Windows 10 或 Windows 11 企業版 多重會話遠端桌面

具有 Microsoft Intune的 Azure 虛擬桌面多重會話現已正式推出。

您現在可以在 Microsoft Intune 系統管理中心使用 Microsoft Intune 來管理 Windows 10 或 Windows 11 企業版 多重會話遠端桌面，就像管理共用 Windows 10 或 Windows 11 用戶端裝置一樣。 在 VM) (管理這類虛擬機時，您將能夠使用以裝置為目標的裝置型設定，或以使用者為目標的使用者型設定。

Windows 10 或 Windows 11 企業版 多重會話是 Azure 上 Azure 虛擬桌面專屬的新遠端桌面會話主機。 它提供下列優點：

• 允許多個並行用戶會話。
• 為使用者提供熟悉的 Windows 10 或 Windows 11 體驗。
• 支援使用現有的每位使用者 Microsoft 365 授權。

您可以在美國政府社群 (GCC ) 、GCC High 和 DoD 中管理 Azure Government 雲端中建立的 Windows 10 和 Windows 11 企業版 多重工作階段 VM。

重要事項

Microsoft Intune Azure 虛擬桌面多重會話的支援目前不適用於 Citrix DaaS 和 VMware Horizon Cloud。

概觀

Windows 10 或 Windows 11 企業版 多重會話的 Microsoft Intune 裝置設定支援已正式推出 (GA) 。 這表示當指派給裝置群組時，在 OS範圍中定義 的原則以及設定為安裝在系統內容中的應用程式，可以套用至 Azure 虛擬桌面多重工作階段 VM。

注意事項

無法將裝置型設定指派給使用者，且無法將用戶型設定指派給裝置。 它會回報為 錯誤 或 不適用。

Windows 10 或 Windows 11 多重會話 VM 的 Microsoft Intune 用戶設定支援已正式推出。 如此一來，您就可以：

• 使用 [ 設定] 目錄 設定使用者範圍原則，並指派給使用者群組。 您可以使用搜尋列來搜尋範圍設為「user」 的所有組態。

• 設定用戶憑證並指派給使用者。

• 設定 PowerShell 腳本以在使用者內容中安裝，並指派給使用者。

必要條件

此功能支援 Windows 10 或 Windows 11 企業版 多重工作階段 VM，包括：

• 執行 Windows 10 多重會話版本 1903 或更新版本，或執行多重會話 Windows 11。
• 在已透過 Azure Resource Manager 部署的集區主機集區中設定為遠端桌面。
• 與 Intune 位於相同的租使用者底下。
• 執行 Azure 虛擬桌面代理程式版本 1.0.2944.1400 或更新版本。
• Microsoft Entra 使用下列其中一種方法，在 Microsoft Intune 中加入並註冊混合式：
  • 使用 Active Directory 組策略設定，設定為使用裝置認證，並設定為自動註冊 Microsoft Entra 混合式聯結的裝置。
  • Configuration Manager 共同管理。
• Microsoft Entra 在 Microsoft Intune 中加入並註冊，方法是啟用在 Azure 入口網站 中使用 Intune 註冊 VM。
• 授權：如果使用者或裝置直接或間接受益於 Microsoft Intune 服務，包括透過 Microsoft API 存取 Microsoft Intune 服務，則需要適當的 Azure 虛擬桌面和 Microsoft Intune 授權。 如需詳細資訊，請移至 Microsoft Intune 授權。
• 如需 Azure 虛擬桌面 授權需求的詳細資訊，請參閱什麼是 Azure 虛擬桌面？

限制

Intune 不支援使用已註冊之計算機的複製映像。 這包括實體和虛擬設備，例如 Azure 虛擬桌面 (AVD) 。 在裝置之間復寫裝置註冊或身分識別令牌時，Intune 裝置註冊或同步處理失敗。

• 如需詳細資訊，請參閱行動裝置註冊 - Windows 用戶端管理和憑證驗證裝置註冊 - Windows 用戶端管理。
• 如需有關影像複製相關問題的疑難解答資訊，請參閱 錯誤 hr 0x8007064c：計算機已註冊。

