共用方式為

部署 Azure 虛擬桌面

重要事項

下列功能目前為預覽版:

  • Azure Azure Local 上的虛擬桌面,適用於 21Vianet (Azure 在中國) 營運的 Azure Government 和Azure。
  • 具有工作階段主機組態的主機集區。 Azure Local 不支援。

如需適用於 Beta 版、預覽版或尚未正式發行的 Azure 功能的法律條款,請參閱 Microsoft Azure 預覽版的補充使用規定

本文說明如何使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 在 Azure、Azure Local 或 Azure 擴充區域上部署 Azure 虛擬桌面。 若要部署 Azure 虛擬桌面,請:

  • 建立主機集區。
  • 建立工作區。
  • 建立應用程式群組。
  • 建立工作階段主機虛擬機器 (VM) 。
  • 啟用診斷設定 (選用) 。
  • 將使用者或群組指派給應用程式群組,以便使用者存取桌面平台和應用程式。

使用 Azure 入口網站時,您可以在單一程式中執行所有這些工作,但您也可以個別執行這些工作。

當您建立主機集區時,您可以選擇兩種 管理方法之一:

  • 預覽) (工作階段主機設定適用於具有工作階段主機的集區主機集區,其工作階段主機位於Azure。 Azure 虛擬桌面會使用原生功能的組合,為您管理集區主機集區中工作階段主機的生命週期,以提供整合的動態體驗。

  • Standard 管理適用於集區和個人主機集區,其工作階段主機位於 Azure 或 Azure Local。 您可以管理在主機集區中建立、更新和調整工作階段主機。 如果您想要使用現有的工具和程式,例如自動化管線、自訂腳本或外部合作夥伴解決方案,您必須使用標準主機集區管理類型。

如需本文所用術語的詳細資訊,請參閱 Azure 虛擬桌面術語。 如需 Azure 虛擬桌面服務的詳細資訊,請參閱 Azure 虛擬桌面服務架構和復原能力。

提示

本文涵蓋的程式是部署 Azure 虛擬桌面的深入且適應性強的方法。 如果您想要嘗試使用 Azure 虛擬桌面,以更簡單的方法來部署範例 Windows 11 桌面,請參閱教學課程:使用 Windows 11 桌面部署範例 Azure 虛擬桌面基礎結構,或使用快速入門

選取本文頂端的按鈕,以選擇使用標準管理的主機集區或使用會話主機設定的主機集區,以查看相關檔。

必要條件

檢閱 Azure 虛擬桌面的必要條件,以瞭解所需和支援的內容,例如作業系統 (OS) 、虛擬網路和身分識別提供者。 它也包含支援的 Azure 區域清單,您可以在其中部署主機集區、工作區和應用程式群組。 此區域清單是可以儲存主機集區中 繼資料 的位置。 不過,會話主機可以位於任何 Azure 區域。 如需資料類型和位置的詳細資訊,請參閱 Azure 虛擬桌面的資料位置

重要事項

如果您建立使用工作階段主機設定的新主機集區,則必須在主機集區建立程式中指派該主機集區受控識別。 此受控識別可用來在建立、刪除和更新會話主機期間安全地執行資源管理動作。 指派的主機集區受控識別會取代 Azure 桌面服務主體,以進行會話主機設定和更新。 深入瞭解如何設定 Azure 虛擬桌面的受控識別

除了一般先決條件之外,您還需要:

提示

如果您選擇在使用 Azure 入口網站 建立期間將系統受控識別指派給主機集區,則會根據您想要的工作階段主機設定自動指派相關許可權。 請注意,這需要您的 Azure 帳戶具有許可權,才能將 RBAC 指派給相關範圍內的資源。

  • 您用來建立主機集區的Azure帳戶必須在資源群組或訂用帳戶上至少具有下列內建角色型存取控制 (RBAC) 角色或對等角色,才能建立下列資源類型。 如果您想要將角色指派給資源群組,您必須先建立此角色。

    資源類型 RBAC 角色 範圍
    主機集區、工作區和應用程式群組 桌面虛擬化參與者 資源群組或訂用帳戶
    工作階段主機 (Azure) 虛擬機器參與者 資源群組或訂用帳戶
    金鑰保存庫 金鑰保存庫秘密使用者 包含本機和/或網域認證的金鑰保存庫

    若要持續管理主機集區、工作區和應用程式群組,您可以針對每個資源類型使用更精細的角色。 如需詳細資訊,請參閱 Azure 虛擬桌面的內建 Azure RBAC 角色

  • 如果您要將工作階段主機加入 Active Directory 網域或使用 Microsoft Entra 混合式加入,則需要其他權限:

    • 針對 Microsoft Entra Domain Services 網域,您必須是 AAD DC 系統管理員群組的成員。

    • 針對 Active Directory 網域服務 (AD DS) 網域,您必須使用比加入網域通常所需的許可權更多的帳戶,因為新的 OS 映像會重複使用現有的電腦物件。 下表中的許可權和屬性必須套用至包含工作階段主機的組織單位 (OU) 上的帳戶:

      名稱 類型 適用於
      重設密碼 允許 後代電腦物件
      已驗證寫入 DNS 主機名稱 允許 後代電腦物件
      已驗證寫入服務主體名稱 允許 後代電腦物件
      讀取帳戶限制 允許 後代電腦物件
      寫入帳戶限制 允許 後代電腦物件

