Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dołączanie aplikacji umożliwia dynamiczne dołączanie aplikacji z pakietu aplikacji do sesji użytkownika w usłudze Azure Virtual Desktop. Aplikacje nie są instalowane lokalnie na hostach sesji ani na obrazach, co ułatwia tworzenie niestandardowych obrazów dla hostów sesji oraz zmniejsza koszty operacyjne i koszty dla organizacji. Aplikacje działają w kontenerach, które oddzielają dane użytkownika, system operacyjny i inne aplikacje, zwiększając bezpieczeństwo i ułatwiając rozwiązywanie problemów.
Oto niektóre z kluczowych zalet dołączania aplikacji:
- Aplikacje są dostarczane przy użyciu usługi RemoteApp lub w ramach sesji pulpitu. Uprawnienia są stosowane na aplikację na użytkownika, co daje większą kontrolę nad aplikacjami, do których użytkownicy mogą uzyskiwać dostęp w sesji zdalnej. Użytkownicy komputerów stacjonarnych widzą tylko przypisane do nich aplikacje dołączania aplikacji.
- Tego samego pakietu aplikacji można używać w wielu pulach hostów.
- Aplikacje mogą być uruchamiane na dowolnym hoście sesji z systemem operacyjnym klienta systemu Windows w tym samym regionie świadczenia usługi Azure co pakiet aplikacji.
- Aplikacje można uaktualnić do nowej wersji aplikacji przy użyciu nowego obrazu dysku bez konieczności używania okna obsługi.
- Użytkownicy mogą uruchamiać wiele wersji tej samej aplikacji jednocześnie na tym samym hoście sesji.
- Dane telemetryczne dotyczące użycia i kondycji są dostępne za pośrednictwem usługi Azure Log Analytics.
Można użyć następujących typów pakietów aplikacji i formatów plików:
| Typ pakietu | Formaty plików |
|---|---|
| Pakiet MSIX i MSIX | .msix.msixbundle |
| Pakiet Appx i Appx | .appx.appxbundle |
| App-V | .appv |
MSIX i Appx to formaty pakietów aplikacji systemu Windows, które zapewniają nowoczesne środowisko tworzenia pakietów w aplikacjach systemu Windows. Aplikacje działają w kontenerach, które oddzielają dane użytkownika, system operacyjny i inne aplikacje, zwiększając bezpieczeństwo i ułatwiając rozwiązywanie problemów. MSIX i Appx są podobne, gdzie główną różnicą jest to, że MSIX jest nadzbiorem aplikacji Appx. MsIX obsługuje wszystkie funkcje aplikacji Appx oraz inne funkcje, które sprawiają, że jest ona bardziej odpowiednia do użytku w przedsiębiorstwie.
Wirtualizacja aplikacji firmy Microsoft (App-V) dla systemu Windows dostarcza aplikacje Win32 użytkownikom jako aplikacje wirtualne. Aplikacje wirtualne są instalowane na serwerach zarządzanych centralnie i dostarczane użytkownikom jako usługa w czasie rzeczywistym i w razie potrzeby. Użytkownicy uruchamiają aplikacje wirtualne ze znanych punktów dostępu i wchodzą z nimi w interakcje tak, jakby były zainstalowane lokalnie.
Pakiety MSIX można pobrać od dostawców oprogramowania lub utworzyć pakiet MSIX z istniejącego instalatora. Aby dowiedzieć się więcej na temat msix, zobacz Co to jest MSIX?.
Jak użytkownik pobiera aplikację
Różne aplikacje można przypisać do różnych użytkowników w tej samej puli hostów lub na tym samym hoście sesji. Podczas logowania wszystkie trzy z następujących wymagań muszą zostać spełnione, aby użytkownik uzyskać odpowiednią aplikację we właściwym czasie:
Aplikacja musi być przypisana do puli hostów. Przypisanie aplikacji do puli hostów umożliwia selektywne określenie pul hostów, dla których aplikacja jest dostępna, aby upewnić się, że odpowiednie zasoby sprzętowe są dostępne do użycia przez aplikację. Jeśli na przykład aplikacja intensywnie korzysta z grafiki, możesz upewnić się, że działa ona tylko w puli hostów z hostami sesji zoptymalizowanymi pod kątem procesora GPU.
