Áreas de trabalho remota de multissessão do Windows 10 ou Windows 11 Enterprise

As várias sessões da Área de Trabalho Virtual do Azure com Microsoft Intune agora estão em disponibilidade geral.

Agora você pode usar Microsoft Intune para gerenciar Windows 10 ou Windows 11 Enterprise áreas de trabalho remotas de várias sessões no centro de administração Microsoft Intune, assim como você pode gerenciar um cliente de Windows 10 ou Windows 11 compartilhado Dispositivo. Ao gerenciar essas VMs (máquinas virtuais), você poderá usar a configuração baseada em dispositivo direcionada a dispositivos ou configuração baseada no usuário direcionada aos usuários.

A multissessão do Windows 10 ou Windows 11 Enterprise é um novo Host de Sessão da Área de Trabalho exclusivo da Área de Trabalho Virtual do Azure no Azure. Ele proporciona os seguintes benefícios:

• Permite várias sessões de usuário simultâneas.
• Fornece aos usuários uma experiência clássica do Windows 10 ou Windows 11.
• Dá suporte ao uso de licenças do Microsoft 365 por usuário existentes.

Você pode gerenciar as VMs de várias sessões do Windows 10 e Windows 11 Enterprise criadas na Nuvem do Azure Governamental no GCC (Nuvem da Comunidade Governamental), GCC High e DoD.

Importante

Microsoft Intune suporte para várias sessões da Área de Trabalho Virtual do Azure não está disponível no momento para Citrix DaaS e VMware Horizon Cloud.

Visão geral

O suporte à configuração do dispositivo no Microsoft Intune para Windows 10 ou Windows 11 Enterprise várias sessões está geralmente disponível (GA). Isso significa que políticas definidas no escopo do sistema operacional e aplicativos configurados para instalação no contexto do sistema podem ser aplicadas às VMs de várias sessões da Área de Trabalho Virtual do Azure quando atribuídas a grupos de dispositivos.

Observação

A configuração baseada em dispositivo não pode ser atribuída a usuários e a configuração baseada no usuário não pode ser atribuída a dispositivos. Ele será relatado como Erro ou Não aplicável.

O suporte à configuração do usuário no Microsoft Intune para VMs de Windows 10 ou Windows 11 de várias sessões geralmente está disponível. Com isso, você pode:

• Configurar as políticas de escopo do usuário usando o Catálogo de configurações e atribuir a grupos de usuários. Você pode usar a barra de pesquisa para pesquisar todas as configurações com escopo definidas como "usuário".

• Configurar certificados de usuário e atribuir aos usuários.

• Configurar scripts do PowerShell para instalar no contexto do usuário e atribuir aos usuários.

Pré-requisitos

Esse recurso suporta VMs do Windows 10 ou Windows 11 Enterprise com várias sessões, que são:

• Executando multissessão do Windows 10, versão 1903 ou posterior; ou executando multissessão do Windows 11.
• Configuradas como áreas de trabalho remotas em pools de host agrupados e implantados por meio do Azure Resource Manager.
• No mesmo locatário que o Intune.
• Executando uma versão do agente da Área de Trabalho Virtual do Azure de 1.0.2944.1400 ou posterior.
• Microsoft Entra híbrido ingressado e registrado em Microsoft Intune usando um dos seguintes métodos:
  • Configurado com a política de grupo do Active Directory, definido para usar credenciais de dispositivo e definido para registrar automaticamente dispositivos que estão Microsoft Entra ingressados híbridos.
  • Cogerenciamento no Configuration Manager.
• Microsoft Entra ingressados e registrados em Microsoft Intune habilitando Registrar a VM com o Intune no portal do Azure.
• Licenciamento: a licença apropriada da Área de Trabalho Virtual do Azure e Microsoft Intune é necessária se um usuário ou dispositivo se beneficiar direta ou indiretamente do serviço Microsoft Intune, incluindo o acesso ao serviço Microsoft Intune por meio de uma API da Microsoft. Para obter mais informações, acesse Microsoft Intune licenciamento.

Observação

Se você estiver ingressando em hosts de sessão para Microsoft Entra Domain Services, não poderá gerenciá-los usando o Intune.

Importante

• Se você estiver usando Windows 10, versões 2004, 20H2 ou 21H1 builds, certifique-se de instalar o Windows Update de julho de 2021 ou uma atualização posterior do Windows. Caso contrário, ações remotas no centro de administração Microsoft Intune, como sincronização remota, não funcionarão corretamente. Como resultado, políticas pendentes atribuídas aos dispositivos poderão levar até 8 horas para serem aplicadas.
• No momento, o Intune não dá suporte à funcionalidade de roaming de token entre dispositivos. Se o FSLogix, ou uma tecnologia semelhante, for usado para gerenciar perfis e configurações de usuário do Windows, você deverá garantir que os tokens não sejam inesperadamente percedidos ou duplicados entre dispositivos. Para confirmar se você está executando uma versão com suporte e uma configuração do FSLogix com o roaming de token desabilitado, consulte a Referência de Configurações de Configuração do FSLogix RoamIdentity.

