Prerequisiti per Desktop virtuale Azure

È necessario iniziare a usare Desktop virtuale Azure. Qui è possibile trovare i prerequisiti necessari per fornire correttamente agli utenti desktop e applicazioni.

A livello generale, è necessario:

• Un account Azure con una sottoscrizione attiva
• Provider di identità supportato
• Un sistema operativo supportato per le macchine virtuali dell'host sessione
• Licenze appropriate
• Connettività di rete
• Un client Desktop remoto

Account Azure con una sottoscrizione attiva

Per distribuire Desktop virtuale Azure è necessario un account Azure con una sottoscrizione attiva. Se non ne hai già uno, puoi creare un account gratuitamente.

Per distribuire Desktop virtuale Azure, è necessario assegnare i ruoli pertinenti del controllo degli accessi in base al ruolo di Azure. I requisiti specifici del ruolo sono illustrati in ognuno degli articoli correlati per la distribuzione di Desktop virtuale Azure, elencati nella sezione Passaggi successivi .

Assicurarsi anche di aver registrato il provider di risorse Microsoft.DesktopVirtualization per la sottoscrizione. Per controllare lo stato del provider di risorse e registrarsi, se necessario, selezionare la scheda pertinente per lo scenario e seguire la procedura.

Importante

È necessario disporre dell'autorizzazione per registrare un provider di risorse, che richiede l'operazione di */register/action. Ciò è incluso se all'account viene assegnato il ruolo di collaboratore o proprietario nella sottoscrizione.

Portale di Azure

1. Accedere al portale di Azure.

2. Selezionare Sottoscrizioni.

3. Selezionare il nome della sottoscrizione.

4. Selezionare Provider di risorse.

5. Cercare Microsoft.DesktopVirtualization.

6. Se lo stato è NotRegistered, selezionare Microsoft.DesktopVirtualization e quindi selezionare Registra.

7. Verificare che lo stato di Microsoft.DesktopVirtualization sia Registrato.

Interfaccia della riga di comando di Azure

1. Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale Bash oppure eseguire l'interfaccia della riga di comando di Azure nel dispositivo locale.

   • Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   • Se si usa l'interfaccia della riga di comando di Azure in locale, accedere prima con l'interfaccia della riga di comando di Azure e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

2. Registrare il provider di risorse Microsoft.DesktopVirtualization eseguendo il comando seguente. È possibile eseguire questo comando anche se il provider di risorse è già registrato.

   az provider register --namespace Microsoft.DesktopVirtualization
   

3. Verificare che il parametro RegistrationState sia impostato su Registered eseguendo il comando seguente:

   az provider show \
       --namespace Microsoft.DesktopVirtualization \
       --query {RegistrationState:registrationState}
   

Azure PowerShell

1. Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

   • Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   • Se si usa PowerShell in locale, accedere prima con Azure PowerShell e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

2. Registrare il provider di risorse Microsoft.DesktopVirtualization eseguendo il comando seguente. È possibile eseguire questo comando anche se il provider di risorse è già registrato.

   Register-AzResourceProvider -ProviderNamespace Microsoft.DesktopVirtualization
   

3. Nell'output verificare che i parametri RegistrationState siano impostati su Registered. È anche possibile eseguire il comando seguente:

   Get-AzResourceProvider -ProviderNamespace Microsoft.DesktopVirtualization
   

Identità

Per accedere a desktop e applicazioni dagli host sessione, gli utenti devono essere in grado di eseguire l'autenticazione. Microsoft Entra ID è il servizio di identità cloud centralizzato di Microsoft che abilita questa funzionalità. Microsoft Entra ID viene sempre usato per autenticare gli utenti per Desktop virtuale Azure. Gli host di sessione possono essere aggiunti allo stesso tenant Microsoft Entra o a un dominio di Active Directory usando Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services, offrendo una scelta di opzioni di configurazione flessibili.

Host sessione

È necessario aggiungere host di sessione che forniscono desktop e applicazioni allo stesso tenant Microsoft Entra degli utenti o a un dominio di Active Directory (AD DS o Microsoft Entra Domain Services).

Nota

Per Azure Locale, è possibile aggiungere gli host di sessione solo a un dominio Active Directory Domain Services. È possibile aggiungere gli host di sessione solo in Azure Locale a un dominio Active Directory Domain Services (AD DS). Ciò include l'uso di Microsoft Entra join ibrido, in cui è possibile trarre vantaggio da alcune delle funzionalità fornite da Microsoft Entra ID.

