Azure 虛擬桌面的必要條件
您需要一些項目才能開始使用 Azure 虛擬桌面。 您可以在這裡找到所需完成的必要條件,以順利為使用者提擬桌面和應用程式。
概括而言,您需要:
- 具有有效訂用帳戶的 Azure 帳戶
- 支援的識別提供者
- 工作階段主機虛擬機器支援的作業系統
- 適當的授權
- 網路連線
- 遠端桌面用戶端
具有作用中訂用帳戶的 Azure 帳戶
您需要具有有效訂用帳戶的 Azure 帳戶,才能部署 Azure 虛擬桌面。 如果您還沒有帳戶,您可以 免費 建立帳戶。
若要部署 Azure 虛擬桌面,您必須指派相關的 Azure 角色型存取控制 (RBAC) 角色。 部署 Azure 虛擬桌面的各相關文章均說明特定角色需求,相關文章列在後續步驟區段。
您也必須確定您的訂用帳戶已註冊 Microsoft.DesktopVirtualization 資源提供者。 若要檢查資源提供者的狀態,並在必要時註冊,請選取您案例的相關索引標籤,並遵循步驟。
重要
您必須具有註冊資源提供者的許可權,這需要 */register/action
作業。 如果您的帳戶已被指派訂用帳戶上的參與者或擁有者角色,便已經包括此權限。
登入 Azure 入口網站。
選取 訂用帳戶 。
選取您的訂用帳戶名稱。
選取 [資源提供者 ]。
搜尋 Microsoft.DesktopVirtualization。
如果狀態為 NotRegistered,請選取 [Microsoft.DesktopVirtualization],然後選取 [註冊]。
確認 Microsoft.DesktopVirtualization 的狀態為 [已註冊]。
身分識別
若要從工作階段主機存取桌面和應用程式,您的使用者必須能夠進行驗證。 Microsoft Entra ID 是 Microsoft 提供此功能的集中式雲端識別服務。 一律使用 Microsoft Entra ID 來驗證 Azure 虛擬桌面的使用者。 工作階段主機可以加入相同的 Microsoft Entra 租用戶,或是加入使用 Active Directory Domain Services (AD DS) 或 Microsoft Entra Domain Services 的 Active Directory 網域,讓您能夠彈性選擇設定選項。
工作階段主機
您必須將提供桌面和應用程式的工作階段主機加入與使用者相同的 Microsoft Entra 租用戶,或 Active Directory 網域 (AD DS 或 Microsoft Entra Domain Services)。
注意
對於 Azure Stack HCI,您只能將工作階段主機加入 Active Directory Domain Services 網域。 您只能將 Azure Stack HCI 上的工作階段主機加入 Active Directory 網域服務 (AD DS) 網域。 這包括使用 Microsoft Entra 混合式聯結,您可以從Microsoft Entra 標識符所提供的部分功能中獲益。
若要將工作階段主機加入 Microsoft Entra ID 或 Active Directory 網域,您需要下列權限:
若為 Microsoft Entra ID,您需要可將電腦加入租用戶的帳戶。 如需詳細資訊,請參閱管理裝置識別。 若要深入瞭解如何將工作階段主機加入 Microsoft Entra 識別碼,請參閱加入 Microsoft Entra 的工作階段主機。
若為 Active Directory 網域,您需要可將電腦加入網域的網域帳戶。 若為 Microsoft Entra Domain Services,您必須是 AAD DC 管理員群組的成員。
使用者
您的使用者需要 Microsoft Entra ID 中的帳戶。 如果您也在 Azure 虛擬桌面部署中使用 AD DS 或 Microsoft Entra Domain Services,這些帳戶必須是混合式身分識別,表示使用者帳戶已同步處理。 根據您使用的識別提供者,您必須記住下列事項:
- 如果您是使用 Microsoft Entra ID 搭配 AD DS,您必須設定 Microsoft Entra Connect 以同步處理 AD DS 與 Microsoft Entra ID 之間的使用者身分識別資料。
- 如果您使用 Microsoft Entra ID 搭配 Microsoft Entra Domain Services,使用者帳戶會從 Microsoft Entra ID 一直同步到 Microsoft Entra Domain Services。 此同步處理程序是自動執行的。
重要
