Tenants instellen voor Windows 365 Government

De snelste manier om Windows 365 te gebruiken, is door AADJ, galerieafbeeldingen en de optie Microsoft Hosted Network te gebruiken. De instructies op deze pagina zijn alleen als u een of beide moet gebruiken:

• Aangepaste afbeeldingen. Windows 365 biedt geoptimaliseerde galerieafbeeldingen, waaronder afbeeldingen met Vooraf geïnstalleerde Microsoft 365-apps. Nadat de installatiekopie van de galerie is geïmplementeerd, kan Intune worden gebruikt voor verdere aanpassing van algemene instellingen en toepassingsimplementatie. Als u uw bestaande aangepaste installatiekopieën moet gebruiken, raadpleegt u Een aangepaste installatiekopieën toevoegen voor meer informatie.
• Azure Network Connections (ANC). Met ANC's kunt u cloud-pc's inrichten die zijn gekoppeld aan een virtueel netwerk dat u beheert. Voorbeelden zijn:
  • Azure Virtual Network (VNet).
  • Azure VPN Gateway of een toegewezen verbinding via ExpressRoute.
  • Andere Azure-resources, waaronder cloud-pc-resources.
• Zie Een Azure-netwerkverbinding maken voor meer informatie.

Alleen voor GCC-klanten (Government Community Cloud) kunnen intune met behulp van de volgende instructies worden uitgevoerd in Azure om cloud-pc's te beheren die in Azure Government regio's worden uitgevoerd.

Opmerking

• U hebt geen Azure Government-abonnement nodig om Windows 365 Government te gebruiken. Deze instructies zijn specifiek voor GCC en alleen als aangepaste installatiekopieën en/of Azure Network-Connections vereist zijn. De instructies op deze pagina zijn niet van toepassing op GCC High.
• Voor overheidsklanten die geen Azure Government-abonnement hebben of integratie met Azure nodig hebben, kunt u overwegen om Windows 365 Enterprise te gebruiken. Zorg ervoor dat dit voldoet aan uw nalevingsvereisten. Windows 365 Enterprise compatibel is met FedRAMP. Zie Windows 365 servicebeschrijving

Voordat u begint

Voor zowel tenanttoewijzing als het verlenen van machtigingen voor aangepaste installatiekopieën en/of verbinding maken met uw eigen netwerken, hebt u het volgende nodig:

• Een Azure Government-abonnement.
• Referenties van een gebruiker met:
  • Rol van globale beheerder in uw Azure-tenant (eindigend op onmicrosoft.com).
• Referenties van een gebruiker met:
  • De rol Van eigenaar in uw Azure Government-abonnement, EN
  • De rol globale beheerder in uw Azure Government tenant (eindigend op onmicrosoft.us).
• Om te voldoen aan licentievereisten.
• (Indien van toepassing) De volgende informatie over het toepassen van machtigingen voor het instellen van de Azure-netwerkverbinding. Het virtuele netwerk en subnet moeten al bestaan.
  • Abonnements-id.
  • Resourcegroep.
  • Virtual Network.
  • Subnet.

Opmerking

Terwijl de cloud-pc's van de GCC-gebruikers worden gehost en beveiligd in de Azure Government cloud, bevinden de eindpunten voor beheerders en eindgebruikers zich in het commerciële Azure-domein. Gebruikers melden zich aan bij de cloud-pc's met behulp van referenties die zijn gesynchroniseerd met Microsoft Entra ID.

Microsoft Entra opties

Als u Microsoft Entra join of Microsoft Entra hybrid join wilt gebruiken, kunt u de volgende voorbereidingen overwegen:

Microsoft Entra gekoppelde cloud-pc's: als u een infrastructuur voor Microsoft Entra koppelen en uw eigen netwerk wilt gebruiken, hebt u een tenant- en Azure-abonnement nodig in de Azure Government cloud. De tenant in het Azure .com-domein moet worden toegewezen aan de tenant in het domein Azure Government (.us).

Hybride Microsoft Entra gekoppelde cloud-pc's: als u een Microsoft Entra infrastructuur voor hybride deelname wilt gebruiken, moet u uw commerciële tenant (.com) en uw overheidstenant (.us) configureren voordat u uw virtuele Azure-netwerken maakt.

