Udostępnij za pośrednictwem


Pulpity zdalne z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise

Usługa Azure Virtual Desktop z wieloma sesjami w usłudze Microsoft Intune jest teraz ogólnie dostępna.

Teraz możesz użyć usługi Microsoft Intune do zarządzania pulpitami zdalnymi z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise w centrum administracyjnym usługi Microsoft Intune, tak jak można zarządzać udostępnionym urządzeniem klienckim z systemem Windows 10 lub Windows 11. Podczas zarządzania takimi maszynami wirtualnymi będzie można używać konfiguracji opartej na urządzeniach przeznaczonych dla urządzeń lub konfiguracji opartej na użytkownikach przeznaczonej dla użytkowników.

Wiele sesji systemu Windows 10 lub Windows 11 Enterprise to nowy host sesji pulpitu zdalnego dostępny wyłącznie dla usługi Azure Virtual Desktop na platformie Azure. Zapewnia następujące korzyści:

  • Umożliwia wiele równoczesnych sesji użytkownika.
  • Zapewnia użytkownikom znane środowisko systemu Windows 10 lub Windows 11.
  • Obsługuje korzystanie z istniejących licencji platformy Microsoft 365 dla poszczególnych użytkowników.

Maszynami wirtualnymi z wieloma sesjami systemu Windows 10 i Windows 11 Enterprise utworzonymi w usłudze Azure Government Cloud w us government community (GCC), GCC High i DoD można zarządzać.

Ważna

Obsługa wielu sesji usługi Azure Virtual Desktop w usłudze Microsoft Intune nie jest obecnie dostępna dla usług Citrix DaaS i VMware Horizon Cloud.

Omówienie

Obsługa konfiguracji urządzeń w usłudze Microsoft Intune dla systemu Windows 10 lub Windows 11 Enterprise z wieloma sesjami jest ogólnie dostępna. Oznacza to, że zasady zdefiniowane w zakresie systemu operacyjnego i aplikacje skonfigurowane do instalacji w kontekście systemu mogą być stosowane do maszyn wirtualnych z wieloma sesjami usługi Azure Virtual Desktop, gdy są przypisane do grup urządzeń.

Uwaga

Nie można przypisać konfiguracji opartej na urządzeniach do użytkowników, a konfiguracji opartej na użytkownikach nie można przypisać do urządzeń. Zostanie on zgłoszony jako Błąd lub Nie dotyczy.

Obsługa konfiguracji użytkownika w usłudze Microsoft Intune dla maszyn wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 jest ogólnie dostępna. Dzięki temu możesz:

  • Skonfiguruj zasady zakresu użytkownika przy użyciu wykazu ustawień i przypisz je do grup użytkowników. Możesz użyć paska wyszukiwania, aby wyszukać wszystkie konfiguracje z zakresem ustawionym na "użytkownik".

  • Skonfiguruj certyfikaty użytkowników i przypisz je do użytkowników.

  • Skonfiguruj skrypty programu PowerShell, aby zainstalować je w kontekście użytkownika i przypisać do użytkowników.

Wymagania wstępne

Ta funkcja obsługuje wielosesyjne maszyny wirtualne z systemem Windows 10 lub Windows 11 Enterprise, które są następujące:

  • Uruchamianie systemu Windows 10 z wieloma sesjami w wersji 1903 lub nowszej lub z systemem Windows 11 z wieloma sesjami.
  • Skonfiguruj jako pulpity zdalne w pulach hostów w puli, które zostały wdrożone za pośrednictwem usługi Azure Resource Manager.
  • W tej samej dzierżawie co usługa Intune.
  • Uruchamianie agenta usługi Azure Virtual Desktop w wersji 1.0.2944.1400 lub nowszej.
  • Przyłączone hybrydowo do usługi Microsoft Entra i zarejestrowane w usłudze Microsoft Intune przy użyciu jednej z następujących metod:
  • Firma Microsoft Entra dołączyła do usługi Microsoft Intune i została zarejestrowana w usłudze Microsoft Intune, włączając funkcję Rejestrowanie maszyny wirtualnej w usłudze Intune w witrynie Azure Portal.
  • Licencjonowanie: Odpowiednia licencja usługi Azure Virtual Desktop i Microsoft Intune jest wymagana, jeśli użytkownik lub urządzenie korzysta bezpośrednio lub pośrednio z usługi Microsoft Intune, w tym dostępu do usługi Microsoft Intune za pośrednictwem interfejsu API firmy Microsoft. Aby uzyskać więcej informacji, przejdź do licencjonowania usługi Microsoft Intune.
  • Zobacz Co to jest usługa Azure Virtual Desktop? aby uzyskać więcej informacji na temat wymagań dotyczących licencjonowania usługi Azure Virtual Desktop.

