Удаленные рабочие столы Windows 10 или Windows 11 Корпоративная с поддержкой многосеансового режима

Виртуальный рабочий стол Azure с несколькими сеансами в Microsoft Intune теперь является общедоступным.

Теперь вы можете использовать Microsoft Intune для управления Windows 10 или Windows 11 Корпоративная удаленными рабочими столами с несколькими сеансами в Центре администрирования Microsoft Intune так же, как вы можете управлять общими Windows 10 или Windows 11 клиентское устройство. При управлении такими виртуальными машинами вы сможете использовать конфигурацию на основе устройств или пользовательскую конфигурацию, предназначенную для пользователей.

Windows 10 или Windows 11 Корпоративная с поддержкой многосеансового режима — это новый узел сеансов удаленного рабочего стола, эксклюзивный для Виртуального рабочего стола Azure в Azure. Он обеспечивает перечисленные ниже преимущества.

• Разрешает несколько одновременных сеансов пользователей.
• Предоставляет пользователям знакомый интерфейс Windows 10 или Windows 11.
• Поддерживает использование существующего лицензирования Microsoft 365 для каждого пользователя.

Вы можете управлять виртуальными машинами Windows 10 и Windows 11 Корпоративная с поддержкой многосеансового режима, созданными в облаке Azure для государственных организаций Azure в сообществе для государственных организаций (GCC), GCC High и DoD.

Важно!

Microsoft Intune поддержка нескольких сеансов Виртуального рабочего стола Azure сейчас недоступна для Citrix DaaS и VMware Horizon Cloud.

Обзор

Общедоступная поддержка конфигурации устройств в Microsoft Intune для Windows 10 или Windows 11 Корпоративная многосеансовой версии. Это означает, что политики, определенные в область ОС, и приложения, настроенные для установки в системном контексте, могут применяться к виртуальным машинам Виртуального рабочего стола Azure с несколькими сеансами при назначении группам устройств.

Примечание.

Конфигурация на основе устройств не может быть назначена пользователям, а конфигурация на основе пользователя не может быть назначена устройствам. Оно будет указано как Ошибка или Неприменимо.

Поддержка конфигурации пользователей в Microsoft Intune для Windows 10 или Windows 11 виртуальных машин с несколькими сеансами общедоступна. С помощью этого вы сможете:

• Настраивать политики области пользователей с помощью Каталога параметров, а затем назначать их группам пользователей. С помощью панели поиска можно искать во всех конфигурациях с областью "пользователь".

• Настраивать сертификаты пользователей и назначать их пользователям.

• Настраивать сценарии PowerShell для установки в контексте пользователя и назначения пользователям.

Предварительные требования

Эта функция поддерживает многосеансовые виртуальные машины Windows 10 или Windows 11 Корпоративная, которые соответствуют следующим требованиям:

• работают в многосеансовом режиме Windows 10 версии 1903 или более поздней, или в многосеансовом режиме Windows 11;
• настроены в качестве удаленных рабочих столов в пулах узлов, развернутых с помощью Azure Resource Manager;
• В том же клиенте, что и Intune.
• работают с агентом виртуальных рабочих столов Azure версии 1.0.2944.1400 или более поздней;
• Microsoft Entra гибридное присоединение и регистрация в Microsoft Intune с помощью одного из следующих методов:
  • Настроена групповая политика Active Directory, настроена для использования учетных данных устройства и настроена автоматическая регистрация устройств, которые Microsoft Entra гибридным присоединением.
  • Совместное управление в Configuration Manager.
• Microsoft Entra присоединение и регистрация в Microsoft Intune путем включения параметра Регистрация виртуальной машины с помощью Intune в портал Azure.
• Лицензирование. Соответствующий Виртуальный рабочий стол Azure и лицензия на Microsoft Intune требуются, если пользователь или устройство прямо или косвенно получают преимущества от службы Microsoft Intune, включая доступ к службе Microsoft Intune через API Майкрософт. Дополнительные сведения см. в разделе Microsoft Intune лицензирование.
• Дополнительные сведения о требованиях к лицензированию Виртуального рабочего стола Azure см. в статье Что такое Виртуальный рабочий стол Azure?.

