Desktop remoti a più sessioni di Windows 10 o Windows 11 Enterprise

Desktop virtuale Azure multisessione con Microsoft Intune è ora disponibile a livello generale.

È ora possibile usare Microsoft Intune per gestire i desktop remoti a più sessioni di Windows 10 o Windows 11 Enterprise nell'interfaccia di amministrazione di Microsoft Intune, così come è possibile gestire un dispositivo client Windows 10 o Windows 11 condiviso. Quando si gestiscono tali macchine virtuali, sarà possibile usare sia la configurazione basata su dispositivo destinata ai dispositivi che la configurazione basata sull'utente destinata agli utenti.

Windows 10 o Windows 11 Enterprise multisessione è un nuovo host sessione Desktop remoto esclusivo di Desktop virtuale Azure in Azure. Offre i vantaggi seguenti:

• Consente più sessioni utente simultanee.
• Offre agli utenti un'esperienza Windows 10 o Windows 11 familiare.
• Supporta l'uso di licenze di Microsoft 365 esistenti per utente.

È possibile gestire le macchine virtuali multisessione windows 10 e Windows 11 Enterprise create in Azure Government Cloud nella community per enti pubblici degli Stati Uniti (GCC), GCC High e DoD.

Importante

Il supporto di Microsoft Intune per la multisessione di Desktop virtuale Azure non è attualmente disponibile per Citrix DaaS e VMware Horizon Cloud.

Panoramica

Il supporto della configurazione dei dispositivi in Microsoft Intune per più sessioni di Windows 10 o Windows 11 Enterprise è disponibile a livello generale. Ciò significa che i criteri definiti nell'ambito del sistema operativo e le app configurate per l'installazione nel contesto di sistema possono essere applicati alle macchine virtuali a più sessioni di Desktop virtuale Azure quando vengono assegnate ai gruppi di dispositivi.

Nota

La configurazione basata su dispositivo non può essere assegnata agli utenti e la configurazione basata su utente non può essere assegnata ai dispositivi. Verrà segnalato come Errore o Non applicabile.

Il supporto della configurazione utente in Microsoft Intune per macchine virtuali a più sessioni di Windows 10 o Windows 11 è disponibile a livello generale. Con questo si è in grado di:

• Configurare i criteri di ambito utente usando il catalogo impostazioni e assegnarlo a gruppi di utenti. È possibile usare la barra di ricerca per cercare tutte le configurazioni con ambito impostato su "utente".

• Configurare i certificati utente e assegnarlo agli utenti.

• Configurare gli script di PowerShell per l'installazione nel contesto utente e l'assegnazione agli utenti.

Prerequisiti

Questa funzionalità supporta le macchine virtuali multisessione di Windows 10 o Windows 11 Enterprise, ovvero:

• Esecuzione di Windows 10 a più sessioni, versione 1903 o successiva o esecuzione di più sessioni di Windows 11.
• Configurare come desktop remoti nei pool di host in pool distribuiti tramite Azure Resource Manager.
• Nello stesso tenant di Intune.
• Esecuzione di una versione agente di Desktop virtuale Azure della versione 1.0.2944.1400 o successiva.
• Microsoft Entra ibrido aggiunto e registrato in Microsoft Intune usando uno dei metodi seguenti:
  • Configurato con i criteri di gruppo di Active Directory, impostato per l'uso delle credenziali del dispositivo e impostato su registra automaticamente i dispositivi aggiunti a Microsoft Entra ibrido.
  • Co-gestione di Configuration Manager.
• Microsoft Entra è stato aggiunto e registrato in Microsoft Intune abilitando La registrazione della macchina virtuale con Intune nel portale di Azure.
• Licenze: la licenza appropriata di Desktop virtuale Azure e Microsoft Intune è necessaria se un utente o un dispositivo trae vantaggio direttamente o indirettamente dal servizio Microsoft Intune, incluso l'accesso al servizio Microsoft Intune tramite un'API Microsoft. Per altre informazioni, vedere Licenze di Microsoft Intune.
• Per altre informazioni sui requisiti di licenza di Desktop virtuale Azure, vedere Informazioni su Desktop virtuale Azure .