      KB5020276 開始,針對 Active Directory 網域中電腦帳戶的重複使用引進了進一步的保護。 若要成功重複使用工作階段主機的現有電腦物件,請執行下列其中一項:

      • 將工作階段主機加入網域的使用者帳戶是現有電腦帳戶的建立者。
      • 電腦帳戶是由網域系統管理員安全性群組的成員所建立。
      • 將群組原則設定Domain controller: Allow computer account re-use during domain join套用至電腦帳戶的擁有者。 如需此設定範圍的詳細資訊,請參閱 KB5020276

  • 金鑰保存庫,其中包含您想要用於虛擬機器本機系統管理員帳戶認證的秘密,如果您要將工作階段主機加入 Active Directory 網域,則包含您的網域加入帳戶認證。 每個使用者名稱和密碼都需要一個密碼。 建立虛擬機器時,虛擬機器本機系統管理員密碼必須符合密碼需求。

  • 針對您在工作階段主機設定中指定的任何自訂設定 PowerShell 腳本,以在更新之後執行,腳本的 URL 必須可從公用因特網解析。

  • 使用 Azure 入口網站 建立會話主機時,請勿停用 Windows 遠端管理 (WinRM) ,因為 PowerShell DSC 需要它。

  • 如果您想要在本機使用 Azure PowerShell,請參閱搭配 Azure 虛擬桌面使用 Azure CLI 和 Azure PowerShell,以確定您已安裝 Az.DesktopVirtualization PowerShell 模組。 或者,使用 Azure Cloud Shell

  • 適用於 Azure 虛擬桌面的 Azure PowerShell Cmdlet 支援具有工作階段主機設定的主機集區,目前處於預覽狀態。 您必須下載並安裝 Az.DesktopVirtualization 模組的預覽版 ,才能使用這些 Cmdlet,這些 Cmdlet 是在 5.3.0 版中新增的。

如需必要和支援的一般概念,例如作業系統 (作業系統) 、虛擬網路和身分識別提供者,請檢閱 Azure 虛擬桌面的必要條件。 該文章也包含支援的 Azure 區域清單,您可以在其中部署主機集區、工作區和應用程式群組。 此區域清單是可以儲存主機集區中 繼資料 的位置。 不過,工作階段主機可以位於任何 Azure 區域,並使用 Azure Local 內部部署。 如需資料類型和位置的詳細資訊,請參閱 Azure 虛擬桌面的資料位置

如需更多必要條件,包括角色型存取控制 (RBAC) 角色,請選取案例的相關索引標籤。

使用工作階段主機組態建立主機集區

注意事項

Azure Local 目前不支援工作階段主機設定。

若要使用工作階段主機設定建立主機集區,請選取案例的相關索引標籤,然後遵循步驟。

以下是如何使用 Azure 入口網站 建立具有會話主機設定的主機集區,這也會建立預設會話主機管理原則和預設會話主機設定。 您可以在部署後變更預設工作階段主機管理原則和工作階段主機組態。

  1. 登入 Azure 入口網站

  2. 在搜尋列中,輸入 Azure 虛擬桌面,然後選取相符的服務專案。

  3. 選取主機集區,然後選取建立。

  4. 基本 索引標籤上,完成下列資訊:

    參數 值/描述
    訂閱 從下拉式清單中選取您要在其中建立主機集區的訂用帳戶。
    資源群組 選取現有的資源群組,或選取 [ 新建] ,然後輸入名稱。
    主機集區名稱 輸入主機集區的名稱,例如 hp01,長度最多為 64 個字元。
    位置 選取您要建立主機集區的 Azure 區域。
    驗證環境 選取 [ ] 以建立用作 驗證環境的主機集區。

    預覽期間需要驗證環境。
    偏好的應用程式群組類型 桌面RemoteApp 中選取此主機集區的慣用應用程式群組類型。 使用 Azure 入口網站時,會自動建立桌面應用程式群組,無論您設定為慣用的應用程式群組類型,都會建立桌面應用程式群組。
    主機集區類型
    主機集區類型 會自動選取集區,而且是工作階段主機組態支援的唯一主機集區類型。
    使用工作階段主機組態 選取 [是]。

    完成此索引標籤之後,請選取 [下一步:工作階段主機]。

  5. [工作階段主機] 索引標籤上,完成下列資訊,這些資訊會在工作階段主機組態中擷取,並用來建立工作階段主機。

    參數 值/描述
    工作階段主機數目 輸入建立主機集區時要建立的工作階段主機數目。 此時您可以輸入 0 來不建立任何階段作業主機,但仍會使用您在建立階段作業主機時指定的值來建立階段作業主機配置。

    如果您希望,此時最多可以部署 500 個工作階段主機 VM,視 您的訂閱配額) 而定 (,或者您可以稍後新增更多。

    如需詳細資訊,請參閱 Azure 虛擬桌面服務限制虛擬機器限制
    工作階段主機組態
    資源群組 自動預設為您在 [基本] 索引標籤上選擇主機集區的資源群組,但您也可以從下拉式清單中選取替代方案。
    名稱首碼 輸入工作階段主機的名稱,例如 hp01-sh

