Windows 10 Enterprise desktops remotos com múltiplas sessões

Agora pode utilizar Microsoft Endpoint Manager para gerir Windows 10 Enterprise ambientes de trabalho remotos com múltiplas sessões, tal como pode gerir um dispositivo cliente Windows 10 partilhado. Ao gerir estes VMs, deve utilizar configurações baseadas no dispositivo. Tais configurações requerem inscrições sem utilizador.

Windows 10 Enterprise multi-sessão é um novo host de sessão de desktop remoto exclusivo para O Azure Virtual Desktop on Azure. Proporciona os seguintes benefícios:

• Permite várias sessões de utilizador simultâneas.
• Proporciona aos utilizadores uma experiência familiar Windows 10.
• Suporta a utilização do licenciamento de Microsoft 365 por utilizador existente.

Descrição Geral

Microsoft Endpoint Manager só suporta gerir Windows 10 Enterprise multi-sessão com configurações do dispositivo. Isto significa que apenas as políticas definidas no âmbito de SISTEMA e aplicações configuradas para instalar no contexto do sistema podem ser aplicadas a VMs multi-sessão de desktop virtual Azure. Além disso, todas as configurações multi-sessão devem ser direcionadas para dispositivos ou grupos de dispositivos. As políticas de âmbito do utilizador não são suportadas neste momento.

Pré-requisitos

Esta funcionalidade de pré-visualização pública suporta Windows 10 Enterprise VMs multi-sessão que são:

• Executando Windows 10 multi-sessão, versão 1903 ou mais tarde.
• Configurar como desktops remotos em piscinas de anfitriões em conjunto que foram implantadas através do Azure Resource Manager.
• Executando uma versão do agente virtual de desktop Azure de 2944.1400 ou mais tarde.
• Híbrido Azure AD-aderido e matriculado em Microsoft Endpoint Manager utilizando um dos seguintes métodos:
  • Configurado com a política do grupo Ative Directory, definido para usar credenciais de dispositivo, e definido para inscrever automaticamente dispositivos que são híbridos Azure AD-joined. Para esta pré-visualização, só apoiamos a inscrição através da política de grupo se estiver a utilizar um único provedor de MDM.
  • Cogestão do Gestor de Configuração.
• AZure AD juntou-se e matriculou-se em Microsoft Endpoint Manager, permitindo inscrever o VM com Intune no portal Azure.

Importante

Se estiver a utilizar Windows 10, versões 2004, 20H2 ou 21H1, certifique-se de que instala a Atualização de Windows de julho de 2021 ou uma atualização posterior Windows. Caso contrário, as ações remotas em Microsoft Endpoint Manager, como a sincronização remota, não funcionarão corretamente. Como resultado, as políticas pendentes atribuídas aos dispositivos podem demorar até 8 horas a serem aplicadas.

Para obter mais informações sobre os requisitos de licenciamento do Azure Virtual Desktop, consulte o que é o Azure Virtual Desktop?

Windows 10 Enterprise VMs multi-sessão são tratados como uma edição de SO separada e algumas configurações de Windows 10 Enterprise existentes não serão suportadas para esta edição. A utilização de Microsoft Endpoint Manager não depende nem interfere com a gestão do Ambiente de Trabalho Virtual Azure do mesmo VM.

Criar o perfil de configuração do dispositivo

Para configurar políticas de configuração para Windows 10 Enterprise VMs de várias sessões, normalmente utilizará o catálogo Definições.

Os modelos de perfil de configuração do dispositivo existentes não são suportados para Windows 10 Enterprise VMs de múltiplas sessão, com exceção dos seguintes Modelos:

• Certificado fidedigno - Apenas dispositivo (máquina)
• Certificado SCEP - Dispositivo (máquina) apenas
• Certificado PKCS - Dispositivo (máquina) apenas
• VPN - Túnel do Dispositivo apenas

A Intune não fornecerá modelos não suportados a dispositivos de várias sessões, e essas políticas aparecem como não aplicáveis nos relatórios.

