Externe bureaubladen met meerdere sessies voor Windows 10 of Windows 11 Enterprise
Azure Virtual Desktop met meerdere sessies met Microsoft Intune is nu algemeen beschikbaar.
U kunt nu Microsoft Intune gebruiken voor het beheren van externe bureaubladen met meerdere sessies voor Windows 10 of Windows 11 Enterprise in het Microsoft Intune-beheercentrum, net zoals u een gedeeld Windows 10- of Windows 11-clientapparaat kunt beheren. Wanneer u dergelijke virtuele machines (VM's) beheert, kunt u zowel apparaatconfiguraties gebruiken die zijn gericht op apparaten als gebruikersconfiguratie op basis van gebruikers.
Windows 10 of Windows 11 Enterprise met meerdere sessies is een nieuwe extern bureaublad-sessiehost die exclusief is voor Azure Virtual Desktop in Azure. Het biedt de volgende voordelen:
- Hiermee staat u meerdere gelijktijdige gebruikerssessies toe.
- Geeft gebruikers een vertrouwde Windows 10- of Windows 11-ervaring.
- Ondersteunt het gebruik van bestaande Microsoft 365-licenties per gebruiker.
U kunt vm's met meerdere sessies voor Windows 10 en Windows 11 Enterprise beheren die zijn gemaakt in Azure Government Cloud in de Us Government Community (GCC), GCC High en DoD.
Belangrijk
Microsoft Intune-ondersteuning voor Azure Virtual Desktop met meerdere sessies is momenteel niet beschikbaar voor Citrix DaaS en VMware Horizon Cloud.
Overzicht
Ondersteuning voor apparaatconfiguratie in Microsoft Intune voor Windows 10 of Windows 11 Enterprise met meerdere sessies is algemeen beschikbaar (GA). Dit betekent dat beleidsregels die zijn gedefinieerd in het besturingssysteembereik en apps die zijn geconfigureerd voor installatie in de systeemcontext, kunnen worden toegepast op Azure Virtual Desktop-VM's met meerdere sessies wanneer deze zijn toegewezen aan apparaatgroepen.
Opmerking
Apparaatconfiguratie kan niet worden toegewezen aan gebruikers en configuratie op basis van gebruikers kan niet worden toegewezen aan apparaten. Dit wordt gerapporteerd als Fout of Niet van toepassing.
Ondersteuning voor gebruikersconfiguratie in Microsoft Intune voor windows 10- of Windows 11-vm's met meerdere sessies is algemeen beschikbaar. Hiermee kunt u het volgende doen:
Gebruikersbereikbeleid configureren met de catalogus Instellingen en toewijzen aan groepen gebruikers. U kunt de zoekbalk gebruiken om alle configuraties te doorzoeken met het bereik ingesteld op 'gebruiker'.
Gebruikerscertificaten configureren en toewijzen aan gebruikers.
Configureer PowerShell-scripts om te installeren in de gebruikerscontext en toe te wijzen aan gebruikers.
Vereisten
Deze functie ondersteunt windows 10- of Windows 11 Enterprise-vm's met meerdere sessies. Dit zijn:
- Windows 10 met meerdere sessies, versie 1903 of hoger of windows 11 met meerdere sessies uitvoeren.
- Stel in als externe bureaubladen in poolhostgroepen die zijn geïmplementeerd via Azure Resource Manager.
- Onder dezelfde tenant als Intune.
- Een Azure Virtual Desktop-agentversie van 1.0.2944.1400 of hoger uitvoeren.
-
Microsoft Entra hybride gekoppeld aan en ingeschreven bij Microsoft Intune met behulp van een van de volgende methoden:
- Geconfigureerd met Active Directory-groepsbeleid, ingesteld op het gebruik van apparaatreferenties en ingesteld op het automatisch inschrijven van apparaten die zijn gekoppeld aan Microsoft Entra hybrid.
- Co-beheer met Configuration Manager.
- Microsoft Entra is toegevoegd aan en ingeschreven bij Microsoft Intune door de VM inschrijven bij Intune in de Azure-portal in te schakelen.
