使用云电脑池进行计算机应用运行（预览版）

[本文是预发行文档，可能会有所更改。]

云电脑池为 Copilot Studio 代理提供虚拟机来执行基于计算机的任务，而无需设置和管理物理计算机。如果要构建需要与Windows应用程序交互的代理（例如打开文件、使用软件或导航网站），云电脑池会为你处理基础结构。

由 Windows 365 for Agents 提供支持，云电脑池提供可缩放且安全的计算资源。本文介绍什么是云电脑池、如何设置它们、许可要求以及常见问题的解答。

小窍门

免费开始：您可以在租户中创建最多两个云电脑池，而无需在 Power Platform 环境中为代理启用 Windows 365 计费计划。当通过嵌入式测试聊天功能触发云PC池使用时不会计费，每个租户为自动运行的已发布代理提供50小时的免费云PC池使用。

观看本视频，了解Cloud PC Pool在计算机应用中的优势概览。

重要

本文包含Microsoft Copilot Studio预览文档，可能会更改。

预览功能不适用于生产用途，并且可能具有受限功能。这些功能在正式发布之前可用，以便你可以提前访问并提供反馈。

如果要生成生产就绪代理，请参阅 Microsoft Copilot Studio 概述。

如何在 Copilot Studio 中设置云电脑池

在首次使用云PC池之前，请完成以下任务：

了解什么是云PC池，以及谁应该使用它们
创建一个云PC池
配置技术前提条件

了解云电脑池

云电脑池是一组可缩放的虚拟机（VM），托管在微软的云中，已加入 Microsoft Entra 并注册 Intune。此设置使组织能够完全管理云电脑池，以确保它满足要求和合规性策略。

主要功能

下面是云电脑池的一些主要功能：

在 Copilot Studio 中，运行计算机使用工具作为代理的一部分，而无需自带计算机。
根据当前工作负载自动缩放云电脑池中的云电脑数。
工作或学校帐户集成允许访问链接到组织的资源，例如Microsoft 365、SharePoint和Azure。
在 Microsoft Entra 加入并 Intune 注册后，可以充分治理云电脑池，确保其始终符合组织的政策。

观看此视频，了解如何在 Copilot Studio 中逐步配置用于计算机使用的云电脑池。

许可要求

云电脑池使用按需付费的计量模式，通过 Azure 计量为 Azure 订阅计费。欲了解更多信息，请参阅 “设立按需付费计划”。

评估试验

若要评估云电脑池，可以在租户中创建最多两个云电脑池，而无需在 Power Platform 环境中为代理计费计划创建Windows 365。

当从嵌入式测试聊天进行触发时，云电脑池的使用不计费，同时，每个租户可免费使用 50 小时的云电脑池，以供自主运行的代理使用。

创建一个云PC池

如果你不熟悉 Copilot Studio，请查看以下指南以开始使用：

若要创建云电脑池，以便在 Copilot Studio 中使用：

转到计算机使用工具中的计算机部分。
选择设备下拉列表。在“ 云电脑池 ”部分下，选择“ 添加新”。
输入云电脑池的 “名称 ”和 “说明 ”。
配置是否要 为此环境中的所有用户启用仅运行访问权限。
选择创建。

云电脑池的配置可能需要长达30分钟。可以选择“计算机”部分中的“刷新”按钮来检查云电脑池预配的状态。

注释

基于 Windows 登录而启用单一登录 (SSO)，请查看保护计算机的最佳做法，并在添加计算机使用到您的代理时配置访问控制。

管理云电脑池

可以使用以下方法之一在 Power Automate 门户中查看和管理云电脑池：

在计算机使用工具的“计算机”部分中选择云电脑池时，选择“查看计算机详细信息”。
登录到 Power Automate 门户。然后转到监控>计算机>计算机组。

在环境中创建云电脑池后，可以在Power Automate门户中查看其详细信息。

可以与组织中的其他用户共享云电脑池，并向这些用户授予访问它的特定权限。

在 Power Automate 门户的云电脑池详细信息页面中，选择 管理访问。
选择“ 添加人员 ”，然后输入组织中要与之共享计算机的人员的姓名。
选择人员的姓名以选择他们可以使用哪些权限访问计算机。
选择“保存”。

管理对计算机的访问时，您可以分配两个级别的权限：

共同所有者：此访问级别授予该计算机的完全权限。共同所有者可以在计算机上运行计算机使用、与他人共享、编辑其详细信息和删除它。
用户：此访问级别仅授予在计算机上运行计算机使用的权限。此种访问权限无法授予编辑、共享或删除的权限。

