Dela via


Krav för Azure Virtual Desktop

Det finns några saker du behöver för att börja använda Azure Virtual Desktop. Här hittar du de krav som du behöver slutföra för att ge användarna skrivbord och program.

På en hög nivå behöver du:

  • Ett Azure-konto med en aktiv prenumeration
  • En identitetsprovider som stöds
  • Ett operativsystem som stöds för virtuella sessionsvärddatorer
  • Lämpliga licenser
  • Nätverksanslutning
  • En fjärrskrivbordsklient

Azure-konto med en aktiv prenumeration

Du behöver ett Azure-konto med en aktiv prenumeration för att distribuera Azure Virtual Desktop. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.

Om du vill distribuera Azure Virtual Desktop måste du tilldela relevanta rollbaserade åtkomstkontrollroller (RBAC) i Azure. De specifika rollkraven beskrivs i var och en av de relaterade artiklarna för distribution av Azure Virtual Desktop, som visas i avsnittet Nästa steg .

Kontrollera också att du har registrerat resursprovidern Microsoft.DesktopVirtualization för din prenumeration. Om du vill kontrollera status för resursprovidern och registrera dig om det behövs väljer du relevant flik för ditt scenario och följer stegen.

Viktigt

Du måste ha behörighet att registrera en resursprovider, vilket kräver åtgärden */register/action . Detta ingår om ditt konto har tilldelats rollen deltagare eller ägare för din prenumeration.

  1. Logga in på Azure-portalen.

  2. Välj Prenumerationer.

  3. Välj namnet på din prenumeration.

  4. Välj Resursprovidrar.

  5. Sök efter Microsoft.DesktopVirtualization.

  6. Om statusen är NotRegistered väljer du Microsoft.DesktopVirtualization och sedan Registrera.

  7. Kontrollera att statusen för Microsoft.DesktopVirtualization är Registrerad.

Identitet

För att få åtkomst till skrivbord och program från sessionsvärdarna måste användarna kunna autentisera sig. Microsoft Entra ID är Microsofts centraliserade molnidentitetstjänst som möjliggör den här funktionen. Microsoft Entra ID används alltid för att autentisera användare för Azure Virtual Desktop. Sessionsvärdar kan anslutas till samma Microsoft Entra klientorganisation eller till en Active Directory-domän med hjälp av Active Directory Domain Services (AD DS) eller Microsoft Entra Domain Services, vilket ger dig ett val av flexibla konfigurationsalternativ.

Sessionsvärdar

Du måste ansluta sessionsvärdar som tillhandahåller skrivbord och program till samma Microsoft Entra klientorganisation som dina användare, eller en Active Directory-domän (antingen AD DS eller Microsoft Entra Domain Services).

Obs!

För Azure Local kan du bara ansluta sessionsvärdar till en Active Directory Domain Services domän. Du kan bara ansluta sessionsvärdar på Azure Local till en Active Directory Domain Services domän (AD DS). Detta inkluderar användning av Microsoft Entra hybridanslutning, där du kan dra nytta av några av funktionerna som tillhandahålls av Microsoft Entra ID.

Om du vill ansluta sessionsvärdar till Microsoft Entra ID eller en Active Directory-domän behöver du följande behörigheter:

Användare

Användarna behöver konton som finns i Microsoft Entra ID. Om du också använder AD DS eller Microsoft Entra Domain Services i distributionen av Azure Virtual Desktop måste dessa konton vara hybrididentiteter, vilket innebär att användarkontona synkroniseras. Du måste ha följande i åtanke baserat på vilken identitetsprovider du använder:

  • Om du använder Microsoft Entra ID med AD DS måste du konfigurera Microsoft Entra Connect för att synkronisera användaridentitetsdata mellan AD DS och Microsoft Entra ID.
  • Om du använder Microsoft Entra ID med Microsoft Entra Domain Services synkroniseras användarkonton på ett sätt från Microsoft Entra ID till Microsoft Entra Domain Services. Den här synkroniseringsprocessen är automatisk.

Viktigt

Användarkontot måste finnas i den Microsoft Entra klientorganisation som du använder för Azure Virtual Desktop. Azure Virtual Desktop stöder inte B2B-, B2C- eller personliga Microsoft-konton.

