Configurar locatários para Windows 365 Governo

A maneira mais rápida de usar Windows 365 é usar o AADJ, as imagens da galeria e a opção Rede Hospedada da Microsoft. As instruções nesta página são somente se você precisar usar ou ambos:

• Imagens personalizadas. Windows 365 fornece imagens otimizadas da galeria, incluindo imagens com aplicativos do Microsoft 365 pré-instalados. Depois que a imagem da galeria for implantada, o Intune poderá ser usado para personalização adicional de configurações comuns e implantação de aplicativo. Se você precisar usar sua imagem personalizada existente, para obter mais informações, consulte adicionar uma imagem personalizada.
• ANC (Connections de Rede do Azure). Os ANCs permitem provisionar PCs de nuvem anexados a uma rede virtual que você gerencia. Os exemplos incluem:
  • VNet (VNet) Rede Virtual do Azure.
  • O Azure Gateway de VPN ou uma conexão dedicada por meio do ExpressRoute.
  • Outros recursos do Azure, incluindo recursos do Cloud PC.
• Para obter mais informações, consulte criar uma conexão de rede do Azure.

Somente para clientes do GCC (Government Community Cloud), as instruções a seguir permitem que o Intune seja executado no Azure para gerenciar PCs de nuvem em execução em Azure Governamental regiões.

Observação

• Você não precisa de uma assinatura Azure Governamental para usar Windows 365 Governo. Essas instruções são especificamente para gcc e somente se imagens personalizadas e/ou Connections de rede do Azure forem necessárias. As instruções nesta página não se aplicam ao GCC High.
• Para clientes governamentais que não têm uma assinatura Azure Governamental ou exigem integração com o Azure, considere usar Windows 365 Enterprise. Verifique se isso atende aos seus requisitos de conformidade. Windows 365 Enterprise é compatível com FedRAMP. Consulte Windows 365 Descrição do Serviço

Antes de começar

Para mapeamento de locatários e concessão de permissões para imagens personalizadas e/ou conexão com suas próprias redes, você precisa:

• Uma assinatura Azure Governamental.
• Credenciais de um usuário que tem:
  • Função de administrador global no locatário do Azure (terminando em onmicrosoft.com).
• Credenciais de um usuário que tem:
  • Função de proprietário em sua assinatura de Azure Governamental, AND
  • Função de administrador global em seu locatário Azure Governamental (terminando em onmicrosoft.us).
• Para atender aos requisitos de licenciamento.
• (Se aplicável) As informações a seguir para aplicar permissões para configurar a conexão de rede do Azure. A rede virtual e a sub-rede já devem existir.
  • ID da assinatura.
  • Grupo de Recursos.
  • Rede Virtual.
  • Sub-rede.

Observação

Enquanto os PCs de Nuvem dos usuários do GCC estão hospedados e protegidos na nuvem Azure Governamental, os pontos de extremidade para administradores e usuários finais estão no domínio comercial do Azure. Os usuários farão logon nos PCs da Nuvem usando credenciais sincronizadas com Microsoft Entra ID.

Microsoft Entra opções

Se você quiser usar Microsoft Entra junção ou Microsoft Entra junção híbrida, considere estas preparações:

Microsoft Entra PCs de Nuvem ingressados: se você quiser usar uma infraestrutura de junção Microsoft Entra e sua própria rede, precisará de um locatário e uma assinatura do Azure na nuvem Azure Governamental. O locatário no domínio .com do Azure deve ser mapeado para o locatário no domínio Azure Governamental (.us).

Híbrida Microsoft Entra PCs de Nuvem ingressadas: se você quiser usar uma infraestrutura de junção híbrida Microsoft Entra, você deve configurar seu locatário comercial (.com) e seus locatários do governo (.us) antes de criar suas Redes Virtuais do Azure.

Preparação para Windows 365 Ferramenta de Instalação do GCC

Para que o Windows 365 Ferramenta de Instalação do GCC conclua o mapeamento de locatários, o aplicativo Windows 365 Microsoft Entra deve receber permissão para acessar seu locatário Azure Governamental AD por meio de uma entidade de serviço. O objeto da entidade de serviço define o que o aplicativo pode fazer no locatário, quem pode acessar o aplicativo e quais recursos o aplicativo pode acessar. Antes de executar a ferramenta de instalação do Windows 365 GCC pela primeira vez, você deve fazer o seguinte:

1. Se ainda não estiver concluída, instale a CLI do Azure no computador em que você criará a entidade de serviço. Para obter mais informações, consulte Como instalar a CLI do Azure.
2. Entre no locatário Azure Governamental AD usando as etapas da CLI do Azure definidas em Entrar com a CLI do Azure. As permissões do Administrador Global são necessárias para criar a entidade de serviço para o aplicativo Windows 365.
3. Para obter mais informações sobre como trabalhar com entidades de serviço no Azure, consulte Trabalhar com a entidade de serviço do Azure usando a CLI do Azure. Conceda as permissões do aplicativo Windows 365 Microsoft Entra ao locatário executando o seguinte comando do PowerShell: az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
4. Depois que o comando for concluído com êxito, você poderá exibir detalhes sobre a entidade de serviço executando o seguinte comando do PowerShell: az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. Você deve ver o aplicativo Windows 365 listado na exibição Todos os Aplicativos na folha aplicativo Enterprise no portal do Azure.

A entidade de serviço de aplicativo Windows 365 só pode acessar os recursos do Azure necessários para configurar a imagem personalizada e o suporte ao ANC (Conexão de Rede) do Azure em Windows 365. Depois de criada, a entidade de serviço só pode ser excluída quando imagens personalizadas, objetos ANC e PCs de Nuvem correspondentes usando-os foram desprovisionados. Caso contrário, as tarefas de provisionamento do CLOUD PC podem falhar e os PCs de Nuvem existentes podem se tornar inacessíveis.

Introdução à Ferramenta de Instalação do Windows 365 GCC

Siga estas etapas para configurar o mapeamento de locatários usando o Windows 365 Ferramenta de Instalação do GCC.

1. Inicie o GCCSetupTool.exe. Essa ferramenta está disponível em https://aka.ms/gccsetuptool.
2. Na página Vamos começar , selecione Avançar.
3. Entre com sua conta do Azure. Essa conta deve ter permissões do Administrador Global.
4. Confirme se deseja continuar com sua conta > comercial Avançar.
5. Entre com sua conta > Azure Governamental Em seguida, digite> suas credenciais.
6. Confirme se deseja continuar com sua conta > do governo Avançar.
7. No recurso Selecionar para habilitar a tela , verifique se Imagens Personalizadas estão selecionadas. Essa opção é selecionada por padrão porque não há razão para executar o Windows 365 Ferramenta de Instalação do GCC, a menos que você precise de pelo menos um desses recursos abaixo.

   Observação

   O ANC inclui as permissões para imagens personalizadas.

8. Selecione Conexões de rede do Azure e selecione a Assinatura, a Rede Virtual e a Sub-rede que você deseja configurar. Selecione Avançar.
9. Na página Revisar configurações , examine as seleções feitas e selecione Conceder.
10. Depois que a instalação for concluída, você poderá fechar a ferramenta.

Solução de problemas

Se você tiver problemas ao executar o Windows 365 Ferramenta de Configuração do GCC:

1. Na mesma pasta em que o GCCSetupTool.exe é executado, navegue até a pasta Log e examine o GCCAdminTool.log arquivo.
2. Se você continuar a ter problemas, entre em contato com o suporte e forneça o arquivo GCCADminTool.log.

Uso subsequente da Ferramenta de Instalação do GCC

A Ferramenta de Instalação do Windows 365 GCC pode ser executada novamente após a configuração inicial. Talvez você queira usar a Ferramenta de Instalação do GCC novamente se você:

• Não configurou ANCs antes ou
• Deseja expandir o uso de ANCs para outras redes.

Alternativa de script

Como alternativa ao uso da Ferramenta de Instalação do GCC para configurar o ANC, você também pode usar o script a seguir para configurar permissões para mais ANCs.

Observação

O mapeamento do locatário deve ser bem-sucedido antes de prosseguir com o script para configurar ANCs.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1

1. Se você não tiver Cloud Shell configurado (uma conta de Armazenamento do Azure necessária), terá duas opções para executar o script:
   • Selecione Copiar no script e execute o script do PowerShell localmente em seu computador.
   • Selecione Abrir Cloudshell> cole o script na sessão > Cloud Shell da assinatura Azure Governamental execute o script.
2. Depois de executar o script, no prompt, selecione a opção 2. Essa opção configura permissões para o ANC.
3. Na lista de assinaturas Azure Governamental, selecione a assinatura à qual você deseja conceder permissões.
4. Na lista de grupos de recursos, selecione o grupo de recursos que você deseja usar.
5. Selecione sua vNET.
6. O script concede permissões e lista o que foi configurado.

Próximas etapas

Saiba mais sobre Windows 365 Governo.