Para configurar políticas

1. Inscreva-se no centro de administração Microsoft Endpoint Manager e escolha dispositivos > Windows > perfis de configuração Crie > perfil.
2. Em Plataforma, selecione Windows 10 e versões posteriores.
3. Para o tipo de perfil, selecione Definições Catálogo (Pré-visualização) ou quando implementar as definições utilizando um modelo, selecione modelos e, em seguida, o nome do modelo suportado.
4. Selecione Criar.
5. Na página Basics, forneça um Nome e (opcionalmente) Descrição > Seguinte.
6. Na página de definições de configuração, selecione 'Adicionar' definições.
7. No Definições picker, selecione Adicionar filtro e selecione as seguintes opções:
   • Chave: Edição DE SO
   • Operador:****==
   • Valor: Várias sessões empresariais
   • Selecione Aplicar. A lista filtrada mostra agora todas as categorias de perfis de configuração que suportam Windows 10 Enterprise multisessão. Pode ver a margem de aplicação da política em parênteses (Dispositivo ou Utilizador). Atualmente, apenas as configurações do dispositivo são suportadas para multisessão.
8. A partir da lista filtrada, escolha as categorias que quiser.
   • Para cada categoria que escolher, selecione as definições que pretende aplicar no seu novo perfil de configuração.
   • Para cada definição, selecione o valor que deseja para este perfil de configuração.
9. Selecione Next quando terminar de adicionar definições.
10. Na página Atribuições, escolha os grupos de utilizadores que contenham os dispositivos aos quais pretende que este perfil seja atribuído > Seguinte.
11. Na página de tags Scope, adicione opcionalmente as etiquetas de âmbito que pretende aplicar a este perfil > Next. Para obter mais informações sobre etiquetas de âmbito, consulte use o controlo de acesso baseado em funções e etiquetas de âmbito para TI distribuídos.
12. Na página 'Rever + criar', escolher Criar para criar o perfil.

Administrative templates (Modelos administrativos)

Windows 10 Os Modelos Administrativos são suportados para Windows 10 Enterprise multi-sessão através do catálogo Definições com algumas limitações:

• As políticas apoiadas pelo ADMX são apoiadas. Algumas políticas ainda não estão disponíveis no catálogo Definições.
• As políticas ingeridas pela ADMX são apoiadas, incluindo configurações de Office e Microsoft Edge disponíveis em ficheiros de modelos administrativos Office e ficheiros de modelos Microsoft Edge administrativos. Para obter uma lista completa das categorias de políticas ingeridas por ADMX, consulte a configuração da política de aplicações Win32 e Bridge de Ambiente de Trabalho. Algumas definições ingeridas por ADMX não serão aplicáveis a Windows 10 Enterprise multi-sessão.

Nota

Algumas definições de ADMX requerem atualmente uma construção privilegiada. Pode pairar sobre a bolha de informação ao lado do nome de definição para ver se é necessária uma construção interna para uma definição específica.

Conformidade e acesso condicional

Pode proteger os seus VMs de Windows 10 Enterprise multi-sessão configurando políticas de conformidade e políticas de acesso condicional no centro de administração Endpoint Manager. As seguintes políticas de conformidade são apoiadas em Windows 10 Enterprise VMs multi-sessão:

• Versão mínima do SO
• Versão máxima do SO
• Construções de sistema operativo válido
• Palavras-passe simples
• Tipo de senha
• Comprimento mínimo da palavra-passe
• Complexidade da palavra-passe
• Expiração da Palavra-passe (dias)
• Número de senhas anteriores para evitar a reutilização
• Microsoft Defender Antimalware
• Inteligência de segurança do Microsoft Defender Antimalware atualizada
• Firewall
• Antivírus
• Antisspyware
• Proteção em tempo real
• Versão mínima do Microsoft Defender Antimalware
• Pontuação do Risco ATP do Defender

Todas as outras políticas reportam como Não aplicável.