    此值會用作工作階段主機 VM 的前置詞。 每個工作階段主機都有一個連字號的後綴,然後在結尾加上一個序號,例如 hp01-sh-0

    它最多可以有 10 個字元,並用於作業系統的電腦名稱中。 前綴和後綴的組合最多可以是 15 個字元。 階段作業主機名稱必須是唯一的。
    虛擬機器位置 選取要部署工作階段主機 VM 的 Azure 區域。 此區域必須與您的虛擬網路相同。
    可用性區域 選取一或多個 可用區域 ,以部署虛擬機器。
    安全性類型 [Standard]、[受信任的啟動虛擬機器][機密虛擬機器] 中選取。

    - 如果您選取 受信任啟動虛擬機器,則會自動選取 安全開機vTPM 選項。

    - 如果您選取 機密虛擬機器,則會自動選取 安全開機vTPM完整性監控 的選項。 使用機密 VM 時,您無法選擇退出 vTPM。

    受信任啟動虛擬機器是 預設值。
    影像 從清單中選取您要使用的 OS 映像,或選取 [查看所有映像] 以查看更多資訊,包括您建立並儲存為 Azure Compute Gallery 共用映像受控映像的任何自訂映像。
    虛擬機器大小 選取 SKU。 如果您想要使用不同的 SKU,請選取 [變更大小],然後從清單中選取。
    [作業系統] 磁碟類型 選取要用於階段作業主機的磁碟類型。 我們建議將 進階 SSD 用於生產工作負載。
    開機診斷 選取是否要啟用 開機診斷
    網路與安全性
    虛擬網路 選取您的虛擬網路。 選取子網路的選項隨即出現。
    子網路 從虛擬網路中選取子網路。
    網路安全性群組類型 選取是否要使用 NSG) (網路安全性群組。

    - 基本 會建立新的 NSG,您可以指定公用輸入埠。

    - 進階 可讓您選取現有的 NSG。

    您不需要開啟輸入埠即可連線到 Azure 虛擬桌面。 如需詳細資訊,請參閱瞭解 Azure 虛擬桌面網路連線
    要加入的網域
    選取您要加入的目錄 選取 [Active Directory],然後選取包含網域加入帳戶使用者名稱和密碼秘密的金鑰保存庫。

    您可以選擇性地指定網域名稱和組織單位路徑。
    虛擬機器系統管理員帳戶 選取金鑰保存庫和秘密,作為新工作階段主機 VM 本機系統管理員帳戶的使用者名稱和密碼。 使用者名稱和密碼必須符合 Azure 中 Windows VM 的需求
    自訂設定
    自訂設定指令碼 URL 如果您想要在部署期間執行 PowerShell 腳本,您可以在此處輸入 URL。

    提示

    完成此索引標籤之後,您可以繼續選擇性地將預設桌面應用程式群組註冊至此主機集區中的新工作區或預先存在的工作區,並選取 [ 下一步:工作區] 來啟用診斷設定。 或者,如果您想要個別建立和設定這些項目,請選取 [下一步:檢閱 + 建立] ,然後移至步驟 9。

  6. 選用項目: 在 工作區 索引標籤上,如果您想要建立工作區,並從此主機集區登錄預設桌面應用程式群組,請完成下列資訊:

    參數 值/描述
    註冊桌面應用程式群組 選取 [是]。 這會將預設桌面應用程式群組註冊到選取的工作區。
    前往此工作區 從清單中選取現有的工作區,或選取 [ 新建 ] 並輸入名稱,例如 ws01

    完成此索引標籤之後,選取 [下一步:進階]。

  7. 選用項目:進階 標籤上,如果您想要啟用診斷設定,請完成下列資訊:

    參數 值/描述
    啟用診斷設定 核取方塊。
    選擇要傳送記錄的目的地詳細資料 選取下列其中一個目的地:

    - 傳送至 Log Analytics 工作區

    - 封存至儲存體帳戶

    - 串流至事件中樞

    完成此索引標籤之後,請選取 [下一步:標籤]。

  8. 選擇性:在 [標籤] 索引標籤上,您可以輸入所需的任何名稱/值組,然後選取 [ 下一步:檢閱 + 建立]。

  9. 在 [ 檢閱 + 建立 ] 索引標籤上,確定驗證通過,並檢閱部署期間的資訊。

  10. 選取 [ 建立 ] 以建立主機集區。

  11. 建立主機集區之後,請選取 [ 移至資源 ] 以移至新主機集區的概觀,然後選取 [屬性] 以檢視其屬性。

部署後

如果您也將工作階段主機新增至主機集區,則可能需要執行一些額外的設定,這些設定將在下列各節中介紹。

授權

若要確保您的工作階段主機已正確套用授權,您需要執行下列工作:

  • 如果您有執行 Azure 虛擬桌面工作負載的正確授權,您可以將 Windows 或 Windows Server 授權套用至工作階段主機,做為 Azure 虛擬桌面的一部分,並執行它們,而不需要支付個別授權費用。 當您使用 Azure 虛擬桌面服務建立工作階段主機時,會自動套用此授權,但如果您在 Azure 虛擬桌面外部建立工作階段主機,則可能必須個別套用授權。 如需詳細資訊,請參閱 將 Windows 授權套用至工作階段主機虛擬機器

  • 如果您的工作階段主機執行的是 Windows Server OS,您也需要從 RDS 授權伺服器核發遠端桌面服務 (RDS) 用戶端存取授權 (CAL) 。 如需詳細資訊,請參閱 使用用戶端存取授權授權 RDS 部署

