Fjärrskrivbord med flera sessioner i Windows 10 eller Windows 11 Enterprise
Azure Virtual Desktop med flera sessioner med Microsoft Intune är nu allmänt tillgängligt.
Nu kan du använda Microsoft Intune för att hantera fjärrskrivbord med flera sessioner i Windows 10 eller Windows 11 Enterprise i administrationscentret för Microsoft Intune på samma sätt som du kan hantera en delad Windows 10- eller Windows 11-klientenhet. När du hanterar sådana virtuella datorer kan du använda både enhetsbaserad konfiguration riktad till enheter eller användarbaserad konfiguration riktad till användarna.
Flera sessioner med Windows 10 eller Windows 11 Enterprise är en ny värd för fjärrskrivbordssessioner som är exklusiv för Azure Virtual Desktop i Azure. Det ger följande fördelar:
- Tillåter flera samtidiga användarsessioner.
- Ger användarna en välbekant Windows 10- eller Windows 11-upplevelse.
- Stöder användning av befintlig Microsoft 365-licensiering per användare.
Du kan hantera virtuella Windows 10- och Windows 11 Enterprise-datorer med flera sessioner som skapats i Azure Government Cloud i US Government Community (GCC), GCC High och DoD.
Viktigt
Microsoft Intune-stöd för Flera sessioner i Azure Virtual Desktop är för närvarande inte tillgängligt för Citrix DaaS och VMware Horizon Cloud.
Översikt
Stöd för enhetskonfiguration i Microsoft Intune för Windows 10 eller Windows 11 Enterprise med flera sessioner är allmänt tillgängligt (GA). Det innebär att principer som definierats i OS-omfånget och appar som konfigurerats för att installeras i systemkontexten kan tillämpas på virtuella Azure Virtual Desktop-datorer med flera sessioner när de tilldelas till enhetsgrupper.
Obs!
Enhetsbaserad konfiguration kan inte tilldelas till användare och användarbaserad konfiguration kan inte tilldelas till enheter. Det rapporteras som fel eller inte tillämpligt.
Stöd för användarkonfiguration i Microsoft Intune för virtuella windows 10- eller Windows 11-datorer med flera sessioner är allmänt tillgängligt. Med detta kan du:
Konfigurera principer för användaromfång med hjälp av inställningskatalogen och tilldela till grupper av användare. Du kan använda sökfältet för att söka i alla konfigurationer med omfånget inställt på "användare".
Konfigurera användarcertifikat och tilldela till användare.
Konfigurera PowerShell-skript för att installera i användarkontexten och tilldela till användare.
Förhandskrav
Den här funktionen stöder virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner, som är:
- Köra Windows 10 multi-session, version 1903 eller senare, eller köra Windows 11 multi-session.
- Konfigureras som fjärrskrivbord i poolbaserade värdpooler som har distribuerats via Azure Resource Manager.
- Under samma klientorganisation som Intune.
- Köra en Azure Virtual Desktop-agentversion av 1.0.2944.1400 eller senare.
-
Microsoft Entra-hybridanslutning och registrering i Microsoft Intune med någon av följande metoder:
- Konfigurerad med Active Directory-grupprincip, inställd på att använda enhetsautentiseringsuppgifter och inställd på att automatiskt registrera enheter som är Hybrid-anslutna till Microsoft Entra.
- Samhantering i Configuration Manager.
- Microsoft Entra har anslutits till och registrerats i Microsoft Intune genom att aktivera Registrera den virtuella datorn med Intune i Azure-portalen.
- Licensiering: Lämplig Azure Virtual Desktop- och Microsoft Intune-licens krävs om en användare eller enhet direkt eller indirekt drar nytta av Microsoft Intune-tjänsten, inklusive åtkomst till Microsoft Intune-tjänsten via ett Microsoft API. Mer information finns i Microsoft Intune-licensiering.
- Mer information om licensieringskrav för Azure Virtual Desktop finns i Vad är Azure Virtual Desktop?
Begränsningar
Intune stöder inte användning av en klonad avbildning av en dator som redan har registrerats. Detta omfattar både fysiska och virtuella enheter som Azure Virtual Desktop (AVD). När enhetsregistrerings- eller identitetstoken replikeras mellan enheter uppstår intune-enhetsregistrering eller synkroniseringsfel.
- Mer information finns i Registrering av mobila enheter – Enhetsregistrering för Windows-klienthantering och certifikatautentisering – Windows-klienthantering.