Importante

Terá de criar uma nova política de conformidade e direcioná-la para o grupo de dispositivos que contém os seus VMs de várias sessões. As configurações de conformidade direcionadas para o utilizador não são suportadas.

As políticas de Acesso Condicional suportam configurações baseadas no utilizador e no dispositivo para Windows 10 Enterprise multi-sessão.

Nota

O acesso condicional para Exchange no local não é suportado para Windows 10 Enterprise VMs multi-sessão.

Implementação de aplicações

Todas as Windows 10 aplicações podem ser implementadas para Windows 10 Enterprise multi-sessão com as seguintes restrições:

• Todas as aplicações devem ser configuradas para serem instaladas no contexto do sistema/dispositivo e direcionadas para dispositivos. As aplicações web são sempre aplicadas no contexto do utilizador por padrão, pelo que não se aplicarão a VMs de várias sessão.
• Todas as aplicações devem ser configuradas com a intenção de atribuição de aplicações necessárias ou desinstalar. A intenção de implementação de aplicações disponíveis não é suportada em VMs de múltiplas sessão.
• Se uma aplicação Win32 configurada para instalar no contexto do sistema tiver dependências ou relação de supersedência em qualquer aplicação configurada para instalar no contexto do utilizador, a aplicação não será instalada. Para aplicar a um VM de Windows 10 Enterprise multi-sessão, crie uma instância separada da aplicação de contexto do sistema ou certifique-se de que todas as dependências de aplicações estão configuradas para instalar no contexto do sistema.
• O Azure Virtual Desktop RemoteApp e o anexo de aplicações MSIX não são suportados atualmente em Microsoft Endpoint Manager.

Implementação de script

Os scripts configurados para serem executados no contexto do sistema são suportados em Windows 10 Enterprise multi-sessão. Isto pode ser configurado nas definições do Script, definindo Executar este script utilizando as credenciais registadas em Nº.

Windows Update para Empresas

Windows A atualização das políticas empresariais não é suportada atualmente para Windows 10 Enterprise multi-sessão.
Recomendamos que troque a imagem de SO em Azure se precisar das últimas atualizações de segurança. Se utilizar a imagem da Galeria Azure, obtém sempre as atualizações de segurança mais recentes e pode certificar-se de que todos os VMs estão atualizados e seguros.

Ações remotas

As seguintes ações remotas Windows 10 dispositivo de ambiente de trabalho não são suportadas e serão acinzentadas na UI e desativadas em Graph para Windows 10 Enterprise VMs de várias sessões:

• Reset do piloto automático
• Rotação da chave BitLocker
• Começar do Zero
• Bloqueio remoto
• Repor palavra-passe
• Eliminação

Extinção

A eliminação de VMs do Azure deixará registos de dispositivos órfãos em Microsoft Endpoint Manager. Serão automaticamente limpos de acordo com as regras de limpeza configuradas para o inquilino.

Linhas de base de segurança

As linhas de segurança não estão disponíveis para Windows 10 Enterprise multi-sessão neste momento. Recomendamos que reveja as linhas de base de segurança disponíveis e configuure as políticas e valores recomendados no catálogo Definições.

Configurações adicionais que não são suportadas em VMs de Windows 10 Enterprise multi-sessão

A inscrição fora da Box Experience (OOBE) não é suportada para a várias sessões da Janela 10 Enterprise. Esta restrição significa que:

• Windows O piloto automático e o OOBE Comercial não são suportados.
• A página do estado das inscrições não é suportada.

Windows 10 Enterprise multi-sessão gerida por Microsoft Endpoint Manager não é atualmente apoiada pela Comunidade do Governo dos EUA (GCC), GCC High, DoD ou China.

Passos seguintes

Saiba mais sobre o Azure Virtual Desktops.