注意事項

如果您要將會話主機加入 Microsoft Entra Domain Services，就無法使用 Intune 來管理它們。

重要事項

• 如果您使用 Windows 10 版本 2004、20H2 或 21H1 組建，請確定您已安裝 2021 年 7 月 Windows Update 版或更新版本的 Windows 更新。 否則，Microsoft Intune 系統管理中心的遠端動作，例如遠端同步，將無法正常運作。 因此，指派給裝置的暫止原則可能需要最多 8 小時才能套用。
• Intune 目前不支援裝置之間的令牌漫遊功能。 如果 使用 FSLogix 或類似的技術來管理 Windows 使用者設定檔和設定，您必須確保令牌不會在裝置之間意外漫遊或重複。 若要確認您執行的 FSLogix 版本和設定已停用令牌漫遊，請參閱 FSLogix RoamIdentity 組態設定參考。

Windows 10 或 Windows 11 企業版 會話 VM 會被視為個別的 OS 版本，而此版本將不支援某些 Windows 10 或 Windows 11 企業版 組態。 使用 Microsoft Intune 不會依賴或干擾相同 VM 的 Azure 虛擬桌面管理。

Create 組態配置檔

若要設定 Windows 10 或 Windows 11 企業版 多重工作階段 VM 的設定原則，您必須在 Microsoft Intune 系統管理中心使用 [設定] 目錄。

Windows 10 或 Windows 11 企業版 多重會話 VM 不支援現有的裝置組態配置檔範本，但下列範本除外：

• 受信任的憑證 - 以裝置為目標時的裝置 (計算機) ，以及以用戶為目標時的使用者
• SCEP 憑證 - 以裝置為目標時的裝置 (計算機) ，以及以使用者為目標時的使用者
• PKCS 憑證 - 以裝置為目標時的裝置 (計算機) ，以及以使用者為目標時的使用者
• VPN - 僅限裝置通道

Microsoft Intune 不會將不支援的範本傳遞給多重會話裝置，而且這些原則在報告中會顯示為不適用。

注意事項

如果您對 Intune 和 Configuration Manager 使用共同管理，請在 Configuration Manager 中，將 [資源存取原則] 的工作負載滑桿設定為 [Intune] 或 [試驗 Intune]。 此設定可讓 Windows 10 和 Windows 11 客戶端開始要求憑證的程式。

設定原則

1. 登入 Microsoft Intune 系統管理中心，然後選擇 [裝置>] [Windows>組態配置檔>Create>[新增原則]。
2. 針對 [平臺]，選取 [Windows 10 及更新版本]。
3. 針對 [配置檔類型]，選取 [ 設定目錄]，或在使用範本部署設定時，選取 [範本 ]，然後選取支援的範本名稱。
4. 選取 [建立]。
5. 在 [ 基本概念] 頁面上，提供 [名稱 ]， (選擇性地) [描述>下一步]。
6. 在 [ 組態設定] 頁面上，選取 [ 新增設定]。
7. 在 [設定選擇器] 下，選取 [ 新增篩選 ]，然後選取下列選項：
   • 機碼： OS 版本
   • 運算子： ==
   • 值： 企業多重會話
   • 選取 [套用]。 篩選的清單現在會顯示支援 Windows 10 或 Windows 11 企業版 多重會話的所有組態配置檔類別。 原則的範圍會以括號顯示。 針對用戶範圍，它會顯示為 (使用者) ，其餘全部都是具有裝置範圍的原則。
8. 從篩選的清單中，挑選您想要的類別。
   • 針對您挑選的每個類別，選取您要套用至新組態配置檔的設定。
   • 針對每個設定，選取您要用於此組態配置檔的值。
9. 當您完成新增設定時，請選取 [ 下一步 ]。
10. 在 [指派] 頁面上，選擇 Microsoft Entra 群組，其中包含您要下一步指派>此配置檔的裝置。
11. 在 [範圍卷標] 頁面上，選擇性地新增您要套用至此配置檔>的範圍標籤[下一步]。 如需範圍標籤的詳細資訊，請 參閱針對分散式IT使用角色型訪問控制和範圍標籤。
12. 在 [檢閱 + 建立] 頁面上，選擇 [Create] 以建立配置檔。

