Azure 虚拟桌面常见问题解答

本文解答了常见问题，并介绍了 Azure 虚拟桌面的最佳做法。

管理对象所需的最低管理员权限是多少？

如果要创建主机池和其他对象，则必须在正在使用的订阅或资源组上分配“参与者”角色。

你必须在应用程序组上分配“用户访问管理员”角色，才能将应用程序组发布到用户或用户组。

若要将管理员限制为仅管理用户会话，例如向用户发送消息、注销用户等，可以创建自定义角色。 例如：

{
    "actions": [
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/tags/read",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*",
        "Microsoft.DesktopVirtualization/hostpools/sessionhosts/read",
        "Microsoft.DesktopVirtualization/hostpools/sessionhosts/write"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
}

是否可以跨多个Microsoft Entra租户部署 Azure 虚拟桌面？

用户必须与其分配的工作区、主机池和应用组位于同一Microsoft Entra租户中。 在同一租户中拥有所有内容后，可以向用户分配适当的基于角色的访问控制， (RBAC) 角色，以便他们可以访问其资源。

但是，如果将虚拟机 (VM) 部署到与用户 AD 具有信任关系的同一 AD，则可以将虚拟机 (VM 部署到其他Microsoft Entra租户中。

什么是位置限制？

所有服务资源都有一个与其关联的位置。 主机池的位置决定了主机池的服务元数据存储在哪个地理位置。 没有主机池，应用程序组就不能存在。 如果将应用添加到 RemoteApp 应用程序组，还需要一个会话主机来确定“开始”菜单应用。 对于任何应用程序组作，还需要对主机池进行相关数据访问。 若要确保数据不会在多个位置之间传输，应用程序组的位置应与主机池的位置相同。

工作区还必须与其应用程序组位于同一位置。 每当工作区更新时，相关的应用程序组会随之更新。 与应用程序组一样，该服务要求所有工作区都与在同一位置创建的应用程序组相关联。

如何在 PowerShell 中扩展对象的属性？

运行 PowerShell cmdlet 时，只会看到资源名称和位置。

例如：

Get-AzWvdHostPool -Name 0224hp -ResourceGroupName 0224rg

Location Name   Type
-------- ----   ----
westus   0224hp Microsoft.DesktopVirtualization/hostpools

若要查看资源的所有属性，请将 或 fl 添加到 format-list cmdlet 的末尾。

例如：

Get-AzWvdHostPool -Name 0224hp -ResourceGroupName 0224rg |fl

若要查看特定属性，请在 或 fl后面format-list添加特定属性名称。

例如：

Get-AzWvdHostPool -Name demohp -ResourceGroupName 0414rg |fl CustomRdpProperty

CustomRdpProperty : audiocapturemode:i:0;audiomode:i:0;drivestoredirect:s:;redirectclipboard:i:1;redirectcomports:i:0;redirectprinters:i:1;redirectsmartcards:i:1;screen modeid:i:2;

Azure 虚拟桌面是否支持来宾用户？

Azure 虚拟桌面不支持Microsoft Entra来宾用户帐户。 例如，假设一组来宾用户在其自己的公司中拥有Microsoft 365 E3每用户、Windows E3 每用户或 WIN VDA 许可证，但不同公司Microsoft Entra ID中的来宾用户。 另一家公司将在 Microsoft Entra ID 和 Active Directory 中管理来宾用户的用户对象，就像本地帐户一样。

不能为了第三方的利益使用自己的许可证。 此外，Azure 虚拟桌面目前不支持 Microsoft 帐户 (MSA) 。

为什么在 WVDConnections 表中看不到客户端 IP 地址？

我们目前没有收集 Web 客户端 IP 地址的可靠方法，因此未在表中包括该值。

Azure 虚拟桌面如何处理备份？

Azure 虚拟桌面中有多个用于处理备份的选项。 在计算级别，建议仅通过Azure 备份对个人主机池进行备份。 在存储级别，建议的备份解决方案因用于存储用户配置文件的后端存储而异。 如果使用Azure 文件存储共享，建议对文件共享Azure 备份。 如果使用Azure NetApp 文件，则 Snaphots/Policies 或 Azure NetApp 文件 Backup 是可用的工具。

Azure 虚拟桌面是否支持第三方协作应用？

Azure 虚拟桌面当前已针对 Teams 进行优化。 Microsoft目前不支持 Zoom 等第三方协作应用。 第三方组织负责为其客户提供兼容性指南。 Azure 虚拟桌面也不支持Skype for Business。

