Appanslutning och MSIX-appanslutning i Azure Virtual Desktop
Det finns två funktioner i Azure Virtual Desktop som gör att du kan koppla program dynamiskt från ett programpaket till en användarsession i Azure Virtual Desktop – appanslutning och MSIX-appanslutning. Med både appanslutning och MSIX-appanslutning installeras inte program lokalt på sessionsvärdar eller bilder, vilket gör det enklare att skapa anpassade avbildningar för dina sessionsvärdar och minska driftkostnaderna och kostnaderna för din organisation. Program körs i containrar som separerar användardata, operativsystemet och andra program, vilket ökar säkerheten och gör dem enklare att felsöka.
I följande tabell jämförs MSIX-appkoppling med appkoppling:
MSIX-appbifogning | Bifoga app |
---|---|
Program levereras med RemoteApp eller som en del av en skrivbordssession. Behörigheter styrs av tilldelning till programgrupper, men alla skrivbordsanvändare ser alla MSIX-appkopplingsprogram i skrivbordsprogramgruppen. | Program levereras med RemoteApp eller som en del av en skrivbordssession. Behörigheter tillämpas per program per användare, vilket ger dig större kontroll över vilka program som användarna kan komma åt i en fjärrsession. Skrivbordsanvändare ser bara appanslutningsprogram som tilldelats dem. |
Program kan bara köras på en värdpool. Om du vill att den ska köras på en annan värdpool måste du skapa ett annat paket. | Samma programpaket kan användas i flera värdpooler. |
Program kan bara köras i värdpoolen där de läggs till. | Program kan köras på alla sessionsvärdar som kör ett Windows-klientoperativsystem i samma Azure-region som programpaketet. |
Om du vill uppdatera programmet måste du ta bort och återskapa programmet med en annan version av paketet. Du bör uppdatera programmet i ett underhållsfönster. | Program kan uppgraderas till en ny programversion med en ny diskbild utan behov av ett underhållsperiod. |
Användare kan inte köra två versioner av samma program på samma sessionsvärd. | Användare kan köra två versioner av samma program samtidigt på samma sessionsvärd. |
Telemetri för användning och hälsa är inte tillgängligt via Azure Log Analytics. | Telemetri för användning och hälsa är tillgängligt via Azure Log Analytics. |
Du kan använda följande programpakettyper och filformat:
Pakettyp | Filformat | Funktion tillgänglig |
---|---|---|
MSIX- och MSIX-paket | .msix .msixbundle |
MSIX-appbifogning Bifoga app |
Appx- och Appx-paket | .appx .appxbundle |
Endast appkoppling |
MSIX och Appx är Windows-programpaketformat som ger en modern paketeringsupplevelse för Windows-program. Program körs i containrar som separerar användardata, operativsystemet och andra program, vilket ökar säkerheten och gör dem enklare att felsöka. MSIX och Appx är liknande, där den största skillnaden är att MSIX är en supermängd av Appx. MSIX stöder alla funktioner i Appx, plus andra funktioner som gör den mer lämplig för företagsanvändning.
Dricks
Välj en knapp överst i den här artikeln för att välja mellan appanslutning och MSIX-appanslutning för att se relevant dokumentation.
Du kan hämta MSIX-paket från programvaruleverantörer eller skapa ett MSIX-paket från ett befintligt installationsprogram. Mer information om MSIX finns i Vad är MSIX?
Hur en användare hämtar ett program
Du kan tilldela olika program till olika användare i samma värdpool eller på samma sessionsvärd. Under inloggningen måste alla tre av följande krav uppfyllas för att användaren ska få rätt program vid rätt tidpunkt:
Programmet måste tilldelas till värdpoolen. Genom att tilldela programmet till värdpoolen kan du vara selektiv om vilka värdpooler programmet är tillgängligt på för att säkerställa att rätt maskinvaruresurser är tillgängliga för användning av programmet. Om ett program till exempel är grafikintensivt kan du se till att det bara körs på en värdpool med GPU-optimerade sessionsvärdar.
Användaren måste kunna logga in på sessionsvärdar i värdpoolen, så de måste vara i en skrivbords- eller RemoteApp-programgrupp. För en RemoteApp-programgrupp måste appkopplingsprogrammet läggas till i programgruppen, men du behöver inte lägga till programmet i en skrivbordsprogramgrupp.
Programmet måste tilldelas användaren. Du kan använda en grupp eller ett användarkonto.