Para obter mais informações sobre os requisitos de licenciamento da Área de Trabalho Virtual do Azure, confira O que é a Área de Trabalho Virtual do Azure?.

Windows 10 ou Windows 11 Enterprise VMs de várias sessões são tratadas como uma edição separada do sistema operacional e algumas configurações de Windows 10 ou Windows 11 Enterprise não serão suportadas para esta edição. O uso do Microsoft Intune não depende nem interfere no gerenciamento da Área de Trabalho Virtual do Azure da mesma VM.

Criar o perfil de configuração

Para configurar políticas de configuração para Windows 10 ou Windows 11 Enterprise VMs de várias sessões, você precisará usar o catálogo Configurações no centro de administração Microsoft Intune.

Os modelos de perfil de configuração de dispositivo existentes não são suportados para VMs do Windows 10 ou Windows 11 Enterprise com várias sessões, exceto para os modelos a seguir:

• Certificado confiável – Dispositivo (computador) ao direcionar dispositivos e Usuário ao direcionar usuários
• Certificado SCEP – Dispositivo (computador) ao direcionar dispositivos e Usuário ao direcionar usuários
• Certificado PKCS – Dispositivo (computador) ao direcionar dispositivos e Usuário ao direcionar usuários
• VPN – somente dispositivo Tunnel

O Microsoft Intune não fornecerá modelos sem suporte para dispositivos multissessão e essas políticas aparecerão como Não aplicável nos relatórios.

Observação

Se você usar o cogerenciamento do Intune e do Configuration Manager, em Configuration Manager, defina o controle deslizante da carga de trabalho das Políticas de Acesso ao Recurso como Intune ou Piloto do Intune. Essa configuração permite que os clientes do Windows 10 e Windows 11 iniciem o processo de solicitação do certificado.

Para configurar políticas

1. Entre no centro de administração Microsoft Intune e escolha Dispositivos Perfis>>de Configuração doWindows>Criem>Nova Política.
2. Em Plataforma, selecione Windows 10 e posteriores.
3. Em Tipo de perfil, selecione Catálogo de configurações ou, ao implantar configurações usando um Modelo, selecione Modelos e o nome do Modelo com suporte.
4. Selecionar Criar.
5. Na página Básico, forneça um Nome e (opcionalmente) uma Descrição>Avançar.
6. Na página Definições da configuração, selecione Adicionar configurações.
7. Em Seletor de configurações, selecione Adicionar filtro e selecione as seguintes opções:
   • Chave: edição do sistema operacional
   • Operador: ==
   • Valor: Multisessão do Enterprise
   • Selecione Aplicar. A lista filtrada agora mostra todas as categorias do perfil de configuração que dão suporte ao multissessão Windows 10 ou Windows 11 Enterprise. O escopo de uma política é mostrado em parênteses. Quanto ao escopo do usuário, ele é mostrado como (Usuário) e todos os demais são políticas com escopo de dispositivo.
8. Na lista filtrada, escolha as categorias que você deseja.
   • Para cada categoria que você escolher, selecione as configurações que deseja aplicar ao seu novo perfil de configuração.
   • Para cada configuração, selecione o valor desejado para o perfil de configuração.
9. Selecione Avançar quando terminar de adicionar configurações.
10. Na página Atribuições, escolha os grupos de Microsoft Entra que contêm os dispositivos aos quais você deseja que esse perfil seja atribuído >a Avançar.
11. Na página Marcas de escopo , opcionalmente, adicione as marcas de escopo que você deseja aplicar a este perfil >Avançar. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.
12. Na página Revisar + criar, escolha Criar para criar o perfil.

Modelos administrativos

Modelos Administrativos do Windows 10 ou Windows 11 têm suporte para multissessão do Windows 10 ou Windows 11 Enterprise por meio do Catálogo de configurações com algumas limitações:

• Há suporte para políticas com ADMX. Algumas políticas ainda não estão disponíveis no catálogo Configurações.
• As políticas ingeridas do ADMX têm suporte, incluindo as configurações do Office e Microsoft Edge disponíveis em arquivos de modelos administrativos do Office e arquivos de modelo administrativo do Microsoft Edge. Para ver uma lista completa das categorias de política ingerida pelo ADMX, confira Configuração da política de aplicativo do Win32 e Ponte de Desktop. Algumas configurações ingeridas pelo ADMX não serão aplicáveis ao Windows 10 ou Windows 11 Enterprise com várias sessões.