Ograniczenia

Usługa Intune nie obsługuje używania sklonowanego obrazu komputera, który jest już zarejestrowany. Obejmuje to zarówno urządzenia fizyczne, jak i wirtualne, takie jak Azure Virtual Desktop (AVD). Gdy między urządzeniami są replikowane tokeny rejestracji urządzeń lub tożsamości, wystąpią błędy rejestracji lub synchronizacji urządzeń w usłudze Intune.

Uwaga

Jeśli dołączasz hosty sesji do usług Microsoft Entra Domain Services, nie możesz zarządzać nimi przy użyciu usługi Intune.

Ważna

  • Jeśli używasz systemu Windows 10 w wersjach 2004, 20H2 lub 21H1, upewnij się, że zainstalowano aktualizację systemu Windows z lipca 2021 r. lub nowszą aktualizację systemu Windows. W przeciwnym razie akcje zdalne w centrum administracyjnym usługi Microsoft Intune, takie jak zdalna synchronizacja, nie będą działać poprawnie. W związku z tym stosowanie oczekujących zasad przypisanych do urządzeń może potrwać do 8 godzin.
  • Usługa Intune nie obsługuje obecnie funkcji roamingu tokenów między urządzeniami. Jeśli program FSLogix lub podobna technologia służy do zarządzania profilami i ustawieniami użytkowników systemu Windows, należy upewnić się, że tokeny nie są nieoczekiwanie przenoszone ani duplikowane między urządzeniami. Aby potwierdzić, że używasz obsługiwanej wersji i konfiguracji programu FSLogix z wyłączonym roamingiem tokenów, zobacz dokumentację ustawień konfiguracji obiektu FSLogix RoamIdentity.

Maszyny wirtualne z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise są traktowane jako oddzielna wersja systemu operacyjnego, a niektóre konfiguracje systemu Windows 10 lub Windows 11 Enterprise nie będą obsługiwane w tej wersji. Korzystanie z usługi Microsoft Intune nie zależy od zarządzania tą samą maszyną wirtualną ani nie zakłóca zarządzania usługą Azure Virtual Desktop.

Tworzenie profilu konfiguracji

Aby skonfigurować zasady konfiguracji dla maszyn wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise, należy użyć wykazu ustawień w centrum administracyjnym usługi Microsoft Intune.

Istniejące szablony profilów konfiguracji urządzeń nie są obsługiwane dla maszyn wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise, z wyjątkiem następujących szablonów:

  • Zaufany certyfikat — urządzenie (maszyna) podczas określania wartości docelowej urządzeń i użytkowników w przypadku określania wartości docelowej dla użytkowników
  • Certyfikat SCEP — urządzenie (maszyna) podczas określania wartości docelowej urządzeń i użytkowników w przypadku określania wartości docelowej dla użytkowników
  • Certyfikat PKCS — urządzenie (maszyna) podczas określania wartości docelowej urządzeń i użytkownika podczas określania wartości docelowej dla użytkowników
  • VPN — tylko tunel urządzenia

Usługa Microsoft Intune nie będzie dostarczać nieobsługiwanych szablonów do urządzeń z wieloma sesjami, a te zasady są wyświetlane jako Nie dotyczy w raportach.

Uwaga

Jeśli używasz współzarządzania dla usługi Intune i programu Configuration Manager, w programie Configuration Manager ustaw suwak obciążenia dla zasad dostępu do zasobów na usługę Intune lub pilotażową usługę Intune. To ustawienie umożliwia klientom systemu Windows 10 i Windows 11 rozpoczęcie procesu żądania certyfikatu.