Użytkownik musi mieć możliwość logowania się do hostów sesji w puli hostów, więc musi znajdować się w grupie aplikacji pulpitu lub aplikacji zdalnej. W przypadku grupy aplikacji RemoteApp aplikacja Dołączanie aplikacji musi zostać dodana do grupy aplikacji, ale nie trzeba dodawać aplikacji do grupy aplikacji klasycznych.
Aplikacja musi być przypisana do użytkownika. Możesz użyć grupy lub konta użytkownika.
Jeśli wszystkie te wymagania zostaną spełnione, użytkownik pobierze aplikację. Ten proces zapewnia kontrolę nad tym, kto pobiera aplikację, w której puli hostów, a także jak użytkownicy w ramach pojedynczej puli hostów mogą nawet zalogować się do tego samego hosta sesji wielosesyjnej, aby uzyskać różne kombinacje aplikacji. Użytkownicy, którzy nie spełniają wymagań, nie otrzymują aplikacji.
Obrazy aplikacji
Przed użyciem pakietów aplikacji MSIX z usługą Azure Virtual Desktop należy utworzyć obraz MSIX na podstawie istniejących pakietów aplikacji. Alternatywnie możesz użyć pakietu App-V. Następnie należy przechowywać każdy obraz MSIX lub pakiet App-V w udziale plików dostępnym dla hostów sesji. Aby uzyskać więcej informacji na temat wymagań dotyczących udziału plików, zobacz Udział plików.
Typy obrazów dysku
W przypadku obrazów dysków MSIX i Appx można używać systemu plików obrazów złożonych (CimFS),VHDX lub VHD, ale nie zalecamy używania dysku VHD. Instalowanie i odinstalowywanie obrazów cimFS jest szybsze niż obrazy VHD i VHDX, a także zużywa mniej procesora i pamięci. Zalecamy używanie programu CimFS dla obrazów aplikacji tylko wtedy, gdy hosty sesji działają Windows 11.
Obraz CimFS jest kombinacją kilku plików: jeden plik ma .cim rozszerzenie pliku i zawiera metadane wraz z co najmniej dwoma innymi plikami objectid_ , z których jeden zaczyna się od, a drugi od region_ tego, który zawiera rzeczywiste dane aplikacji. Pliki dołączone do .cim pliku nie mają rozszerzenia pliku. Poniższa tabela zawiera listę przykładowych plików, które można znaleźć dla obrazu CimFS:
| Nazwa pliku | Rozmiar |
|---|---|
MyApp.cim |
1 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
27 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
20 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
42 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
428 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
217 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
264 132 KB |
Poniższa tabela zawiera porównanie wydajności między dyskami VHDX i CimFS. Te liczby były wynikiem przebiegu testu z 500 plikami po 300 MB na format, a testy zostały wykonane na maszynie wirtualnej platformy Azure DSv4.
| Metryka | VHD | CimFS |
|---|---|---|
| Średni czas instalacji | 356 ms | 255 ms |
| Średni czas odinstaluj | 1615 ms | 36 ms |
| Zużycie pamięci | 6% (z 8 GB) | 2% (z 8 GB) |
| Procesor CPU (skok liczby) | Maksymalne wielokrotne użycie | Brak efektu |
Uwaga
Obecnie problem ma wpływ na obrazy cimFS z Windows 11 w wersji 24H2, co uniemożliwia instalowanie obrazów. Aktywnie pracujemy nad poprawką, która według szacunków będzie dostępna w czerwcu 2025 r. Obejścia dotyczą używania obrazów VHDX lub używania wersji Windows 11 wcześniejszej niż 24H2.
Rejestracja aplikacji
Aplikacja Dołączanie in mounts disk images or App-V packages containing your applications from a file share to a user's session during sign-in, then a registration process makes the applications available to the user. Istnieją dwa typy rejestracji:
Na żądanie: aplikacje są tylko częściowo zarejestrowane podczas logowania, a pełna rejestracja aplikacji jest odkładana do momentu uruchomienia aplikacji przez użytkownika. Na żądanie jest to typ rejestracji, którego zalecamy, ponieważ nie ma wpływu na czas potrzebny na zalogowanie się do usługi Azure Virtual Desktop. Na żądanie jest domyślną metodą rejestracji.
Blokowanie logowania: każda aplikacja przypisana do użytkownika jest w pełni zarejestrowana. Rejestracja odbywa się podczas logowania użytkownika do sesji, co może mieć wpływ na czas logowania do usługi Azure Virtual Desktop.