Om alla dessa krav uppfylls hämtar användaren programmet. Den här processen ger kontroll över vem som får ett program på vilken värdpool och även hur det är möjligt för användare i en enda värdpool eller till och med inloggade på samma sessionsvärd för flera sessioner att få olika programkombinationer. Användare som inte uppfyller kraven får inte programmet.
Hur en användare hämtar ett program
Du kan tilldela olika program till olika användare i samma värdpool. Med MSIX-appanslutning lägger du till MSIX-paket i en värdpool och styr tilldelningen av program med hjälp av skrivbords- eller RemoteApp-programgrupper. Under inloggningen måste följande krav uppfyllas för att användaren ska få rätt program vid rätt tidpunkt:
Användaren måste kunna logga in på sessionsvärdar i värdpoolen, så de måste vara i en skrivbords- eller RemoteApp-programgrupp.
MSIX-avbildningen måste läggas till i värdpoolen.
Om dessa krav uppfylls hämtar användaren programmet. När du tilldelar program med hjälp av en skrivbordsprogramgrupp läggs de till på användarens startmeny. Användare som inte uppfyller kraven får inte programmet.
Programbilder
Innan du kan använda dina programpaket med Azure Virtual Desktop måste du skapa en MSIX-avbildning från dina befintliga programpaket med hjälp av MSIXMGR-verktyget. Sedan måste du lagra varje diskbild på en filresurs som är tillgänglig för sessionsvärdarna. Mer information om kraven för en filresurs finns i Filresurs.
Typer av diskbild
Du kan använda CimFS (Composite Image File System), VHDX eller VHD för diskbilder, men vi rekommenderar inte att du använder VHD. Montering och avmontering av CimFS-avbildningar är snabbare än VHD- och VHDX-filer och förbrukar även mindre PROCESSOR och minne. Vi rekommenderar bara att du använder CimFS för dina programbilder om sessionsvärdarna kör Windows 11.
En CimFS-avbildning är en kombination av flera filer: en fil har filnamnstillägget .cim
och innehåller metadata, tillsammans med minst två andra filer, en som börjar med objectid_
och den andra som börjar med region_
som innehåller faktiska programdata. Filerna som .cim
medföljer filen har inget filnamnstillägg. Följande tabell är en lista över exempelfiler som du hittar för en CimFS-avbildning:
Filnamn | Storlek |
---|---|
MyApp.cim |
1 kB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
27 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
20 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
42 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
428 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
217 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
264 132 KB |
Följande tabell är en prestandajämförelse mellan VHDX och CimFS. Dessa siffror var resultatet av en testkörning med 500 filer på 300 MB vardera per format och testerna utfördes på en virtuell DSv4 Azure-dator.
Metric | VHD | CimFS |
---|---|---|
Genomsnittlig monteringstid | 356 ms | 255 ms |
Genomsnittlig avmonteringstid | 1615 ms | 36 ms |
Minnesförbrukning | 6 % (av 8 GB) | 2 % (av 8 GB) |
CPU (antalstoppar) | Maxat flera gånger | Ingen effekt |
Programregistrering
Appanslutning monterar diskbilder som innehåller dina program från en filresurs till en användares session under inloggningen och sedan gör en registreringsprocess programmen tillgängliga för användaren. Det finns två typer av registrering:
MSIX-appen bifogar monterar diskbilder som innehåller dina program från en filresurs till en användares session under inloggningen och sedan gör en registreringsprocess programmen tillgängliga för användaren. Det finns två typer av registrering:
På begäran: program registreras endast delvis vid inloggning och den fullständiga registreringen av ett program skjuts upp tills användaren startar programmet. På begäran är den registreringstyp som vi rekommenderar att du använder eftersom det inte påverkar den tid det tar att logga in på Azure Virtual Desktop. På begäran är standardregistreringsmetoden.
Logga in blockerande: varje program som du tilldelar till en användare är helt registrerat. Registreringen sker när användaren loggar in på sin session, vilket kan påverka inloggningstiden till Azure Virtual Desktop.
Viktigt!
Alla MSIX- och Appx-programpaket innehåller ett certifikat. Du ansvarar för att se till att certifikaten är betrodda i din miljö. Självsignerade certifikat stöds med lämplig förtroendekedja.
Appanslutning begränsar inte antalet program som användare kan använda. Du bör överväga ditt tillgängliga nätverksdataflöde och antalet öppna referenser per fil (varje bild) som filresursen stöder, eftersom det kan begränsa antalet användare eller program som du kan stödja. Mer information finns i Filresurs.