Per aggiungere host di sessione a Microsoft Entra ID o a un dominio di Active Directory, sono necessarie le autorizzazioni seguenti:

• Per Microsoft Entra ID, è necessario un account che possa aggiungere computer al tenant. Per altre informazioni, vedere Gestire le identità dei dispositivi. Per altre informazioni sull'aggiunta di host di sessione a Microsoft Entra ID, vedere Microsoft Entra host sessione aggiunti.

• Per un dominio di Active Directory, è necessario un account di dominio che possa aggiungere computer al dominio. Per Microsoft Entra Domain Services, è necessario essere un membro del gruppo Amministratori del controller di dominio AAD.

Utenti

Gli utenti hanno bisogno di account in Microsoft Entra ID. Se si usa anche Servizi di dominio Active Directory o Microsoft Entra Domain Services nella distribuzione di Desktop virtuale Azure, questi account devono essere identità ibride, ovvero gli account utente sono sincronizzati. È necessario tenere presente quanto segue in base al provider di identità usato:

• Se si usa Microsoft Entra ID con Active Directory Domain Services, è necessario configurare Microsoft Entra Connetti per sincronizzare i dati delle identità utente tra Servizi di dominio Active Directory e Microsoft Entra ID.
• Se si usa Microsoft Entra ID con Microsoft Entra Domain Services, gli account utente vengono sincronizzati in un modo da Microsoft Entra ID a Microsoft Entra Domain Services. Questo processo di sincronizzazione è automatico.

Importante

L'account utente deve esistere nel tenant Microsoft Entra usato per Desktop virtuale Azure. Desktop virtuale Azure non supporta gli account Microsoft B2B, B2C o personali.

Quando si usano identità ibride, l'UPN (UserPrincipalName) o l'identificatore di sicurezza (SID) devono corrispondere tra Active Directory Domain Services e Microsoft Entra ID. Per altre informazioni, vedere Identità supportate e metodi di autenticazione.

Scenari di identità supportati

La tabella seguente riepiloga gli scenari di identità attualmente supportati da Desktop virtuale Azure:

Scenario di identità	Host sessione	Account utente
Microsoft Entra ID + Servizi di dominio Active Directory	Aggiunta ad Active Directory Domain Services	In Microsoft Entra ID e Active Directory Domain Services sincronizzati
Microsoft Entra ID + Servizi di dominio Active Directory	Aggiunta a Microsoft Entra ID	In Microsoft Entra ID e Active Directory Domain Services sincronizzati
Microsoft Entra ID + Microsoft Entra Domain Services	Aggiunta a Microsoft Entra Domain Services	In Microsoft Entra ID e Microsoft Entra Domain Services sincronizzati
Microsoft Entra ID + Microsoft Entra Domain Services + Servizi di dominio Active Directory	Aggiunta a Microsoft Entra Domain Services	In Microsoft Entra ID e Active Directory Domain Services sincronizzati
Microsoft Entra ID + Microsoft Entra Domain Services	Aggiunta a Microsoft Entra ID	In Microsoft Entra ID e Microsoft Entra Domain Services sincronizzati
solo Microsoft Entra	Aggiunta a Microsoft Entra ID	In Microsoft Entra ID

Per informazioni più dettagliate sugli scenari di identità supportati, tra cui l'accesso Single Sign-On e l'autenticazione a più fattori, vedere Identità supportate e metodi di autenticazione.

Contenitore profili FSLogix

Per usare il contenitore di profili FSLogix durante l'aggiunta degli host di sessione a Microsoft Entra ID, è necessario archiviare i profili in File di Azure o Azure NetApp Files e gli account utente devono essere identità ibride. È necessario creare questi account in Active Directory Domain Services e sincronizzarli con Microsoft Entra ID. Per altre informazioni sulla distribuzione del contenitore di profili FSLogix con scenari di identità diversi, vedere gli articoli seguenti:

• Configurare il contenitore di profili FSLogix con File di Azure e Active Directory Domain Services o Microsoft Entra Domain Services.
• Configurare il contenitore di profili FSLogix con File di Azure e Microsoft Entra ID.
• Configurare il contenitore di profili FSLogix con Azure NetApp Files

Parametri di distribuzione

Quando si distribuiscono gli host sessione, è necessario immettere i parametri identity seguenti:

• Nome di dominio, se si usa Servizi di dominio Active Directory o Microsoft Entra Domain Services.
• Credenziali per aggiungere host di sessione al dominio.
• Unità organizzativa (OU), che è un parametro facoltativo che consente di inserire gli host di sessione nell'unità organizzativa desiderata in fase di distribuzione.