删除计算机

可以通过在 Power Automate 门户的云电脑池详细信息页上选择 删除计算机来删除云电脑。

监视运行队列

可以通过选择 Power Automate 门户中云电脑池详细信息页上的“运行队列”和“队列事件”选项卡来查看运行队列和队列事件。通过使用此功能，您可以查看所有排队在目标云电脑池中的计算机使用会话。

配置技术前置条件（针对IT管理员）

如果您是没有IT管理员权限的代理建设者或开发者，请将此部分分享给您的IT管理员以完成设置。

云电脑池需要特定的Microsoft Entra和 Intune 配置才能正常运行。你的IT管理员可能需要配置你的租户，以启用云PC资源池。在创建第一个云PC池之前，先完成这些先决条件，以避免配置错误。

IT管理员的先决条件清单

在创建云PC池之前，请确保满足以下先决条件：

✅有效且可用的 Intune 和 Microsoft Entra 租户
✅ Intune设备类型注册限制已配置
✅ Microsoft Entra 身份验证已启用 RDP
✅ 对目标设备组隐藏的同意提示对话框
✅ 创建必需的服务主体（Windows 365 和 Azure 虚拟桌面）

Microsoft Entra 和 Intune 要求

有效且可工作的 Intune 和 Microsoft Entra 租户。
确保 Intune 设备类型注册限制设置为 允许 Windows（MDM）平台用于企业注册。

有关 Microsoft Entra 和 Intune 要求的详细信息，请参阅 Windows 365 要求。

使用 Microsoft Entra ID 帐户在云电脑上创建本地远程桌面（RDP）会话来运行云电脑池。管理员必须将租户配置为允许云电脑池 Windows 登录。

注释

如果为 RDP 启用Microsoft Entra身份验证不可行，则可以选择使用 Intune 策略为云电脑禁用网络级别身份验证（NLA）。此方法受支持，但不是首选配置。在此体系结构中，安全风险仍然很低，因为所有 RDP 流量都被阻止在 Microsoft 托管网络（MHN）上。

为 RDP 启用Microsoft Entra身份验证的步骤

将以下Microsoft Entra应用程序的服务主体的 isRemoteDesktopProtocolEnabled 对象上的 remoteDesktopSecurityConfiguration 属性设置为 true：

Microsoft Remote Desktop： a4a365df-50f1-4397-bc59-1a1564b8bb9c

若要配置服务主体，请使用 Microsoft Graph PowerShell SDK 创建新的 remoteDesktopSecurityConfiguration 对象，并将属性 isRemoteDesktopProtocolEnabled 设置为 true。还可以将 Microsoft Graph API 与 Graph Explorer 等工具配合使用。

请配置以下先决条件。
使用 PowerShell 终端类型在Azure门户中打开Azure Cloud Shell，或在本地设备上运行 PowerShell。
- 如果您正在使用 Cloud Shell，请确保您的Azure 上下文设置为您要使用的订阅。
- 如果在本地使用 PowerShell，请先使用 Azure PowerShell 登录，然后确保 Azure 上下文设置为要使用的订阅。
请确保已安装 Microsoft Graph PowerShell SDK，然后通过运行以下命令导入 Authentication 和 Applications Microsoft Graph 模块，并使用 Application.Read.All 和 Application-RemoteDesktopConfig.ReadWrite.All 范围连接到Microsoft Graph：
```
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
```

运行以下命令获取Microsoft Remote Desktop服务主体的对象 ID：

$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id

通过执行以下命令检查该 remoteDesktopSecurityConfiguration 对象是否存在。

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

这个命令没有输出。

通过执行以下命令确认isRemoteDesktopProtocolEnabled属性是否设置为：true

Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId

输出应为：

Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

在包含云电脑池的Microsoft Entra ID中创建动态组：
1. 登录到 Microsoft Entra 管理中心。
2. 前往身份>群组>所有群组。
3. 选择新组并配置以下设置：
  - 组类型：安全性
  - 组名：输入你的组名（例如，“Cloud PC Pools”）
  - 成员身份类型: 动态设备
4. 选择 添加动态查询 ，并输入以下规则语法以包含所有云PC池：
```
(device.enrollmentProfileName -startsWith "CPCPool_")
```
5. 选择保存以创建该组。
6. 记下组的 对象 ID ，以便进行下一步操作。
小窍门