  • 對於 Azure Local 上的工作階段主機,您必須先授權並啟用虛擬機器,才能將虛擬機器與 Azure 虛擬桌面搭配使用。 若要啟用使用 Windows 10 企業版多工作階段、Windows 11 企業版多工作階段和 Windows Server 2022 Datacenter:Azure 版本的 VM,請針對 VM 使用 Azure 驗證。 對於所有其他作業系統映像 (,例如 Windows 10 企業版、Windows 11 企業版 和其他版本的 Windows Server) ,您應該繼續使用現有的啟用方法。 如需詳細資訊,請參閱在 Azure Local 上啟用 Windows Server VM

Microsoft Entra 已加入會話主機

對於 Azure 上已加入 Microsoft Entra ID 的工作階段主機,您也必須啟用單一登入或舊版驗證通訊協定、將 RBAC 角色指派給使用者,以及檢閱您的多重要素驗證原則,讓使用者可以登入 VM。 如需詳細資訊,請參閱 Microsoft Entra 已加入會話主機

注意事項

  • 如果您在同一程序中建立主機集區、工作區,並從此主機集區註冊預設桌面應用程式群組,請移至 將使用者指派給應用程式群組一 節,並完成本文的其餘部分。 使用 Azure 入口網站 時,系統會自動建立桌面應用程式群組,無論您設定為慣用的應用程式群組類型為何。

  • 如果您在相同的程式中建立主機集區和工作區,但未從此主機集區註冊預設傳統型應用程式群組,請移至 建立應用程式群組 一節,並完成本文的其餘部分。

  • 如果您未建立工作區,請繼續下一節並完成本文的其餘部分。

建立具有標準管理的主機集區

若要建立主機集區,請選取案例的相關索引標籤,然後遵循步驟。

以下是使用 Azure 入口網站 建立主機集區的方法:

  1. 登入 Azure 入口網站

  2. 在搜尋列上,輸入 Azure 虛擬桌面,然後選取相符的服務專案。

  3. 選取主機集區,然後選取建立。

  4. 基本 索引標籤上,完成下列資訊:

    參數 值/描述
    訂用帳戶 在下拉式清單中,選取您要建立主機集區的訂用帳戶。
    資源群組 選取現有的資源群組,或選取 [ 建立新 ] 並輸入名稱。
    主機集區名稱 輸入主機集區的名稱,例如 hp01
    位置 選取您要建立主機集區的 Azure 區域。
    驗證環境 選取 [ ] 以建立用作 驗證環境的主機集區。

    選取 [ (預設) 以 建立未用作驗證環境的主機集區。
    偏好的應用程式群組類型 選取此主機集區的 慣用應用程式群組類型桌面RemoteApp。 當您使用 Azure 入口網站時,會自動建立桌面應用程式群組。
    主機集區類型 選取您要將主機集區設為 集區個人

    如果您選取 集區,則會出現負載 平衡演算法工作階段限制上限兩個新選項。

    展開此區段以取得集區選項。
    - 針對 負載平衡演算法,根據您的使用模式選擇 廣度優先深度優先

    - 針對工作 階段限制上限,輸入您要負載平衡至單一工作階段主機的使用者數目上限。 如需詳細資訊,請參閱 主機集區負載平衡演算法

    如果您選取 個人,則會針對 指派類型和多個桌面平台指派給單一使用者,會出現兩個新選項。

    展開此區段以取得個人選項。
    針對 [指派類型],選取 [自動] 讓服務指派任何尚未指派給使用者的個人桌面平台,或選取 [ 直接 ] 以將特定個人桌面平台指派給使用者。 使用 直接 指派類型時,您也可以勾選將 多個桌面平台指派給單一使用者的方塊。 如需詳細資訊,請參閱將 多個個人桌面平台指派給單一使用者

    提示

    完成此索引標籤之後,您可以繼續選擇性地建立工作階段主機、建立工作區、從此主機集區註冊預設桌面應用程式群組,以及選取 [下一步:虛擬機器] 來啟用診斷設定。 或者,如果您想要個別建立和設定這些資源,請選取 [下一步:檢閱 + 建立 ],然後移至步驟 9。

  5. 選擇性:虛擬機器索引標籤上,如果您想要新增階段作業主機,請展開下列其中一個區段並完成資訊,視您要在 Azure 或 Azure Local 上建立階段作業主機而定。 如需調整工作階段主機虛擬機器大小的指引,請參閱 工作階段主機虛擬機器大小調整指導方針

    若要在 Azure 上新增工作階段主機,請展開此區段。
    參數 值/描述
    新增虛擬機器 選取 [是]。 此動作會顯示數個新選項。
    資源群組 此值預設為您在 [基本] 索引標籤上選擇包含主機集區的資源群組,但您可以選取替代方案。
    名稱首碼 輸入工作階段主機的名稱前置詞,例如 hp01-sh

