Настройка клиентов для Windows 365 государственных организаций
Самый быстрый способ использования Windows 365 — использовать AADJ, образы из коллекции и параметр Microsoft Hosted Network. Инструкции на этой странице приведены только в том случае, если необходимо использовать один из следующих вариантов:
- Пользовательские образы. Windows 365 предоставляет оптимизированные образы коллекции, включая образы с предустановленными приложениями Microsoft 365. После развертывания образа коллекции Intune можно использовать для дальнейшей настройки общих параметров и развертывания приложений. Если необходимо использовать существующий пользовательский образ, дополнительные сведения см. в разделе Добавление пользовательского образа.
-
Connections сети Azure (ANC). ACS позволяют подготавливать облачные компьютеры, подключенные к управляемой виртуальной сети. Вот некоторые примеры.
- Azure виртуальная сеть (виртуальная сеть).
- Azure VPN-шлюз или выделенное подключение через ExpressRoute.
- Другие ресурсы Azure, включая ресурсы облачных компьютеров.
- Дополнительные сведения см. в статье Создание сетевого подключения Azure.
Только для клиентов облака сообщества для государственных организаций (GCC) приведенные ниже инструкции позволяют Intune работать в Azure для управления облачными компьютерами, работающими в Azure для государственных организаций регионах.
Примечание.
- Для использования Windows 365 государственных организаций не требуется подписка на Azure для государственных организаций. Эти инструкции предназначены специально для GCC и только в том случае, если требуются пользовательские образы и (или) сетевые Connections Azure. Инструкции на этой странице не применяются к GCC High.
- Для государственных организаций, у которых нет подписки на Azure для государственных организаций или требуется интеграция с Azure, рассмотрите возможность использования Windows 365 Корпоративная. Убедитесь, что это соответствует вашим требованиям к соответствию. Windows 365 Корпоративная соответствует FedRAMP. См. описание службы Windows 365
Подготовка к работе
Для сопоставления клиентов и предоставления разрешений для пользовательских образов и (или) подключения к собственным сетям необходимо:
- Подписка Azure для государственных организаций.
- Учетные данные пользователя, имеющего:
- Роль глобального администратора в клиенте Azure (заканчивается onmicrosoft.com).
- Учетные данные пользователя, имеющего:
- Роль владельца в подписке Azure для государственных организаций, И
- Роль глобального администратора в клиенте Azure для государственных организаций (заканчивается onmicrosoft.us).
- Для удовлетворения требований к лицензированию.
- (Если применимо) Ниже приведены сведения о применении разрешений для настройки сетевого подключения Azure. Виртуальная сеть и подсеть уже должны существовать.
- Идентификатор подписки.
- Группа ресурсов.
- виртуальная сеть.
- Подсеть.
Примечание.
В то время как облачные компьютеры пользователей GCC размещаются и защищены в Azure для государственных организаций облаке, конечные точки для администраторов и конечных пользователей находятся в коммерческом домене Azure. Пользователи будут входить в облачные компьютеры, используя учетные данные, синхронизированные с Microsoft Entra ID.
параметры Microsoft Entra
Если вы хотите использовать Microsoft Entra присоединение или Microsoft Entra гибридное соединение, рассмотрите следующие возможности.
Microsoft Entra присоединенных облачных компьютеров. Если вы хотите использовать инфраструктуру Microsoft Entra присоединения и собственную сеть, вам потребуется клиент и подписка Azure в Azure для государственных организаций облаке. Клиент в домене azure .com должен быть сопоставлен с клиентом в домене Azure для государственных организаций (US).
Облачные компьютеры, присоединенные к гибридным Microsoft Entra. Если вы хотите использовать инфраструктуру гибридного присоединения Microsoft Entra, перед созданием виртуальных сетей Azure необходимо настроить свой коммерческий клиент (.com) и арендаторы для государственных организаций (US).
Подготовка к Windows 365 средству установки GCC
Чтобы средство установки GCC Windows 365 завершило сопоставление клиентов, приложению Windows 365 Microsoft Entra должно быть предоставлено разрешение на доступ к клиенту Azure для государственных организаций AD через субъект-службу. Объект субъекта-службы определяет, что приложение может делать в клиенте, кто может получить доступ к приложению и к каким ресурсам приложение может получить доступ. Перед первым запуском средства установки GCC Windows 365 необходимо выполнить следующие действия.