Limitazioni

Intune non supporta l'uso di un'immagine clonata di un computer già registrato. Sono inclusi i dispositivi fisici e virtuali, ad esempio Desktop virtuale Azure (AVD). Quando la registrazione del dispositivo o i token di identità vengono replicati tra i dispositivi, si verificheranno errori di sincronizzazione o registrazione del dispositivo in Intune.

• Per altre informazioni, vedere Registrazione di dispositivi mobili - Gestione client Windows e Registrazione del dispositivo di autenticazione del certificato - Gestione client Windows.
• Per informazioni sulla risoluzione dei problemi relativi alla clonazione di immagini, vedere Errore hr 0x8007064c: Il computer è già registrato.

Nota

Se si aggiunge host di sessione a Microsoft Entra Domain Services, non è possibile gestirli usando Intune.

Importante

• Se usi Windows 10, versioni 2004, 20H2 o 21H1, assicurati di installare Windows Update di luglio 2021 o un aggiornamento di Windows successivo. In caso contrario, le azioni remote nell'interfaccia di amministrazione di Microsoft Intune, come la sincronizzazione remota, non funzioneranno correttamente. Di conseguenza, l'applicazione dei criteri in sospeso assegnati ai dispositivi potrebbe richiedere fino a 8 ore.
• Intune attualmente non supporta la funzionalità di roaming dei token tra dispositivi. Se FSLogix, o una tecnologia simile, viene usato per gestire i profili utente e le impostazioni di Windows, è necessario assicurarsi che i token non vengano sottoposti a roaming imprevisto o duplicati tra dispositivi. Per verificare che sia in esecuzione una versione e una configurazione supportate di FSLogix con il roaming dei token disabilitato, vedere informazioni di riferimento sulle impostazioni di configurazione di RoamIdentity di FSLogix.

Le macchine virtuali a più sessioni di Windows 10 o Windows 11 Enterprise vengono considerate come un'edizione del sistema operativo separata e alcune configurazioni di Windows 10 o Windows 11 Enterprise non saranno supportate per questa edizione. L'uso di Microsoft Intune non dipende o interferisce con la gestione di Desktop virtuale Azure della stessa macchina virtuale.

Creare il profilo di configurazione

Per configurare i criteri di configurazione per le macchine virtuali a più sessioni di Windows 10 o Windows 11 Enterprise, è necessario usare il catalogo impostazioni nell'interfaccia di amministrazione di Microsoft Intune.

I modelli di profilo di configurazione del dispositivo esistenti non sono supportati per le macchine virtuali multisessione Windows 10 o Windows 11 Enterprise, ad eccezione dei modelli seguenti:

• Certificato attendibile - Dispositivo (computer) quando si selezionano i dispositivi e l'utente quando si indirizzano gli utenti
• Certificato SCEP - Dispositivo (computer) quando si indirizzano i dispositivi e l'utente quando si ha come destinazione gli utenti
• Certificato PKCS - Dispositivo (computer) quando si indirizzano i dispositivi e l'utente quando si ha come destinazione gli utenti
• VPN - Solo tunnel del dispositivo

Microsoft Intune non recapiterà modelli non supportati a dispositivi a più sessioni e tali criteri vengono visualizzati come Non applicabili nei report.

Nota

Se si usa la co-gestione per Intune e Configuration Manager, in Configuration Manager impostare il dispositivo di scorrimento del carico di lavoro per Criteri di accesso alle risorse su Intune o Pilot Intune. Questa impostazione consente ai client Windows 10 e Windows 11 di avviare il processo di richiesta del certificato.