    每個會話主機都有一個連字號的尾碼,然後在結尾加上一個序號,例如 hp01-sh-0

    此名稱前置詞最多可以是 11 個字元,並用於作業系統的電腦名稱中。 前綴和後綴的組合最多可以是 15 個字元。 階段作業主機名稱必須是唯一的。
    虛擬機器類型 選取 [Azure 虛擬機器]。
    虛擬機器位置 選取您要部署工作階段主機的 Azure 區域。 此值必須是包含虛擬網路的相同區域。
    可預約時間選項 可用性區域可用性設定組不需要基礎結構備援中選取。 如果您選取 可用性區域可用性設定組,請完成顯示的額外參數。
    安全性類型 [Standard]、[受信任的啟動虛擬機器][機密虛擬機器] 中選取。

    - 如果您選取 受信任啟動虛擬機器,則會自動選取 安全開機vTPM 選項。

    - 如果您選取 機密虛擬機器,則會自動選取 安全開機vTPM完整性監控 的選項。 使用機密 VM 時,您無法選擇退出 vTPM。
    影像 從清單中選取您要使用的 OS 映像,或選取 [查看所有映像 ] 以查看更多內容。 完整清單包含您建立並儲存為 Azure Compute Gallery 共用映像受控映像的任何映像。
    虛擬機器大小 選擇尺寸。 如果您想要使用不同的大小,請選取 [ 變更大小],然後從清單中選取。
    選取方塊以啟用休眠。 休眠僅適用於個人主機集區。 如需詳細資訊,請參閱 虛擬機器中的休眠。 如果您使用 Microsoft Teams 媒體優化,您應該將 WebRTC 重新導向器服務更新為 1.45.2310.13001

    FSLogix 和應用程式附加目前不支援休眠。 如果您針對個人主機集區使用 FSLogix 或應用程式連結,請勿啟用休眠。
    Vms 的數量 輸入您要部署的虛擬機器數目。 此時,如果您需要根據 訂閱配額) 部署最多 400 個工作階段主機 (,也可以稍後新增更多。

    如需詳細資訊,請參閱 Azure 虛擬桌面服務限制虛擬機器限制
    [作業系統] 磁碟類型 選取要用於階段作業主機的磁碟類型。 建議您只針對生產工作負載使用 進階 SSD
    作業系統磁碟大小 選取作業系統磁碟的大小。

    如果您啟用休眠,請確定作業系統磁碟足夠大,除了作業系統和其他應用程式之外,還可以儲存記憶體的內容。
    機密運算加密 如果您使用機密 VM,則必須選取 [機密計算加密] 複選框,以啟用 OS 磁碟加密。

    只有在您選取機密 虛擬機器作為 安全性類型時,才會出現此核取方塊。
    開機診斷 選取是否要啟用 開機診斷
    網路與安全性
    虛擬網路 選取您的虛擬網路。 選取子網路的選項隨即出現。
    子網路 從虛擬網路中選取子網路。
    網路安全性群組 選取是否要使用 NSG) (網路安全性群組。

    - None 不會建立新的 NSG。

    - 基本 會 為 VM 網路介面卡建立新的 NSG。

    - 進階 可讓您選取現有的 NSG。

    建議您不要在這裡建立 NSG,而是改為在 子網路上建立 NSG
    公用輸入通訊埠 您可以從清單中選取要允許的連接埠。 Azure 虛擬桌面不需要公用輸入埠,因此建議您選取 []。
    要加入的網域
    選取您要加入的目錄 Microsoft Entra IDActive Directory 中選取,並完成所選選項的相關參數。
    虛擬機器系統管理員帳戶
    Username 輸入要用作新工作階段主機的本機管理員帳戶的名稱。 如需詳細資訊,請參閱 建立 VM 時的使用者名稱需求為何?
    Password 輸入本機管理員帳戶的密碼。 如需詳細資訊,請參閱 建立 VM 時的密碼需求為何?
    確認密碼 重新輸入密碼。
    自訂設定
    自訂設定指令碼 URL 如果您想要在部署期間執行 PowerShell 腳本,您可以在此處輸入 URL。
    若要在 Azure Local 上新增工作階段主機,請展開此區段。
    參數 值/描述
    新增虛擬機器 選取 [是]。 此動作會顯示數個新選項。
    資源群組 此值預設為您在 [基本] 索引標籤上選擇包含主機集區的資源群組,但您可以選取替代方案。
    名稱首碼 輸入工作階段主機的名稱前置詞,例如 hp01-sh