系統管理範本

Windows 10 或 Windows 11 系統管理範本可透過 [設定] 目錄支援 Windows 10 或 Windows 11 企業版 多重會話，但有一些限制：

• 支援ADMX支持的原則。 某些原則尚未在 [設定] 目錄中提供。
• 支援 ADMX 內嵌原則，包括 Office 系統管理範本檔案和 Microsoft Edge 系統管理範本檔案中可用的 Office 和 Microsoft Edge 設定。 如需ADMX內嵌原則類別的完整清單，請參閱Win32和 傳統型橋接器 應用程式原則設定。 某些 ADMX 內嵌設定不適用於 Windows 10 或 Windows 11 企業版 多重工作階段。

合規性和條件式存取

您可以在 Microsoft Intune 系統管理中心設定合規性原則和條件式存取原則，來保護 Windows 10 或 Windows 11 企業版 多重會話 VM。 Windows 10 或 Windows 11 企業版 多重會話 VM 上支援下列合規性原則：

• 最低作業系統版本
• 操作系統版本上限
• 有效的操作系統組建
• 簡單密碼
• 密碼類型
• 密碼最小長度
• 密碼複雜性
• 密碼到期 (天)
• 防止重複使用的先前密碼數目
• Microsoft Defender 反惡意代碼軟體
• Microsoft Defender 最新的反惡意代碼安全情報
• 防火牆
• 防毒軟體
• Antispyware
• 即時保護
• Microsoft Defender 反惡意代碼最低版本
• Defender ATP 風險分數

所有其他原則都會回報為 [不適用]。

重要事項

您必須建立新的合規性政策，並將其目標設為包含多重會話 VM 的裝置群組。 不支援以用戶為目標的合規性設定。

條件式存取原則支援 Windows 10 或 Windows 11 企業版 多重會話的使用者和裝置型設定。

注意事項

Windows 10 或 Windows 11 企業版 多重會話 VM 不支援 Exchange 內部部署的條件式存取。

注意事項

Azure 虛擬桌面 VM 目前不支援使用 vTPM (虛擬信賴平臺模組) 的 BitLocker、安全開機和功能的設定和合規性原則。

端點安全性

您可以選取 [平臺] Windows 10、[Windows 11] 和 [Windows Server]，在多重會話 VM 的 [端點安全性] 下設定設定檔。 如果該平台無法使用，則多重會話 VM 不支援配置檔。

如需詳細資訊，請參閱在 Microsoft Intune 中使用端點安全策略管理裝置安全性

應用程式部署

所有 Windows 10 或 Windows 11 應用程式都可以部署到 Windows 10，或 Windows 11 企業版 具有下列限制的多重會話：

• 所有應用程式都必須設定為在系統/裝置內容中安裝，並以裝置為目標。 根據預設，Web 應用程式一律會套用在用戶內容中，因此不會套用至多重會話 VM。
• 所有應用程式都必須設定為 必要 或 卸載 應用程式指派意圖。 多重會話 VM 不支援 可用的應用程式 部署意圖。
• 如果設定為在系統內容中安裝的 Win32 應用程式在設定為在使用者內容中安裝的任何應用程式上具有相依性或取代關聯性，則不會安裝應用程式。 若要套用至 Windows 10 或 Windows 11 企業版 多重會話 VM，請建立系統內容應用程式的個別實例，或確定所有應用程式相依性都已設定為在系統內容中安裝。
• Microsoft Intune 目前不支援 Azure 虛擬桌面 RemoteApp 和 MSIX 應用程式連結。

腳本部署

Windows 10 或 Windows 11 企業版 多重會話支援設定為在系統內容中執行並指派給裝置的腳本。 這可以在 [腳本設定] 下設定，方法是 將 [使用登入的認證執行此腳本 ] 設定為 [否]。

Windows 10 和多重會話支援設定為在用戶內容中執行並指派給使用者的腳本 Windows 11 企業版。 這可以在 [腳本設定] 下設定，方法是 將 [使用登入的認證執行此腳本 ] 設定為 [是]。