Importante

L'account usato per l'aggiunta a un dominio non può avere l'autenticazione a più fattori abilitata.

Sistemi operativi e licenze

È possibile scegliere tra i sistemi operativi che è possibile usare per gli host di sessione per fornire desktop e applicazioni. È possibile usare sistemi operativi diversi con pool di host diversi per offrire flessibilità agli utenti. I sistemi operativi e gli SKU a 64 bit sono supportati negli elenchi di tabelle seguenti (in cui le versioni e le date supportate sono in linea con i criteri relativi al ciclo di vita di Microsoft), insieme ai metodi di licenza applicabili per ogni scopo commerciale:

Sistema operativo (solo a 64 bit)	Metodo di licenza (Scopi commerciali interni)	Metodo di licenza (Scopi commerciali esterni)
Windows 11 Enterprise multisessione Windows 11 Enterprise Windows 10 Enterprise multisessione Windows 10 Enterprise	Microsoft 365 E3, E5, A3, A5, F3, Business Premium, Student Use Benefit Windows Enterprise E3, E5 Windows Education A3, A5 Windows VDA per utente	Prezzi di accesso per utente registrando una sottoscrizione di Azure.
Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server 2016	Licenza CAL (Client Access License) di Servizi Desktop remoto (RDS) con Software Assurance (per utente o per dispositivo) Licenze di sottoscrizione utente di Servizi Desktop remoto.	Windows Server licenza SAL (Subscriber Access License) di Servizi Desktop remoto. I prezzi di accesso per utente non sono disponibili per i sistemi operativi Windows Server.

Per altre informazioni sulle licenze che è possibile usare, inclusi i prezzi di accesso per utente, vedere Licenze di Desktop virtuale Azure.

Importante

• Gli elementi seguenti non sono supportati per gli host di sessione:
  • Sistemi operativi a 32 bit.
  • N, KN, LTSC e altre edizioni di sistemi operativi Windows non elencate nella tabella precedente.
  • Dischi Ultra per il tipo di disco del sistema operativo.
  • Dischi temporanei del sistema operativo per le macchine virtuali di Azure.
  • set di scalabilità di macchine virtuali.
  • Macchine virtuali di Azure basate su Arm64.

Per Azure, è possibile usare le immagini del sistema operativo fornite da Microsoft nel Azure Marketplace oppure creare immagini personalizzate archiviate in una raccolta di calcolo di Azure o come immagine gestita. L'uso di modelli di immagine personalizzati per Desktop virtuale Azure consente di creare facilmente un'immagine personalizzata che è possibile usare durante la distribuzione di macchine virtuali (VM) dell'host sessione. Per altre informazioni su come creare immagini personalizzate, vedere:

• Modelli di immagine personalizzati in Desktop virtuale Azure
• Archiviare e condividere immagini in una raccolta di calcolo di Azure.
• Creare un'immagine gestita di una macchina virtuale generalizzata in Azure.

In alternativa, per Azure Locale è possibile usare immagini del sistema operativo da:

• Azure Marketplace. Per altre informazioni, vedere Creare un'immagine di macchina virtuale Azure Locale usando immagini Azure Marketplace.
• Account di archiviazione di Azure. Per altre informazioni, vedere Creare Azure Locale'immagine della macchina virtuale usando un'immagine nell'account di archiviazione di Azure.
• Una condivisione locale. Per altre informazioni, vedere Creare Azure Locale'immagine della macchina virtuale usando immagini in una condivisione locale.

È possibile distribuire macchine virtuali (VM) da usare come host di sessione da queste immagini con uno dei metodi seguenti:

• Automaticamente, come parte del processo di installazione del pool di host nel portale di Azure.
• Manualmente aggiungendo host di sessione a un pool di host esistente nel portale di Azure.
• A livello di codice, con l'interfaccia della riga di comando di Azure o Azure PowerShell.

Se la licenza dà diritto all'uso di Desktop virtuale Azure, non è necessario installare o applicare una licenza separata, tuttavia se si usano prezzi di accesso per utente per utenti esterni, è necessario registrare una sottoscrizione di Azure. È necessario assicurarsi che la licenza di Windows usata negli host sessione sia assegnata correttamente in Azure e che il sistema operativo sia attivato. Per altre informazioni, vedere Applicare la licenza di Windows alle macchine virtuali dell'host di sessione.