Conformidade e acesso condicional

Você pode proteger sua Windows 10 ou Windows 11 Enterprise VMs de várias sessões configurando políticas de conformidade e políticas de acesso condicional no centro de administração Microsoft Intune. As seguintes políticas de conformidade têm suporte nas VMs de multissessão do Windows 10 ou Windows 11 Enterprise:

• Versão mínima do sistema operacional
• Versão máxima do sistema operacional
• Builds do sistema operacional válidos
• Senhas simples
• Tipo de senha
• Tamanho mínimo da senha
• Complexidade da senha
• Vencimento da senha (dias)
• Número de senhas anteriores para evitar a reutilização
• Microsoft Defender Antimalware
• Inteligência de segurança do Microsoft Defender Antimalware atualizada
• Firewall
• Antivírus
• Antispyware
• Proteção em tempo real
• Versão mínima do Microsoft Defender Antimalware
• Pontuação de risco do Defender ATP

Todas as outras políticas são relatadas como Não aplicável.

Importante

Você precisará criar uma nova política de conformidade e direcioná-la para o grupo de dispositivos que contém suas VMs de várias sessões. Não há suporte para configurações de conformidade direcionadas ao usuário.

As políticas de acesso condicional dão suporte às configurações baseadas em usuário e dispositivo para multissessão do Windows 10 ou Windows 11 Enterprise.

Observação

O Acesso Condicional para o Exchange no local não é compatível com VMs multissessão do Windows 10 ou Windows 11 Enterprise.

Observação

Políticas de configuração e conformidade para BitLocker, Inicialização Segura e recursos que aproveitam o vTPM (Módulo de Plataforma Confiável Virtual) não têm suporte neste momento para VMs da Área de Trabalho Virtual do Azure.

Segurança do ponto de extremidade

Você pode configurar perfis em Segurança de ponto de extremidade para VMs de multissessão selecionando Platform Windows 10, Windows 11 e Windows Server. Se essa Plataforma não estiver disponível, o perfil não terá suporte em VMs de várias sessões.

Para obter mais informações, consulte Gerenciar a segurança do dispositivo com políticas de segurança de ponto de extremidade no Microsoft Intune

Implantação do aplicativo

Todos os aplicativos do Windows 10 ou Windows 11 podem ser implantados na multissessão do Windows 10 ou Windows 11 Enterprise com as seguintes restrições:

• Todos os aplicativos devem ser configurados para instalar no contexto do sistema/dispositivo e ser direcionado para dispositivos. Os aplicativos da Web são sempre aplicados no contexto do usuário por padrão, portanto, não serão aplicados às VMs com várias sessões.
• Todos os aplicativos devem ser configurados com a intenção de atribuição de aplicativo Obrigatório ou Desinstalar. A intenção de implantação de Aplicativos Disponíveis não é suportada em VMs com várias sessões.
• Se um aplicativo Win32 configurado para instalar no contexto do sistema tiver dependências ou relação de substituição em qualquer aplicativo configurado para instalar no contexto do usuário, o aplicativo não será instalado. Para aplicar a uma VM de multissessão do Windows 10 ou Windows 11 Enterprise, crie uma instância separada do aplicativo de contexto do sistema ou garanta que todas as dependências do aplicativo estejam configuradas para instalação no contexto do sistema.
• O RemoteApp da Área de Trabalho Virtual do Azure e a anexação de aplicativo MSIX não são atualmente suportados no Microsoft Intune.

Implantação de script

Há suporte para scripts configurados para serem executados no contexto do sistema e atribuídos a dispositivos em multissessões do Windows 10 ou Windows 11 Enterprise. Isso pode ser configurado em Configurações de script definindo Executar este script usando as credenciais registradas para Não.

Os scripts configurados para serem executados no contexto do usuário e atribuídos aos usuários têm suporte em Windows 10 e Windows 11 Enterprise várias sessões. Isso pode ser configurado em Configurações de script definindo Executar este script usando as credenciais registradas para Sim.

Windows Update para Empresas

Você pode usar o catálogo de configurações para gerenciar as configurações do Windows Update de modo a obter atualizações de qualidade (segurança) para as VMs de multissessão do Windows 10 ou Windows 11 Enterprise. Para encontrar as configurações com suporte no catálogo, configure um filtro de configurações para multissessão Enterprise e expanda a categoria Windows Update para Empresas.

