vous pouvez :
Configurez des stratégies d’étendue utilisateur à l’aide du catalogue de Paramètres et affectez-les à des groupes d’utilisateurs. Vous pouvez utiliser la barre de recherche pour rechercher toutes les configurations dont l’étendue est définie sur « utilisateur ».
Configurez les certificats utilisateur et attribuez-les aux utilisateurs.
Configurez les scripts PowerShell pour les installer dans le contexte utilisateur et les affecter aux utilisateurs.
Configuration requise
Cette fonctionnalité prend en charge les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession suivantes :
- Exécution de Windows 10 multi-session, version 1903 ou ultérieure, ou exécution de Windows 11 multi-session.
- Configurées en tant que bureaux distants dans des pools d’hôtes regroupés qui ont été déployés par le biais d’Azure Resource Manager.
- Sous le même locataire qu’Intune.
- Exécution d’un agent Azure Virtual Desktop version 1.0.2944.1400 ou ultérieur.
-
Microsoft Entra hybride joint et inscrit dans Microsoft Intune à l’aide de l’une des méthodes suivantes :
- Configuré avec la stratégie de groupe Active Directory, défini pour utiliser les informations d’identification de l’appareil et défini pour inscrire automatiquement des appareils joints à Microsoft Entra hybride.
- Cogestion Configuration Manager.
- Microsoft Entra a rejoint et inscrit dans Microsoft Intune en activant Inscrire la machine virtuelle auprès d’Intune dans le portail Azure.
- Licences : la licence Azure Virtual Desktop et la licence Microsoft Intune appropriées sont requises si un utilisateur ou un appareil bénéficie directement ou indirectement du service Microsoft Intune, y compris l’accès au service Microsoft Intune via une API Microsoft. Pour plus d’informations, consultez Licences Microsoft Intune.
- Voir Qu’est-ce que Azure Virtual Desktop ? pour plus d’informations sur les conditions requises pour les licences Azure Virtual Desktop.
Limitations
Intune ne prend pas en charge l’utilisation d’une image cloné d’un ordinateur déjà inscrit. Cela inclut les appareils physiques et virtuels tels qu’Azure Virtual Desktop (AVD). Lorsque des jetons d’inscription ou d’identité d’appareil sont répliqués entre des appareils, des échecs d’inscription ou de synchronisation d’appareils Intune se produisent.
- Pour plus d’informations, consultez Inscription d’appareils mobiles - Gestion des clients Windows et Inscription des appareils d’authentification par certificat - Gestion des clients Windows.
- Pour plus d’informations sur la résolution des problèmes liés au clonage d’images, consultez Erreur hr 0x8007064c : l’ordinateur est déjà inscrit.
Remarque
Si vous joignez des hôtes de session à Microsoft Entra Domain Services, vous ne pouvez pas les gérer à l’aide d’Intune.
Importante
- Si vous utilisez windows 10, versions 2004, 20H2 ou 21H1, veillez à installer windows update de juillet 2021 ou une mise à jour Windows ultérieure. Sinon, les actions à distance dans le Centre d’administration Microsoft Intune, comme la synchronisation à distance, ne fonctionneront pas correctement. Ainsi, les stratégies en attente affectées aux appareils peuvent prendre jusqu’à 8 heures.
- Actuellement, Intune ne prend pas en charge la fonctionnalité d’itinérance de jeton entre les appareils. Si FSLogix, ou une technologie similaire, est utilisée pour gérer les profils utilisateur et les paramètres Windows, vous devez vous assurer que les jetons ne sont pas itinérants ou dupliqués de manière inattendue sur les appareils. Pour vérifier que vous exécutez une version et une configuration prises en charge de FSLogix avec l’itinérance de jeton désactivée, consultez la référence des paramètres de configuration de FSLogix RoamIdentity.
Les machines virtuelles multisession Windows 10 ou Windows 11 Entreprise sont traitées comme une édition de système d’exploitation distincte et certaines configurations Windows 10 ou Windows 11 Entreprise ne seront pas prises en charge pour cette édition. L’utilisation de Microsoft Intune ne dépend pas ou n’interfère pas avec la gestion Azure Virtual Desktop de la même machine virtuelle.
Créer le profil de configuration
Pour configurer des stratégies de configuration pour les machines virtuelles multisession Windows 10 ou Windows 11 Entreprise, vous devez utiliser le catalogue Paramètres dans le Centre d’administration Microsoft Intune.
