你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
开始使用 Azure 虚拟桌面需要执行一些作。 可在此处找到成功为用户提供桌面和应用程序所需的先决条件。
概括而言,你需要:
- 具有活动订阅的 Azure 帐户
- 支持的标识提供者
- 会话主机虚拟机支持的作系统
- 适当的许可证
- 网络连接
- 远程桌面客户端
具有活动订阅的 Azure 帐户
需要具有活动订阅的 Azure 帐户才能部署 Azure 虚拟桌面。 如果还没有帐户,可以 免费创建一个帐户。
若要部署 Azure 虚拟桌面,需要分配相关的 Azure 基于角色的访问控制 (RBAC) 角色。 部署 Azure 虚拟桌面的相关文章中都介绍了具体的角色要求, 后续步骤 部分列出了这些文章。
此外,请确保已为订阅注册 Microsoft.DesktopVirtualization 资源提供程序。 若要检查资源提供程序的状态并根据需要注册,请选择方案的相关选项卡,并按照步骤作。
重要
必须具有注册资源提供程序的权限,这需要 */register/action 操作。 如果你的帐户在订阅上分配了参与者或所有者角色,则这包括此内容。
登录 Azure 门户。
选择“ 订阅”。
选择订阅的名称。
选择“ 资源提供程序”。
搜索 Microsoft.DesktopVirtualization。
如果状态为 NotRegistered,请选择“ Microsoft.DesktopVirtualization”,然后选择“ 注册”。
验证 Microsoft.DesktopVirtualization 的状态是否为 “已注册”。
标识
若要从会话主机访问桌面和应用程序,用户需要能够进行身份验证。 Microsoft Entra ID是Microsoft启用此功能的集中式云标识服务。 Microsoft Entra ID始终用于对 Azure 虚拟桌面的用户进行身份验证。 会话主机可以加入到同一Microsoft Entra租户,也可以使用Active Directory 域服务 ( AD DS) 或Microsoft Entra 域服务加入 Active Directory 域,从而为你提供灵活的配置选项选择。
会话主机
需要加入会话主机,这些主机将桌面和应用程序提供给与用户相同的Microsoft Entra租户,或者将 Active Directory 域 (AD DS 或 Microsoft Entra 域服务) 。
注意
对于Azure Local,只能将会话主机加入到Active Directory 域服务域。 只能将Azure Local上的会话主机加入到 Active Directory 域服务 (AD DS) 域。 这包括使用Microsoft Entra混合联接,可从Microsoft Entra ID提供的一些功能中受益。
若要将会话主机加入Microsoft Entra ID或 Active Directory 域,需要以下权限:
对于Microsoft Entra ID,需要一个可以将计算机加入租户的帐户。 有关详细信息,请参阅 管理设备标识。 若要详细了解如何将会话主机加入到Microsoft Entra ID,请参阅已加入会话主机Microsoft Entra。
对于 Active Directory 域,需要一个可以将计算机加入域的域帐户。 对于Microsoft Entra 域服务,你需要是 AAD DC 管理员组的成员。
用户
用户需要Microsoft Entra ID中的帐户。 如果在部署 Azure 虚拟桌面时还使用 AD DS 或 Microsoft Entra 域服务,则这些帐户必须是混合标识,这意味着用户帐户是同步的。 你需要根据所使用的标识提供者记住以下事项:
- 如果将 Microsoft Entra ID 与 AD DS 配合使用,则需要配置 Microsoft Entra Connect 以在 AD DS 和 Microsoft Entra ID 之间同步用户标识数据。
- 如果将 Microsoft Entra ID 与 Microsoft Entra 域服务 一起使用,则用户帐户会从 Microsoft Entra ID 同步到Microsoft Entra 域服务。 此同步过程是自动的。
重要
用户帐户必须存在于用于 Azure 虚拟桌面的Microsoft Entra租户中。 Azure 虚拟桌面不支持 B2B、 B2C 或个人Microsoft帐户。
使用混合标识时,UserPrincipalName (UPN) 或安全标识符 (SID) 必须跨Active Directory 域服务和Microsoft Entra ID匹配。 有关详细信息,请参阅 支持的标识和身份验证方法。
支持的标识方案
下表汇总了 Azure 虚拟桌面当前支持的标识方案:
| 标识方案 | 会话主机 | 用户帐户 |
|---|---|---|
| Microsoft Entra ID + AD DS | 已加入 AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + AD DS | 已加入到Microsoft Entra ID | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 | 已加入到Microsoft Entra 域服务 | 在Microsoft Entra ID和Microsoft Entra 域服务中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 + AD DS | 已加入到Microsoft Entra 域服务 | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 | 已加入到Microsoft Entra ID | 在Microsoft Entra ID和Microsoft Entra 域服务中,已同步 |