是否可以从共用主机池更改为个人主机池？

创建主机池后，无法更改其类型。 但是，可以将注册到主机池的任何 VM 移动到不同类型的主机池。

Azure 门户中创建的主机池是否有缩放限制？

这些因素可能会影响主机池的规模限制：

• Azure 模板限制为 800 个对象。 若要了解详细信息，请参阅 Azure 订阅和服务限制、配额和约束。 每个 VM 还会创建大约 6 个对象，这意味着每次运行模板时可以创建大约 132 个 VM。

• 每个区域和每个订阅可以创建的 vCPU 数存在限制。 例如，如果你有企业协议订阅，则默认情况下可以创建 350 个 vCPU。 需要将 350 除以每个 VM 的默认 vCPU 数或自己的 vCPU 限制，以确定每次运行模板时可以创建的 VM 数。 有关详细信息，请参阅虚拟机限制 - Azure 资源管理器和检查 vCPU 配额。

• VM 前缀名称不能超过 11 个字符，因此，添加顺序数字时，总名称最多为 15 个字符。 若要了解详细信息，请参阅 Azure 资源的命名规则和限制。

是否可以使用 Azure Lighthouse 管理 Azure 虚拟桌面环境？

Azure Lighthouse 并不完全支持管理 Azure 虚拟桌面环境。 由于 Lighthouse 目前不支持跨Microsoft Entra ID租户用户管理，Lighthouse 客户仍需要登录到客户用于管理用户的Microsoft Entra ID。

也不能将 CSP 沙盒订阅与 Azure 虚拟桌面服务一起使用。 若要了解详细信息，请参阅 集成沙盒帐户。

最后，如果从 CSP 所有者帐户启用了资源提供程序，CSP 客户帐户将无法修改资源提供程序。

应多久打开一次 VM 以防止注册问题？

将 VM 注册到 Azure 虚拟桌面服务中的主机池后，每当 VM 处于活动状态时，代理会定期刷新 VM 的令牌。 注册令牌的证书的有效期为 90 天。 由于此 90 天限制，我们建议 VM 每 90 天联机 20 分钟，以便计算机可以刷新其令牌并更新代理和并行堆栈组件。 在此时间限制内打开 VM 可防止其注册令牌过期或变为无效。 如果在 90 天后启动 VM，但遇到注册问题，请按照 Azure 虚拟桌面代理故障排除指南 中的说明从主机池中删除 VM，重新安装代理，然后将其重新注册到池。

创建主机池时是否可以设置可用性选项？

是。 创建 VM 时，Azure 虚拟桌面主机池可以选择可用性集或可用性区域。 这些可用性选项与 Azure Compute 使用的选项相同。 如果为在主机池中创建的 VM 选择区域，该设置将自动应用于在该区域中创建的所有 VM。 如果希望跨多个区域分布主机池 VM，则需要按照使用Azure 门户添加虚拟机中的说明，为创建的每个新 VM 手动选择一个新区域。

请确保 Azure 可用性区域 在 VM 所在的区域中可用。

哪个可用性选项最适合我？

应用于 VM 的可用性选项取决于映像的位置。 下表说明了每个设置与这些变量的关系，以帮助你确定哪个选项最适合你的部署。

可用性选项	图像位置
None	库
None	Blob 存储
可用性区域	库 (blob 存储选项已禁用)
具有托管 SKU (托管磁盘) 的可用性集	库
具有托管 SKU (托管磁盘) 的可用性集	Blob 存储
具有托管 SKU (托管磁盘) 的可用性集	) 禁用 Blob 存储 (库选项
由用户) 新建的可用性集 (	库
由用户) 新建的可用性集 (	Blob 存储

我是否应使用 Windows Defender 应用程序控制或 AppLocker 来控制允许哪些应用程序和驱动程序在我的Windows 10设备上运行？

建议使用 Windows Defender 应用程序控制而不是 AppLocker。

测试迁移时，是否可以在同一租户中存在两个不同的 Azure 虚拟桌面环境？

是。 可以在同一Microsoft Entra租户中同时部署这两个部署。

Azure 虚拟桌面是否支持 Azure VM 的临时 OS 磁盘？

不正确。 Azure 虚拟桌面不支持 Azure VM 的临时 OS 磁盘。

如果我将主机池和 VM 存储在不同的区域，那么在主机池区域出现故障但 VM 区域保持联机的灾难场景中会发生什么情况？

主机池的元数据在地理位置中复制，以增强复原能力。 如果主机池所在的区域出现故障，则会故障转移到其副本 (replica) 。 在此故障转移期间，在故障转移完成之前，Azure 虚拟桌面不接受与该主机池中的会话主机 VM 的新用户连接。 该主机池中会话主机 VM 上的任何现有会话保持连接且不受影响。 若要详细了解如何为 Azure 虚拟桌面实现服务复原，请参阅 Azure 虚拟桌面服务体系结构和复原能力。