Les modèles de profil de configuration d’appareil existants ne sont pas pris en charge pour les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession , à l’exception des modèles suivants :
- Certificat approuvé - Appareil (machine) lors du ciblage des appareils et Utilisateur lors du ciblage des utilisateurs
- Certificat SCEP : appareil (machine) lors du ciblage d’appareils et utilisateur lors du ciblage d’utilisateurs
- Certificat PKCS - Appareil (machine) lors du ciblage des appareils et Utilisateur lors du ciblage des utilisateurs
- VPN - Tunnel de l’appareil uniquement
Microsoft Intune ne fournit pas de modèles non pris en compte aux appareils multisession, et ces stratégies apparaissent comme non applicables dans les rapports.
Remarque
Si vous utilisez la cogestion pour Intune et Configuration Manager, dans Configuration Manager définissez le curseur de la charge de travail pour la stratégie d’accès aux ressources sur Intune ou sur Pilote Intune. Ce paramètre permet aux clients Windows 10 et Windows 11 de démarrer le processus de demande du certificat.
Pour configurer des stratégies
- Connectez-vous au Centre d’administration Microsoft Intune et choisissez Appareils>par plateforme>Windows>Gérer les appareils>Configuration>Créer une>stratégie.
- Pour Plateforme, sélectionnez Windows 10 et ultérieur.
- Pour Type de profil, sélectionnez Catalogue de paramètres ou, lorsque vous déployez des paramètres à l’aide d’un modèle, sélectionnez Modèles, puis le nom du modèle pris en charge.
- Sélectionnez Créer.
- Dans la page Informations de base, entrez un Nom et une Description (facultative)>Suivant.
- Sur la page Paramètres de configuration, sélectionnez Ajouter des paramètres.
- Sous Sélecteur de paramètres, sélectionnez Ajouter un filtre et sélectionnez les options suivantes :
- Clé : Édition du système d’exploitation
- Opérateur : ==
- Valeur : Enterprise multisession
- Sélectionnez Appliquer. La liste filtrée affiche désormais toutes les catégories de profil de configuration qui Windows 10 ou Windows 11 Entreprise plusieurs sessions. L’étendue d’une stratégie est indiquée entre parenthèses. Pour l’étendue de l’utilisateur, il s’affiche sous la forme (Utilisateur) et tous les autres sont des stratégies avec étendue de l’appareil.
- Dans la liste filtrée, sélectionnez les catégories que vous souhaitez.
- Pour chaque catégorie que vous choisissez, sélectionnez les paramètres que vous souhaitez appliquer à votre nouveau profil de configuration.
- Pour chaque paramètre, sélectionnez la valeur souhaitée pour ce profil de configuration.
- Sélectionnez Suivant lorsque vous avez terminé d’ajouter des paramètres.
- Dans la page Affectations , choisissez les groupes Microsoft Entra contenant les appareils auxquels vous souhaitez attribuer ce profil >Suivant.
- Dans la page Balises d’étendue , ajoutez éventuellement les balises d’étendue que vous souhaitez appliquer à ce profil >Suivant. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.
- Sur la page Vérifier + créer, choisissez Créer pour créer le profil.
Modèles d’administration
Windows 10 ou Windows 11 modèles d’administration sont pris en charge pour Windows 10 ou Windows 11 Entreprise sessions multiples via le catalogue Paramètres avec certaines limitations :
- Les stratégies reposant sur ADMX sont prises en charge. Certaines stratégies ne sont pas encore disponibles dans le catalogue Paramètres.
- Les stratégies ingérées par ADMX sont prises en charge, y compris les paramètres Office et Microsoft Edge disponibles dans les fichiers de modèles d’administration Office et les fichiers de modèles d’administration Microsoft Edge. Pour obtenir la liste complète des catégories de stratégie ingérées par ADMX, consultez Configuration des stratégies d’application Win32 et Desktop Bridge. Certains paramètres ADMX ingérés ne s’appliquent pas aux Windows 10 ou Windows 11 Entreprise multisession .
Pour répertorier les modèles d’administration pris en charge, vous devez utiliser le filtre dans le catalogue Paramètres.