Per configurare i criteri

1. Accedere all'interfaccia di amministrazione di Microsoft Intune e scegliere Dispositivi>per piattaforma>Windows>Gestisci dispositivi>Configurazione>Crea>nuovi criteri.
2. Per Piattaforma selezionare Windows 10 e versioni successive.
3. Per Tipo di profilo selezionare Catalogo impostazioni oppure, quando si distribuiscono le impostazioni usando un modello, selezionare Modelli e quindi il nome del modello supportato.
4. Selezionare Crea.
5. Nella pagina Informazioni di base specificare un nome e (facoltativamente) una descrizione>avanti.
6. Nella pagina Impostazioni di configurazione selezionare Aggiungi impostazioni.
7. In Selezione impostazioni selezionare Aggiungi filtro e selezionare le opzioni seguenti:
   • Chiave: edizione del sistema operativo
   • Operatore: ==
   • Valore: multisessione aziendale
   • Selezionare Applica. L'elenco filtrato mostra ora tutte le categorie di profili di configurazione che supportano più sessioni di Windows 10 o Windows 11 Enterprise. L'ambito di un criterio viene visualizzato tra parentesi. Per l'ambito utente viene visualizzato come (utente) e tutti gli altri sono criteri con ambito dispositivo.
8. Nell'elenco filtrato selezionare le categorie desiderate.
   • Per ogni categoria selezionata, selezionare le impostazioni da applicare al nuovo profilo di configurazione.
   • Per ogni impostazione, selezionare il valore desiderato per questo profilo di configurazione.
9. Al termine dell'aggiunta delle impostazioni, selezionare Avanti .
10. Nella pagina Assegnazioni scegliere i gruppi di Microsoft Entra contenenti i dispositivi a cui si vuole assegnare > il profilo Avanti.
11. Nella pagina Tag ambito aggiungere facoltativamente i tag di ambito da applicare a questo profilo >Avanti. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
12. Nella pagina Rivedi e crea scegliere Crea per creare il profilo.

Modelli amministrativi

I modelli amministrativi di Windows 10 o Windows 11 sono supportati per le sessioni multisessione di Windows 10 o Windows 11 Enterprise tramite il catalogo impostazioni con alcune limitazioni:

• Sono supportati i criteri supportati da ADMX. Alcuni criteri non sono ancora disponibili nel catalogo impostazioni.
• Sono supportati i criteri inseriti da ADMX, incluse le impostazioni di Office e Microsoft Edge disponibili nei file dei modelli amministrativi di Office e nei file dei modelli amministrativi di Microsoft Edge. Per un elenco completo delle categorie di criteri inseriti da ADMX, vedi Configurazione dei criteri dell'app Win32 e Desktop Bridge. Alcune impostazioni di inserimento di ADMX non saranno applicabili a più sessioni di Windows 10 o Windows 11 Enterprise.

Conformità e accesso condizionale

È possibile proteggere le macchine virtuali a più sessioni di Windows 10 o Windows 11 Enterprise configurando criteri di conformità e criteri di accesso condizionale nell'interfaccia di amministrazione di Microsoft Intune. I criteri di conformità seguenti sono supportati nelle macchine virtuali a più sessioni di Windows 10 o Windows 11 Enterprise:

• Versione minima del sistema operativo
• Versione massima del sistema operativo
• Compilazioni valide del sistema operativo
• Password semplici
• Tipo di password
• Lunghezza minima password
• Complessità della password
• Scadenza password (giorni)
• Numero di password precedenti per impedire il riutilizzo
• Microsoft Defender Antimalware
• Microsoft Defender Antimalware Security Intelligence aggiornato
• Firewall
• Antivirus
• Antispyware
• Protezione in tempo reale
• Versione minima di Microsoft Defender Antimalware
• Punteggio di rischio di Defender ATP

Tutti gli altri criteri segnalano come Non applicabile.

Importante

Sarà necessario creare un nuovo criterio di conformità e indirizzarlo al gruppo di dispositivi contenente le macchine virtuali a più sessioni. Le configurazioni di conformità destinate all'utente non sono supportate.

I criteri di accesso condizionale supportano configurazioni basate su utenti e dispositivi per più sessioni di Windows 10 o Windows 11 Enterprise.

Nota

L'accesso condizionale per Exchange locale non è supportato per le macchine virtuali multisessione Windows 10 o Windows 11 Enterprise.