| 仅限Microsoft Entra | 已加入到Microsoft Entra ID | 在 Microsoft Entra ID |
有关支持的标识方案(包括单一登录和多重身份验证)的更多详细信息,请参阅 支持的标识和身份验证方法。
FSLogix 配置文件容器
若要在将会话主机加入到Microsoft Entra ID时使用 FSLogix 配置文件容器,需要在 Azure 文件存储 或 Azure NetApp 文件上存储配置文件,并且用户帐户必须是混合标识。 必须在 AD DS 中创建这些帐户并将其同步到Microsoft Entra ID。 若要详细了解如何部署具有不同标识方案的 FSLogix 配置文件容器,请参阅以下文章:
- 使用 Azure 文件存储 和 Active Directory 域服务 或 Microsoft Entra 域服务 设置 FSLogix 配置文件容器。
- 使用 Azure 文件存储 和 Microsoft Entra ID 设置 FSLogix 配置文件容器。
- 使用 Azure NetApp 文件 设置 FSLogix 配置文件容器
部署参数
部署会话主机时,需要输入以下标识参数:
- 域名(如果使用 AD DS 或 Microsoft Entra 域服务)。
- 用于将会话主机加入域的凭据。
- 组织单位 (OU) ,这是一个可选参数,可用于在部署时将会话主机置于所需的 OU 中。
重要
用于加入域的帐户不能启用多重身份验证 (MFA) 。
作系统和许可证
可以选择作系统 (作系统) ,这些作系统可用于会话主机提供桌面和应用程序。 可以将不同的作系统与不同的主机池结合使用,为用户提供灵活性。 下表列出了 64 位作系统和 SKU,其中支持的版本和日期与 Microsoft生命周期策略) 以及适用于每个商业目的的许可方法一起 (:
| 操作系统 仅 (64 位) |
许可方法 (内部商业目的) |
许可方法 (外部商业目的) |
|---|---|---|
|
|
|
|
每用户访问定价不适用于Windows Server作系统。 |
若要详细了解可以使用的许可证(包括每用户访问定价),请参阅 许可 Azure 虚拟桌面。
重要
- 会话主机不支持以下项:
- 32 位作系统。
- 上表中未列出的 N、KN、LTSC 和其他版本的 Windows作系统。
- OS 磁盘类型的超级磁盘。
- Azure VM 的临时 OS 磁盘。
- 虚拟机规模集。
- 基于 Arm64 的 Azure VM。
对于 Azure,可以使用 Azure 市场 Microsoft 提供的作系统映像,或者创建存储在 Azure Compute Gallery 或作为托管映像的自定义映像。 使用 Azure 虚拟桌面的自定义映像模板可以轻松创建可在) 部署会话主机虚拟机 (VM 时使用的自定义映像。 若要详细了解如何创建自定义映像,请参阅:
或者,对于Azure Local可以使用以下作系统映像:
- Azure 市场。 有关详细信息,请参阅使用Azure 市场映像创建Azure Local VM 映像。
- Azure 存储帐户。 有关详细信息,请参阅在 Azure 存储帐户中使用映像创建Azure Local VM 映像。
- 本地共享。 有关详细信息,请参阅使用本地共享中的映像创建Azure Local VM 映像。
可以使用以下任一方法将虚拟机 (VM) 用作这些映像中的会话主机:
- 自动,作为Azure 门户中的主机池设置过程的一部分。
- 手动将会话主机添加到Azure 门户中的现有主机池。
- 以编程方式使用 Azure CLI 或 Azure PowerShell。
如果许可证授权使用 Azure 虚拟桌面,则无需安装或应用单独的许可证,但如果对外部用户使用每用户访问定价,则需要 注册 Azure 订阅。 需要确保在 Azure 中正确分配会话主机上使用的 Windows 许可证,并且作系统已激活。 有关详细信息,请参阅 将 Windows 许可证应用到会话主机虚拟机。
对于Azure Local上的会话主机,必须先许可并激活所使用的虚拟机,然后再将其用于 Azure 虚拟桌面。 若要激活Windows 10和Windows 11 企业版多会话,以及 Windows Server 2022 Datacenter:Azure 版本,请使用 VM 的 Azure 验证。 对于所有其他 OS 映像 ((例如Windows 10和Windows 11 企业版)以及其他版本的Windows Server) ,应继续使用现有激活方法。 有关详细信息,请参阅在Azure Local上激活Windows Server VM。
注意
若要确保最新安全更新的持续功能,请在 2024 年 6 月 17 日之前将 Azure Local 上的 VM 更新为最新的累积更新。 对于 VM 继续使用 Azure 权益,此更新至关重要。 有关详细信息,请参阅 VM 的 Azure 验证。
提示
为了简化初始开发和测试期间的用户访问权限,Azure 虚拟桌面支持 Azure 开发/测试定价。 如果在 Azure 开发/测试订阅中部署 Azure 虚拟桌面,最终用户可以在没有单独的许可证权利的情况下连接到该部署,以便执行验收测试或提供反馈。