Conformité et accès conditionnel
Vous pouvez sécuriser vos machines virtuelles Windows 10 ou Windows 11 Entreprise multisession en configurant des stratégies de conformité et des stratégies d’accès conditionnel dans le Centre d’administration Microsoft Intune. Les stratégies de conformité suivantes sont Windows 10 ou Windows 11 Entreprise des VM à sessions multiples :
- Version minimale du système d’exploitation
- Version maximale du système d’exploitation
- Builds de système d’exploitation valides
- Mots de passe simples
- Type de mot de passe
- Longueur minimale du mot de passe
- complexité du mot de passe ;
- Expiration du mot de passe (jours)
- Nombre de mots de passe précédents avant d’autoriser leur réutilisation
- Logiciel anti-programme malveillant Microsoft Defender
- Veille de sécurité du logiciel anti-programme malveillant Microsoft Defender à jour
- Pare-feu
- Antivirus
- Logiciel anti-espion
- Protection en temps réel
- Version minimale du logiciel anti-programme malveillant Microsoft Defender
- Score de risque Defender ATP
Toutes les autres stratégies sont signalées comme Non applicables.
Importante
Vous devez créer une stratégie de conformité et la cibler sur le groupe d’appareils contenant vos machines virtuelles multisession. Les configurations de conformité ciblées par l’utilisateur ne sont pas prises en charge.
Les stratégies d’accès conditionnel prise en charge les configurations utilisateur et appareil pour Windows 10 ou Windows 11 Entreprise plusieurs sessions.
Remarque
L’accès conditionnel Exchange sur site n’est pas pris en charge pour Windows 10 ou Windows 11 Entreprise des VM multisession.
Remarque
Les stratégies de configuration et de conformité pour BitLocker, le démarrage sécurisé et les fonctionnalités tirant parti de vTPM (module de plateforme sécurisée virtuelle) ne sont pas prises en charge pour le moment pour les machines virtuelles Azure Virtual Desktop.
Sécurité de point de terminaison
Vous pouvez configurer des profils sous Sécurité des points de terminaison pour les machines virtuelles multisession en sélectionnant Platform Windows 10, Windows 11 et Windows Server. Si cette plateforme n’est pas disponible, le profil n’est pas pris en charge sur les machines virtuelles multisession.
Pour plus d’informations, consultez Gérer la sécurité des appareils avec des stratégies de sécurité de point de terminaison dans Microsoft Intune
Déploiement d’applications
Toutes les Windows 10 ou Windows 11 applications peuvent être déployées sur Windows 10 ou Windows 11 Entreprise sessions multisession avec les restrictions suivantes :
- Toutes les applications doivent être configurées pour s’installer dans le contexte du système/appareil et être destinées aux appareils. Les applications web sont toujours appliquées dans le contexte utilisateur par défaut afin de ne pas s’appliquer aux machines virtuelles multisession.
- Toutes les applications doivent être configurées avec l’intention d’affectation d’application Obligatoire ou Désinstaller. L’intention de déploiement des Applications disponibles ne sont pas prises en charge sur les machines virtuelles multisession.
- Si une application Win32 configurée pour s’installer dans le contexte système a des dépendances ou une relation de remplacement sur toutes les applications configurées pour l’installation dans le contexte utilisateur, l’application n’est pas installée. Pour appliquer une application à une Windows 10 ou une Windows 11 Entreprise VM multisession, créez une instance distincte de l’application de contexte système ou assurez-vous que toutes les dépendances d’application sont configurées pour être installées dans le contexte système.
- L’attachement d’application RemoteApp et MSIX Azure Virtual Desktop n’est actuellement pas pris en charge dans Microsoft Intune.
Déploiement de script
Les scripts configurés pour s’exécuter dans le contexte système et affectés aux appareils sont pris en charge sur Windows 10 ou Windows 11 Entreprise multi-session. Vous pouvez configurer ce paramètre sous Paramètres de script en définissant Exécuter ce script en utilisant les informations d’identification de connexion sur Non.
Les scripts configurés pour s’exécuter dans le contexte utilisateur et attribués aux utilisateurs sont pris en charge sur Windows 10 et Windows 11 Entreprise multisession. Ceci peut être configuré sous Paramètres du script en définissant Exécuter ce script en utilisant les informations d'identification de la session sur Oui.
Windows Update pour Entreprise
Vous pouvez utiliser le catalogue de paramètres pour gérer les paramètres Windows Update pour les mises à jour de qualité (sécurité) pour les machines virtuelles multisession Windows 10 ou Windows 11 Entreprise. Pour rechercher les paramètres pris en charge dans le catalogue, configurez un filtre de paramètres pour multisession Entreprise, puis développez la catégorie Windows Update pour Entreprise .
