Azure 虛擬桌面的必要條件
您需要一些專案才能開始使用 Azure 虛擬桌面。 您可以在這裡找到完成哪些必要條件,以順利為使用者提供桌面和應用程式。
概括而言,您需要:
- 具有有效訂用帳戶的 Azure 帳戶
- 支援的識別提供者
- 會話主機虛擬機支援的作業系統
- 適當的授權
- 網路連線
- 遠端桌面用戶端
具有作用中訂用帳戶的 Azure 帳戶
您需要具有作用中訂用帳戶的 Azure 帳戶,才能部署 Azure 虛擬桌面。 如果您還沒有帳戶,您可以 免費 建立帳戶。
若要部署 Azure 虛擬桌面,您必須指派相關的 Azure 角色型存取控制 (RBAC) 角色。 部署 Azure 虛擬桌面的每個相關文章都涵蓋特定角色需求,如下一節所列。
也請確定您已為您的訂用帳戶註冊 Microsoft.DesktopVirtualization 資源提供者。 若要檢查資源提供者的狀態,並視需要註冊,請選取您案例的相關索引標籤,並遵循步驟。
重要
您必須具有註冊資源提供者的許可權,這需要 */register/action 作業。 如果您的帳戶已獲指派訂用帳戶上的參與者或擁有者角色,則會包含此專案。
登入 Azure 入口網站。
選取 訂用帳戶 。
選取您的訂用帳戶名稱。
選取 [資源提供者 ]。
搜尋 Microsoft.DesktopVirtualization。
如果狀態為 NotRegistered,請選取 [Microsoft.DesktopVirtualization],然後選取 [ 註冊]。
確認 Microsoft.DesktopVirtualization 的狀態為 [已註冊]。
身分識別
若要從會話主機存取桌面和應用程式,您的使用者必須能夠進行驗證。 Microsoft Entra ID 是 Microsoft 的集中式雲端身分識別服務,可啟用這項功能。 Microsoft Entra ID 一律用來驗證 Azure 虛擬桌面的使用者。 會話主機可以加入相同的 Microsoft Entra 租使用者,或使用 Active Directory 網域服務 (AD DS) 或 Microsoft Entra Domain Services 的 Active Directory 網域,為您提供彈性設定選項的選擇。
工作階段主機
您必須將桌面和應用程式與使用者相同的 Microsoft Entra 租使用者,或 Active Directory 網域(AD DS 或 Microsoft Entra Domain Services)的會話主機加入。
注意
針對 Azure Stack HCI,您只能將會話主機加入 Active Directory 網域服務 網域。
若要將會話主機加入 Microsoft Entra ID 或 Active Directory 網域,您需要下列許可權:
針對 Microsoft Entra ID,您需要可將電腦加入租使用者的帳戶。 如需詳細資訊,請參閱 管理裝置身分識別。 若要深入瞭解如何將會話主機加入 Microsoft Entra 標識碼,請參閱 加入 Microsoft Entra 的會話主機。
針對 Active Directory 網域,您需要可將電腦加入網域的網域帳戶。 針對 Microsoft Entra Domain Services,您必須是 AAD DC 管理員 istrators 群組的成員。
使用者
您的使用者需要 Microsoft Entra ID 中的帳戶。 如果您也在部署 Azure 虛擬桌面時使用 AD DS 或 Microsoft Entra Domain Services,這些帳戶必須是 混合式身分識別,這表示用戶帳戶會同步處理。 您必須根據您使用的身分識別提供者,記住下列事項:
- 如果您使用 Microsoft Entra ID 搭配 AD DS,您必須設定 Microsoft Entra 連線,以同步處理 AD DS 與 Microsoft Entra ID 之間的使用者身分識別數據。
- 如果您使用 Microsoft Entra ID 搭配 Microsoft Entra Domain Services,使用者帳戶會從 Microsoft Entra ID 同步處理至 Microsoft Entra Domain Services。 此同步處理程式是自動的。
重要
用戶帳戶必須存在於您用於 Azure 虛擬桌面的 Microsoft Entra 租使用者中。 Azure 虛擬桌面不支援 B2B、 B2C 或個人 Microsoft 帳戶。
