Windows 10 或 Windows 11 企业版多会话远程桌面

与 Microsoft Intune 的 Azure 虚拟桌面多会话现已正式发布。

现在，你可以使用 Microsoft Intune 在 Microsoft Intune 管理中心管理 Windows 10 或 Windows 11 企业版多会话远程桌面，就像可以管理共享的 Windows 10 或 Windows 11 客户端设备一样。 ) 管理此类虚拟机 (VM 时，可以使用面向设备的基于设备的配置或面向用户的基于用户的配置。

Windows 10 或 Windows 11 企业版多会话是一个全新的远程桌面会话主机，专用于 Azure 上的 Azure 虚拟桌面。 其提供以下好处:

• 允许多个并发用户会话。
• 为用户提供熟悉的 Windows 10 或 Windows 11 体验。
• 支持使用现有每用户 Microsoft 365 许可。

可以管理在美国政府社区 (GCC)、GCC 高级和 DoD 中Azure 政府云中创建的 Windows 10 和 Windows 11 企业版多会话 VM。

重要

Microsoft Intune 对 Azure 虚拟桌面多会话的支持目前不适用于 Citrix DaaS 和 VMware Horizon Cloud。

概述

Microsoft Intune for Windows 10 或 Windows 11 企业版多会话中的设备配置支持已正式发布 (GA) 。 这意味着，在 OS 范围中定义的策略 和配置为在系统上下文中安装的应用，在分配给设备组后，可以应用于 Azure 虚拟桌面多会话 VM。

注意

无法将基于设备的配置分配给用户，也不能将基于用户的配置分配给设备。 它将报告为 “错误” 或 “不适用”。

Microsoft Intune for Windows 10 或 Windows 11 多会话 VM 中的用户配置支持已正式发布。 通过此操作，你可以：

• 使用 设置目录 配置用户范围策略，并将其分配给用户组。 可以使用搜索栏在范围设置为“用户”的情况下搜索所有配置。

• 配置用户证书并将其分配给用户。

• 将 PowerShell 脚本配置为在用户上下文中安装并分配给用户。

先决条件

此功能支持 Windows 10 或 Windows 11 企业版多会话虚拟机，其中包括:

• 运行 Windows 10 多会话版本 1903 或更高版本或者运行 Windows 11 多会话。
• 在已通过 Azure 资源管理器部署的共用主机池中设置为远程桌面。
• 与 Intune 位于同一租户下。
• 运行版本 1.0.2944.1400 或更高版本的 Azure 虚拟桌面代理。
• 使用以下方法之一，Microsoft Entra 混合联接并在 Microsoft Intune 中注册：
  • 使用 Active Directory 组策略进行配置，设置为使用设备凭据，并设置为自动注册Microsoft Entra 混合联接的设备。
  • Configuration Manager 共同管理。
• Microsoft已在 Microsoft Intune 中加入和注册 Entra，方法是在 Azure 门户中使用 Intune 注册 VM 。
• 许可：如果用户或设备直接或间接地从 Microsoft Intune 服务中受益，包括通过 Microsoft API 访问 Microsoft Intune 服务，则需要相应的 Azure 虚拟桌面和 Microsoft Intune 许可证。 有关详细信息，请转到 Microsoft Intune 许可。
• 有关 Azure 虚拟桌面许可要求的详细信息，请参阅什么是 Azure 虚拟桌面？。

限制

Intune 不支持使用已注册的计算机的克隆映像。 这包括物理设备和虚拟设备，例如 Azure 虚拟桌面 (AVD) 。 在设备之间复制设备注册或标识令牌时，将发生 Intune 设备注册或同步失败。

• 有关详细信息，请参阅移动设备注册 - Windows 客户端管理和证书身份验证设备注册 - Windows 客户端管理。
• 有关排查与映像克隆相关的问题的信息，请参阅 错误小时0x8007064c：计算机已注册。

注意

如果要将会话主机加入到 Microsoft Entra 域服务，则无法使用 Intune 对其进行管理。

重要

• 如果你使用的是 Windows 10 版本 2004、20H2 或 21H1 版本，请确保安装 2021 年 7 月 Windows 更新或更高版本的 Windows 更新。 否则，Microsoft Intune 管理中心中的远程操作（如远程同步）将无法正常工作。 因此，分配至设备的挂起策略最多可能需要 8 小时才能应用。
• Intune 目前不支持设备之间的令牌漫游功能。 如果使用 FSLogix 或类似技术来管理 Windows 用户配置文件和设置，则必须确保令牌不会在设备之间意外漫游或重复。 若要确认你运行的是受支持的 FSLogix 版本和配置，但令牌漫游已禁用，请参阅 FSLogix RoamIdentity 配置设置参考。

Windows 10 或 Windows 11 企业版多会话 VM 被视为单独的 OS 版本，此版本不支持某些 Windows 10 或 Windows 11 企业版配置。 使用 Microsoft Intune 不依赖也不干扰同一虚拟机的 Azure 虚拟桌面管理。