När du använder hybrididentiteter måste antingen UserPrincipalName (UPN) eller säkerhetsidentifieraren (SID) matcha mellan Active Directory Domain Services och Microsoft Entra ID. Mer information finns i Identiteter och autentiseringsmetoder som stöds.

Identitetsscenarier som stöds

I följande tabell sammanfattas identitetsscenarier som Azure Virtual Desktop stöder för närvarande:

Identitetsscenario Sessionsvärdar Användarkonton
Microsoft Entra ID + AD DS Ansluten till AD DS Synkroniserad i Microsoft Entra ID och AD DS
Microsoft Entra ID + AD DS Ansluten till Microsoft Entra ID Synkroniserad i Microsoft Entra ID och AD DS
Microsoft Entra ID + Microsoft Entra Domain Services Ansluten till Microsoft Entra Domain Services Synkroniseras i Microsoft Entra ID och Microsoft Entra Domain Services
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS Ansluten till Microsoft Entra Domain Services Synkroniserad i Microsoft Entra ID och AD DS
Microsoft Entra ID + Microsoft Entra Domain Services Ansluten till Microsoft Entra ID Synkroniseras i Microsoft Entra ID och Microsoft Entra Domain Services
endast Microsoft Entra Ansluten till Microsoft Entra ID I Microsoft Entra ID

Mer detaljerad information om identitetsscenarier som stöds, inklusive enkel inloggning och multifaktorautentisering finns i Identiteter och autentiseringsmetoder som stöds.

FSLogix-profilcontainer

Om du vill använda FSLogix-profilcontainern när du ansluter dina sessionsvärdar till Microsoft Entra ID måste du lagra profiler på Azure Files eller Azure NetApp Files och dina användarkonton måste vara hybrididentiteter. Du måste skapa dessa konton i AD DS och synkronisera dem för att Microsoft Entra ID. Mer information om hur du distribuerar FSLogix-profilcontainer med olika identitetsscenarier finns i följande artiklar:

Distributionsparametrar

Du måste ange följande identitetsparametrar när du distribuerar sessionsvärdar:

  • Domännamn, om du använder AD DS eller Microsoft Entra Domain Services.
  • Autentiseringsuppgifter för att ansluta sessionsvärdar till domänen.
  • Organisationsenhet (OU), som är en valfri parameter som gör att du kan placera sessionsvärdar i önskad organisationsenhet vid distributionstillfället.

Viktigt

Det konto som du använder för att ansluta till en domän kan inte ha multifaktorautentisering (MFA) aktiverat.

Operativsystem och licenser

Du har ett val av operativsystem (OS) som du kan använda för sessionsvärdar för att tillhandahålla skrivbord och program. Du kan använda olika operativsystem med olika värdpooler för att ge användarna flexibilitet. Vi stöder 64-bitars operativsystem och SKU:er i följande tabelllistor (där versioner och datum som stöds är infogade med Microsofts livscykelpolicy), tillsammans med de licensieringsmetoder som gäller för varje kommersiellt syfte:

Operativsystem
(endast 64-bitars)
Licensieringsmetod
(Interna kommersiella syften)
Licensieringsmetod
(Externa kommersiella syften)
  • Microsoft 365 E3, E5, A3, A5, F3, Business Premium, Student Use Benefit
  • Windows Enterprise E3, E5
  • Windows Education A3, A5
  • Windows VDA per användare
  • Fjärrskrivbordstjänster (RDS) Klientåtkomstlicens (CAL) med Software Assurance (per användare eller per enhet)
  • Licenser för användarprenumeration för RDS.
  • Windows Server RDS-prenumerantåtkomstlicens (SAL).

Priser per användare är inte tillgängliga för Windows Server operativsystem.

Mer information om licenser som du kan använda, inklusive priser för åtkomst per användare, finns i Licensiering av Azure Virtual Desktop.