Ограничения

Intune не поддерживает использование клонированного образа уже зарегистрированного компьютера. Сюда входят как физические, так и виртуальные устройства, такие как Виртуальный рабочий стол Azure (AVD). При репликации маркеров регистрации устройств или маркеров удостоверений между устройствами произойдет сбой регистрации или синхронизации устройств Intune.

• Дополнительные сведения см. в разделе Регистрация мобильных устройств. Управление клиентами Windows и регистрация устройств с проверкой подлинности сертификатов . Управление клиентами Windows.
• Сведения об устранении неполадок, связанных с клонированием образов, см. в статье Ошибка hr 0x8007064c: компьютер уже зарегистрирован.

Примечание.

Если вы присоединяете узлы сеансов к Доменные службы Microsoft Entra, вы не сможете управлять ими с помощью Intune.

Важно!

• Если вы используете Windows 10 версий 2004, 20H2 или 21H1, убедитесь, что вы установили обновление Windows за июль 2021 клиентский компонент Центра обновления Windows г. или более поздней версии. В противном случае удаленные действия в Центре администрирования Microsoft Intune, такие как удаленная синхронизация, будут работать неправильно. В результате применение всех ожидающих политик, назначенных устройствам, может занять до 8 часов.
• Intune в настоящее время не поддерживает функцию перемещения маркеров между устройствами. Если FSLogix или аналогичная технология используется для управления профилями пользователей и параметрами Windows, необходимо убедиться, что маркеры не будут неожиданно перемещаться или дублироваться на разных устройствах. Чтобы убедиться, что вы используете поддерживаемую версию и конфигурацию FSLogix с отключенным роумингом маркеров, см. справочник по параметрам конфигурации FSLogix RoamIdentity.

Windows 10 или Windows 11 Корпоративная многосеансовые виртуальные машины рассматриваются как отдельный выпуск ОС, и некоторые Windows 10 или Windows 11 Корпоративная конфигурации для этого выпуска не поддерживаются. Использование Microsoft Intune не мешает управлению Виртуальным рабочим столом Azure на одной и той же виртуальной машине и не зависит от него.

Создание профиля конфигурации

Чтобы настроить политики конфигурации для Windows 10 или Windows 11 Корпоративная многосеансовых виртуальных машин, необходимо использовать каталог параметров в Центре администрирования Microsoft Intune.

Существующие шаблоны профиля конфигурации устройства не поддерживаются для многосеансовых виртуальных машин Windows 10 или Windows 11 Корпоративная, за исключением следующих шаблонов:

• Доверенный сертификат — устройство (компьютер) при нацеливание на устройства и пользователь при выборе пользователей
• Сертификат SCEP — устройство (компьютер) при нацеливание на устройства и пользователь при выборе пользователей
• Сертификат PKCS — устройство (компьютер) при выборе устройств и пользователь при выборе пользователей
• VPN — только устройства Tunnel.

Microsoft Intune не предоставляет неподдерживаемые шаблоны для устройств с многосеансовым режимом, и эти политики отображаются в отчетах как неприменимые.

Примечание.

Если вы используете совместное управление для Intune и Configuration Manager, в Configuration Manager установите ползунок рабочей нагрузки для параметра "Политики доступа к ресурсам" напротив значения Intune или Пилотная версия Intune. Этот параметр позволяет клиентам Windows 10 и Windows 11 запускать процесс запроса сертификата.