商務用 Windows Update

您可以使用設定目錄來管理 Windows 10 或 Windows 11 企業版 多重工作階段 VM 之品質 (安全性) 更新的 Windows Update 設定。 若要在目錄中尋找支持的設定，請設定企業多重會話的設定篩選，然後展開商務用 Windows Update 類別。

目錄中提供下列設定，其中包含開啟 Windows CSP 檔的連結：

• 使用時間結束
• 使用時間上限範圍
• 使用時間開始時間
• 封鎖「暫停 匯報」功能
• 設定期限寬限期
• 延遲品質 匯報 期間 (天)
• 暫停品質 匯報 開始時間
• 品質更新期限 (天數)

遠端動作

不支援下列 Windows 10 或 Windows 11 桌面裝置遠端動作，而且會在 UI 中呈現灰色，並在 Graph 中針對 Windows 10 或 Windows 11 企業版 多重工作階段 VM 停用：

• Autopilot 重設
• BitLocker 金鑰輪替
• 從頭開始
• 遠端鎖定
• 重設密碼
• 擦去

退休

從 Azure 刪除 VM 會將孤立的裝置記錄保留在 Microsoft Intune 系統管理中心。 系統會根據為租用戶設定的清除規則自動清除它們。

安全性基準

安全性基準目前不適用於 Windows 10 或 Windows 11 企業版 多重會話。 建議您檢閱 [可用的安全性基準 ]，並在 [ 設定] 目錄中設定建議的原則和值。

Windows 10 或 Windows 11 企業版 多重會話 VM 上不支援的其他設定

Windows 10 或 Windows 11 企業版 多重會話不支援全新體驗 (OOBE) 註冊。 此限制表示：

• 不支援 Windows Autopilot 和商業 OOBE。
• 不支援註冊狀態頁面。

Windows 10 或 Windows 11 企業版 目前不支援由 Microsoft Intune 管理的多重會話。

疑難排解

下列各節提供常見問題的疑難解答指引。

註冊問題

問題	詳細資料
註冊 Microsoft Entra 混合式聯結的虛擬機失敗	自動註冊設定為使用用戶認證。 Windows 10 或 Windows 11 企業版 必須使用裝置認證註冊多重會話虛擬機。 您使用的 Azure 虛擬桌面代理程式必須是 1.0.2944.1400 版或更新版本。 您有多個不支援的 MDM 提供者。 Windows 10 或 Windows 11 企業版 會在主機集區外部設定多重會話 VM。 Microsoft Intune 只支援布建為主機集區一部分的 VM。 Azure 虛擬桌面主機集區不是透過 Azure Resource Manager 範本建立的。
已加入 Microsoft Entra 虛擬機註冊失敗	您使用的 Azure 虛擬桌面代理程式不會更新。 代理程式必須是 1.0.2944.1400 版或更新版本。 Azure 虛擬桌面主機集區不是透過 Azure Resource Manager 範本建立。

設定問題

問題	詳細資料
設定目錄原則失敗	確認已使用裝置認證註冊 VM。 Windows 10 或 Windows 11 企業版 多重會話目前不支援使用使用者認證註冊。
未套用設定原則	Windows 10 或 Windows 11 企業版 多重會話不支持憑證) 以外的 (範本。 所有原則都必須透過設定目錄建立。
設定原則報告為不適用	某些原則不適用於 Azure 虛擬桌面 VM。
當我將篩選套用至 Windows 10 或 Windows 11 企業版 多重會話版本時，不會顯示 Microsoft Edge/Microsoft Office ADMX 原則	這些設定的適用性不是以 Windows 版本或版本為基礎，而是取決於這些應用程式是否已安裝在裝置上。 若要將這些設定新增至原則，您可能必須移除設定選擇器中套用的任何篩選條件。
設定為在系統內容中安裝的應用程式不適用	確認應用程式在設定為在用戶內容中安裝的任何應用程式上沒有相依性或取代關聯性。 Windows 10 或 Windows 11 企業版 多重會話目前不支援使用者內容應用程式。
未套用 Windows 10 和更新版本原則的更新通道	目前不支援 Windows 更新通道原則。

後續步驟

深入瞭解 Azure 虛擬桌面。