Viktigt

För Azure kan du använda operativsystemavbildningar som tillhandahålls av Microsoft i Azure Marketplace, eller skapa egna anpassade avbildningar som lagras i ett Azure Compute-galleri eller som en hanterad avbildning. Med anpassade avbildningsmallar för Azure Virtual Desktop kan du enkelt skapa en anpassad avbildning som du kan använda när du distribuerar virtuella sessionsvärddatorer (VM). Mer information om hur du skapar anpassade avbildningar finns i:

För Azure Local kan du också använda operativsystemavbildningar från:

Du kan distribuera virtuella datorer som ska användas som sessionsvärdar från dessa avbildningar med någon av följande metoder:

Om din licens ger dig behörighet att använda Azure Virtual Desktop behöver du inte installera eller tillämpa en separat licens, men om du använder priser per användare för externa användare måste du registrera en Azure-prenumeration. Du måste se till att Windows-licensen som används på sessionsvärdarna är korrekt tilldelad i Azure och att operativsystemet är aktiverat. Mer information finns i Tillämpa Windows-licens på sessionsvärd för virtuella datorer.

För sessionsvärdar på Azure Local måste du licensiera och aktivera de virtuella datorer som du använder innan du använder dem med Azure Virtual Desktop. Om du vill aktivera Windows 10 och Windows 11 Enterprise flera sessioner och Windows Server 2022 Datacenter: Azure Edition använder du Azure-verifiering för virtuella datorer. För alla andra OS-avbildningar (till exempel Windows 10 och Windows 11 Enterprise och andra utgåvor av Windows Server) bör du fortsätta att använda befintliga aktiveringsmetoder. Mer information finns i Aktivera Windows Server virtuella datorer på Azure Local.

Obs!

För att säkerställa fortsatt funktionalitet med den senaste säkerhetsuppdateringen uppdaterar du dina virtuella datorer på Azure Local till den senaste kumulativa uppdateringen senast den 17 juni 2024. Den här uppdateringen är viktig för att virtuella datorer ska kunna fortsätta använda Azure-förmåner. Mer information finns i Azure-verifiering för virtuella datorer.

Tips

För att förenkla användaråtkomsträttigheterna under inledande utveckling och testning har Azure Virtual Desktop stöd för priser för Azure Dev/Test. Om du distribuerar Azure Virtual Desktop i en Azure Dev/Test-prenumeration kan slutanvändarna ansluta till distributionen utan separat licensbehörighet för att utföra godkännandetester eller ge feedback.

Nätverk

Det finns flera nätverkskrav som du måste uppfylla för att distribuera Azure Virtual Desktop. På så sätt kan användarna ansluta till sina skrivbord och program samtidigt som de får bästa möjliga användarupplevelse.

Användare som ansluter till Azure Virtual Desktop upprättar på ett säkert sätt en omvänd anslutning till tjänsten, vilket innebär att du inte behöver öppna några inkommande portar. Transmission Control Protocol (TCP) på port 443 används som standard, men RDP Shortpath kan användas för hanterade nätverk och offentliga nätverk som upprättar en UDP-baserad transport (User Datagram Protocol).

För att kunna distribuera Azure Virtual Desktop måste du uppfylla följande nätverkskrav:

  • Du behöver ett virtuellt nätverk och undernät för dina sessionsvärdar. Om du skapar dina sessionsvärdar samtidigt som en värdpool måste du skapa det virtuella nätverket i förväg för att det ska visas i listrutan. Ditt virtuella nätverk måste finnas i samma Azure-region som sessionsvärden.

  • Kontrollera att det här virtuella nätverket kan ansluta till dina domänkontrollanter och relevanta DNS-servrar om du använder AD DS eller Microsoft Entra Domain Services, eftersom du måste ansluta sessionsvärdar till domänen.

  • Sessionsvärdarna och användarna måste kunna ansluta till Azure Virtual Desktop-tjänsten. Dessa anslutningar använder också TCP på port 443 till en specifik lista över URL:er. Mer information finns i Listan över obligatoriska URL:er. Du måste se till att dessa URL:er inte blockeras av nätverksfiltrering eller en brandvägg för att distributionen ska fungera korrekt och stödjas. Om användarna behöver åtkomst till Microsoft 365 kontrollerar du att sessionsvärdarna kan ansluta till Microsoft 365-slutpunkter.

Tänk också på följande:

  • Användarna kan behöva åtkomst till program och data som finns i olika nätverk, så se till att sessionsvärdarna kan ansluta till dem.

  • Svarstiden för tur och retur (RTT) från klientens nätverk till Azure-regionen som innehåller värdpoolerna bör vara mindre än 150 ms. Om du vill se vilka platser som har den bästa svarstiden kan du leta upp önskad plats i azure-nätverkets svarstidsstatistik. För att optimera nätverksprestanda rekommenderar vi att du skapar sessionsvärdar i Azure-regionen som är närmast dina användare.