为所有Cloud PC池使用带有成员规则的动态群组。该规则 (device.enrollmentProfileName -startsWith "FlsGroup_") 会自动包含所有云PC池设备。
通过执行以下命令创建 targetDeviceGroup 对象。将 <Group object ID> 替换为您创建的组的对象 ID，将 <Group display name> 替换为组的显示名称：
```
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"
```

通过执行以下命令将该组添加到对象中 targetDeviceGroup ：

New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg

输出应如下所示：

Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Intune-Cloud-PC-Group

要增加更多组，重复步骤2和3。你最多可以添加10个组。
（可选）之后要从对象中移除设备组 targetDeviceGroup ，请执行以下命令。用你想移除的组的对象ID替换 <Group object ID> ：
```
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
```

注释

动态组需要Microsoft Entra ID P1 许可证或 Intune for Education 许可证。团体会员通常在5-10分钟内更新，但对于大型租户，可能需要长达24小时。

如果未授予同意，则计算机使用运行将失败并显示 MSEntraRemoteDesktopAppConsentRequired 错误。

Windows 365云电脑和Azure Virtual Desktop服务主体

注释

Windows 365 和 Azure Virtual Desktop 服务主体会自动在租户中创建。可以跳过此步骤，除非在预配托管计算机时遇到未在租户中创建的服务主体的错误。

检查Windows 365服务主体是否存在：
1. 登录到 Azure 门户。
2. 转到 Microsoft Entra>企业应用>所有应用。
3. 删除筛选器应用程序 类型 == 企业应用程序。
4. 在筛选器中输入以 "Application ID 开始" 为条件的 Windows 365 应用程序 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5。
  
  如果Microsoft Entra中存在服务主体，则无需执行任何额外的步骤。如果未列出应用程序，请创建服务主体。
创建Windows 365服务主体。

可以使用 Azure 命令行界面 (CLI) 中的 az ad sp create 命令创建 Azure 服务主体。
```
az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
```

创建与Azure Virtual Desktop相关的其他服务主体。

若要创建托管计算机，必须在租户中创建以下Azure Virtual Desktop服务。

应用程序名称	应用程序 ID
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop 客户端	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM 提供程序	50e95039-b200-4007-bc97-8d5790743a63

按照与创建Windows 365应用程序相同的说明检查和创建服务主体。

管理控制

管理员可以控制云电脑池功能的可用性。若要在环境中启用或禁用云电脑池，请执行以下作：

转到 Power Platform 管理中心。
在导航窗格中，选择Copilot，然后选择Settings。
选择 计算机使用。 此时将显示环境组和环境的列表。
选择要更新的环境，然后选择添加。
选中或取消选中 云电脑，然后选择 “保存”。

限制和已知问题

以下限制和已知问题会影响云电脑池：

只有Microsoft Entra用户帐户才能进行计算机操作。此外，登录Microsoft Entra用户必须是拥有计算机使用连接的同一帐户。
尝试创建云电脑池时，可能会遇到以下错误：“在租户位置之外禁用了在（我们）上创建 RPA Box。若要解决此问题，请在 Power Platform 管理中心中启用对托管计算机的跨地理位置支持：
1. 打开 Power Platform 管理中心。
2. 选择“管理>，然后选择环境。
3. 选择设置>功能。
4. 在 “托管 RPA”下，选择 “为托管计算机启用跨地理位置支持” 切换开关以启用此功能。

常见问题 (FAQ)

云电脑池使用什么 OS 和网络连接？
云电脑池在具有 Microsoft Edge 操作系统的 Windows 11 Enterprise 24H2 上运行，并使用 Microsoft 托管网络。

云电脑池位于何处？
云电脑池托管在与 Power Platform 环境相同的地理位置。

云电脑池中的最大 VM 数是多少？
在一个环境中最多可以创建五个云电脑池，每个云电脑池可以自动纵向扩展到 10 个云电脑。

能否将云电脑池用于非计算机用途？
否。云电脑池仅适用于 Copilot Studio 代理中的计算机使用工具。

我怎么知道我的试用期是否已结束，以及如何查看云端电脑池的使用报告？
您可以按照查看即用即付计划的使用情况和计费的说明，在 Power Platform 管理中心下载使用情况消耗报告。

是否需要Windows许可证？
否。云电脑池不需要单独的Windows许可证。

是否需要Microsoft 365无人参与许可证？
否。 Copilot中的计算机使用工具的云 PC 池使用情况不需要 Microsoft 365 无人值守许可证。

反馈

此页面是否有帮助？

Last updated on 2026-03-11