- Если это еще не сделано, установите Azure CLI на компьютере, где будет создан субъект-служба. Дополнительные сведения см . в статье Установка Azure CLI.
- Войдите в клиент Azure для государственных организаций AD, выполнив действия Azure CLI, описанные в разделе Вход с помощью Azure CLI. Для создания субъекта-службы для приложения Windows требуются разрешения глобального администратора.
- Дополнительные сведения о работе с субъектами-службами в Azure см. в статье Работа с субъектом-службой Azure с помощью Azure CLI. Предоставьте клиенту разрешения приложения Windows 365 Microsoft Entra, выполнив следующую команду PowerShell:
az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
. - После успешного выполнения команды вы сможете просмотреть сведения о субъекте-службе, выполнив следующую команду PowerShell:
az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
. Приложение Windows должно отображаться в представлении Все приложения в колонке Корпоративное приложение в портал Azure.
Субъект-служба приложений Windows может получить доступ только к ресурсам Azure, необходимым для настройки пользовательского образа и поддержки сетевого подключения Azure (ANC) в Windows 365. После создания субъект-службу можно удалить только после отзыва пользовательских образов, объектов ANC и соответствующих облачных компьютеров, использующих их. В противном случае задачи подготовки облачных компьютеров могут завершиться сбоем, а существующие облачные компьютеры могут стать недоступными.
Начало работы со средством установки GCC Windows 365
Выполните следующие действия, чтобы настроить сопоставление клиентов с помощью средства установки GCC Windows 365.
- Запустите GCCSetupTool.exe. Это средство доступно по адресу https://aka.ms/gccsetuptool.
- На странице Начало работы нажмите кнопку Далее.
- Войдите с помощью учетной записи Azure. Эта учетная запись должна иметь разрешения глобального администратора.
- Подтвердите, что вы хотите продолжить работу с коммерческой учетной записью> Далее.
- Войдите с помощью учетной записи > Azure для государственных организаций Далее> введите свои учетные данные.
- Подтвердите, что вы хотите продолжить работу с учетной записью для государственных организаций >Далее.
- На экране Выберите функцию для включения убедитесь, что выбран параметр Пользовательские изображения . Этот параметр выбран по умолчанию, так как нет причин для запуска средства установки Windows 365 GCC, если вам не нужна хотя бы одна из перечисленных ниже функций.
Примечание.
ANC включает разрешения для пользовательских образов.
- Выберите сетевые подключения Azure , а затем выберите Подписка, Виртуальная сеть и Подсеть , которые требуется настроить. Нажмите кнопку Далее.
- На странице Проверка параметров просмотрите выбранные вами параметры и нажмите кнопку Предоставить.
- После завершения настройки можно закрыть средство.
Устранение неполадок
Если у вас возникли проблемы с запуском средства установки GCC Windows 365:
- В той же папке, где выполняется GCCSetupTool.exe, перейдите в папку Log и просмотрите
GCCAdminTool.log
файл. - Если у вас по-прежнему возникают проблемы, обратитесь в службу поддержки и предоставьте файл GCCADminTool.log.
Последующее использование средства установки GCC
Средство установки GCC Windows 365 можно запустить снова после начальной настройки. Возможно, вам потребуется снова использовать средство установки GCC, если вы:
- Не настроили ancs ранее или
- Требуется расширить использование ANCs в других сетях.
Альтернативный сценарий
В качестве альтернативы использованию средства установки GCC для настройки ANC можно также использовать следующий скрипт для настройки разрешений для дополнительных АНО.
Примечание.
Сопоставление клиента должно быть успешно выполнено, прежде чем приступить к выполнению скрипта для настройки ANCs.
connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
- Если у вас нет Cloud Shell (требуется учетная запись хранения Azure), можно запустить скрипт двумя способами:
- Выберите Копировать в скрипте и запустите сценарий PowerShell локально на компьютере.
- Выберите Открыть Cloudshell> вставьте скрипт в Azure для государственных организаций подписке Cloud Shell > запустите скрипт.
- После выполнения скрипта в командной строке выберите вариант 2. Этот параметр настраивает разрешения для ANC.
- В списке Azure для государственных организаций подписок выберите подписку, для которой требуется предоставить разрешения.
- В списке групп ресурсов выберите группу ресурсов, которую вы хотите использовать.
- Выберите виртуальную сеть.
- Скрипт предоставляет разрешения и перечисляет настроенные параметры.