    每個會話主機都有一個連字號的尾碼,然後在結尾加上一個序號,例如 hp01-sh-0

    此名稱前置詞最多可以是 11 個字元,並用於作業系統的電腦名稱中。 前綴和後綴的組合最多可以是 15 個字元。 階段作業主機名稱必須是唯一的。
    虛擬機器類型 選取 [Azure Local]。
    自訂位置 在下拉式清單中,選取您要部署工作階段主機的 Azure Local 執行個體。
    Images 從清單中選取您要使用的作業系統映像,或選取 [管理 VM 映像] 以管理您選取的執行個體上可用的映像。
    Vms 的數量 輸入您要部署的虛擬機器數目。 您可以稍後新增更多。
    虛擬處理器計數 輸入您要指派給每一個階段作業主機的虛擬處理器數目。 此值不會針對執行個體中可用的資源進行驗證。
    記憶體類型 選取 [靜態] 以進行固定記憶體配置,或選取 [動態] 以進行動態記憶體配置。
    記憶體 (GB) 輸入您要指派給每個階段作業主機的記憶體數量 (以 GB 為單位) 的數字。 此值不會針對執行個體中可用的資源進行驗證。
    最大記憶體 如果您選取動態記憶體配置,請輸入您希望階段作業主機能夠使用的記憶體數量上限 (以 GB 為單位) 的數字。
    最低記憶體 如果您選取動態記憶體配置,請輸入您希望階段作業主機能夠使用的記憶體數量下限 (以 GB 為單位) 的數字。
    網路與安全性
    網路下拉式清單 選取要連線到每個工作階段的現有網路。
    要加入的網域
    選取您要加入的目錄 Active Directory 是唯一可用的選項。 這包括使用 Microsoft Entra 混合式聯結
    AD 網域加入 UPN 輸入 Active Directory 使用者的使用者主體名稱 (UPN) ,該使用者有權將工作階段主機加入您的網域。
    Password 輸入 Active Directory 使用者的密碼。
    指定網域或單位 如果您想要將工作階段主機加入特定網域,或放置在 OU) (特定機構單位中,請選取 [ ]。 如果您選取 ,則會使用 UPN 的尾碼作為網域。
    虛擬機器系統管理員帳戶
    Username 輸入要用作新工作階段主機的本機管理員帳戶的名稱。 如需詳細資訊,請參閱 建立 VM 時的使用者名稱需求為何?
    Password 輸入本機管理員帳戶的密碼。 如需詳細資訊,請參閱 建立 VM 時的密碼需求為何?
    確認密碼 重新輸入密碼。
    若要在 Azure 擴充區域上新增工作階段主機,請展開此區段。
    參數 值/描述
    新增虛擬機器 選取 [是]。 此動作會顯示數個新選項。
    資源群組 此值預設為您在 [基本] 索引標籤上選擇包含主機集區的資源群組,但您可以選取替代方案。
    名稱首碼 輸入工作階段主機的名稱前置詞,例如 hp01-sh

    每個會話主機都有一個連字號的尾碼,然後在結尾加上一個序號,例如 hp01-sh-0

    此名稱前置詞最多可以是 11 個字元,並用於作業系統的電腦名稱中。 前綴和後綴的組合最多可以是 15 個字元。 階段作業主機名稱必須是唯一的。
    虛擬機器類型 選取 [Azure 虛擬機器]。
    虛擬機器位置 選取 [部署至 Azure 擴充區域]。
    Azure 擴充區域 選取您需要的擴充區域。
    網路與安全性
    選取負載平衡器 選取您要用於工作階段主機的相同虛擬網路上的現有 Azure 負載平衡器,或選取 [建立負載平衡器] 以建立新的負載平衡器。
    選取後端集區 在負載平衡器上選取您要用於工作階段主機的後端集區。 如果您要建立新的負載平衡器,請選取 [ 新建 ] ,為新的負載平衡器建立新的後端集區。
    新增輸出規則 如果您要建立新的負載平衡器,請選取 [ 新建 ] 以為其建立新的輸出規則。

    完成此索引標籤之後,請選取 [下一步:工作區]。

  6. 選用項目: 在 工作區 索引標籤上,如果您想要建立工作區,並從此主機集區登錄預設桌面應用程式群組,請完成下列資訊:

    參數 值/描述
    註冊桌面應用程式群組 選取 [是]。 此動作會將預設桌面應用程式群組註冊到選取的工作區。
    前往此工作區 從清單中選取現有的工作區,或選取 [ 建立新 ] 並輸入名稱,例如 ws01

    完成此索引標籤之後,請選取 [下一步:進階]。

  7. 選用項目: 在 進階 標籤上,如果您想要啟用診斷設定,請完成下列資訊:

    參數 值/描述
    啟用診斷設定 選取方塊。
    選擇要傳送記錄的目的地詳細資料 選取下列其中一個目的地:

    - 傳送至 Log Analytics 工作區

    - 封存至儲存體帳戶

    - 串流至事件中樞

    完成此索引標籤之後,請選取 [下一步:標籤]。

  8. 選擇性: 在 [標籤] 索引標籤上,您可以輸入所需的任何名稱/值組,然後選取 [下一步:檢閱 + 建立]。

  9. 在 [ 檢閱 + 建立 ] 索引標籤上,確定驗證通過,並檢閱部署期間將使用的資訊。

  10. 選取 [ 建立 ] 以建立主機集區。

  11. 部署成功完成之後,請選取 [ 移至資源 ] 以移至新主機集區的概觀,然後選取 [屬性] 以檢視其屬性。

部署後工作

如果您也將工作階段主機新增至主機集區,則需要執行一些額外的組態,如下列各節所述。

授權

若要確保您的工作階段主機已正確套用授權,您需要執行下列工作:

  • 如果您有執行 Azure 虛擬桌面工作負載的正確授權,您可以將 Windows 或 Windows Server 授權套用至工作階段主機,做為 Azure 虛擬桌面的一部分,並執行它們,而不需要支付個別授權費用。 當您使用 Azure 虛擬桌面服務建立工作階段主機時,會自動套用此授權,但如果您在 Azure 虛擬桌面外部建立工作階段主機,則可能必須個別套用授權。 如需詳細資訊,請參閱 將 Windows 授權套用至工作階段主機虛擬機器

  • 如果您的工作階段主機執行的是 Windows Server OS,您也需要從 RDS 授權伺服器核發遠端桌面服務 (RDS) 用戶端存取授權 (CAL) 。 如需詳細資訊,請參閱 使用用戶端存取授權授權 RDS 部署