尝试将 200 多个 VM 添加到 Azure 虚拟桌面中的可用性集时会发生什么情况？

如果尝试在 Azure 虚拟桌面中访问可用性集中超过 200 个 VM，则会收到一条错误消息，指出“无法创建 VM，因为已达到 200 个 VM 的限制”。有关详细信息，请参阅 可用性集概述。

是否可以就地升级会话主机的作系统？

就地升级不支持共用主机池中的会话主机。 个人主机池中的会话主机支持就地升级。 有关详细信息，请参阅在 Azure 中运行 Windows 的受支持 VM 的就地升级和 Azure 中运行Windows Server的 VM 的就地升级。

本文解答了常见问题，并介绍了 Azure 虚拟桌面的最佳做法。

如果要创建主机池和其他对象，则必须在正在使用的订阅或资源组上分配“参与者”角色。

你必须在应用程序组上分配“用户访问管理员”角色，才能将应用程序组发布到用户或用户组。

若要将管理员限制为仅管理用户会话，例如向用户发送消息、注销用户等，可以创建自定义角色。 例如：

{
    "actions": [
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/tags/read",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*",
        "Microsoft.DesktopVirtualization/hostpools/sessionhosts/read",
        "Microsoft.DesktopVirtualization/hostpools/sessionhosts/write"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
}

用户必须与其分配的工作区、主机池和应用组位于同一Microsoft Entra租户中。 在同一租户中拥有所有内容后，可以向用户分配适当的基于角色的访问控制， (RBAC) 角色，以便他们可以访问其资源。

但是，如果将虚拟机 (VM) 部署到与用户 AD 具有信任关系的同一 AD，则可以将虚拟机 (VM 部署到其他Microsoft Entra租户中。

所有服务资源都有一个与其关联的位置。 主机池的位置决定了主机池的服务元数据存储在哪个地理位置。 没有主机池，应用程序组就不能存在。 如果将应用添加到 RemoteApp 应用程序组，还需要一个会话主机来确定“开始”菜单应用。 对于任何应用程序组作，还需要对主机池进行相关数据访问。 若要确保数据不会在多个位置之间传输，应用程序组的位置应与主机池的位置相同。

工作区还必须与其应用程序组位于同一位置。 每当工作区更新时，相关的应用程序组会随之更新。 与应用程序组一样，该服务要求所有工作区都与在同一位置创建的应用程序组相关联。

运行 PowerShell cmdlet 时，只会看到资源名称和位置。

例如：

Get-AzWvdHostPool -Name 0224hp -ResourceGroupName 0224rg

Location Name   Type
-------- ----   ----
westus   0224hp Microsoft.DesktopVirtualization/hostpools

若要查看资源的所有属性，请将 或 fl 添加到 format-list cmdlet 的末尾。

例如：

Get-AzWvdHostPool -Name 0224hp -ResourceGroupName 0224rg |fl

若要查看特定属性，请在 或 fl后面format-list添加特定属性名称。

例如：

Get-AzWvdHostPool -Name demohp -ResourceGroupName 0414rg |fl CustomRdpProperty

CustomRdpProperty : audiocapturemode:i:0;audiomode:i:0;drivestoredirect:s:;redirectclipboard:i:1;redirectcomports:i:0;redirectprinters:i:1;redirectsmartcards:i:1;screen modeid:i:2;

Azure 虚拟桌面不支持Microsoft Entra来宾用户帐户。 例如，假设一组来宾用户在其自己的公司中拥有Microsoft 365 E3每用户、Windows E3 每用户或 WIN VDA 许可证，但不同公司Microsoft Entra ID中的来宾用户。 另一家公司将在 Microsoft Entra ID 和 Active Directory 中管理来宾用户的用户对象，就像本地帐户一样。

不能为了第三方的利益使用自己的许可证。 此外，Azure 虚拟桌面目前不支持 Microsoft 帐户 (MSA) 。

我们目前没有收集 Web 客户端 IP 地址的可靠方法，因此未在表中包括该值。

Azure 虚拟桌面中有多个用于处理备份的选项。 在计算级别，建议仅通过Azure 备份对个人主机池进行备份。 在存储级别，建议的备份解决方案因用于存储用户配置文件的后端存储而异。 如果使用Azure 文件存储共享，建议对文件共享Azure 备份。 如果使用Azure NetApp 文件，则 Snaphots/Policies 或 Azure NetApp 文件 Backup 是可用的工具。

Azure 虚拟桌面当前已针对 Teams 进行优化。 Microsoft目前不支持 Zoom 等第三方协作应用。 第三方组织负责为其客户提供兼容性指南。 Azure 虚拟桌面也不支持Skype for Business。