Aby skonfigurować zasady

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i wybierz pozycję Urządzenia> według platformy Zarządzanieurządzeniami> wsystemie>Windows>Konfiguracja>Utwórz>nowe zasady.
  2. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.
  3. W polu Typ profilu wybierz pozycję Katalog ustawień lub podczas wdrażania ustawień przy użyciu szablonu wybierz pozycję Szablony , a następnie nazwę obsługiwanego szablonu.
  4. Wybierz pozycję Utwórz.
  5. Na stronie Podstawy podaj nazwę i (opcjonalnie) opis>dalej.
  6. Na stronie Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia.
  7. W obszarze Selektor ustawień wybierz pozycję Dodaj filtr i wybierz następujące opcje:
    • Klucz: wersja systemu operacyjnego
    • Operator: ==
    • Wartość: wielosesja przedsiębiorstwa
    • Wybierz pozycję Zastosuj. Filtrowana lista zawiera teraz wszystkie kategorie profilów konfiguracji obsługujące wiele sesji systemu Windows 10 lub Windows 11 Enterprise. Zakres zasad jest wyświetlany w nawiasach. W przypadku zakresu użytkownika jest on wyświetlany jako (użytkownik), a wszystkie pozostałe to zasady z zakresem urządzenia.
  8. Z filtrowanej listy wybierz żądane kategorie.
    • Dla każdej wybranej kategorii wybierz ustawienia, które chcesz zastosować do nowego profilu konfiguracji.
    • Dla każdego ustawienia wybierz odpowiednią wartość dla tego profilu konfiguracji.
  9. Po zakończeniu dodawania ustawień wybierz pozycję Dalej .
  10. Na stronie Przypisania wybierz grupy Microsoft Entra zawierające urządzenia, do których ma zostać przypisany > ten profil Dalej.
  11. Na stronie Tagi zakresu opcjonalnie dodaj tagi zakresu, które chcesz zastosować do tego profilu >Dalej. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.
  12. Na stronie Przeglądanie i tworzenie wybierz pozycję Utwórz , aby utworzyć profil.

Szablony administracyjne

Szablony administracyjne systemu Windows 10 lub Windows 11 są obsługiwane w przypadku wielu sesji systemu Windows 10 lub Windows 11 Enterprise za pośrednictwem wykazu ustawień z pewnymi ograniczeniami:

  • Obsługiwane są zasady wspierane przez usługę ADMX. Niektóre zasady nie są jeszcze dostępne w wykazie ustawień.
  • Obsługiwane są zasady pozyskiwane przez usługę ADMX, w tym ustawienia pakietu Office i przeglądarki Microsoft Edge dostępne w plikach szablonów administracyjnych pakietu Office i plikach szablonów administracyjnych przeglądarki Microsoft Edge. Aby uzyskać pełną listę kategorii zasad pozyskanych przez usługę ADMX, zobacz Konfiguracja zasad aplikacji Win32 i Mostek klasyczny. Niektóre ustawienia pozyskane przez usługę ADMX nie będą miały zastosowania do wielu sesji systemu Windows 10 lub Windows 11 Enterprise.

Aby wyświetlić listę obsługiwanych szablonów administracyjnych, należy użyć filtru w katalogu Ustawień.

Zgodność i dostęp warunkowy

Maszyny wirtualne z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise można zabezpieczyć, konfigurując zasady zgodności i zasady dostępu warunkowego w centrum administracyjnym usługi Microsoft Intune. Następujące zasady zgodności są obsługiwane na maszynach wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise:

  • Minimalna wersja systemu operacyjnego
  • Maksymalna wersja systemu operacyjnego
  • Prawidłowe kompilacje systemu operacyjnego
  • Proste hasła
  • Typ hasła
  • Minimalna długość hasła
  • Złożoność hasła
  • Wygaśnięcie hasła (dni)
  • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu
  • Microsoft Defender Antimalware
  • Aktualna analiza zabezpieczeń ochrony przed złośliwym kodem w usłudze Microsoft Defender
  • Zapora
  • Program antywirusowy
  • Oprogramowanie chroniące przed złośliwym oprogramowaniem
  • Ochrona w czasie rzeczywistym
  • Minimalna wersja ochrony przed złośliwym kodem w usłudze Microsoft Defender
  • Ocena ryzyka usługi Defender ATP

Wszystkie inne zasady raportują jako Nie dotyczy.

Ważna

Musisz utworzyć nowe zasady zgodności i skierować je do grupy urządzeń zawierającej maszyny wirtualne z wieloma sesjami. Konfiguracje zgodności przeznaczone dla użytkowników nie są obsługiwane.

Zasady dostępu warunkowego obsługują konfiguracje oparte na użytkownikach i urządzeniach dla wielu sesji systemu Windows 10 lub Windows 11 Enterprise.

Uwaga

Dostęp warunkowy dla lokalnego programu Exchange nie jest obsługiwany w przypadku maszyn wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise.

Uwaga

Zasady konfiguracji i zgodności funkcji BitLocker, bezpiecznego rozruchu i funkcji korzystających z modułu vTPM (Virtual Trusted Platform Module) nie są obecnie obsługiwane w przypadku maszyn wirtualnych usługi Azure Virtual Desktop.