Ważna
Wszystkie pakiety aplikacji MSIX i Appx zawierają certyfikat. Odpowiadasz za upewnienie się, że certyfikaty są zaufane w twoim środowisku. Certyfikaty z podpisem własnym są obsługiwane przy użyciu odpowiedniego łańcucha zaufania.
Dołączanie aplikacji nie ogranicza liczby aplikacji, których użytkownicy mogą używać. Należy wziąć pod uwagę dostępną przepływność sieci i liczbę otwartych dojść na plik (każdy obraz) obsługiwany przez udział plików, ponieważ może to ograniczyć liczbę użytkowników lub aplikacji, których można obsługiwać. Aby uzyskać więcej informacji, zobacz Udział plików.
Stan aplikacji
Pakiety aplikacji są ustawione jako aktywne lub nieaktywne. Pakiety ustawione na aktywne udostępniają aplikację użytkownikom. Usługa Azure Virtual Desktop ignoruje pakiety ustawione na nieaktywne i nie są dodawane, gdy użytkownik się zaloguje.
Nowe wersje aplikacji
Możesz dodać nową wersję aplikacji, podając nowy obraz zawierający zaktualizowaną aplikację. Możesz użyć tego nowego obrazu na dwa sposoby:
Obok siebie: utwórz nową aplikację przy użyciu nowego obrazu dysku i przypisz ją do tych samych pul hostów i użytkowników co istniejąca aplikacja.
W miejscu: utwórz nowy obraz, w którym zmienia się numer wersji aplikacji, a następnie zaktualizuj istniejącą aplikację, aby używała nowego obrazu. Numer wersji może być wyższy lub niższy, ale nie można zaktualizować aplikacji przy użyciu tego samego numeru wersji. Nie usuwaj istniejącego obrazu, dopóki wszyscy użytkownicy nie zakończą korzystania z niego.
Po zaktualizowaniu użytkownicy otrzymają zaktualizowaną wersję aplikacji podczas następnego logowania. Użytkownicy nie muszą przestać używać poprzedniej wersji, aby dodać nową wersję.
Dostawcy tożsamości
Oto dostawcy tożsamości, których można używać z dołączaniem aplikacji:
| Dostawca tożsamości | Stan |
|---|---|
| Microsoft Entra ID | Obsługiwane |
| Active Directory Domain Services (AD DS) | Obsługiwane |
| Microsoft Entra Domain Services | Nieobsługiwane |
Udział plików
Dołączanie aplikacji wymaga, aby obrazy aplikacji były przechowywane w udziale plików SMB, który jest następnie instalowany na każdym hoście sesji podczas logowania. Dołączanie aplikacji nie ma zależności od typu sieci szkieletowej magazynu używanego przez udział plików. Zalecamy używanie Azure Files, ponieważ jest ona zgodna z Tożsamość Microsoft Entra lub Active Directory Domain Services, i oferuje doskonałą wartość między kosztami a kosztami zarządzania.
Możesz również użyć Azure NetApp Files, ale wymaga to dołączenia hostów sesji do Active Directory Domain Services.
Poniższe sekcje zawierają wskazówki dotyczące uprawnień, wydajności i dostępności wymaganych dla udziału plików.
Uprawnienia
Każdy host sesji inmontuje obrazy aplikacji z udziału plików. Należy skonfigurować ntfs i udostępnić uprawnienia, aby zezwolić na każdy obiekt komputera hosta sesji dostępu do odczytu plików i udziału plików. Sposób konfigurowania prawidłowego uprawnienia zależy od tego, którego dostawcy magazynu i dostawcy tożsamości używasz dla udziału plików i hostów sesji.
Aby użyć Azure Files, gdy hosty sesji przyłączyły się do Tożsamość Microsoft Entra, należy przypisać rolę Kontrola dostępu oparta na rolach (RBAC) czytelnika i dostępu do danych platformy Azure zarówno do usług Azure Virtual Desktop, jak i Azure Virtual Desktop ARM Provider. To przypisanie roli RBAC umożliwia hostom sesji dostęp do konta magazynu przy użyciu kluczy dostępu lub Microsoft Entra.
Aby dowiedzieć się, jak przypisać rolę RBAC platformy Azure do jednostek usługi Azure Virtual Desktop, zobacz Przypisywanie ról RBAC do jednostek usługi Azure Virtual Desktop. W przyszłej aktualizacji nie trzeba przypisywać jednostki usługi arm usługi Azure Virtual Desktop.