  • Använd Azure Firewall för Azure Virtual Desktop-distributioner för att låsa din miljö och filtrera utgående trafik.

  • För att skydda din Azure Virtual Desktop-miljö i Azure rekommenderar vi att du inte öppnar inkommande port 3389 på sessionsvärdarna. Azure Virtual Desktop kräver inte att en öppen inkommande port är öppen. Om du måste öppna port 3389 i felsökningssyfte rekommenderar vi att du använder just-in-time-åtkomst till virtuella datorer. Vi rekommenderar också att du inte tilldelar en offentlig IP-adress till dina sessionsvärdar.

Mer information finns i Förstå Nätverksanslutning för Azure Virtual Desktop.

Obs!

För att hålla Azure Virtual Desktop tillförlitligt och skalbart aggregerar vi trafikmönster och användning för att kontrollera hälsotillståndet och prestandan för infrastrukturkontrollplanet. Vi sammanställer den här informationen från alla platser där tjänstinfrastrukturen finns och skickar den sedan till regionen USA. De data som skickas till regionen USA innehåller skrubbade data, men inte kunddata. Mer information finns i Dataplatser för Azure Virtual Desktop.

Hantering av sessionsvärdar

Tänk på följande när du hanterar sessionsvärdar:

  • Aktivera inte några principer eller konfigurationer som inaktiverar Windows Installer. Om du inaktiverar Windows Installer kan tjänsten inte installera agentuppdateringar på sessionsvärdarna och sessionsvärdarna fungerar inte korrekt.

  • Om du ansluter sessionsvärdar till en AD DS-domän och vill hantera dem med hjälp av Intune måste du konfigurera Microsoft Entra Connect för att aktivera Microsoft Entra hybridanslutning.

  • Om du ansluter sessionsvärdar till en Microsoft Entra Domain Services domän kan du inte hantera dem med hjälp av Intune.

  • Om du använder Microsoft Entra ansluta med Windows Server för dina sessionsvärdar kan du inte registrera dem i Intune eftersom Windows Server inte stöds med Intune. Du måste använda Microsoft Entra hybridanslutning och grupprincip från en Active Directory-domän eller lokala grupprincip på varje sessionsvärd.

Azure-regioner

Du kan distribuera värdpooler, arbetsytor och programgrupper i följande Azure-regioner. I den här listan över regioner kan metadata för värdpoolen lagras. Sessionsvärdar för användarsessionerna kan dock finnas i valfri Azure-region och lokalt när du använder Azure Virtual Desktop på Azure Local, så att du kan distribuera beräkningsresurser nära dina användare. Mer information om typer av data och platser finns i Dataplatser för Azure Virtual Desktop.

  • Australien, östra
  • Kanada, centrala
  • Kanada, östra
  • Indien, centrala
  • USA, centrala
  • USA, östra
  • USA, östra 2
  • Japan, östra
  • Japan, västra
  • USA, norra centrala
  • Europa, norra
  • Sydafrika, norra
  • USA, södra centrala
  • Storbritannien, södra
  • Storbritannien, västra
  • USA, västra centrala
  • Europa, västra
  • USA, västra
  • USA, västra 2
  • USA, västra 3

Azure Virtual Desktop är också tillgängligt i nationella moln, till exempel Azure för US Government och Azure som drivs av 21Vianet i Kina.

Mer information om arkitekturen och motståndskraften i Azure Virtual Desktop-tjänsten finns i Arkitektur och motståndskraft för Azure Virtual Desktop-tjänsten.

Ansluta till en fjärrsession

Användarna måste använda Windows App eller fjärrskrivbordsklienten för att ansluta till stationära datorer och program. Du kan ansluta från:

  • Windows
  • macOS
  • iOS/iPadOS
  • Android/Chrome OS
  • Webbläsare

Mer information finns i Kom igång med Windows App för att ansluta till enheter och appar.

Viktigt

Azure Virtual Desktop stöder inte anslutningar från REMOTEApp- och Desktop Connections-klienten (RADC) eller MSTSC-klienten (Remote Desktop Connection).

Information om vilka URL:er som klienter använder för att ansluta och som du måste tillåta via brandväggar och Internetfilter finns i listan Webbadresser som krävs.

Nästa steg