Zabezpieczenia punktu końcowego

Profile w obszarze Zabezpieczenia punktu końcowego dla maszyn wirtualnych z wieloma sesjami można skonfigurować, wybierając pozycję Platforma Windows 10, Windows 11 i Windows Server. Jeśli ta platforma nie jest dostępna, profil nie jest obsługiwany na maszynach wirtualnych z wieloma sesjami.

Aby uzyskać więcej informacji, zobacz Zarządzanie zabezpieczeniami urządzeń przy użyciu zasad zabezpieczeń punktu końcowego w usłudze Microsoft Intune

Wdrażanie aplikacji

Wszystkie aplikacje systemu Windows 10 lub Windows 11 można wdrożyć w wielu sesjach systemu Windows 10 lub Windows 11 Enterprise z następującymi ograniczeniami:

  • Wszystkie aplikacje muszą być skonfigurowane do instalowania w kontekście systemu/urządzenia i być przeznaczone dla urządzeń. Aplikacje internetowe są zawsze stosowane domyślnie w kontekście użytkownika, więc nie będą stosowane do maszyn wirtualnych z wieloma sesjami.
  • Wszystkie aplikacje muszą być skonfigurowane z zamiarem przypisania aplikacji Wymagane lub Odinstaluj . Intencja wdrożenia Dostępne aplikacje nie jest obsługiwana na maszynach wirtualnych z wieloma sesjami.
  • Jeśli aplikacja Win32 skonfigurowana do zainstalowania w kontekście systemu ma relację zależności lub zastępowania dla wszystkich aplikacji skonfigurowanych do instalacji w kontekście użytkownika, aplikacja nie zostanie zainstalowana. Aby zastosować do wielosesyjnej maszyny wirtualnej z systemem Windows 10 lub Windows 11 Enterprise, utwórz oddzielne wystąpienie aplikacji kontekstowej systemu lub upewnij się, że wszystkie zależności aplikacji są skonfigurowane do instalacji w kontekście systemu.
  • Dołączanie aplikacji Azure Virtual Desktop RemoteApp i MSIX nie jest obecnie obsługiwane w usłudze Microsoft Intune.

Wdrażanie skryptu

Skrypty skonfigurowane do uruchamiania w kontekście systemu i przypisywane do urządzeń są obsługiwane w systemie Windows 10 lub Windows 11 Enterprise z wieloma sesjami. Można to skonfigurować w obszarze Ustawienia skryptu, ustawiając opcję Uruchom ten skrypt przy użyciu poświadczeń zalogowanych nawartość Nie.

Skrypty skonfigurowane do uruchamiania w kontekście użytkownika i przypisywane do użytkowników są obsługiwane w wielu sesjach systemu Windows 10 i Windows 11 Enterprise. Można to skonfigurować w obszarze Ustawienia skryptu, ustawiając ustawienie Uruchom ten skrypt przy użyciu zalogowanych poświadczeń nawartość Tak.

Windows Update dla firm

Wykaz ustawień umożliwia zarządzanie ustawieniami usługi Windows Update dla aktualizacji jakości (zabezpieczeń) dla maszyn wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise. Aby znaleźć obsługiwane ustawienia w katalogu, skonfiguruj filtr ustawień dla wielu sesji przedsiębiorstwa , a następnie rozwiń kategorię Windows Update for Business .

W wykazie są dostępne następujące ustawienia z linkami otwierającymi dokumentację dostawcy CSP systemu Windows:

Akcje zdalne

Następujące akcje zdalne urządzenia stacjonarnego z systemem Windows 10 lub Windows 11 nie są obsługiwane i zostaną wyszarzone w interfejsie użytkownika i wyłączone w programie Graph dla maszyn wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise:

  • Resetowanie rozwiązania Autopilot
  • Rotacja kluczy funkcji BitLocker
  • Rozpoczęcie od nowa
  • Zdalne blokowanie
  • Resetuj hasło
  • Wyczyść dane

Wycofanie

Usunięcie maszyn wirtualnych z platformy Azure spowoduje pozostawienie oddzielonych rekordów urządzeń w centrum administracyjnym usługi Microsoft Intune. Zostaną one automatycznie oczyszczone zgodnie z regułami oczyszczania skonfigurowanym dla dzierżawy.