创建主机池后，无法更改其类型。 但是，可以将注册到主机池的任何 VM 移动到不同类型的主机池。

这些因素可能会影响主机池的规模限制：

• Azure 模板限制为 800 个对象。 若要了解详细信息，请参阅 Azure 订阅和服务限制、配额和约束。 每个 VM 还会创建大约 6 个对象，这意味着每次运行模板时可以创建大约 132 个 VM。

• 每个区域和每个订阅可以创建的 vCPU 数存在限制。 例如，如果你有企业协议订阅，则默认情况下可以创建 350 个 vCPU。 需要将 350 除以每个 VM 的默认 vCPU 数或自己的 vCPU 限制，以确定每次运行模板时可以创建的 VM 数。 有关详细信息，请参阅虚拟机限制 - Azure 资源管理器和检查 vCPU 配额。

• VM 前缀名称不能超过 11 个字符，因此，添加顺序数字时，总名称最多为 15 个字符。 若要了解详细信息，请参阅 Azure 资源的命名规则和限制。

Azure Lighthouse 并不完全支持管理 Azure 虚拟桌面环境。 由于 Lighthouse 目前不支持跨Microsoft Entra ID租户用户管理，Lighthouse 客户仍需要登录到客户用于管理用户的Microsoft Entra ID。

也不能将 CSP 沙盒订阅与 Azure 虚拟桌面服务一起使用。 若要了解详细信息，请参阅 集成沙盒帐户。

最后，如果从 CSP 所有者帐户启用了资源提供程序，CSP 客户帐户将无法修改资源提供程序。

将 VM 注册到 Azure 虚拟桌面服务中的主机池后，每当 VM 处于活动状态时，代理会定期刷新 VM 的令牌。 注册令牌的证书的有效期为 90 天。 由于此 90 天限制，我们建议 VM 每 90 天联机 20 分钟，以便计算机可以刷新其令牌并更新代理和并行堆栈组件。 在此时间限制内打开 VM 可防止其注册令牌过期或变为无效。 如果在 90 天后启动 VM，但遇到注册问题，请按照 Azure 虚拟桌面代理故障排除指南 中的说明从主机池中删除 VM，重新安装代理，然后将其重新注册到池。

是。 创建 VM 时，Azure 虚拟桌面主机池可以选择可用性集或可用性区域。 这些可用性选项与 Azure Compute 使用的选项相同。 如果为在主机池中创建的 VM 选择区域，该设置将自动应用于在该区域中创建的所有 VM。 如果希望跨多个区域分布主机池 VM，则需要按照使用Azure 门户添加虚拟机中的说明，为创建的每个新 VM 手动选择一个新区域。

请确保 Azure 可用性区域 在 VM 所在的区域中可用。

应用于 VM 的可用性选项取决于映像的位置。 下表说明了每个设置与这些变量的关系，以帮助你确定哪个选项最适合你的部署。

可用性选项	图像位置
None	库
None	Blob 存储
可用性区域	库 (blob 存储选项已禁用)
具有托管 SKU (托管磁盘) 的可用性集	库
具有托管 SKU (托管磁盘) 的可用性集	Blob 存储
具有托管 SKU (托管磁盘) 的可用性集	) 禁用 Blob 存储 (库选项
由用户) 新建的可用性集 (	库
由用户) 新建的可用性集 (	Blob 存储

建议使用 Windows Defender 应用程序控制而不是 AppLocker。

是。 可以在同一Microsoft Entra租户中同时部署这两个部署。

不正确。 Azure 虚拟桌面不支持 Azure VM 的临时 OS 磁盘。

主机池的元数据在地理位置中复制，以增强复原能力。 如果主机池所在的区域出现故障，则会故障转移到其副本 (replica) 。 在此故障转移期间，在故障转移完成之前，Azure 虚拟桌面不接受与该主机池中的会话主机 VM 的新用户连接。 该主机池中会话主机 VM 上的任何现有会话保持连接且不受影响。 若要详细了解如何为 Azure 虚拟桌面实现服务复原，请参阅 Azure 虚拟桌面服务体系结构和复原能力。

如果尝试在 Azure 虚拟桌面中访问可用性集中超过 200 个 VM，则会收到一条错误消息，指出“无法创建 VM，因为已达到 200 个 VM 的限制”。有关详细信息，请参阅 可用性集概述。

就地升级不支持共用主机池中的会话主机。 个人主机池中的会话主机支持就地升级。 有关详细信息，请参阅在 Azure 中运行 Windows 的受支持 VM 的就地升级和 Azure 中运行Windows Server的 VM 的就地升级。