创建配置文件

若要为 Windows 10 或 Windows 11 企业版多会话 VM 配置策略，需要使用 Intune 管理中心Microsoft 设置目录 。

Windows 10 或 Windows 11 企业版多会话虚拟机不支持现有设备配置文件模板，但以下模板除外：

• 受信任的证书 - 面向设备时设备 (计算机) 和面向用户的用户
• SCEP 证书 - 面向设备时设备 (计算机) ，面向用户时用户
• PKCS 证书 - 面向设备时设备 (计算机) ，面向用户时用户
• VPN - 仅设备隧道

Microsoft Intune 不会向多会话设备传输不受支持的模板，并且这些策略在报告中显示为“不适用”。

注意

如果使用 Intune 和配置管理器的共同管理，请在配置管理器中将资源访问策略的 工作负载滑块设置 为“Intune”或“试点 Intune”。 通过此设置，Windows 10 和 Windows 11 客户端可以启动请求证书的过程。

配置策略

1. 登录到 Microsoft Intune 管理中心 ，然后选择 “设备>按平台>”“Windows>管理设备>”“配置>创建新>策略”。
2. 对于 平台，请选择 Windows 10 和更高版本。
3. 对于 配置文件类型，请选择“设置目录”，或者在使用模板部署设置时，选择“模板”，然后选择支持的模板名称。
4. 选择“创建”。
5. 在“基本信息”页上，提供“名称”和“说明”（可选），再选择“下一步”>。
6. 在“配置设置”页上，选择“添加设置”。
7. 在“设置选取器”下，选择“添加筛选器”，再选择以下选项：
   • 项：操作系统版本
   • 运算符: ==
   • 值：企业版多会话
   • 选择“应用”。 筛选的列表现在显示支持 Windows 10 或 Windows 11 企业版多会话的所有配置配置文件类别。 策略的范围显示在括号中。 对于用户范围，它显示为（用户），其余的则都是具有设备范围的策略。
8. 从筛选后的列表中，选取所需类别。
   • 对于选取的每个类别，选择要应用到新配置文件的设置。
   • 对于每个设置，选择要用于此配置文件的值。
9. 添加完设置后，选择“ 下一步 ”。
10. 在 “分配 ”页上，选择Microsoft Entra 组，其中包含要将此配置文件分配到 >的“下一步”设备。
11. 在“作用域标记”页上，可以选择添加要应用于此配置文件>的作用域标记。下一步。 有关范围标记的详细信息，请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。
12. 在“查看 + 创建”页上，选择“创建”以创建配置文件。

管理模板

Windows 10 或 Windows 11 企业版多会话通过设置目录提供对 Windows 10 或 Windows 11 管理模板的支持，但存在一些限制：

• 支持 ADMX 支持的策略。 某些策略在“设置”目录中尚不可用。
• 支持 ADMX 引入的策略，包括 Office 管理模板文件和 Microsoft Edge 管理模板文件中提供的 Office 和 Microsoft Edge 设置。 有关 ADMX 引入的策略类别的完整列表，请参阅 Win32 和桌面桥应用策略配置。 某些 ADMX 引入的设置将不适用于 Windows 10 或 Windows 11 企业版多会话。

若要列出受支持的管理模板，需要使用“设置”目录中的筛选器。

合规性和条件访问

通过在 Microsoft Intune 管理中心配置符合性策略和条件访问策略，可以保护 Windows 10 或 Windows 11 企业版多会话 VM。 Windows 10 或 Windows 11 企业版多会话虚拟机支持以下合规性策略：

• 最低 OS 版本
• 最高 OS 版本
• 有效操作系统内部版本
• 简单密码
• 密码类型
• 最短密码长度
• 密码复杂性
• 密码过期(天数)
• 阻止重用的曾用密码数
• Microsoft Defender 反恶意软件
• Microsoft Defender 反恶意软件安全智能为最新版本
• 防火墙
• 防病毒
• 反间谍软件
• 实时保护
• Microsoft Defender 反恶意软件的最低版本
• Defender ATP 风险评分

所有其他策略均报告为“不适用”。

重要

需要创建新的符合性策略，并将其定位到包含多会话 VM 的设备组。 不支持面向用户的符合性配置。

条件访问策略支持 Windows 10 或 Windows 11 企业版多会话的基于用户和设备的配置。

注意

Windows 10 或 Windows 11 企业版多会话虚拟机不支持本地 Exchange 的条件访问。

注意

Azure 虚拟桌面 VM 目前不支持 BitLocker、安全启动以及利用 vTPM (虚拟受信任的平台模块) 的功能的配置和符合性策略。

终结点安全

可以通过选择平台 Windows 10、Windows 11 和 Windows 服务器，在“终结点安全性”下为多会话 VM 配置配置文件。 如果该平台不可用，则多会话 VM 不支持配置文件。