Nota

I criteri di configurazione e conformità per BitLocker, avvio protetto e funzionalità che sfruttano vTPM (Virtual Trusted Platform Module) non sono attualmente supportati per le macchine virtuali di Desktop virtuale Azure.

Sicurezza endpoint

È possibile configurare i profili in Sicurezza degli endpoint per le macchine virtuali multisessione selezionando Piattaforma Windows 10, Windows 11 e Windows Server. Se tale piattaforma non è disponibile, il profilo non è supportato nelle macchine virtuali multisessione.

Per altre informazioni, vedere Gestire la sicurezza dei dispositivi con i criteri di sicurezza degli endpoint in Microsoft Intune

Distribuzione dell'applicazione

Tutte le app di Windows 10 o Windows 11 possono essere distribuite in più sessioni di Windows 10 o Windows 11 Enterprise con le restrizioni seguenti:

• Tutte le app devono essere configurate per l'installazione nel contesto di sistema/dispositivo ed essere destinate ai dispositivi. Le app Web vengono sempre applicate nel contesto utente per impostazione predefinita, in modo che non si applichino alle macchine virtuali a più sessioni.
• Tutte le app devono essere configurate con la finalità di assegnazione delle app Obbligatoria o Disinstalla . La finalità di distribuzione Delle app disponibili non è supportata nelle macchine virtuali a più sessioni.
• Se un'app Win32 configurata per l'installazione nel contesto di sistema ha dipendenze o relazioni di sostituzione in qualsiasi app configurata per l'installazione nel contesto utente, l'app non verrà installata. Per applicare a una macchina virtuale a più sessioni di Windows 10 o Windows 11 Enterprise, creare un'istanza separata dell'app di contesto di sistema o verificare che tutte le dipendenze dell'app siano configurate per l'installazione nel contesto di sistema.
• Desktop virtuale Azure RemoteApp e il collegamento all'app MSIX non sono attualmente supportati in Microsoft Intune.

Distribuzione di script

Gli script configurati per l'esecuzione nel contesto di sistema e assegnati ai dispositivi sono supportati in più sessioni di Windows 10 o Windows 11 Enterprise. Questa opzione può essere configurata in Impostazioni script impostando Esegui questo script usando le credenziali di accesso suNo.

Gli script configurati per l'esecuzione nel contesto utente e assegnati agli utenti sono supportati in più sessioni di Windows 10 e Windows 11 Enterprise. Questa opzione può essere configurata in Impostazioni script impostando Esegui questo script usando le credenziali di accesso suSì.

Windows Update per le aziende

Puoi usare il catalogo delle impostazioni per gestire le impostazioni di Windows Update per gli aggiornamenti qualitativi (sicurezza) per le macchine virtuali a più sessioni di Windows 10 o Windows 11 Enterprise. Per trovare le impostazioni supportate nel catalogo, configurare un filtro delle impostazioni per più sessioni aziendali e quindi espandere la categoria Windows Update for Business .

Nel catalogo sono disponibili le impostazioni seguenti, con i collegamenti che aprono la documentazione di Windows CSP:

• Fine dell'orario di attività
• Intervallo massimo ore di attività
• Inizio orario di attività
• Blocca la funzionalità "Sospendi aggiornamenti"
• Configurare il periodo di tolleranza di scadenza
• Posticipare il periodo degli aggiornamenti qualitativi (giorni)
• Sospendere l'ora di inizio degli aggiornamenti qualitativi
• Periodo di scadenza degli aggiornamenti qualitativi (giorni)

Azioni remote

Le seguenti azioni remote del dispositivo desktop Windows 10 o Windows 11 non sono supportate e verranno disattivate nell'interfaccia utente e disabilitate in Graph per le macchine virtuali a più sessioni di Windows 10 o Windows 11 Enterprise:

• Reimpostazione di Autopilot
• Rotazione della chiave di BitLocker
• Fresh Start
• Impostare il blocco remoto
• Reimpostare la password
• Cancellazione

Ritiro

L'eliminazione di macchine virtuali da Azure lascerà i record dei dispositivi orfani nell'interfaccia di amministrazione di Microsoft Intune. Verranno puliti automaticamente in base alle regole di pulizia configurate per il tenant.