- Licentieverlening: De juiste Azure Virtual Desktop- en Microsoft Intune-licentie is vereist als een gebruiker of apparaat direct of indirect profiteert van de Microsoft Intune-service, inclusief toegang tot de Microsoft Intune-service via een Microsoft API. Ga naar Microsoft Intune-licenties voor meer informatie.
- Zie Wat is Azure Virtual Desktop? voor meer informatie over licentievereisten voor Azure Virtual Desktop.
Beperkingen
Intune biedt geen ondersteuning voor het gebruik van een gekloonde installatiekopieën van een computer die al is ingeschreven. Dit omvat zowel fysieke als virtuele apparaten, zoals Azure Virtual Desktop (AVD). Wanneer apparaatinschrijving of identiteitstokens tussen apparaten worden gerepliceerd, treden er fouten op in de registratie of synchronisatie van Intune-apparaten.
- Zie Inschrijving van mobiele apparaten - Windows-clientbeheer en apparaatinschrijving voor certificaatverificatie - Windows Clientbeheer voor meer informatie.
- Zie Fout hr 0x8007064c: De machine is al geregistreerd voor informatie over het oplossen van problemen met betrekking tot het klonen van afbeeldingen.
Opmerking
Als u sessiehosts aan Microsoft Entra Domain Services wilt toevoegen, kunt u deze niet beheren met Intune.
Belangrijk
- Als u Windows 10, versie 2004, 20H2 of 21H1-builds gebruikt, moet u ervoor zorgen dat u de Windows Update van juli 2021 of een latere Windows-update installeert. Anders werken externe acties in het Microsoft Intune-beheercentrum, zoals externe synchronisatie, niet correct. Als gevolg hiervan kan het maximaal 8 uur duren voordat beleid in behandeling is dat is toegewezen aan apparaten.
- Intune biedt momenteel geen ondersteuning voor tokenroaming tussen apparaten. Als FSLogix, of een vergelijkbare technologie, wordt gebruikt voor het beheren van Windows-gebruikersprofielen en -instellingen, moet u ervoor zorgen dat tokens niet onverwacht worden gero roamd of gedupliceerd tussen apparaten. Als u wilt controleren of u een ondersteunde versie en configuratie van FSLogix uitvoert met tokenroaming uitgeschakeld, raadpleegt u de naslaginformatie over fslogix RoamIdentity-configuratie-instellingen.
Windows 10- of Windows 11 Enterprise-vm's met meerdere sessies worden behandeld als een afzonderlijke editie van het besturingssysteem en sommige Windows 10- of Windows 11 Enterprise-configuraties worden niet ondersteund voor deze editie. Het gebruik van Microsoft Intune is niet afhankelijk van of interfereert niet met azure Virtual Desktop-beheer van dezelfde VM.
Het configuratieprofiel maken
Als u configuratiebeleid wilt configureren voor windows 10- of Windows 11 Enterprise-vm's met meerdere sessies, moet u de catalogus Instellingen in het Microsoft Intune-beheercentrum gebruiken.
De bestaande sjablonen voor apparaatconfiguratieprofielen worden niet ondersteund voor windows 10- of Windows 11 Enterprise-vm's met meerdere sessies, met uitzondering van de volgende sjablonen:
- Vertrouwd certificaat : apparaat (machine) bij het targeten van apparaten en Gebruiker bij het targeten van gebruikers
- SCEP-certificaat - Apparaat (machine) bij het richten van apparaten en Gebruiker bij het richten van gebruikers
- PKCS-certificaat - Apparaat (machine) bij het richten van apparaten en Gebruiker bij het richten van gebruikers
- VPN - Alleen apparaattunnel
Microsoft Intune levert geen niet-ondersteunde sjablonen aan apparaten met meerdere sessies en deze beleidsregels worden weergegeven als Niet van toepassing in rapporten.
Opmerking
Als u co-beheer gebruikt voor Intune en Configuration Manager, stelt u in Configuration Manager de werkbelastingschuifregelaar voor Beleid voor resourcetoegang in op Intune of Test intune. Met deze instelling kunnen Windows 10- en Windows 11-clients het proces voor het aanvragen van het certificaat starten.
Beleid configureren
- Meld u aan bij het Microsoft Intune-beheercentrum en kies Apparaten>op platform>Windows>Apparaten beheren>Configuratie>Nieuw beleid maken>.