- Information om hur du felsöker problem som rör bildkloning finns i Fel hr 0x8007064c: Datorn har redan registrerats.
Obs!
Om du ansluter sessionsvärdar till Microsoft Entra Domain Services kan du inte hantera dem med hjälp av Intune.
Viktigt
- Om du använder Versioner av Windows 10, version 2004, 20H2 eller 21H1 kontrollerar du att du installerar Windows Update i juli 2021 eller en senare Windows-uppdatering. Annars fungerar inte fjärråtgärder i administrationscentret för Microsoft Intune, som fjärrsynkronisering, korrekt. Därför kan det ta upp till 8 timmar innan väntande principer som tilldelats till enheter tillämpas.
- Intune stöder för närvarande inte funktioner för tokenroaming mellan enheter. Om FSLogix, eller en liknande teknik, används för att hantera Windows-användarprofiler och -inställningar måste du se till att token inte oväntat flyttas eller dupliceras mellan enheter. Information om hur du bekräftar att du kör en version som stöds och konfiguration av FSLogix med tokenroaming inaktiverad finns i referensen för konfigurationsinställningar för FSLogix RoamIdentity.
Virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner behandlas som en separat operativsystemversion och vissa Windows 10- eller Windows 11 Enterprise-konfigurationer stöds inte för den här utgåvan. Användning av Microsoft Intune är inte beroende av eller stör Azure Virtual Desktop-hanteringen av samma virtuella dator.
Skapa konfigurationsprofilen
Om du vill konfigurera konfigurationsprinciper för virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner måste du använda inställningskatalogen i administrationscentret för Microsoft Intune.
De befintliga mallarna för enhetskonfigurationsprofiler stöds inte för virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner, förutom följande mallar:
- Betrott certifikat – Enhet (dator) när enheter och användare riktas mot användare
- SCEP-certifikat – Enhet (dator) när enheter och användare riktas mot användare
- PKCS-certifikat – Enhet (dator) när enheter och användare riktas mot användare
- VPN – endast enhetstunnel
Microsoft Intune levererar inte mallar som inte stöds till enheter med flera sessioner och dessa principer visas som Ej tillämpliga i rapporter.
Obs!
Om du använder samhantering för Intune och Configuration Manager i Configuration Manager anger du arbetsbelastningsreglaget för Resursåtkomstprinciper till Intune eller Pilot Intune. Med den här inställningen kan Windows 10- och Windows 11-klienter starta processen med att begära certifikatet.
Så här konfigurerar du principer
- Logga in på administrationscentret för Microsoft Intune och välj Enheter>Efter plattform>Windows>Hantera enheter>Konfiguration>Skapa>ny princip.
- För Plattform väljer du Windows 10 och senare.
- För Profiltyp väljer du Inställningskatalog, eller när du distribuerar inställningar med hjälp av en mall väljer du Mallar och sedan namnet på den mall som stöds.
- Välj Skapa.
- På sidan Grundläggande anger du ett Namn och (valfritt) Beskrivning>nästa.
- På sidan Konfigurationsinställningar väljer du Lägg till inställningar.
- Under Inställningsväljaren väljer du Lägg till filter och väljer följande alternativ:
- Nyckel: OS-utgåva
- Operator: ==
- Värde: Flera sessioner för företag
- Välj Använd. Den filtrerade listan visar nu alla konfigurationsprofilkategorier som stöder Windows 10 eller Windows 11 Enterprise flera sessioner. Omfånget för en princip visas inom parenteser. För användaromfånget visas det som (Användare) och resten är principer med enhetsomfång.
- I den filtrerade listan väljer du de kategorier som du vill använda.
- För varje kategori du väljer väljer du de inställningar som du vill använda för den nya konfigurationsprofilen.
- För varje inställning väljer du önskat värde för den här konfigurationsprofilen.
- Välj Nästa när du är klar med att lägga till inställningar.
- På sidan Tilldelningar väljer du de Microsoft Entra-grupper som innehåller de enheter som du vill att profilen ska tilldelas >nästa.
- På sidan Omfångstaggar kan du också lägga till de omfångstaggar som du vill använda för den här profilen >Nästa. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll och omfångstaggar för distribuerad IT.
- På sidan Granska + skapa väljer du Skapa för att skapa profilen.
Administrativa mallar
Administrativa mallar för Windows 10 eller Windows 11 stöds för flera sessioner med Windows 10 eller Windows 11 Enterprise via inställningskatalogen med vissa begränsningar:
- ADMX-säkerhetskopierade principer stöds. Vissa principer är ännu inte tillgängliga i inställningskatalogen.