Per gli host di sessione in Azure Locale, è necessario concedere in licenza e attivare le macchine virtuali usate prima di usarle con Desktop virtuale Azure. Per attivare Windows 10 e Windows 11 Enterprise multisessione e Windows Server 2022 Datacenter: Azure Edition, usare la verifica di Azure per le macchine virtuali. Per tutte le altre immagini del sistema operativo, ad esempio Windows 10 e Windows 11 Enterprise e altre edizioni di Windows Server, è consigliabile continuare a usare i metodi di attivazione esistenti. Per altre informazioni, vedere Attivare le macchine virtuali Windows Server in Azure Locale.

Nota

Per garantire la continuità delle funzionalità con l'aggiornamento della sicurezza più recente, aggiornare le macchine virtuali in Azure Locale all'aggiornamento cumulativo più recente entro il 17 giugno 2024. Questo aggiornamento è essenziale per consentire alle macchine virtuali di continuare a usare i vantaggi di Azure. Per altre informazioni, vedere Verifica di Azure per le macchine virtuali.

Consiglio

Per semplificare i diritti di accesso utente durante lo sviluppo e il test iniziali, Desktop virtuale Azure supporta i prezzi di Sviluppo/test di Azure. Se si distribuisce Desktop virtuale Azure in una sottoscrizione di Sviluppo/Test di Azure, gli utenti finali possono connettersi a tale distribuzione senza diritti di licenza separati per eseguire test di accettazione o fornire commenti e suggerimenti.

Rete

Esistono diversi requisiti di rete che è necessario soddisfare per distribuire correttamente Desktop virtuale Azure. Ciò consente agli utenti di connettersi ai desktop e alle applicazioni, offrendo al tempo stesso la migliore esperienza utente possibile.

Gli utenti che si connettono a Desktop virtuale Azure stabiliscono in modo sicuro una connessione inversa al servizio, il che significa che non è necessario aprire porte in ingresso. Il protocollo TCP (Transmission Control Protocol) sulla porta 443 viene usato per impostazione predefinita, tuttavia il percorso breve RDP può essere usato per le reti gestite e le reti pubbliche che stabiliscono un trasporto diretto basato su UDP (User Datagram Protocol).

Per distribuire correttamente Desktop virtuale Azure, è necessario soddisfare i requisiti di rete seguenti:

• Sono necessari una rete virtuale e una subnet per gli host di sessione. Se si creano gli host sessione contemporaneamente a un pool di host, è necessario creare questa rete virtuale in anticipo affinché venga visualizzata nell'elenco a discesa. La rete virtuale deve trovarsi nella stessa area di Azure dell'host della sessione.

• Assicurarsi che questa rete virtuale possa connettersi ai controller di dominio e ai server DNS pertinenti se si usa Servizi di dominio Active Directory o Microsoft Entra Domain Services, poiché è necessario aggiungere host di sessione al dominio.

• Gli host e gli utenti della sessione devono essere in grado di connettersi al servizio Desktop virtuale Azure. Queste connessioni usano anche TCP sulla porta 443 per un elenco specifico di URL. Per altre informazioni, vedere Elenco URL obbligatori. È necessario assicurarsi che questi URL non siano bloccati dal filtro di rete o da un firewall affinché la distribuzione funzioni correttamente e sia supportata. Se gli utenti devono accedere a Microsoft 365, assicurarsi che gli host sessione possano connettersi agli endpoint di Microsoft 365.

Considerare anche quanto segue:

• Gli utenti potrebbero avere bisogno di accedere ad applicazioni e dati ospitati in reti diverse, quindi assicurarsi che gli host sessione possano connettersi a tali applicazioni.

• La latenza RTT (Round Trip Time) dalla rete del client all'area di Azure che contiene i pool di host deve essere inferiore a 150 ms. Per vedere quali posizioni hanno la latenza migliore, cercare la posizione desiderata nelle statistiche di latenza di round trip della rete di Azure. Per ottimizzare le prestazioni di rete, è consigliabile creare host di sessione nell'area di Azure più vicina agli utenti.

• Usare Firewall di Azure per le distribuzioni di Desktop virtuale Azure per bloccare l'ambiente e filtrare il traffico in uscita.