Plan bazowy zabezpieczeń

Punkty odniesienia zabezpieczeń nie są obecnie dostępne dla wielu sesji systemu Windows 10 lub Windows 11 Enterprise. Zalecamy zapoznanie się z dostępnymi punktami odniesienia zabezpieczeń i skonfigurowanie zalecanych zasad i wartości w wykazie ustawień.

Dodatkowe konfiguracje, które nie są obsługiwane na maszynach wirtualnych z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise

Rejestracja środowiska OOBE (Out of Box Experience) nie jest obsługiwana w przypadku wielu sesji w systemie Windows 10 lub Windows 11 Enterprise. To ograniczenie oznacza, że:

  • Rozwiązanie Windows Autopilot oraz komercyjne rozwiązania OOBE nie są obsługiwane.
  • Strona stanu rejestracji nie jest obsługiwana.

Wielosesyjna sesja systemu Windows 10 lub Windows 11 Enterprise zarządzana przez usługę Microsoft Intune nie jest obecnie obsługiwana w przypadku suwerennej chmury Chin.

Rozwiązywanie problemów

Poniższe sekcje zawierają wskazówki dotyczące rozwiązywania typowych problemów.

Problemy z rejestracją

Problem Szczegóły
Rejestracja hybrydowej maszyny wirtualnej przyłączanej do usługi Microsoft Entra kończy się niepowodzeniem
  • Automatyczne rejestrowanie jest skonfigurowane do używania poświadczeń użytkownika. Maszyny wirtualne z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise muszą być zarejestrowane przy użyciu poświadczeń urządzenia.
  • Używany agent usługi Azure Virtual Desktop musi mieć wersję 1.0.2944.1400 lub nowszą.
  • Masz więcej niż jednego dostawcę mdm, który nie jest obsługiwany.
  • Maszyna wirtualna z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise jest skonfigurowana poza pulą hostów. Usługa Microsoft Intune obsługuje tylko maszyny wirtualne aprowizowane jako część puli hostów.
  • Pula hostów usługi Azure Virtual Desktop nie została utworzona za pomocą szablonu usługi Azure Resource Manager.
Rejestracja maszyny wirtualnej przyłączonych do usługi Microsoft Entra kończy się niepowodzeniem
  • Używany agent usługi Azure Virtual Desktop nie jest aktualizowany. Agent musi mieć wersję 1.0.2944.1400 lub nowszą.
  • Pula hostów usługi Azure Virtual Desktop nie została utworzona za pomocą szablonu usługi Azure Resource Manager.

Problemy z konfiguracją

Problem Szczegóły
Zasady wykazu ustawień nie powiodły się Upewnij się, że maszyna wirtualna została zarejestrowana przy użyciu poświadczeń urządzenia. Rejestracja przy użyciu poświadczeń użytkownika nie jest obecnie obsługiwana w przypadku wielu sesji systemu Windows 10 lub Windows 11 Enterprise.
Zasady konfiguracji nie zostały zastosowane Szablony (z wyjątkiem certyfikatów) nie są obsługiwane w wielu sesjach systemu Windows 10 lub Windows 11 Enterprise. Wszystkie zasady należy utworzyć za pośrednictwem katalogu ustawień.
Raporty zasad konfiguracji jako Nie dotyczy Niektóre zasady nie mają zastosowania do maszyn wirtualnych usługi Azure Virtual Desktop.
Zasady Microsoft Edge/Microsoft Office ADMX nie są wyświetlane po zastosowaniu filtru dla wersji wielosesyjnej systemu Windows 10 lub Windows 11 Enterprise Zastosowanie tych ustawień nie jest oparte na wersji lub wersji systemu Windows, ale na tym, czy te aplikacje zostały zainstalowane na urządzeniu. Aby dodać te ustawienia do zasad, może być konieczne usunięcie filtrów zastosowanych w selektorze ustawień.
Aplikacja skonfigurowana do instalacji w kontekście systemu nie została zastosowana Upewnij się, że aplikacja nie ma relacji zależności ani zastępowania dla żadnych aplikacji skonfigurowanych do instalowania w kontekście użytkownika. Aplikacje kontekstowe użytkownika nie są obecnie obsługiwane w wielu sesjach systemu Windows 10 lub Windows 11 Enterprise.
Pierścienie aktualizacji dla zasad systemu Windows 10 i nowszych nie zostały zastosowane Zasady pierścieni aktualizacji systemu Windows nie są obecnie obsługiwane. Aktualizacjami jakości można zarządzać za pośrednictwem ustawień dostępnych w katalogu ustawień.

Następne kroki

Dowiedz się więcej o usługach Azure Virtual Desktops.