Viktigt!
Alla MSIX-programpaket innehåller ett certifikat. Du ansvarar för att se till att certifikaten är betrodda i din miljö. Självsignerade certifikat stöds.
MSIX-appanslutning begränsar inte antalet program som användare kan använda. Du bör överväga ditt tillgängliga nätverksdataflöde och antalet öppna referenser per fil (varje bild) som filresursen stöder, eftersom det kan begränsa antalet användare eller program som du kan stödja. Mer information finns i Filresurs.
Programtillstånd
Ett MSIX- och Appx-paket anges som aktiva eller inaktiva. Paket som är inställda på aktiv gör programmet tillgängligt för användare. Paket som är inställda på inaktiva ignoreras av Azure Virtual Desktop och läggs inte till när en användare loggar in.
Ett MSIX-paket anges som aktivt eller inaktivt. MSIX-paket som är inställda på aktiv gör programmet tillgängligt för användare. MSIX-paket som är inställda på inaktiva ignoreras av Azure Virtual Desktop och läggs inte till när en användare loggar in.
Nya versioner av program
Du kan lägga till en ny version av ett program genom att ange en ny avbildning som innehåller det uppdaterade programmet. Du kan använda den här nya avbildningen på två sätt:
Sida vid sida: Skapa ett nytt program med den nya diskbilden och tilldela det till samma värdpooler och användare som det befintliga programmet.
På plats: skapa en ny avbildning där versionsnumret för programmet ändras och uppdatera sedan det befintliga programmet så att det använder den nya avbildningen. Versionsnumret kan vara högre eller lägre, men du kan inte uppdatera ett program med samma versionsnummer. Ta inte bort den befintliga avbildningen förrän alla användare har använt den.
När den har uppdaterats får användarna den uppdaterade programversionen nästa gång de loggar in. Användarna behöver inte sluta använda den tidigare versionen för att lägga till en ny version.
Nya versioner av program
Med MSIX-appanslutning måste du ta bort programpaketet och sedan skapa ett nytt program med den nya diskbilden och tilldela det till samma värdpooler. Du kan inte uppdatera på plats som du kan med appanslutning. Användarna får den nya avbildningen med det uppdaterade programmet nästa gång de loggar in. Du bör utföra dessa uppgifter under en underhållsperiod.
Identitetsprovidrar
Här är de identitetsprovidrar som du kan använda med appkoppling:
Identitetsprovider | Status |
---|---|
Microsoft Entra ID | Stöds |
Usluge domena aktivnog direktorijuma (AD DS) | Stöds |
Microsoft Entra Domain Services | Stöds inte |
Här är de identitetsprovidrar som du kan använda med MSIX-appanslutning:
Identitetsprovider | Status |
---|---|
Microsoft Entra ID | Stöds inte |
Usluge domena aktivnog direktorijuma (AD DS) | Stöds |
Microsoft Entra Domain Services (Azure AD DS) | Stöds inte |
Filresurs
Appanslutning kräver att dina programbilder lagras på en SMB-filresurs, som sedan monteras på varje sessionsvärd under inloggningen. Appanslutningen har inte beroenden av vilken typ av lagringsinfrastruktur som filresursen använder. Vi rekommenderar att du använder Azure Files eftersom det är kompatibelt med Microsoft Entra-ID eller Usluge domena aktivnog direktorijuma och erbjuder ett stort värde mellan kostnader och hanteringskostnader.
Du kan också använda Azure NetApp Files, men det kräver att dina sessionsvärdar är anslutna till Usluge domena aktivnog direktorijuma.
MSIX-appanslutning kräver att dina programbilder lagras på en SMB version 3-filresurs, som sedan monteras på varje sessionsvärd under inloggningen. MSIX-appanslutningen har inte beroenden av vilken typ av lagringsinfrastruktur som filresursen använder. Vi rekommenderar att du använder Azure Files eftersom det är kompatibelt med de identitetsprovidrar som stöds som du kan använda för MSIX-appanslutning och erbjuder ett stort värde mellan kostnader och hanteringskostnader. Du kan också använda Azure NetApp Files, men det kräver att dina sessionsvärdar är anslutna till Usluge domena aktivnog direktorijuma.
I följande avsnitt får du vägledning om vilka behörigheter, prestanda och tillgänglighet som krävs för filresursen.