As configurações a seguir estão disponíveis no catálogo, com os links que abrem a documentação do CSP do Windows:

• Final das horas ativas
• Intervalo máximo de horas ativas
• Início das horas ativas
• Bloquear a capacidade de "Pausar Atualizações"
• Configurar o período de carência do prazo
• Adiar período de atualizações de qualidade (dias)
• Pausar hora de início de atualizações de qualidade
• Período do prazo de atualização de qualidade (dias)

Ações remotas

As seguintes ações remotas do dispositivo de área de trabalho do Windows 10 ou Windows 11 não são suportadas e serão esmaecidas na interface do usuário e desabilitadas no Graph para VMs do Windows 10 ou Windows 11 Enterprise com várias sessões:

• Redefinição do Autopilot
• Rodízio de chaves do BitLocker
• Início novo
• Bloqueio remoto
• Redefinir senha
• Revelar

Desativação

A exclusão de VMs do Azure deixará registros de dispositivo órfãos no centro de administração Microsoft Intune. Eles serão limpos automaticamente de acordo com as regras de limpeza configuradas para o locatário.

Linhas de base de segurança

As linhas de base de segurança não estão disponíveis para o Windows 10 ou Windows 11 Enterprise com várias sessões neste momento. Recomendamos revisar as Linhas de base de segurança disponíveis e configurar as políticas e valores recomendados no Catálogo de configurações.

Configurações adicionais que não são suportadas em VMs do Windows 10 ou Windows 11 Enterprise com várias sessões

Não há suporte para o registro de OOBE (Out of Box Experience) na multissessão do Windows 10 ou Windows 11 Enterprise. Essa restrição significa que:

• Não há suporte para o Azure Autopilot e o OOBE Comercial.
• Não há suporte para registro status página.

O Windows 10 ou Windows 11 Enterprise com várias sessões gerenciadas pelo Microsoft Intune não é atualmente suportado pela Nuvem Soberana da China.

Solução de problemas

As seções a seguir fornecem orientações de solução de problemas para problemas comuns.

Problemas de inscrição

Problema	Detalhe
Falha no registro de Microsoft Entra máquina virtual ingressada híbrida	A inscrição automática é configurada para usar credenciais de usuário. As máquinas virtuais de multissessão do Windows 10 ou Windows 11 Enterprise precisam ser registradas usando as credenciais do dispositivo. O agente da Área de Trabalho Virtual do Azure que você está usando deve ser a versão 1.0.2944.1400 ou posterior. Você tem mais de um provedor de MDM, que não é suportado. A VM de multissessão do Windows 10 ou Windows 11 Enterprise é configurada fora de um pool de host. O Microsoft Intune dá suporte apenas a VMs provisionadas como parte de um pool de host. O pool de hosts da Área de Trabalho Virtual do Azure não foi criado por meio do modelo do Azure Resource Manager.
Falha no registro de Microsoft Entra máquina virtual ingressada	O agente da Área de Trabalho Virtual do Azure que você está usando não é atualizado. O agente deve ser a versão 1.0.2944.1400 ou superior. pool de hosts da Área de Trabalho Virtual do Azure não foi criado por meio do modelo do Azure Resource Manager.

Problemas de configuração

Problema	Detalhe
Falha da política do catálogo de configurações	Confirme se a VM está inscrita usando credenciais de dispositivo. O registro com credenciais de usuário não é atualmente suportado para o Windows 10 ou Windows 11 Enterprise com várias sessões.
A política de configuração não se aplicava	Os modelos (exceto os Certificados) não são suportados no Windows 10 ou Windows 11 Enterprise com várias sessões. Todas as políticas devem ser criadas por meio do catálogo de configurações.
Relatórios de política de configuração como Não aplicáveis	Algumas políticas não são aplicáveis às VMs da Área de Trabalho Virtual do Azure.
A política do Microsoft Edge/Microsoft Office ADMX não aparece quando eu aplico o filtro para a edição do Windows 10 ou Windows 11 Enterprise com várias sessões	A aplicabilidade para essas configurações não é baseada na versão ou edição do Windows, mas se esses aplicativos foram instalados no dispositivo. Para adicionar essas configurações à sua política, talvez seja necessário remover todos os filtros aplicados no seletor de configurações.
O aplicativo configurado para instalar no contexto do sistema não se aplicava	Confirme se o aplicativo não tem uma relação de dependência ou substituição em nenhum aplicativo configurado para ser instalado no contexto do usuário. Os aplicativos de contexto de usuário não são suportados atualmente no Windows 10 ou Windows 11 Enterprise com várias sessões.
A política de anéis de atualização para o Windows 10 e posterior não se aplicava	No momento, não há suporte para políticas de anéis de atualização do Windows.

Próximas etapas

Saiba mais sobre as Áreas de Trabalho Virtuais do Azure.