网络
若要成功部署 Azure 虚拟桌面,需要满足几个网络要求。 这允许用户连接到其桌面和应用程序,同时为他们提供可能的最佳用户体验。
连接到 Azure 虚拟桌面的用户会安全地与服务建立反向连接,这意味着无需打开任何入站端口。 默认情况下,端口 443 上的传输控制协议 (TCP) ,但 RDP 短路径可用于建立直接用户数据报协议 (基于 UDP) 传输的托管网络和公共网络。
若要成功部署 Azure 虚拟桌面,需要满足以下网络要求:
需要为会话主机提供虚拟网络和子网。 如果与主机池同时创建会话主机,则必须提前创建此虚拟网络,使其显示在下拉列表中。 虚拟网络必须与会话主机位于同一 Azure 区域。
如果使用 AD DS 或Microsoft Entra 域服务,请确保此虚拟网络可以连接到域控制器和相关 DNS 服务器,因为需要将会话主机加入域。
会话主机和用户需要能够连接到 Azure 虚拟桌面服务。 这些连接还将端口 443 上的 TCP 用于特定 URL 列表。 有关详细信息,请参阅 所需的 URL 列表。 必须确保网络筛选或防火墙不会阻止这些 URL,才能使部署正常工作并受到支持。 如果用户需要访问 Microsoft 365,请确保会话主机可以连接到 Microsoft 365 终结点。
另请考虑以下事项:
用户可能需要访问托管在不同网络上的应用程序和数据,因此请确保会话主机可以连接到它们。
从客户端网络到包含主机池的 Azure 区域的往返时间 (RTT) 延迟应小于 150 毫秒。 若要查看哪些位置具有最佳延迟,请在 Azure 网络往返延迟统计信息中查找所需位置。 若要优化网络性能,建议在最靠近用户的 Azure 区域中创建会话主机。
使用 Azure 虚拟桌面部署Azure 防火墙来帮助锁定环境并筛选出站流量。
为了帮助保护 Azure 中的 Azure 虚拟桌面环境,建议不要在会话主机上打开入站端口 3389。 Azure 虚拟桌面不需要打开一个打开的入站端口。 如果必须打开端口 3389 以进行故障排除,我们建议使用 实时 VM 访问。 我们还建议不要向会话主机分配公共 IP 地址。
若要了解详细信息,请参阅 了解 Azure 虚拟桌面网络连接。
注意
为了保持 Azure 虚拟桌面的可靠性和可缩放性,我们会聚合流量模式和使用情况,以检查基础结构控制平面的运行状况和性能。 我们从服务基础结构所在的所有位置聚合此信息,然后将其发送到美国区域。 发送到美国区域的数据包括已清理的数据,但不包括客户数据。 有关详细信息,请参阅 Azure 虚拟桌面的数据位置。
会话主机管理
管理会话主机时,请考虑以下几点:
不要启用任何禁用 Windows Installer 的策略或配置。 如果禁用 Windows Installer,则服务无法在会话主机上安装代理更新,并且会话主机将无法正常工作。
如果要将会话主机加入 AD DS 域,并且想要使用 Intune 对其进行管理,则需要配置 Microsoft Entra Connect 以启用Microsoft Entra混合加入。
如果要将会话主机加入到Microsoft Entra 域服务域,则无法使用Intune对其进行管理。
如果将Microsoft Entra联接与会话主机Windows Server一起使用,则无法在Intune中注册,因为Intune不支持Windows Server。 需要从 Active Directory 域或每个会话主机上的本地组策略使用Microsoft Entra混合联接和组策略。
Azure 区域
可以在以下 Azure 区域中部署主机池、工作区和应用程序组。 此区域列表是可以存储主机池的 元数据 的位置。 但是,在 Azure Local 上使用 Azure 虚拟桌面时,用户会话的会话主机可以位于任何 Azure 区域和本地,这样就可以将计算资源部署到靠近用户的位置。 有关数据类型和位置的详细信息,请参阅 Azure 虚拟桌面的数据位置。
- 澳大利亚东部
- 加拿大中部
- 加拿大东部
- 印度中部
- 美国中部
- 美国东部
- 美国东部 2
- 日本东部
- 日本西部
- 美国中北部
- 北欧
- 南非北部
- 美国中南部
- 英国南部
- 英国西部
- 美国中西部
- 西欧
- 美国西部
- 美国西部 2
- 美国西部 3
Azure 虚拟桌面在主权云中也可用,例如 适用于美国政府的 Azure 和由中国 世纪互联运营的 Azure 。
若要详细了解 Azure 虚拟桌面服务的体系结构和复原能力,请参阅 Azure 虚拟桌面服务体系结构和复原能力。
连接到远程会话
用户需要使用 Windows App 或远程桌面客户端连接到桌面和应用程序。 可以从以下来源进行连接:
- Windows
- macOS
- iOS/iPadOS
- Android/Chrome OS
- Web 浏览器
有关详细信息,请参阅连接到设备和应用的Windows App入门。
重要
Azure 虚拟桌面不支持来自 RemoteApp 和桌面Connections (RADC) 客户端或远程桌面连接 (MSTSC) 客户端的连接。
若要了解客户端使用哪些 URL 进行连接以及必须允许通过防火墙和 Internet 筛选器,请参阅 所需的 URL 列表。
后续步骤
准备好试用 Azure 虚拟桌面时,请使用快速入门部署包含Windows 11 企业版多会话的示例 Azure 虚拟桌面环境。
有关部署 Azure 虚拟桌面的更深入且适应性更高的方法,请参阅 部署 Azure 虚拟桌面。