Voorbereiden op Windows 365 GCC Setup Tool

Voordat het Windows 365 GCC Setup Tool de tenanttoewijzing kan voltooien, moet de Windows 365 Microsoft Entra-toepassing toestemming krijgen voor toegang tot uw Azure Government AD-tenant via een service-principal. Het service-principal-object definieert wat de app kan doen in de tenant, wie toegang heeft tot de app en tot welke resources de app toegang heeft. Voordat u het Windows 365 GCC Setup Tool de eerste keer uitvoert, moet u het volgende doen:

1. Als dit nog niet is voltooid, installeert u de Azure CLI op de computer waarop u de service-principal gaat maken. Zie De Azure CLI installeren voor meer informatie.
2. Meld u aan bij uw Azure Government AD-tenant met behulp van de Azure CLI-stappen die zijn gedefinieerd in Aanmelden met Azure CLI. Globale beheerdersmachtigingen zijn vereist om de service-principal voor de Windows 365 App te maken.
3. Zie Werken met azure-service-principals met behulp van de Azure CLI voor meer informatie over het werken met service-principals in Azure. Verdeel de Windows 365 Microsoft Entra app-machtigingen aan uw tenant door de volgende PowerShell-opdracht uit te voeren: az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
4. Nadat de opdracht is voltooid, moet u details over de service-principal kunnen bekijken door de volgende PowerShell-opdracht uit te voeren: az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. De Windows 365 toepassing wordt weergegeven in de weergave Alle toepassingen op de blade Enterprise-toepassing in Azure Portal.

De Windows 365 App Service-principal heeft alleen toegang tot Azure-resources die nodig zijn voor het configureren van aangepaste installatiekopieën en ondersteuning voor Azure Network Connection (ANC) in Windows 365. Nadat deze is gemaakt, kan de service-principal alleen worden verwijderd wanneer aangepaste installatiekopieën, ANC-objecten en bijbehorende cloud-pc's die deze gebruiken, zijn ongedaan gemaakt. Anders kunnen inrichtingstaken voor cloud-pc's mislukken en kunnen bestaande cloud-pc's ontoegankelijk worden.

Aan de slag met het Windows 365 GCC Setup Tool

Volg deze stappen om tenanttoewijzing te configureren met behulp van het Windows 365 GCC Setup Tool.

1. Start de GCCSetupTool.exe. Dit hulpprogramma is beschikbaar op https://aka.ms/gccsetuptool.
2. Selecteer op de pagina Aan de slagde optie Volgende.
3. Meld u aan met uw Azure-account. Dit account moet globale beheerdersmachtigingen hebben.
4. Bevestig dat u wilt doorgaan met uw commerciële account >Volgende.
5. Meld u aan met uw Azure Government-account >Typ> vervolgens uw referenties.
6. Bevestig dat u wilt doorgaan met uw overheidsaccount >Volgende.
7. Controleer in het scherm Functie selecteren om in te schakelen of Aangepaste afbeeldingen is geselecteerd. Deze optie is standaard geselecteerd omdat er geen reden is om het Windows 365 GCC Setup Tool uit te voeren, tenzij u ten minste een van deze functies hieronder nodig hebt.

   Opmerking

   ANC bevat de machtigingen voor aangepaste installatiekopieën.

8. Selecteer Azure-netwerkverbindingen en selecteer vervolgens het abonnement, het virtuele netwerk en het subnet dat u wilt configureren. Selecteer Volgende.
9. Controleer op de pagina Instellingen controleren de selecties die u hebt gemaakt en selecteer Verlenen.
10. Nadat de installatie is voltooid, kunt u het hulpprogramma sluiten.

Probleemoplossing

Als u problemen ondervindt bij het uitvoeren van het Windows 365 GCC Setup Tool:

1. Navigeer in dezelfde map waarin de GCCSetupTool.exe wordt uitgevoerd naar de map Logboek en controleer het GCCAdminTool.log bestand.
2. Als u problemen blijft ondervinden, neemt u contact op met de ondersteuning en geeft u het GCCADminTool.log-bestand op.

Volgend gebruik van het GCC Setup Tool

Het Windows 365 GCC Setup Tool kan opnieuw worden uitgevoerd na de eerste installatie. Mogelijk wilt u het GCC Setup Tool opnieuw gebruiken als u:

• Anc's niet eerder ingesteld, of
• U wilt het gebruik van ANC's uitbreiden naar andere netwerken.

Script alternatief

Als alternatief voor het gebruik van het GCC Setup Tool voor het instellen van ANC kunt u ook het volgende script gebruiken om machtigingen in te stellen voor meer ANC's.

Opmerking

Tenanttoewijzing moet zijn voltooid voordat u doorgaat met het script om ANC's in te stellen.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1

1. Als u Cloud Shell niet hebt ingesteld (een Azure Storage-account vereist), hebt u twee opties om het script uit te voeren:
   • Selecteer Kopiëren op het script en voer het PowerShell-script lokaal uit op uw computer.
   • Selecteer Cloudshell> openen plak het script in de Cloud Shell sessie > van uw Azure Government abonnement.
2. Nadat u het script hebt uitgevoerd, selecteert u bij de prompt optie 2. Met deze optie stelt u machtigingen in voor de ANC.
3. Selecteer in de lijst met Azure Government abonnementen het abonnement waaraan u machtigingen wilt verlenen.
4. Selecteer in de lijst met resourcegroepen de resourcegroep die u wilt gebruiken.
5. Selecteer uw vNET.
6. Het script verleent machtigingen en vermeldt wat er is geconfigureerd.

Volgende stappen

Meer informatie over Windows 365 Government.