- Selecteer windows 10 en hoger bij Platform.
- Bij Profieltype selecteert u Instellingencatalogus. Wanneer u instellingen implementeert met behulp van een sjabloon, selecteert u Sjablonen en vervolgens de naam van de ondersteunde sjabloon.
- Selecteer Maken.
- Geef op de pagina Basisinformatie een Naam en (optioneel) Beschrijving>Volgende op.
- Selecteer op de pagina Configuratie-instellingende optie Instellingen toevoegen.
- Selecteer onder Instellingenkiezerde optie Filter toevoegen en selecteer de volgende opties:
- Sleutel: editie van besturingssysteem
- Operator: ==
- Waarde: Enterprise multi-session
- Selecteer Toepassen. De gefilterde lijst bevat nu alle configuratieprofielcategorieën die ondersteuning bieden voor Windows 10 of Windows 11 Enterprise met meerdere sessies. Het bereik voor een beleid wordt tussen haakjes weergegeven. Voor gebruikersbereik wordt weergegeven als (Gebruiker) en de rest zijn beleidsregels met apparaatbereik.
- Kies in de gefilterde lijst de gewenste categorieën.
- Selecteer voor elke categorie die u kiest de instellingen die u wilt toepassen op uw nieuwe configuratieprofiel.
- Selecteer voor elke instelling de gewenste waarde voor dit configuratieprofiel.
- Selecteer Volgende wanneer u klaar bent met het toevoegen van instellingen.
- Kies op de pagina Toewijzingen de Microsoft Entra-groepen met de apparaten waaraan u dit profiel wilt toewijzen >Volgende.
- Voeg op de pagina Bereiktags desgewenst de bereiktags toe die u wilt toepassen op dit profiel >Volgende. Zie Op rollen gebaseerd toegangsbeheer en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.
- Kies op de pagina Controleren en makende optie Maken om het profiel te maken.
Beheersjablonen
Windows 10- of Windows 11-beheersjablonen worden ondersteund voor Windows 10 of Windows 11 Enterprise met meerdere sessies via de catalogus Instellingen, met enkele beperkingen:
- ADMX-beleid wordt ondersteund. Sommige beleidsregels zijn nog niet beschikbaar in de catalogus Instellingen.
- ADMX-opgenomen beleid wordt ondersteund, inclusief Office- en Microsoft Edge-instellingen die beschikbaar zijn in Office-beheersjabloonbestanden en Microsoft Edge-beheersjabloonbestanden. Zie Beleidsconfiguratie van Win32- en Desktop Bridge-app voor een volledige lijst met ADMX-opgenomen beleidscategorieën. Sommige opgenomen ADMX-instellingen zijn niet van toepassing op Windows 10 of Windows 11 Enterprise met meerdere sessies.
Als u ondersteunde beheersjablonen wilt weergeven, moet u het filter in de catalogus Instellingen gebruiken.
Naleving en voorwaardelijke toegang
U kunt uw vm's met meerdere sessies voor Windows 10 of Windows 11 Enterprise beveiligen door nalevingsbeleid en beleid voor voorwaardelijke toegang te configureren in het Microsoft Intune-beheercentrum. Het volgende nalevingsbeleid wordt ondersteund op windows 10- of Windows 11 Enterprise-vm's met meerdere sessies:
- Minimale versie van het besturingssysteem
- Maximale versie van het besturingssysteem
- Geldige builds van besturingssystemen
- Eenvoudige wachtwoorden
- Wachtwoordtype
- Minimale wachtwoordlengte
- Wachtwoordcomplexiteit
- Wachtwoord verlopen (dagen)
- Aantal vorige wachtwoorden om hergebruik te voorkomen
- Microsoft Defender Antimalware
- Microsoft Defender Antimalware-beveiligingsinformatie up-to-date
- Firewall
- Antivirus
- Antispyware
- Realtime-beveiliging
- Minimale versie van Microsoft Defender Antimalware
- Defender ATP-risicoscore
Alle andere beleidsregels rapporteren als Niet van toepassing.