更多相关信息，请参阅 在 Microsoft Intune 中使用终结点安全策略管理设备安全性

应用程序部署

所有 Windows 10 或 Windows 11 应用都可以部署到 Windows 10 或 Windows 11企业版多会话，但有以下限制：

• 所有应用都必须配置为在系统/设备上下文中安装，且必须面向设备。 默认情况下，Web 应用始终应用于用户上下文，因此它们不会应用于多会话虚拟机。
• 所有应用都必须使用“必需”或“卸载”应用分配意图进行配置。 多会话虚拟机不支持“可用应用”部署意图。
• 如果配置为在系统上下文中安装的 Win32 应用对配置为在用户上下文中安装的任何应用具有依赖关系或取代关系，则不会安装应用。 若要应用于 Windows 10 或 Windows 11 企业版多会话虚拟机，请创建一个单独的系统上下文应用实例，或确保所有应用依赖关系都被配置为在系统上下文中安装。
• Microsoft Intune 当前不支持 Azure 虚拟桌面 RemoteApp 和 MSIX 应用附加。

脚本部署

Windows 10 或 Windows 11 企业版多会话支持配置为在系统上下文中运行并分配给设备的脚本。 可以在脚本设置下进行配置，方法是将“使用登录凭据运行此脚本”设置为“否”。

Windows 10 和 Windows 11 企业版多会话支持配置为在用户上下文中运行并分配给用户的脚本。 这可以在脚本设置下进行配置，方法是将“使用登录凭据运行此脚本”设置为“是”。

适用于企业的 Windows 更新

可以使用设置目录来管理 Windows 10 或 Windows 11 企业版多会话虚拟机的质量（安全）更新的 Windows 更新设置。 要在目录中查找受支持的设置，请为 企业版多会话 设置筛选器，然后展开 适用于企业的 Windows 更新 类别。

目录中提供以下设置，其中包含打开 Windows CSP 文档的链接:

• 结束活动时间
• 使用时段最大范围
• 开始活动时间
• 阻止“暂停更新”功能
• 配置最后期限宽限期
• 延迟质量更新期(天数)
• 暂停质量更新开始时间
• 质量更新最后期限(天数)

远程操作

以下 Windows 10 或 Windows 11 桌面设备远程操作不受支持，这些操作将在 UI 中灰显，并在 Windows 10 或 Windows 11 企业版多会话虚拟机的 Graph 中被禁用：

• Autopilot 重置
• BitLocker 密钥轮换
• 全新启动
• 远程锁定
• 重置密码
• 擦除

退休

从 Azure 中删除 VM 会将孤立的设备记录保留在 Microsoft Intune 管理中心。 它们将根据为租户配置的清理规则自动清理。

安全基线

安全基线目前不适用于 Windows 10 或 Windows 11 企业版多会话。 建议查看可用的安全基线，并配置设置目录中的建议策略和值。

Windows 10 或 Windows 11 企业版多会话虚拟机不支持的其他配置

Windows 10 或 Windows 11 企业版多会话不支持全新安装体验 (OOBE) 注册。 此限制意味着：

• 不支持 Windows Autopilot 和商业 OOBE。
• 不支持注册状态页。

中国主权云目前不支持由 Microsoft Intune 管理的 Windows 10 或 Windows 11 企业版多会话。

疑难解答

以下各节提供常见问题的故障排除指南。

注册问题

问题	详情
注册 Microsoft Entra 混合联接的虚拟机失败	自动注册配置为使用用户凭据。 必须使用设备凭据注册 Windows 10 或 Windows 11 企业版多会话虚拟机。 使用的 Azure 虚拟桌面代理版本必须为 1.0.2944.1400 或更高版本。 你有多个不受支持的 MDM 提供程序。 Windows 10 或 Windows 11 企业版多会话虚拟机是在主机池外部配置的。 Microsoft Intune 仅支持作为主机池的一部分预配的虚拟机。 Azure 虚拟桌面主机池不通过 Azure 资源管理器模板创建。
注册Microsoft已加入 Entra 的虚拟机失败	你正在使用的 Azure 虚拟桌面代理不会更新。 代理必须是版本 1.0.2944.1400 或更高版本。 Azure 虚拟桌面主机池不通过 Azure 资源管理器模板创建。

配置问题

问题	详情
设置目录策略失败	确认已使用设备凭据注册 VM。 Windows 10 或 Windows 11 企业版多会话目前不支持使用用户凭据进行注册。
配置策略不适用	Windows 10 或 Windows 11 企业版多会话不支持模板（“证书”除外）。 必须通过设置目录创建所有策略。
配置策略报告为“不适用”	某些策略不适用于 Azure 虚拟桌面 VM。
当我应用 Windows 10 或 Windows 11 企业版多会话版本的筛选器时，Microsoft Edge/Microsoft Office ADMX 策略不显示	这些设置的适用性不基于 Windows 版本，而是基于这些应用是否已安装在设备上。 要将这些设置添加到策略中，可能需要删除设置选取器中应用的所有筛选器。
配置为在系统上下文中安装的应用不适用	确认应用在任何配置为在用户上下文中安装的应用上没有依赖关系或取代关系。 Windows 10 或 Windows 11 企业版多会话目前不支持用户上下文应用。
Windows 10 和更高版本策略的更新通道不适用	目前不支持 Windows 更新通道策略。 可以通过设置 目录中提供的设置管理质量更新。

后续步骤

详细了解 Azure 虚拟桌面。