Behörigheter
Varje sessionsvärd monterar programbilder från filresursen. Du måste konfigurera NTFS och dela behörigheter så att varje sessionsvärddatorobjekt kan läsa åtkomst till filerna och filresursen. Hur du konfigurerar rätt behörighet beror på vilken lagringsprovider och identitetsprovider du använder för filresursen och sessionsvärdarna.
Om du vill använda Azure Files när dina sessionsvärdar är anslutna till Microsoft Entra-ID måste du tilldela rollbaserad åtkomstkontroll för Läsare och dataåtkomst (RBAC) till Azure Virtual Desktop - och Azure Virtual Desktop ARM Provider-tjänstens huvudnamn. Med den här RBAC-rolltilldelningen kan sessionsvärdarna komma åt lagringskontot med hjälp av åtkomstnycklar. Lagringskontot måste finnas i samma Azure-prenumeration som dina sessionsvärdar. Information om hur du tilldelar en Azure RBAC-roll till tjänstens huvudnamn för Azure Virtual Desktop finns i Tilldela RBAC-roller till Tjänstens huvudnamn för Azure Virtual Desktop.
Mer information om hur du använder Azure Files med sessionsvärdar som är anslutna till Microsoft Entra ID, Usluge domena aktivnog direktorijuma eller Microsoft Entra Domain Services finns i Översikt över identitetsbaserade autentiseringsalternativ för Azure Files för SMB-åtkomst.
Varning
Om du tilldelar tjänstens huvudnamn för Azure Virtual Desktop ARM Provider till lagringskontot får Azure Virtual Desktop-tjänsten alla data i lagringskontot. Vi rekommenderar att du endast lagrar appar som ska användas med appanslutning i det här lagringskontot och roterar åtkomstnycklarna regelbundet.
För Azure Files med Usluge domena aktivnog direktorijuma måste du tilldela rollrollen Azure rollbaserad åtkomstkontroll (RBAC) för Storage File Data SMB Share Reader som standardbehörighet på resursnivå och konfigurera NTFS-behörigheter för att ge läsbehörighet till varje sessionsvärds datorobjekt.
Mer information om hur du använder Azure Files med sessionsvärdar som är anslutna till Microsoft Entra ID, Usluge domena aktivnog direktorijuma eller Microsoft Entra Domain Services finns i Översikt över identitetsbaserade autentiseringsalternativ för Azure Files för SMB-åtkomst.
För Azure Files med Usluge domena aktivnog direktorijuma måste du tilldela rollrollen Azure rollbaserad åtkomstkontroll (RBAC) för Storage File Data SMB Share Reader som standardbehörighet på resursnivå och konfigurera NTFS-behörigheter för att ge läsbehörighet till varje sessionsvärds datorobjekt.
Mer information om hur du använder Azure Files med sessionsvärdar som är anslutna till Usluge domena aktivnog direktorijuma eller Microsoft Entra Domain Services finns i Översikt över identitetsbaserade autentiseringsalternativ för Azure Files för SMB-åtkomst.
- För Azure NetApp Files kan du skapa en SMB-volym och konfigurera NTFS-behörigheter för att ge läsbehörighet till varje sessionsvärds datorobjekt. Sessionsvärdarna måste vara anslutna till Usluge domena aktivnog direktorijuma eller Microsoft Entra Domain Services.
Du kan kontrollera att behörigheterna är korrekta med hjälp av PsExec. Mer information finns i Kontrollera filresursåtkomst.
Prestanda
Kraven kan variera kraftigt beroende på hur många paketerade program som lagras i en avbildning och du måste testa dina program för att förstå dina krav. För större avbildningar måste du allokera mer bandbredd. I följande tabell visas ett exempel på kraven för en enskild MSIX-avbildning på 1 GB som innehåller ett program som kräver per sessionsvärd:
Resurs | Krav |
---|---|
IOPS för stabilt tillstånd | En IOP |
Inloggning för datorstart | 10 IOPS |
Svarstid | 400 ms |
För att optimera prestanda för dina program rekommenderar vi:
Filresursen bör finnas i samma Azure-region som dina sessionsvärdar. Om du använder Azure Files måste ditt lagringskonto finnas i samma Azure-region som dina sessionsvärdar.
Undanta diskbilderna som innehåller dina program från antivirusgenomsökningar eftersom de är skrivskyddade.
Se till att din lagrings- och nätverksinfrastruktur kan ge tillräcklig prestanda. Du bör undvika att använda samma filresurs med FSLogix-profilcontainrar.