Baseline di sicurezza

Le baseline di sicurezza non sono attualmente disponibili per più sessioni di Windows 10 o Windows 11 Enterprise. È consigliabile esaminare le baseline di sicurezza disponibili e configurare i criteri e i valori consigliati nel catalogo Impostazioni.

Configurazioni aggiuntive non supportate nelle macchine virtuali multisessione di Windows 10 o Windows 11 Enterprise

La registrazione out of box experience (Configurazione guidata) non è supportata per le sessioni multisessione di Windows 10 o Windows 11 Enterprise. Questa restrizione significa che:

• Windows Autopilot e la Configurazione guidata commerciale non sono supportati.
• La pagina dello stato della registrazione non è supportata.

Windows 10 o Windows 11 Enterprise multisessione gestita da Microsoft Intune non è attualmente supportata per China Sovereign Cloud.

Risoluzione dei problemi

Le sezioni seguenti forniscono indicazioni per la risoluzione dei problemi comuni.

Problemi di registrazione

Problema	Dettagli
La registrazione della macchina virtuale aggiunta ibrida di Microsoft Entra non riesce	La registrazione automatica è configurata per l'uso delle credenziali utente. Le macchine virtuali a più sessioni di Windows 10 o Windows 11 Enterprise devono essere registrate usando le credenziali del dispositivo. L'agente di Desktop virtuale Azure in uso deve essere la versione 1.0.2944.1400 o successiva. Sono disponibili più provider MDM, che non sono supportati. La macchina virtuale a più sessioni di Windows 10 o Windows 11 Enterprise è configurata all'esterno di un pool di host. Microsoft Intune supporta solo le macchine virtuali di cui è stato effettuato il provisioning come parte di un pool di host. Il pool di host di Desktop virtuale Azure non è stato creato tramite il modello di Azure Resource Manager.
La registrazione della macchina virtuale aggiunta a Microsoft Entra non riesce	L'agente di Desktop virtuale Azure in uso non viene aggiornato. L'agente deve essere versione 1.0.2944.1400 o successiva. Il pool di host di Desktop virtuale Azure non è stato creato tramite il modello di Azure Resource Manager.

Problemi di configurazione

Problema	Dettagli
I criteri del catalogo delle impostazioni hanno esito negativo	Verificare che la macchina virtuale sia registrata usando le credenziali del dispositivo. La registrazione con le credenziali utente non è attualmente supportata per le sessioni multisessione di Windows 10 o Windows 11 Enterprise.
Criteri di configurazione non applicati	I modelli (ad eccezione dei certificati) non sono supportati in più sessioni di Windows 10 o Windows 11 Enterprise. Tutti i criteri devono essere creati tramite il catalogo delle impostazioni.
Report dei criteri di configurazione non applicabili	Alcuni criteri non sono applicabili alle macchine virtuali di Desktop virtuale Azure.
I criteri ADMX di Microsoft Edge/Microsoft Office non vengono visualizzati quando si applica il filtro per l'edizione multisessione di Windows 10 o Windows 11 Enterprise	L'applicabilità per queste impostazioni non è basata sulla versione o sull'edizione di Windows, ma sul fatto che tali app siano state installate nel dispositivo. Per aggiungere queste impostazioni ai criteri, potrebbe essere necessario rimuovere eventuali filtri applicati nella selezione impostazioni.
L'app configurata per l'installazione nel contesto di sistema non è stata applicata	Verificare che l'app non abbia una relazione di dipendenza o sostituzione in alcuna app configurata per l'installazione nel contesto utente. Le app di contesto utente non sono attualmente supportate in più sessioni di Windows 10 o Windows 11 Enterprise.
Gli anelli di aggiornamento per Windows 10 e versioni successive non sono stati applicati	I criteri degli anelli di Windows Update non sono attualmente supportati.

Passaggi successivi

Altre informazioni su Desktop virtuali di Azure.