Belangrijk
U moet een nieuw nalevingsbeleid maken en dit richten op de apparaatgroep met uw vm's met meerdere sessies. Configuraties voor op gebruikers gerichte naleving worden niet ondersteund.
Beleid voor voorwaardelijke toegang ondersteunt configuraties op basis van gebruikers en apparaten voor Windows 10 of Windows 11 Enterprise met meerdere sessies.
Opmerking
Voorwaardelijke toegang voor Exchange on-premises wordt niet ondersteund voor windows 10- of Windows 11 Enterprise-vm's met meerdere sessies.
Opmerking
Configuratie- en nalevingsbeleidsregels voor BitLocker, Beveiligd opstarten en functies die gebruikmaken van vTPM (Virtual Trusted Platform Module) worden op dit moment niet ondersteund voor Virtuele Azure-machines van Azure Virtual Desktop.
Eindpuntbeveiliging
U kunt profielen configureren onder Eindpuntbeveiliging voor VM's met meerdere sessies door Platform Windows 10, Windows 11 en Windows Server te selecteren. Als dat platform niet beschikbaar is, wordt het profiel niet ondersteund op VM's met meerdere sessies.
Zie Apparaatbeveiliging beheren met eindpuntbeveiligingsbeleid in Microsoft Intune voor meer informatie
Toepassingsimplementatie
Alle Windows 10- of Windows 11-apps kunnen worden geïmplementeerd in Windows 10 of Windows 11 Enterprise met meerdere sessies, met de volgende beperkingen:
- Alle apps moeten worden geconfigureerd om te worden geïnstalleerd in de systeem-/apparaatcontext en moeten zijn gericht op apparaten. Web-apps worden standaard altijd toegepast in de gebruikerscontext, zodat ze niet worden toegepast op VM's met meerdere sessies.
- Alle apps moeten worden geconfigureerd met de intentie App-toewijzing vereist of Verwijderen . De implementatie-intentie Beschikbare apps wordt niet ondersteund op VM's met meerdere sessies.
- Als een Win32-app die is geconfigureerd voor installatie in de systeemcontext afhankelijkheden of vervangingsrelaties heeft op apps die zijn geconfigureerd voor installatie in de gebruikerscontext, wordt de app niet geïnstalleerd. Als u wilt toepassen op een vm met meerdere sessies voor Windows 10 of Windows 11 Enterprise, maakt u een afzonderlijk exemplaar van de systeemcontext-app of zorgt u ervoor dat alle app-afhankelijkheden zijn geconfigureerd voor installatie in de systeemcontext.
- Azure Virtual Desktop RemoteApp- en MSIX-app-koppelen worden momenteel niet ondersteund in Microsoft Intune.
Scriptimplementatie
Scripts die zijn geconfigureerd om te worden uitgevoerd in de systeemcontext en toegewezen aan apparaten, worden ondersteund in Windows 10 of Windows 11 Enterprise met meerdere sessies. Dit kan worden geconfigureerd onder Scriptinstellingen door Dit script uitvoeren met de aangemelde referenties in te stellen opNee.
Scripts die zijn geconfigureerd voor uitvoering in de gebruikerscontext en toegewezen aan gebruikers, worden ondersteund in Windows 10 en Windows 11 Enterprise met meerdere sessies. Dit kan worden geconfigureerd onder Scriptinstellingen door Dit script uitvoeren met de aangemelde referenties in te stellen opJa.
Windows Update voor Bedrijven
U kunt de instellingencatalogus gebruiken om Windows Update-instellingen te beheren voor kwaliteitsupdates (beveiligingsupdates) voor Windows 10- of Windows 11 Enterprise-vm's met meerdere sessies. Als u de ondersteunde instellingen in de catalogus wilt vinden, configureert u een instellingenfilter voor Enterprise multi-session en vouwt u vervolgens de categorie Windows Update voor Bedrijven uit.