Настройка политик

1. Войдите в Центр администрирования Microsoft Intune и выберите Устройства>Профили> конфигурацииWindows>Create>Создать политика.
2. В поле Платформа выберите Windows 10 и более поздние версии.
3. В поле Тип профиля выберите Каталог параметров или при развертывании параметров с помощью шаблона выберите Шаблоны, а затем — имя поддерживаемого шаблона.
4. Нажмите Создать.
5. На странице Основные сведения укажите Имя и (необязательно) Описание>Далее.
6. В разделе Параметры конфигурации нажмите Добавить параметры.
7. В разделе Выбор параметров нажмите Добавить фильтр и выберите следующие параметры:
   • Ключ: версия ОС
   • Оператор: ==
   • Значение: Корпоративная (многосеансовый режим)
   • Нажмите Применить. В отфильтрованном списке теперь отображаются все категории профилей конфигурации, которые поддерживают многосеансовый режим Windows 10 или Windows 11 Корпоративная. Область политики отображается в круглых скобках. Для области пользователя она показывается как (Пользователь), а все остальные — политики с областью устройства.
8. В отфильтрованном списке выберите нужные категории.
   • Для каждой выбранной категории выберите параметры, которые необходимо применить к новому профилю конфигурации.
   • Для каждого параметра выберите нужное значение для этого профиля конфигурации.
9. После добавления параметров нажмите кнопку Далее .
10. На странице Назначения выберите группы Microsoft Entra, содержащие устройства, которым требуется назначить > этот профиль Далее.
11. На странице Теги области при необходимости добавьте теги область, которые вы хотите применить к этому профилю >Далее. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.
12. На странице Просмотр и создание выберите Создать, чтобы создать профиль.

Административные шаблоны

Административные шаблоны Windows 10 или Windows 11 поддерживаются для многосеансового режима Windows 10 или Windows 11 Корпоративная через каталог настроек с некоторыми ограничениями:

• поддерживаются политики с поддержкой ADMX. Некоторые политики пока недоступны в каталоге параметров.
• Поддерживаются политики, принятые ADMX, включая параметры Office и Microsoft Edge, доступные в файлах административных шаблонов Office и Microsoft Edge. Полный список категорий политики, принятых ADMX, см. в разделе Конфигурация политики приложений Win32 и Desktop Bridge. Некоторые параметры, принятые ADMX не применимы к многосеансовому режиму Windows 10 или Windows 11 Корпоративная.

Соответствие требованиям и условный доступ

Вы можете защитить Windows 10 или Windows 11 Корпоративная многосеансовых виртуальных машин, настроив политики соответствия требованиям и политики условного доступа в Центре администрирования Microsoft Intune. Многосеансовые виртуальные машины Windows 10 или Windows 11 Корпоративная поддерживают следующие политики соответствия требованиям:

• Минимальная версия ОС
• Максимальная версия ОС
• допустимые сборки операционной системы;
• простые пароли
• тип пароля;
• Минимальная длина пароля
• Сложность пароля
• Срок действия пароля (дней)
• число предыдущих паролей для запрета повторного использования;
• Антивредоносная программа в Microsoft Defender
• актуальность механизма обнаружения угроз антивредоносного ПО в Microsoft Defender
• Брандмауэр
• антивирусная программа
• антишпионское ПО;
• защита в режиме реального времени;
• минимальная версия антивредоносной программы в Microsoft Defender;
• оценка риска ATP в Defender.

Все остальные политики отображаются как Неприменимые.

Важно!

Вам потребуется создать новую политику соответствия требованиям и нацелить ее на группу устройств, содержащую виртуальные машины с несколькими сеансами. Конфигурации соответствия, предназначенные для пользователей, не поддерживаются.

Политики условного доступа поддерживают конфигурации на основе как пользователей, так и устройств для многосеансового режима Windows 10 или Windows 11 Корпоративная.

Примечание.

Условный доступ для локальной среды Exchange не поддерживается для многосеансовых виртуальных машин Windows 10 или Windows 11 Корпоративная.

Примечание.

Политики конфигурации и соответствия для BitLocker, безопасной загрузки и функций, которые используют vTPM (виртуальный доверенный платформенный модуль), в настоящее время не поддерживаются для виртуальных машин Виртуального рабочего стола Azure.