使用混合式身分識別時,UserPrincipalName (UPN) 或安全性標識碼 (SID) 必須符合 Active Directory 網域服務 和 Microsoft Entra ID。 如需詳細資訊,請參閱 支援的身分識別和驗證方法。
支援的身分識別案例
下表摘要說明 Azure 虛擬桌面目前支援的身分識別案例:
| 身分識別案例 | 工作階段主機 | 使用者帳戶 |
|---|---|---|
| Microsoft Entra ID + AD DS | 已加入AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步處理 |
| Microsoft Entra ID + AD DS | 已加入 Microsoft Entra 識別碼 | 在 Microsoft Entra ID 和 AD DS 中,已同步處理 |
| Microsoft Entra ID + Microsoft Entra Domain Services | 已加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步處理 |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | 已加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 AD DS 中,已同步處理 |
| Microsoft Entra ID + Microsoft Entra Domain Services | 已加入 Microsoft Entra 識別碼 | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步處理 |
| 僅限 Microsoft Entra | 已加入 Microsoft Entra 識別碼 | 在 Microsoft Entra ID 中 |
如需所支援身分識別案例的詳細資訊,包括單一登錄和多重要素驗證,請參閱 支援的身分識別和驗證方法。
FSLogix 配置檔容器
若要在將會話主機加入 Microsoft Entra ID 時使用 FSLogix 配置檔容器,您必須將設定檔儲存在 Azure 檔案儲存體 或 Azure NetApp Files 上,而且您的使用者帳戶必須是混合式身分識別。 您必須在 AD DS 中建立這些帳戶,並將其同步處理至 Microsoft Entra ID。 若要深入瞭解如何部署具有不同身分識別案例的 FSLogix 配置檔容器,請參閱下列文章:
- 使用 Azure 檔案儲存體 和 Active Directory 網域服務 或 Microsoft Entra Domain Services 設定 FSLogix 配置檔容器。
- 使用 Azure 檔案儲存體 和 Microsoft Entra ID 設定 FSLogix 設定檔容器。
- 使用 Azure NetApp Files 設定 FSLogix 設定檔容器
部署參數
部署工作階段主機時,您需要輸入下列身分識別參數:
- 功能變數名稱,如果使用 AD DS 或 Microsoft Entra Domain Services。
- 將會話主機加入網域的認證。
- 組織單位 (OU),這是選擇性參數,可讓您在部署時間將會話主機放在所需的 OU 中。
重要
您用來加入網域的帳戶無法啟用多重要素驗證 (MFA)。
作業系統和授權
您可以選擇用於工作階段主機的作業系統 (OS)來提供桌面和應用程式。 您可以使用不同的作業系統搭配不同的主機集區,為您的使用者提供彈性。 下表列出支援 64 位操作系統和 SKU(其中支援的版本和日期與 Microsoft 生命週期原則內嵌),以及適用於每個商業用途的授權方法:
| 作業系統 (僅限 64 位) |
授權方法 (內部商業目的) |
授權方法 (外部商業目的) |
|---|---|---|
|
||
|
每個使用者存取定價 不適用於 Windows Server 作業系統。 |
若要深入瞭解您可以使用的授權,包括每位使用者的存取定價,請參閱 授權 Azure 虛擬桌面。
重要
不支援下列專案:
- 32 位作業系統。
- N、KN、LTSC 和其他 Windows 作業系統版本未列於上表。
- OS 磁碟類型的 Ultra 磁碟 。
- Azure VM 的暫時 OS 磁碟。
- 虛擬機器擴展集。
Windows 7 的支援已在 2023 年 1 月 10 日結束。