De volgende instellingen zijn beschikbaar in de catalogus, met de koppelingen die de Windows CSP-documentatie openen:
- Einde gebruiksuren
- Maximaal bereik van actieve uren
- Beginuren van actieve uren
- De mogelijkheid 'Updates onderbreken' blokkeren
- Respijtperiode voor deadline configureren
- Periode voor kwaliteitsupdates uitstellen (dagen)
- Begintijd van kwaliteitsupdates onderbreken
- Deadlineperiode voor kwaliteitsupdates (dagen)
Externe acties
De volgende externe acties voor Windows 10- of Windows 11-bureaubladapparaten worden niet ondersteund en worden grijs weergegeven in de gebruikersinterface en uitgeschakeld in Graph voor Windows 10- of Windows 11 Enterprise-vm's met meerdere sessies:
- Autopilot opnieuw instellen
- BitLocker-sleutelrotatie
- Nieuwe start
- Vergrendelen op afstand
- Wachtwoord opnieuw instellen
- Wissen
Verlopen
Als u VM's uit Azure verwijdert, blijven zwevende apparaatrecords achter in het Microsoft Intune-beheercentrum. Ze worden automatisch opgeschoond volgens de opschoonregels die zijn geconfigureerd voor de tenant.
Beveiligingsbasislijnen
Beveiligingsbasislijnen zijn momenteel niet beschikbaar voor Windows 10 of Windows 11 Enterprise met meerdere sessies. U wordt aangeraden de beschikbare beveiligingsbasislijnen te bekijken en de aanbevolen beleidsregels en waarden in de catalogus Instellingen te configureren.
Aanvullende configuraties die niet worden ondersteund op windows 10- of Windows 11 Enterprise-vm's met meerdere sessies
OOBE-inschrijving (Out of Box Experience) wordt niet ondersteund voor Windows 10 of Windows 11 Enterprise met meerdere sessies. Deze beperking betekent dat:
- Windows Autopilot en Commercial OOBE worden niet ondersteund.
- De pagina Status van de inschrijving wordt niet ondersteund.
Windows 10 of Windows 11 Enterprise met meerdere sessies beheerd door Microsoft Intune wordt momenteel niet ondersteund voor China Sovereign Cloud.
Problemen oplossen
De volgende secties bevatten richtlijnen voor het oplossen van veelvoorkomende problemen.
Inschrijvingsproblemen
Probleem | Details |
---|---|
Inschrijving van hybride gekoppelde virtuele machine van Microsoft Entra mislukt |
|
Inschrijving van aan Microsoft Entra gekoppelde virtuele machine mislukt |
|
Configuratieproblemen
Probleem | Details |
---|---|
Catalogusbeleid voor instellingen mislukt | Controleer of de VM is ingeschreven met behulp van apparaatreferenties. Inschrijving met gebruikersreferenties wordt momenteel niet ondersteund voor Windows 10 of Windows 11 Enterprise met meerdere sessies. |
Configuratiebeleid is niet van toepassing | Sjablonen (met uitzondering van certificaten) worden niet ondersteund in Windows 10 of Windows 11 Enterprise met meerdere sessies. Alle beleidsregels moeten worden gemaakt via de instellingencatalogus. |
Configuratiebeleid rapporteert als Niet van toepassing | Sommige beleidsregels zijn niet van toepassing op virtuele Azure Virtual Desktop-machines. |
Microsoft Edge/Microsoft Office ADMX-beleid wordt niet weergegeven wanneer ik het filter voor Windows 10 of Windows 11 Enterprise multi-session edition toepast | De toepasselijkheid voor deze instellingen is niet gebaseerd op de Windows-versie of -editie, maar op het feit of deze apps op het apparaat zijn geïnstalleerd. Als u deze instellingen wilt toevoegen aan uw beleid, moet u mogelijk alle filters verwijderen die zijn toegepast in de instellingenkiezer. |
App die is geconfigureerd voor installatie in systeemcontext, is niet van toepassing | Controleer of de app geen afhankelijkheids- of vervangingsrelatie heeft voor apps die zijn geconfigureerd voor installatie in gebruikerscontext. Gebruikerscontext-apps worden momenteel niet ondersteund in Windows 10 of Windows 11 Enterprise met meerdere sessies. |
Updateringen voor Windows 10 en hoger zijn niet van toepassing | Beleid voor Windows Update-ringen wordt momenteel niet ondersteund. Kwaliteitsupdates kunnen worden beheerd via instellingen die beschikbaar zijn in de instellingencatalogus. |