• Per proteggere l'ambiente Desktop virtuale Azure in Azure, è consigliabile non aprire la porta in ingresso 3389 negli host di sessione. Desktop virtuale Azure non richiede l'apertura di una porta in ingresso aperta. Se è necessario aprire la porta 3389 per la risoluzione dei problemi, è consigliabile usare l'accesso ji-in-time alle macchine virtuali. È anche consigliabile non assegnare un indirizzo IP pubblico agli host di sessione.

Per altre informazioni, vedere Informazioni sulla connettività di rete di Desktop virtuale Azure.

Nota

Per mantenere Desktop virtuale Azure affidabile e scalabile, si aggregano modelli di traffico e utilizzo per controllare l'integrità e le prestazioni del piano di controllo dell'infrastruttura. Queste informazioni vengono aggregate da tutte le posizioni in cui si trova l'infrastruttura del servizio, quindi vengono inviate all'area stati Uniti. I dati inviati all'area Stati Uniti includono i dati eliminati, ma non i dati dei clienti. Per altre informazioni, vedere Percorsi dei dati per Desktop virtuale Azure.

Gestione host sessione

Quando si gestiscono gli host di sessione, considerare i punti seguenti:

• Non abilitare criteri o configurazioni che disabilitano Windows Installer. Se disabiliti Windows Installer, il servizio non può installare gli aggiornamenti dell'agente negli host sessione e gli host di sessione non funzioneranno correttamente.

• Se si aggiunge host di sessione a un dominio di Active Directory Domain Services e si vuole gestirli usando Intune, è necessario configurare Microsoft Entra Connect per abilitare Microsoft Entra join ibrido.

• Se si aggiunge host di sessione a un dominio Microsoft Entra Domain Services, non è possibile gestirli usando Intune.

• Se si usa Microsoft Entra partecipare con Windows Server per gli host sessione, non è possibile registrarli in Intune perché Windows Server non è supportato con Intune. È necessario usare Microsoft Entra join ibrido e Criteri di gruppo da un dominio di Active Directory o Criteri di gruppo locale in ogni host sessione.

Aree di Azure

È possibile distribuire pool di host, aree di lavoro e gruppi di applicazioni nelle aree di Azure seguenti. In questo elenco di aree è possibile archiviare i metadati per il pool di host. Tuttavia, gli host sessione per le sessioni utente possono trovarsi in qualsiasi area di Azure e in locale quando si usa Desktop virtuale Azure in Azure Locale, consentendo di distribuire risorse di calcolo vicine agli utenti. Per altre informazioni sui tipi di dati e posizioni, vedere Posizioni dei dati per Desktop virtuale Azure.

• Australia orientale
• Canada centrale
• Canada orientale
• India centrale
• Stati Uniti centrali
• Stati Uniti orientali
• Stati Uniti orientali 2
• Giappone orientale
• Giappone occidentale
• Stati Uniti centro-settentrionali

• Europa settentrionale
• Sudafrica settentrionale
• Stati Uniti centro-meridionali
• Regno Unito meridionale
• Regno Unito orientale
• Stati Uniti centro-occidentali
• Europa occidentale
• Stati Uniti occidentali
• Stati Uniti occidentali 2
• Stati Uniti occidentali 3

Desktop virtuale Azure è disponibile anche in cloud sovrani, ad esempio Azure per il governo degli Stati Uniti e Azure gestito da 21Vianet in Cina.

Per altre informazioni sull'architettura e la resilienza del servizio Desktop virtuale Azure, vedere Architettura e resilienza del servizio Desktop virtuale Azure.

Connessione a una sessione remota

Gli utenti devono usare Windows App o il client Desktop remoto per connettersi a desktop e applicazioni. È possibile connettersi da:

• Windows
• macOS
• iOS/iPadOS
• Sistema operativo Android/Chrome
• Web browser

Per altre informazioni, vedere Introduzione a Windows App per connettersi a dispositivi e app.

Importante

Desktop virtuale Azure non supporta le connessioni dal client RADC (RemoteApp and Desktop Connections) o dal client Connessione Desktop remoto (MSTSC).

Per informazioni sugli URL usati dai client per la connessione e che è necessario consentire tramite firewall e filtri Internet, vedere l'elenco URL obbligatori.

Passaggi successivi

• Quando si è pronti per provare Desktop virtuale Azure, usare l'avvio rapido per distribuire un ambiente desktop virtuale Azure di esempio con Windows 11 Enterprise multisessione.

• Per un approccio più approfondito e adattabile alla distribuzione di Desktop virtuale Azure, vedere Distribuire Desktop virtuale Azure.