Windows Server 2012 R2 的支援已在 2023 年 10 月 10 日結束。
針對 Azure,您可以使用 Microsoft 在 Azure Marketplace 中提供的操作系統映射,或建立儲存在 Azure 計算資源庫或受控映像中的您自己的自定義映像。 使用 Azure 虛擬桌面的自定義映像範本,可讓您輕鬆地建立自定義映像,以在部署會話主機虛擬機 (VM) 時使用。 若要深入瞭解如何建立自定義映像,請參閱:
- Azure 虛擬桌面中的自定義映像範本
- 在 Azure 計算資源庫中儲存和共用映像。
- 在 Azure 中建立一般化 VM 的受控映像。
或者,針對 Azure Stack HCI,您可以使用下列來源的作業系統映像:
- Azure Marketplace。 如需詳細資訊,請參閱 使用 Azure Marketplace 映射建立 Azure Stack HCI VM 映像。
- Azure 儲存體帳戶。 如需詳細資訊,請參閱在 Azure 儲存體 帳戶中使用映射建立 Azure Stack HCI VM 映射。
- 本機共用。 如需詳細資訊,請參閱使用本機共用中的映像建立 Azure Stack HCI VM 映射。
您可以使用下列任一方法,從這些映像部署虛擬機(VM)作為會話主機:
- 自動,作為 Azure 入口網站 中主機集區安裝程式的一部分。
- 手動將會話主機新增至 Azure 入口網站 中的現有主機集區。
- 以程序設計方式使用 Azure CLI 或 Azure PowerShell。
如果您的授權有權使用 Azure 虛擬桌面,則不需要安裝或套用個別的授權,不過,如果您使用外部使用者的每個使用者存取定價,則需要 註冊 Azure 訂用帳戶。 您必須確定會話主機上使用的 Windows 授權已在 Azure 中正確指派,並啟用作業系統。 如需詳細資訊,請參閱 將 Windows 授權套用至工作階段主機虛擬機。
針對 Azure Stack HCI 上的作業階段主機,您必須先授權並啟用您使用的虛擬機器,才能與 Azure 虛擬桌面搭配使用。 若要啟用 Windows 10 和 Windows 11 企業版 多會話,以及 Windows Server 2022 Datacenter:Azure Edition,請使用適用於 VM 的 Azure 驗證。 針對所有其他OS映像(例如 Windows 10 和 Windows 11 企業版,以及其他版本的 Windows Server),您應該繼續使用現有的啟用方法。 如需詳細資訊,請參閱 在 Azure Stack HCI 上啟用 Windows Server VM。
注意
若要確保最新的安全性更新持續功能,請在 2024 年 6 月 17 日之前,將 Azure Stack HCI 上的 VM 更新為最新的累積更新。 此更新對於 VM 繼續使用 Azure 權益至關重要。 如需詳細資訊,請參閱 VM 的 Azure 驗證。
提示
為了在初始開發和測試期間簡化使用者訪問許可權,Azure 虛擬桌面支援 Azure 開發/測試定價。 如果您在 Azure 開發 / 測試訂用帳戶中部署 Azure 虛擬桌面,終端使用者可能會連線到該部署,而不需要個別授權權利,才能執行驗收測試或提供意見反應。
網路
您需要滿足數個網路需求,才能成功部署 Azure 虛擬桌面。 這可讓用戶連線到其桌面和應用程式,同時為他們提供最佳的用戶體驗。
連線到 Azure 虛擬桌面的使用者會安全地建立與服務的反向連線,這表示您不需要開啟任何輸入埠。 埠 443 上的傳輸控制通訊協定 (TCP) 預設會使用,不過 RDP Shortpath 可用於 建立直接使用者數據報通訊協定 (UDP) 型傳輸的受控網路 和 公用網路 。
若要成功部署 Azure 虛擬桌面,您需要符合下列網路需求:
您需要工作階段主機的虛擬網路和子網。 如果您與主機集區同時建立會話主機,您必須事先建立此虛擬網路,才能出現在下拉式清單中。 您的虛擬網路必須位於與會話主機相同的 Azure 區域中。
如果您使用 AD DS 或 Microsoft Entra Domain Services,請確定此虛擬網路可以連線到您的域控制器和相關 DNS 伺服器,因為您必須將會話主機加入網域。
您的工作階段主機和用戶必須能夠連線到 Azure 虛擬桌面服務。 這些連線也會在埠 443 上使用 TCP 到特定 URL 清單。 如需詳細資訊,請參閱 必要 URL 清單。 您必須確定網路篩選或防火牆不會封鎖這些 URL,才能讓部署正常運作並受到支援。 如果您的使用者需要存取 Microsoft 365,請確定您的會話主機可以連線到 Microsoft 365 端點。