Les paramètres suivants sont disponibles dans le catalogue, avec les liens ouvrant la documentation du fournisseur de solutions cloud Windows :
- Fin des heures d’activité
- Plage maximale des heures actives
- Début des heures d’activité
- Bloquer la fonctionnalité « Suspendre les mises à jour »
- Configurer l’échéance de la période de grâce
- Période de report des mises à jour qualité (jours)
- Heure de début de la suspension des mises à jour qualité
- Période d’échéance des mises à jour qualité (jours)
Actions à distance.
Les actions à distance d’appareil de bureau Windows 10 ou Windows 11 suivantes ne sont pas prises en charge et seront grisées dans l’interface utilisateur et désactivées dans Graph pour les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession :
- Réinitialisation d’Autopilot
- Rotation de clés BitLocker
- Redémarrage à zéro
- Verrouiller à distance
- Réinitialiser le mot de passe
- Réinitialisation
Retraites
La suppression de machines virtuelles d’Azure laisse les enregistrements d’appareils orphelins dans le Centre d’administration Microsoft Intune. Ils seront automatiquement nettoyés en fonction des règles de nettoyage configurées pour le locataire.
Bases de référence de sécurité
Les bases de référence de sécurité ne sont pas disponibles pour Windows 10 ou Windows 11 Entreprise multisession pour le moment. Nous vous recommandons de consulter les sections Bases de référence de la sécurité disponibles et de configurer les stratégies et valeurs recommandées dans le catalogue des paramètres.
Configurations supplémentaires qui ne sont pas prises en charge sur les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession
L’inscription à Out Of Box Experience (OOBE) n’est pas prise en charge pour Window 10 ou Windows 11 Entreprise sessions multiples. Cette restriction signifie ce qui suit :
- Windows Autopilot et les OOBE commerciales ne sont pas pris en charge.
- La page d’état d’inscription n’est pas prise en charge.
Windows 10 ou Windows 11 Entreprise multisession géré par Microsoft Intune n’est actuellement pas pris en charge pour le cloud souverain en Chine.
Résolution des problèmes
Les sections suivantes fournissent des conseils de résolution des problèmes pour les problèmes courants.
Problèmes d’inscription
Problème | Détails |
---|---|
Échec de l’inscription de la machine virtuelle jointe hybride Microsoft Entra |
|
Échec de l’inscription de la machine virtuelle jointe à Microsoft Entra |
|
Problèmes de configuration
Problème | Détails |
---|---|
Échec de la stratégie de catalogue des paramètres | Vérifiez que la machine virtuelle est inscrite à l’aide des informations d’identification de l’appareil. L’inscription avec les informations d’identification de l’utilisateur n’est actuellement pas prise en charge pour Windows 10 ou Windows 11 Entreprise multisession. |
La stratégie de configuration ne s’est pas appliquée | Les modèles (à l’exception des certificats) ne sont pas pris en charge sur Windows 10 ou Windows 11 Entreprise multisession. Toutes les stratégies doivent être créées via le catalogue de paramètres. |
Rapports de stratégie de configuration comme non applicables | Certaines stratégies ne s’appliquent pas aux machines virtuelles Azure Virtual Desktop. |
La stratégie ADMX Microsoft Edge/Microsoft Office ne s’affiche pas lorsque j’applique le filtre pour Windows 10 ou Windows 11 Entreprise multisession | L’applicabilité de ces paramètres n’est pas basée sur la version ou l’édition de Windows, mais sur le fait que ces applications ont été installées sur l’appareil. Pour ajouter ces paramètres à votre stratégie, vous devrez peut-être supprimer tous les filtres appliqués dans le sélecteur de paramètres. |
L’application configurée pour l’installation dans le contexte système ne s’est pas appliquée | Vérifiez que l’application n’a pas de relation de dépendance ou de remplacement sur les applications configurées pour être installées dans le contexte utilisateur. Les applications de contexte utilisateur ne sont actuellement pas prises en charge sur Windows 10 ou Windows 11 Entreprise multisession. |
Les anneaux de mise à jour pour Windows 10 et la stratégie ultérieure ne s’appliquent pas | Les stratégies d’anneaux de mise à jour Windows ne sont pas prises en charge actuellement. Les mises à jour qualité peuvent être gérées via les paramètres disponibles dans le catalogue de paramètres. |