Безопасность конечной точки

Вы можете настроить профили в разделе "Безопасность конечной точки" для виртуальных машин с несколькими сеансами, выбрав платформу Windows 10, Windows 11 и Windows Server. Если эта платформа недоступна, профиль не поддерживается на виртуальных машинах с несколькими сеансами.

Дополнительные сведения см. в статье Управление безопасностью устройств с помощью политик безопасности конечных точек в Microsoft Intune

Развертывание приложений

Все приложения Windows 10 или Windows 11 можно развернуть в многосеансовом режиме Windows 10 или Windows 11 Корпоративная со следующими ограничениями.

• Все приложения должны быть настроены для установки в контексте системы или устройства и ориентированные на устройства. Веб-приложения всегда применяются по умолчанию в контексте пользователя, поэтому они не будут применяться к многосеансовым виртуальным машинам.
• Все приложения должны быть настроены с намерением назначения Обязательных или Удаленных приложений. Намерение развертывания Доступных приложений не поддерживается на многосеансовых виртуальных машинах.
• Если приложение Win32, настроенное для установки в контексте системы, имеет зависимости или отношения замены для всех приложений, настроенных для установки в контексте пользователя, приложение не будет установлено. Создайте отдельный экземпляр приложения контекста системы или настройте все зависимости приложений для установки в контексте системы для применения к многосеансовой виртуальной машине Windows 10 или Windows 11 Корпоративная.
• Подключение к Виртуальному столу Azure удаленного приложения RemoteApp и приложения MSIX в настоящее время не поддерживается в Microsoft Intune.

Развертывание сценария

Сценарии, настроенные для запуска в системном контексте и назначенные устройствам, поддерживаются в многосеансовом режиме Windows 10 или Windows 11 Корпоративная. Внести эти настройки можно в разделе "Параметры сценария", задав для параметра Запуск сценария с использованием текущих учетных данных значение Нет.

Скрипты, настроенные для выполнения в контексте пользователя и назначенные пользователям, поддерживаются в Windows 10 и Windows 11 Корпоративная многосеансовом режиме. Внести эти настройки можно в разделе "Параметры сценария", задав для параметра Запуск сценария с использованием текущих учетных данных значение Да.

Центр обновления Windows для бизнеса

Для управления параметрами Центра обновления Windows в отношении обновлений, касающихся качества (безопасности) для виртуальных машин, работающих в многосеансовом режиме Windows 10 или Windows 11 Корпоративная, можно воспользоваться каталогом параметров. Чтобы найти в каталоге поддерживаемые параметры, настройте фильтр параметров для версии многосеансового режима версии "Корпоративная", а затем разверните категорию Центр обновления Windows для бизнеса.

В каталоге доступны следующие параметры (ссылки открывают документацию Windows CSP):

• Время окончания периода активности
• Максимальный диапазон периода активности
• Время начала периода активности
• Блокировка возможности приостановки обновлений
• Настройка периода отсрочки наступления крайнего срока
• Период отсрочки исправлений (в днях)
• Приостановка отсчета времени до начала получения исправлений
• Период до наступления крайнего срока установки исправлений (в днях)

Удаленные действия

Указанные ниже удаленные действия с компьютерами Windows 10 или Windows 11 не поддерживаются. Они будут выделены серым цветом в пользовательском интерфейсе и отключены в Graph для многосеансовых виртуальных машин Windows 10 или Windows 11 Корпоративная.

• Сброс Автопилота
• Смена ключа BitLocker
• Новый запуск
• Удаленная блокировка
• Сброс пароля
• Очистка

Выход из эксплуатации

При удалении виртуальных машин из Azure в Центре администрирования Microsoft Intune останутся потерянные записи устройств. Они будут автоматически очищены в соответствии с правилами очистки, настроенными для клиента.