也請考慮下列事項:
您的使用者可能需要存取裝載在不同網路上的應用程式和數據,因此請確定您的會話主機可以連線到它們。
從用戶端網路到包含主機集區的 Azure 區域的來回時間 (RTT) 延遲應該小於 150 毫秒。 使用體驗估算器來檢視連線健康情況和建議的 Azure 區域。 若要優化網路效能,建議您在最接近使用者的 Azure 區域中建立會話主機。
針對 Azure 虛擬桌面部署使用 Azure 防火牆,協助您鎖定環境並篩選輸出流量。
為了協助保護 Azure 中的 Azure 虛擬桌面環境,建議您不要在會話主機上開啟輸入埠 3389。 Azure 虛擬桌面不需要開啟的輸入埠。 如果您必須開啟埠 3389 以進行疑難解答,建議您使用 Just-In-Time VM 存取。 我們也建議您不要將公用IP位址指派給會話主機。
若要深入瞭解,請參閱 瞭解 Azure 虛擬桌面網路連線能力。
注意
為了保持 Azure 虛擬桌面可靠且可調整,我們會匯總流量模式和使用方式,以檢查基礎結構控制平面的健康情況和效能。 我們會從服務基礎結構所在的所有位置匯總此資訊,然後將它傳送到美國區域。 傳送至美國區域的數據報含已清除的數據,但不包括客戶數據。 如需詳細資訊,請參閱 Azure 虛擬桌面的數據位置。
會話主機管理
管理工作階段主機時,請考慮下列幾點:
請勿啟用任何停用 Windows Installer 的原則或設定。 如果您停用 Windows Installer,服務就無法在工作階段主機上安裝代理程式更新,而您的工作階段主機將無法正常運作。
如果您要將會話主機加入 AD DS 網域,而且想要使用 Intune 來管理它們,您必須設定 Microsoft Entra 連線 以啟用 Microsoft Entra 混合式聯結。
如果您要將會話主機加入 Microsoft Entra Domain Services 網域,則無法使用 Intune 來管理它們。
如果您針對會話主機使用 Microsoft Entra join 與 Windows Server,則無法在 Intune 中註冊它們,因為 Intune 不支援 Windows Server。 您必須從 Active Directory 網域使用 Microsoft Entra 混合式加入和組策略,或每個會話主機上的本機組策略。
Azure 區域
您可以在下列 Azure 區域中部署主機集區、工作區和應用程式群組。 此區域清單是 可以儲存主機集區元數據 的位置。 不過,用戶會話的會話主機可以位於任何 Azure 區域,並在使用 Azure Stack HCI 上的 Azure 虛擬桌面時在內部部署,讓您能夠將計算資源部署至使用者附近。 如需有關數據和位置類型的詳細資訊,請參閱 Azure 虛擬桌面的數據位置。
- 澳大利亞東部
- 加拿大中部
- 加拿大東部
- 印度中部
- 美國中部
- 美國東部
- 美國東部 2
- 日本東部
- 美國中北部
- 北歐
- 美國中南部
- 英國南部
- 英國西部
- 美國中西部
- 西歐
- 美國西部
- 美國西部 2
- 美國西部 3
Azure 虛擬桌面也適用於主權雲端,例如 適用於美國政府 的 Azure 和 由中國 21Vianet 運作的 Azure。
若要深入瞭解 Azure 虛擬桌面服務的架構和復原能力,請參閱 Azure 虛擬桌面服務架構和復原能力。
遠端桌面用戶端
您的使用者需要 遠端桌面用戶端 才能連線到桌面和應用程式。 下列用戶端支援 Azure 虛擬桌面:
- Windows 桌面用戶端
- 適用於 Windows 的 Azure 虛擬桌面市集應用程式
- Web 用戶端
- macOS 用戶端
- iOS 和 iPadOS 用戶端
- Android 和 Chrome OS 用戶端
- 適用於 Windows 的遠端桌面應用程式
重要
Azure 虛擬桌面不支援來自 RemoteApp 和 Desktop 連線 ions (RADC) 用戶端或遠端桌面 連線 ion (MSTSC) 用戶端的連線。
若要瞭解哪些 URL 用戶端用來連線,而且您必須允許透過防火牆和因特網篩選,請參閱 必要 URL 清單。
下一步
如需透過建立範例基礎結構開始使用 Azure 虛擬桌面的簡單方式,請參閱 教學課程:使用 Windows 11 桌面部署範例 Azure 虛擬桌面基礎結構。
如需部署 Azure 虛擬桌面的更深入且可調整的方法,請參閱 部署 Azure 虛擬桌面。