Tillgänglighet
Eventuella haveriberedskapsplaner för Azure Virtual Desktop måste inkludera replikering av MSIX-appens bifogande filresurs till den sekundära redundansplatsen. Du måste också se till att filresurssökvägen är tillgänglig på den sekundära platsen. Du kan till exempel använda DFS-namnområden (Distributed File System) med Azure Files för att ange ett enda resursnamn för olika filresurser. Mer information om haveriberedskap för Azure Virtual Desktop finns i Konfigurera en plan för affärskontinuitet och haveriberedskap.
Azure Files
Azure Files har gränser för antalet öppna referenser per rotkatalog, katalog och fil. När du använder appanslutning eller MSIX-appanslutning monteras VHDX- eller CimFS-diskavbildningar med sessionsvärdens datorkonto, vilket innebär att ett handtag öppnas per sessionsvärd per diskavbildning i stället för per användare. Mer information om begränsningar och storleksvägledning finns i Skalbarhets- och prestandamål för Azure Files och Vägledning för Storleksändring i Azure Files för Azure Virtual Desktop.
MSIX- och Appx-paketcertifikat
Alla MSIX- och Appx-paket kräver ett giltigt kodsigneringscertifikat. Om du vill använda dessa paket med appkoppling måste du se till att hela certifikatkedjan är betrodd på sessionsvärdarna. Ett kodsigneringscertifikat har objektidentifieraren 1.3.6.1.5.5.7.3.3
. Du kan hämta ett kodsigneringscertifikat för dina paket från:
En offentlig certifikatutfärdare (CA).
Ett internt företag eller fristående certifikatutfärdare, till exempel Active Directory Certificate Services. Du måste exportera kodsigneringscertifikatet, inklusive dess privata nyckel.
Ett verktyg som PowerShell-cmdleten New-SelfSignedCertificate som genererar ett självsignerat certifikat. Du bör bara använda självsignerade certifikat i en testmiljö. Mer information om hur du skapar ett självsignerat certifikat för MSIX- och Appx-paket finns i Skapa ett certifikat för paketsignering.
När du har fått ett certifikat måste du signera MSIX- eller Appx-paketen digitalt med certifikatet. Du kan använda MSIX-paketeringsverktyget för att signera dina paket när du skapar ett MSIX-paket. Mer information finns i Skapa ett MSIX-paket från alla skrivbordsinstallationsprogram.
För att säkerställa att certifikatet är betrott på sessionsvärdarna behöver du dina sessionsvärdar för att lita på hela certifikatkedjan. Hur du gör detta beror på var du fick certifikatet från och hur du hanterar dina sessionsvärdar och den identitetsprovider som du använder. Följande tabell innehåller vägledning om hur du ser till att certifikatet är betrott på dina sessionsvärdar:
Offentlig certifikatutfärdare: certifikat från en offentlig certifikatutfärdare är betrodda som standard i Windows och Windows Server.
Intern företags-CA:
För sessionsvärdar som är anslutna till Active Directory, med AD CS konfigurerat som den interna företagscertifikatutfärdarorganisationen, är betrodda som standard och lagras i konfigurationsnamngivningskontexten för Usluge domena aktivnog direktorijuma. När AD CS är en konfigurerad som en fristående certifikatutfärdare måste du konfigurera grupprincipen för att distribuera rotcertifikaten och mellanliggande certifikat till sessionsvärdar. Mer information finns i Distribuera certifikat till Windows-enheter med hjälp av grupprincip.
För sessionsvärdar som är anslutna till Microsoft Entra-ID kan du använda Microsoft Intune för att distribuera rotcertifikaten och mellanliggande certifikat till sessionsvärdar. Mer information finns i Betrodda rotcertifikatprofiler för Microsoft Intune.
För sessionsvärdar som använder Microsoft Entra-hybridanslutning kan du använda någon av de tidigare metoderna, beroende på dina krav.
Självsignerad: Installera den betrodda roten i arkivet Betrodda rotcertifikatutfärdare på varje sessionsvärd. Vi rekommenderar inte att du distribuerar det här certifikatet med grupprincip eller Intune eftersom det endast ska användas för testning.
Viktigt!
Du bör tidsstämpla paketet så att dess giltighet kan överskrida certifikatets förfallodatum. När certifikatet har upphört att gälla måste du annars uppdatera paketet med ett nytt giltigt certifikat och återigen se till att det är betrott på sessionsvärdarna.
Nästa steg
Lär dig hur du lägger till och hanterar appkopplingsprogram i Azure Virtual Desktop.