- ADMX-inmatade principer stöds, inklusive Office- och Microsoft Edge-inställningar som är tillgängliga i office-administrativa mallfiler och administrativa Microsoft Edge-mallfiler. En fullständig lista över ADMX-inmatade principkategorier finns i Win32- och Desktop Bridge-appprincipkonfiguration. Vissa ADMX-inmatade inställningar gäller inte för windows 10- eller Windows 11 Enterprise-multisessioner.
Om du vill visa en lista över administrativa mallar som stöds måste du använda filtret i inställningskatalogen.
Efterlevnad och villkorsstyrd åtkomst
Du kan skydda dina virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner genom att konfigurera efterlevnadsprinciper och principer för villkorsstyrd åtkomst i administrationscentret för Microsoft Intune. Följande efterlevnadsprinciper stöds på virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner:
- Lägsta operativsystemversion
- Högsta operativsystemversion
- Giltiga operativsystemversioner
- Enkla lösenord
- Lösenordstyp
- Minsta längd på lösenord
- Lösenordskomplexitet
- Lösenordets giltighetstid (dagar)
- Antal tidigare lösenord för att förhindra återanvändning
- Microsoft Defender Antimalware
- Säkerhetsinformation för Microsoft Defender Antimalware uppdaterad
- Brandvägg
- Antivirus
- Antispionprogram
- Realtidsskydd
- Lägsta version av Microsoft Defender Antimalware
- Defender ATP-riskpoäng
Alla andra principer rapporterar som Ej tillämpligt.
Viktigt
Du måste skapa en ny efterlevnadsprincip och rikta den mot den enhetsgrupp som innehåller dina virtuella datorer med flera sessioner. Användarriktade efterlevnadskonfigurationer stöds inte.
Principer för villkorsstyrd åtkomst stöder både användar- och enhetsbaserade konfigurationer för Windows 10 eller Windows 11 Enterprise flera sessioner.
Obs!
Villkorlig åtkomst för exchange lokalt stöds inte för virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner.
Obs!
Konfigurations- och efterlevnadsprinciper för BitLocker, säker start och funktioner som utnyttjar vTPM (Virtual Trusted Platform Module) stöds för närvarande inte för virtuella Azure Virtual Desktop-datorer.
Slutpunktssäkerhet
Du kan konfigurera profiler under Slutpunktssäkerhet för virtuella datorer med flera sessioner genom att välja Plattform Windows 10, Windows 11 och Windows Server. Om plattformen inte är tillgänglig stöds inte profilen på virtuella datorer med flera sessioner.
Mer information finns i Hantera enhetssäkerhet med principer för slutpunktssäkerhet i Microsoft Intune
Programdistribution
Alla Windows 10- eller Windows 11-appar kan distribueras till Windows 10 eller Windows 11 Enterprise med flera sessioner med följande begränsningar:
- Alla appar måste konfigureras för att installeras i system-/enhetskontexten och vara riktade till enheter. Webbappar tillämpas alltid i användarkontexten som standard, så de gäller inte för virtuella datorer med flera sessioner.
- Alla appar måste konfigureras med avsikten Obligatorisk eller Avinstallera apptilldelning. Distributions avsikten Tillgängliga appar stöds inte på virtuella datorer med flera sessioner.
- Om en Win32-app som har konfigurerats för att installeras i systemkontexten har beroenden eller ersättningsrelation för appar som har konfigurerats för att installeras i användarkontexten installeras inte appen. Om du vill tillämpa på en virtuell Windows 10- eller Windows 11 Enterprise-dator med flera sessioner skapar du en separat instans av systemkontextappen eller kontrollerar att alla appberoenden är konfigurerade att installeras i systemkontexten.
- Azure Virtual Desktop RemoteApp och MSIX-appanslutning stöds för närvarande inte i Microsoft Intune.
Skriptdistribution
Skript som konfigurerats för att köras i systemkontexten och som tilldelats till enheter stöds i Windows 10 eller Windows 11 Enterprise med flera sessioner. Detta kan konfigureras under Skriptinställningar genom att ange Kör det här skriptet med de inloggade autentiseringsuppgifterna till Nej.
Skript som konfigurerats för att köras i användarkontexten och som tilldelats till användare stöds i flera sessioner med Windows 10 och Windows 11 Enterprise. Detta kan konfigureras under Skriptinställningar genom att ange Kör det här skriptet med de inloggade autentiseringsuppgifterna till Ja.