Aby uzyskać więcej informacji na temat używania Azure Files z hostami sesji przyłączonymi do Tożsamość Microsoft Entra, Active Directory Domain Services lub Microsoft Entra Domain Services, zobacz Omówienie Azure Files opcje uwierzytelniania opartego na tożsamościach na potrzeby dostępu do protokołu SMB.
Ostrzeżenie
Przypisanie jednostki usługi azure Virtual Desktop ARM Provider do konta magazynu przyznaje usłudze Azure Virtual Desktop wszystkie dane wewnątrz konta magazynu. Zalecamy przechowywanie tylko aplikacji do użycia z dołączaniem aplikacji na tym koncie magazynu i regularne obracanie kluczy dostępu.
W przypadku Azure Files z Active Directory Domain Services należy przypisać rolę Kontroli dostępu opartej na rolach (RBAC) magazynu danych plików SMB czytelnika platformy Azure jako domyślne uprawnienia na poziomie udziału i skonfigurować uprawnienia NTFS, aby zapewnić dostęp do odczytu do obiektu komputera każdego hosta sesji.
Aby uzyskać więcej informacji na temat używania Azure Files z hostami sesji przyłączonymi do Tożsamość Microsoft Entra, Active Directory Domain Services lub Microsoft Entra Domain Services, zobacz Omówienie Azure Files opcje uwierzytelniania opartego na tożsamościach na potrzeby dostępu do protokołu SMB.
W przypadku Azure NetApp Files można utworzyć wolumin SMB i skonfigurować uprawnienia NTFS w celu udzielenia dostępu do odczytu do obiektu komputera każdego hosta sesji. Hosty sesji muszą być przyłączone do Active Directory Domain Services lub Microsoft Entra Domain Services.
Możesz sprawdzić, czy uprawnienia są poprawne, używając narzędzia PsExec. Aby uzyskać więcej informacji, zobacz Sprawdzanie dostępu do udziału plików.
Wydajność
Wymagania mogą się znacznie różnić w zależności od liczby spakowanych aplikacji przechowywanych na obrazie i musisz przetestować aplikacje, aby zrozumieć wymagania. W przypadku większych obrazów należy przydzielić większą przepustowość. W poniższej tabeli przedstawiono przykład wymagań dotyczących pojedynczego obrazu o rozmiarze 1 GB lub pakietu App-V zawierającego jedną aplikację wymaganą na hosta sesji:
| Zasób | Wymagania |
|---|---|
| We/wy stanu stałego | Jedna operacja we/wy na sekundę |
| Logowanie rozruchowe maszyny | 10 operacji we/wy na sekundę |
| Opóźnienie | 400 ms |
Aby zoptymalizować wydajność aplikacji, zalecamy:
Udział plików powinien znajdować się w tym samym regionie świadczenia usługi Azure co hosty sesji. Jeśli używasz Azure Files, twoje konto magazynu musi znajdować się w tym samym regionie świadczenia usługi Azure co hosty sesji.
Wyklucz obrazy dysków zawierające aplikacje ze skanowania antywirusowego, ponieważ są one tylko do odczytu.
Upewnij się, że magazyn i sieć szkieletowa sieci mogą zapewnić odpowiednią wydajność. Należy unikać używania tego samego udziału plików z kontenerami profilów FSLogix.
Dostępność
Wszystkie plany odzyskiwania po awarii dla usługi Azure Virtual Desktop muszą obejmować replikowanie udziału plików do dodatkowej lokalizacji trybu failover. Musisz również upewnić się, że ścieżka udziału plików jest dostępna w lokalizacji dodatkowej. Na przykład można użyć przestrzeni nazw rozproszonego systemu plików (DFS) z Azure Files, aby podać nazwę pojedynczego udziału w różnych udziałach plików. Aby dowiedzieć się więcej na temat odzyskiwania po awarii dla usługi Azure Virtual Desktop, zobacz Konfigurowanie planu ciągłości działania i odzyskiwania po awarii.
Azure Files
Azure Files ma limity liczby otwartych dojść na katalog główny, katalog i plik. Obrazy dysków VHDX lub CimFS są instalowane przy użyciu konta komputera hosta sesji, co oznacza, że jeden dojście jest otwierany na hosta sesji na obraz dysku, a nie na użytkownika. Aby uzyskać więcej informacji na temat ograniczeń i wskazówek dotyczących ustalania rozmiaru, zobacz Azure Files cele dotyczące skalowalności i wydajności oraz Azure Files wskazówki dotyczące ustalania rozmiaru dla usługi Azure Virtual Desktop.