Базовая конфигурация безопасности

В настоящее время базовые конфигурации безопасности недоступны для Windows 10 или Windows 11 Корпоративная с поддержкой многосеансового режима. Мы рекомендуем ознакомиться с доступными базовыми конфигурациями безопасности и настроить рекомендуемые политики и значения в каталоге параметров.

Дополнительные конфигурации, которые не поддерживаются на многосеансовых виртуальных машинах Windows 10 или Windows 11 Корпоративная

Регистрация при первом включении компьютера (OOBE) не поддерживается в многосеансовом режиме Windows 10 или Windows 11 Корпоративная. Это ограничение означает что:

• Windows Autopilot и коммерческая версия регистрации при первом включении компьютера не поддерживаются.
• Страница состояния регистрации не поддерживается.

Windows 10 или Windows 11 Корпоративная с многосеансовым режимом под управлением Microsoft Intune в настоящее время не поддерживается для независимой облачной службы в Китае.

Устранение неполадок

В следующих разделах приводится руководство по устранению неполадок при распространенных проблемах.

Проблемы с регистрацией

Проблема	Сведения
Сбой регистрации виртуальной машины с гибридным присоединением Microsoft Entra	Автоматическая регистрация настроена на использование учетных данных пользователя. Виртуальные машины, работающие в многосеансовом режиме Windows 10 или Windows 11 Корпоративная, должны быть зарегистрированы с использованием учетных данных устройств. Агент Виртуального рабочего стола Azure, который вы используете, должен иметь версию 1.0.2944.1400 или более позднюю. У вас есть несколько поставщиков MDM, которые не поддерживаются. Виртуальные машины Windows 10 или Windows 11 Корпоративная с поддержкой многосеансового режима настроены вне пула узлов. Microsoft Intune поддерживает только виртуальные машины, подготовленные в качестве элементов пула узлов. Пул узлов Azure Virtual Desktop был создан не по шаблону Azure Resource Manager.
Сбой регистрации виртуальной машины, присоединенной к Microsoft Entra	Агент Виртуального рабочего стола Azure, который вы используете, не обновляется. Агент должен быть версии 1.0.2944.1400 или более поздней. Пул узлов Azure Virtual Desktop был создан не по шаблону Azure Resource Manager.

Проблемы, связанные с конфигурацией

Проблема	Сведения
Сбой настройки политики каталога	Убедитесь в том, что виртуальная машина зарегистрирована с использованием учетных данных устройств. Регистрация с использованием учетных данных пользователя в настоящее время не поддерживается многосеансовым режимом Windows 10 или Windows 11 Корпоративная.
Политика конфигурации не применена	Шаблоны (за исключением сертификатов) не поддерживаются многосеансовым режимом Windows 10 или Windows 11 Корпоративная. Все политики должны создаваться с помощью каталога параметров.
Политика конфигурации отмечена как неприменимая	Некоторые политики неприменимы к виртуальным машинам Виртуального рабочего стола Azure.
Политика ADMX Microsoft Edge/Microsoft Office не отображается при применении фильтра для многосеансового режима Windows 10 или Windows 11 Корпоративная	Применимость этих параметров определяется не версией или выпуском Windows, а тем, установлены ли эти приложения на устройстве. Чтобы добавить эти параметры в политику, может потребоваться удалить все фильтры, примененные в разделе выбора параметров.
Приложение, настроенное для установки в системном контексте, не было применено	Убедитесь в том, что приложение не находится в отношении зависимости или замены с какими-либо приложениями, настроенными для установки в пользовательском контексте. В настоящее время приложения, рассчитанные на пользовательский контекст, не поддерживаются в многосеансовом режиме Windows 10 или Windows 11 Корпоративная.
Не была применена политика кругов обновления для Windows 10 и более поздних версий	Политики кругов обновления Windows в настоящее время не поддерживаются.

Дальнейшие действия

Дополнительные сведения о Виртуальном рабочем столе Azure.