  • 對於 Azure Local 上的工作階段主機,您必須先授權並啟用虛擬機器,才能將虛擬機器與 Azure 虛擬桌面搭配使用。 若要啟用使用 Windows 10 企業版多工作階段、Windows 11 企業版多工作階段和 Windows Server 2022 Datacenter:Azure 版本的 VM,請針對 VM 使用 Azure 驗證。 對於所有其他作業系統映像 (,例如 Windows 10 企業版、Windows 11 企業版 和其他版本的 Windows Server) ,您應該繼續使用現有的啟用方法。 如需詳細資訊,請參閱在 Azure Local 上啟用 Windows Server VM

Microsoft Entra 已加入會話主機

對於 Azure 上已加入 Microsoft Entra ID 的工作階段主機,您也必須啟用單一登入或舊版驗證通訊協定、將 RBAC 角色指派給使用者,以及檢閱您的多重要素驗證原則,讓使用者可以登入 VM。 如需詳細資訊,請參閱 Microsoft Entra 已加入會話主機

注意事項

  • 如果您建立了主機集區和工作區,並且在同一程序中從此主機集區註冊了預設桌面應用程式群組,請移至 將使用者指派給應用程式群組一 節,並完成本文的其餘部分。 當您使用Azure 入口網站時,會自動建立桌面應用程式群組群組 (您設定為偏好) 的應用程式群組類型。

  • 如果您在相同的程序中建立主機集區和工作區,但未從此主機集區註冊預設桌面應用程式群組,請移至 建立應用程式群組 一節,並完成本文的其餘部分。

  • 如果您未建立工作區,請繼續下一節並完成本文的其餘部分。

建立工作區

接下來,若要建立工作區,請選取案例的相關索引標籤,然後遵循步驟。

以下是使用 Azure 入口網站 建立工作區的方法:

  1. 在 [Azure 虛擬桌面] 概觀上,選取 [工作區],然後選取 [建立]。

  2. 基本 索引標籤上,完成下列資訊:

    參數 值/描述
    訂用帳戶 在下拉式清單中,選取您要建立工作區的訂用帳戶。
    資源群組 選取現有的資源群組,或選取 [ 建立新 ] 並輸入名稱。
    工作區名稱 輸入工作區的名稱,例如 workspace01
    易記名稱 選用項目: 輸入工作區的顯示名稱。
    描述 選用項目: 輸入工作區的說明。
    位置 選取您要部署工作區的 Azure 區域。

    提示

    完成此索引標籤之後,您可以選擇性地將現有的應用程式群組註冊至此工作區 (如果您有的話),並選取 [ 下一步:應用程式群組] 來啟用診斷設定。 或者,如果您想要個別建立和設定這些資源,請選取 [ 檢閱 + 建立 ],然後移至步驟 9。

  3. 選用項目: 在 應用程式群組 標籤上,如果您想要將現有的應用程式群組登錄至此工作區,請完成下列資訊:

    參數 值/描述
    註冊應用程式群組 選取 [],然後選取 [+ 註冊應用程式群組]。 在開啟的新窗格上,選取您要新增之應用程式群組的 [ 新增 ] 圖示,然後選擇 [選取]。

    完成此索引標籤之後,請選取 [下一步:進階]。

  4. 選用項目: 在 進階 標籤上,如果您想要啟用診斷設定,請完成下列資訊:

    參數 值/描述
    啟用診斷設定 選取方塊。
    選擇要傳送記錄的目的地詳細資料 選取下列其中一個目的地:

    - 傳送至 Log Analytics 工作區

    - 封存至儲存體帳戶

    - 串流至事件中樞

    完成此索引標籤之後,請選取 [下一步:標籤]。

  5. 選擇性: 在 [標籤] 索引標籤上,您可以輸入所需的任何名稱/值組,然後選取 [下一步:檢閱 + 建立]。

  6. 在 [ 檢閱 + 建立 ] 索引標籤上,確定驗證通過,並檢閱部署期間將使用的資訊。

  7. 選取 [ 建立] 以建立工作區。

  8. 選取移 至資源 以移至新工作區的概觀,然後選取 屬性以 檢視其屬性。

注意事項

  • 如果您將應用程式群組新增至此工作區,請移至將 使用者指派給應用程式群組一 節,並完成本文的其餘部分。

  • 如果您未將應用程式群組新增至此工作區,請繼續下一節並完成本文的其餘部分。

建立應用程式群組

若要建立應用程式群組,請選取案例的相關索引標籤,然後遵循步驟。

以下是使用 Azure 入口網站 建立應用程式群組的方法:

  1. 在 Azure 虛擬桌面概觀上,選取 [應用程式群組],然後選取 [建立]。

  2. 基本 索引標籤上,完成下列資訊:

    參數 值/描述
    訂用帳戶 在下拉式清單中,選取您要建立應用程式群組的訂用帳戶。
    資源群組 選取現有的資源群組,或選取 [ 建立新 ] 並輸入名稱。
    主機集區 選取應用程式群組的主機集區。
    位置 中繼資料會儲存在與主機集區相同的位置。
    應用程式群組類型 選取主機集區的 應用程式群組類型桌面RemoteApp
    應用程式群組名稱 輸入應用程式群組的名稱,例如 Session Desktop