Certyfikaty pakietów MSIX i Appx
Wszystkie pakiety MSIX i Appx wymagają prawidłowego certyfikatu podpisywania kodu. Aby korzystać z tych pakietów z dołączaniem aplikacji, należy upewnić się, że cały łańcuch certyfikatów jest zaufany na hostach sesji. Certyfikat podpisywania kodu ma identyfikator 1.3.6.1.5.5.7.3.3obiektu . Certyfikat podpisywania kodu dla pakietów można uzyskać z:
Publiczny urząd certyfikacji (CA).
Wewnętrzny urząd certyfikacji przedsiębiorstwa lub autonomicznego, taki jak usługi certyfikatów Active Directory. Musisz wyeksportować certyfikat podpisywania kodu, w tym jego klucz prywatny.
Narzędzie, takie jak polecenie cmdlet programu PowerShell New-SelfSignedCertificate , które generuje certyfikat z podpisem własnym. Certyfikatów z podpisem własnym należy używać tylko w środowisku testowym. Aby uzyskać więcej informacji na temat tworzenia certyfikatu z podpisem własnym dla pakietów MSIX i Appx, zobacz Tworzenie certyfikatu do podpisywania pakietu.
Po uzyskaniu certyfikatu należy cyfrowo podpisać pakiety MSIX lub Appx przy użyciu certyfikatu. Narzędzie do tworzenia pakietów MSIX umożliwia podpisywanie pakietów podczas tworzenia pakietu MSIX. Aby uzyskać więcej informacji, zobacz Create an MSIX package from any desktop installer (Tworzenie pakietu MSIX z dowolnego instalatora klasycznego).
Aby mieć pewność, że certyfikat jest zaufany na hostach sesji, hosty sesji muszą ufać całemu łańcuchowi certyfikatów. Sposób, w jaki hosty sesji ufają łańcuchowi certyfikatów, zależy od tego, skąd pochodzi certyfikat oraz jak zarządzasz hostami sesji i używanym dostawcą tożsamości. Poniższa tabela zawiera wskazówki dotyczące sposobu zapewnienia, że certyfikat jest zaufany na hostach sesji:
Publiczny urząd certyfikacji: certyfikaty z publicznego urzędu certyfikacji są domyślnie zaufane w systemie Windows i Windows Server.
Wewnętrzny urząd certyfikacji przedsiębiorstwa:
W przypadku hostów sesji przyłączonych do usługi Active Directory z usługą AD CS skonfigurowaną jako wewnętrzny urząd certyfikacji przedsiębiorstwa są domyślnie zaufane i przechowywane w kontekście nazewnictwa konfiguracji Active Directory Domain Services. Gdy usługa AD CS jest skonfigurowany jako autonomiczny urząd certyfikacji, należy skonfigurować zasady grupy dystrybucji certyfikatów głównych i pośrednich do hostów sesji. Aby uzyskać więcej informacji, zobacz Dystrybucja certyfikatów do urządzeń z systemem Windows przy użyciu zasady grupy.
W przypadku hostów sesji przyłączonych do Tożsamość Microsoft Entra można użyć Microsoft Intune do dystrybucji certyfikatów głównych i pośrednich na hostach sesji. Aby uzyskać więcej informacji, zobacz Zaufane profile certyfikatów głównych dla Microsoft Intune.
W przypadku hostów sesji korzystających z Microsoft Entra sprzężenia hybrydowego można użyć jednej z poprzednich metod, w zależności od wymagań.
Podpis własny: zainstaluj zaufany katalog główny w magazynie zaufanych głównych urzędów certyfikacji na każdym hoście sesji. Nie zalecamy dystrybuowania tego certyfikatu przy użyciu zasady grupy lub Intune, ponieważ powinien on być używany tylko do testowania.
Ważna
Należy sygnaturę czasową pakietu, aby jego ważność mogła przetrwać datę wygaśnięcia certyfikatu. W przeciwnym razie po wygaśnięciu certyfikatu należy zaktualizować pakiet przy użyciu nowego prawidłowego certyfikatu i ponownie upewnić się, że hosty sesji ufają łańcuchowi certyfikatów.
Następne kroki
Dowiedz się, jak dodawać aplikacje dołączania aplikacji i zarządzać nimi w usłudze Azure Virtual Desktop.