Windows Update för företag
Du kan använda inställningskatalogen för att hantera Windows Update-inställningar för kvalitetsuppdateringar (säkerhet) för virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner. Om du vill hitta de inställningar som stöds i katalogen konfigurerar du ett inställningsfilter för flera enterprise-sessioner och expanderar sedan kategorin Windows Update för företag .
Följande inställningar är tillgängliga i katalogen, med länkarna som öppnar Windows CSP-dokumentationen:
- Aktiva timmar avslutas
- Maxintervall för aktiva timmar
- Starttid för aktiva timmar
- Blockera funktionen "Pausa uppdateringar"
- Konfigurera respitperiod för tidsgräns
- Skjut upp period för kvalitetsuppdateringar (dagar)
- Pausa starttid för kvalitetsuppdateringar
- Tidsgräns för kvalitetsuppdatering (dagar)
Fjärråtgärder
Följande fjärråtgärder för Windows 10- eller Windows 11-skrivbordsenheter stöds inte och kommer att vara nedtonade i användargränssnittet och inaktiveras i Graph för windows 10- eller Windows 11 Enterprise-datorer med flera sessioner:
- Autopilot-återställning
- BitLocker-nyckelrotation
- Nystart
- Fjärrlås
- Återställa lösenord
- Rensa
Pension
Om du tar bort virtuella datorer från Azure lämnar du överblivna enhetsposter i administrationscentret för Microsoft Intune. De rensas automatiskt enligt de rensningsregler som konfigurerats för klientorganisationen.
Säkerhetsbaslinjer
Säkerhetsbaslinjer är för närvarande inte tillgängliga för Windows 10 eller Windows 11 Enterprise i flera sessioner. Vi rekommenderar att du granskar tillgängliga säkerhetsbaslinjer och konfigurerar de rekommenderade principerna och värdena i inställningskatalogen.
Ytterligare konfigurationer som inte stöds på virtuella Windows 10- eller Windows 11 Enterprise-datorer med flera sessioner
OOBE-registrering (Out of Box Experience) stöds inte för windows 10- eller Windows 11 Enterprise-multisessioner. Den här begränsningen innebär att:
- Windows Autopilot och kommersiell OOBE stöds inte.
- Sidan Registreringsstatus stöds inte.
Windows 10 eller Windows 11 Enterprise multi-session som hanteras av Microsoft Intune stöds för närvarande inte för China Sovereign Cloud.
Felsökning
Följande avsnitt innehåller felsökningsvägledning för vanliga problem.
Registreringsproblem
Fråga | Beskrivning |
---|---|
Det går inte att registrera en hybridkopplad virtuell dator med Microsoft Entra |
|
Registrering av Microsoft Entra-ansluten virtuell dator misslyckas |
|
Konfigurationsproblem
Fråga | Beskrivning |
---|---|
Det går inte att ändra katalogprincipen för inställningar | Bekräfta att den virtuella datorn har registrerats med enhetsautentiseringsuppgifter. Registrering med användarautentiseringsuppgifter stöds för närvarande inte för flera sessioner med Windows 10 eller Windows 11 Enterprise. |
Konfigurationsprincipen tillämpades inte | Mallar (förutom certifikat) stöds inte i flera sessioner med Windows 10 eller Windows 11 Enterprise. Alla principer måste skapas via inställningskatalogen. |
Konfigurationsprinciprapporter som Ej tillämpligt | Vissa principer gäller inte för virtuella Azure Virtual Desktop-datorer. |
Microsoft Edge/Microsoft Office ADMX-principen visas inte när jag använder filtret för Windows 10 eller Windows 11 Enterprise multi-session edition | Tillämpligheten för de här inställningarna baseras inte på Windows-versionen eller versionen utan på om apparna har installerats på enheten. Om du vill lägga till de här inställningarna i principen kan du behöva ta bort eventuella filter som tillämpas i inställningsväljaren. |
Appen som konfigurerats för att installeras i systemkontexten tillämpades inte | Kontrollera att appen inte har någon beroende- eller ersättningsrelation för appar som har konfigurerats för att installeras i användarkontext. Användarkontextappar stöds för närvarande inte i flera sessioner med Windows 10 eller Windows 11 Enterprise. |
Uppdateringsringar för Windows 10 och senare princip tillämpades inte | Principer för Windows-uppdateringsringar stöds inte för närvarande. Kvalitetsuppdateringar kan hanteras via inställningar som är tillgängliga i inställningskatalogen. |