    提示

    完成此索引標籤之後,請選取 [下一步:檢閱 + 建立]。 您不需要完成其他索引標籤即可建立應用程式群組,但您需要 建立工作區將應用程式群組新增至工作區,以及將 使用者指派給應用程式群組 ,使用者才能存取資源。

    如果您為 RemoteApp 建立了應用程式群組,則也需要將應用程式新增至其中。 如需詳細資訊,請參閱 發佈應用程式

  3. 選用項目: 如果您選擇建立 RemoteApp 應用程式群組,則可以將應用程式新增至此群組。 在 [應用程式群組 ] 索引標籤上,選取 [+ 新增應用程式],然後選取應用程式。 如需應用程式參數的詳細資訊,請參閱 使用 RemoteApp 發佈應用程式。 主機集區中至少必須有一個工作階段主機已開啟,並在 Azure 虛擬桌面中使用。

    完成此索引標籤之後,或如果您要建立傳統型應用程式群組,請選取 [下一步:指派]。

  4. 選擇性:[指派] 索引標籤上,如果您想要將使用者或群組指派給此應用程式群組,請選取 [+ 新增 Microsoft Entra 使用者或使用者群組]。 在開啟的新窗格上,選取您要新增之使用者或群組旁的方塊,然後選擇 [選取]。

    完成此索引標籤之後,請選取 [下一步:工作區]。

  5. 選用項目: 在 工作區 索引標籤上,如果您要建立桌面應用程式群組,您可以完成下列資訊,從您選取的主機集區登錄預設桌面應用程式群組:

    參數 值/描述
    註冊應用程式群組 選取 [是]。 此動作會將預設桌面應用程式群組註冊到選取的工作區。
    註冊應用程式群組 從清單中選取現有的工作區。

    完成此索引標籤之後,請選取 [下一步:進階]。

  6. 選用項目: 如果您想要啟用診斷設定,請在 進階 標籤上,完成下列資訊:

    參數 值/描述
    啟用診斷設定 選取方塊。
    選擇要傳送記錄的目的地詳細資料 選取下列其中一個目的地:

    - 傳送至 Log Analytics 工作區

    - 封存至儲存體帳戶

    - 串流至事件中樞

    完成此索引標籤之後,請選取 [下一步:標籤]。

  7. 選擇性: 在 [標籤] 索引標籤上,您可以輸入所需的任何名稱/值組,然後選取 [下一步:檢閱 + 建立]。

  8. 在 [ 檢閱 + 建立 ] 索引標籤上,確定驗證通過,並檢閱部署期間將使用的資訊。

  9. 選取 [ 建立] 以建立應用程式群組。

  10. 選取 [ 移至資源 ] 以移至新應用程式群組的概觀,然後選取 [屬性] 以檢視其屬性。

注意事項

  • 如果您已建立桌面應用程式群組、指派使用者或群組,並將預設桌面應用程式群組註冊至工作區,則指派的使用者可以連線到桌面平台,而您不需要完成本文的其餘部分。

  • 如果您已建立 RemoteApp 應用程式群組、新增應用程式,以及指派使用者或群組,請移至 將 應用程式群組新增至工作區 一節,並完成本文的其餘部分。

  • 如果您未新增應用程式、指派使用者或群組,或將應用程式群組註冊至工作區,請繼續下一節並完成本文的其餘部分。

將應用程式群組新增至工作區

接下來,若要將應用程式群組新增至工作區,請選取案例的相關索引標籤,然後遵循步驟。

以下是如何使用 Azure 入口網站將應用程式群組新增至工作區:

  1. 在 Azure 虛擬桌面概觀上,選取 [工作區],然後選取您要指派應用程式群組的工作區名稱。

  2. 在工作區概觀上,選取應用程式 群組,然後選取 + 新增

  3. 在清單中,選取應用程式群組旁邊的加號圖示 (+) 。 只會列出尚未指派給工作區的應用程式群組。

  4. 選擇 Select (選取)。 應用程式群組會新增至工作區。

將使用者指派給應用程式群組

最後,若要將使用者或使用者群組指派給應用程式群組,請選取案例的相關索引標籤,然後遵循步驟。 建議您將使用者群組指派給應用程式群組,以簡化持續管理。

您使用的帳戶需要許可權,才能在建立應用程式群組之後,在應用程式群組的 Azure RBAC 中指派角色。 權限是 Microsoft.Authorization/roleAssignments/write,包含在某些內建角色中,例如 「使用者存取管理員 」和 「擁有者」。

以下是如何使用 Azure 入口網站將使用者或使用者群組指派給應用程式群組:

  1. 在 Azure 虛擬桌面概觀上,選取 [應用程式群組]。

  2. 從清單中選取應用程式群組。

  3. 在應用程式群組概觀上,選取 [指派]。

  4. 選取 [+ 新增],然後搜尋並選取您要指派給此應用程式群組的使用者帳戶或使用者群組。

  5. 選擇 Select (選取) 完成。

相關內容

部署 Azure 虛擬桌面之後,您的使用者可以從數個平台連線,包括網頁瀏覽器。 如需詳細資訊,請參閱 Azure 虛擬桌面的遠端桌面用戶端和使用遠端桌面 Web 用戶端連線到 Azure 虛擬桌面

以下是您可能想要執行的一些額外工作:

  • Last updated on