使用者帳戶必須存在於您用於 Azure 虛擬桌面的 Microsoft Entra 租用戶中。 Azure 虛擬桌面不支援 B2B、B2C 或個人 Microsoft 帳戶。
使用混合式身分識別時,UserPrincipalName (UPN) 或安全性識別碼 (SID) 在 Active Directory Domain Services 和 Microsoft Entra ID 上必須相符。 如需詳細資訊,請參閱支援的身分識別和驗證方法。
支援的身分識別案例
下表摘要說明 Azure 虛擬桌面目前支援的身分識別案例:
身分識別案例 | 工作階段主機 | 使用者帳戶 |
---|---|---|
Microsoft Entra ID + AD DS | 已加入 AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
Microsoft Entra ID + AD DS | 加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
Microsoft Entra ID + Microsoft Entra Domain Services | 加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步 |
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | 加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
Microsoft Entra ID + Microsoft Entra Domain Services | 加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步 |
僅 Microsoft Entra | 加入 Microsoft Entra ID | 在 Microsoft Entra ID 中 |
如需支援身分識別案例的詳細資訊,包括單一登入和多重要素驗證,請參閱支援的身分識別和驗證方法。
FSLogix 設定檔容器
若要在將工作階段主機加入 Microsoft Entra ID 時使用 FSLogix 設定檔容器,您必須將設定檔儲存在 Azure 檔案儲存體或 Azure NetApp Files 上,且使用者帳戶必須是混合式身分識別。 您必須在 AD DS 中建立這些帳戶,並將其同步至 Microsoft Entra ID。 若要深入了解如何部署不同身分識別案例的 FSLogix 設定檔容器,請參閱下列文章:
- 使用 Azure 檔案儲存體和 Active Directory Domain Services 或 Microsoft Entra Domain Services 設定 FSLogix 設定檔容器。
- 使用 Azure 檔案儲存體和 Microsoft Entra ID 設定 FSLogix 設定檔容器。
- 使用 Azure NetApp Files 設定 FSLogix 設定檔容器
部署參數
部署工作階段主機時,您必須輸入下列身分識別參數:
- 網域名稱,如果使用 AD DS 或 Microsoft Entra Domain Services。
- 將工作階段主機加入網域的認證。
- 組織單位 (OU),此為選擇性參數,可讓您在部署期間將工作階段主機置於所需的 OU。
重要
您用於加入網域的帳戶不能啟用多重要素驗證 (MFA)。
作業系統和授權
您可以選擇可用於工作階段主機的作業系統 (OS),來提供桌面和應用程式。 您可以使用不同的作業系統搭配不同的主機集區,為您的使用者提供彈性。 我們支援下表中列出的 64 位元作業系統和 SKU (其中支援的版本和日期符合 Microsoft 生命週期原則),以及適用於每個商業目的的授權方法:
作業系統 (僅限 64 位元) |
授權方法 (內部商業用途) |
授權方法 (外部商業用途) |
---|---|---|
|
|
|
|
按使用者存取定價不適用於 Windows Server 作業系統。 |
若要深入了解您可以使用的授權 (包括按使用者存取定價),請參閱授權 Azure 虛擬桌面。
重要
- 工作階段主機不支援下列專案:
- 32 位元作業系統。
- N、KN、LTSC 和上表未列出的其他 Windows 作業系統版本。
- OS 磁碟類型的 Ultra 磁碟。
- Azure VM 的暫時性 OS 磁碟。
- 虛擬機器擴展集。
- Arm64 型 Azure VM。
對於 Azure,您可以使用 Microsoft 在 Azure Marketplace 中提供的作業系統映像,或建立您自己的自訂映像或作為受控映像並儲存在 Azure Compute Gallery 中。 使用 Azure 虛擬桌面的自訂映像範本,您可輕鬆建立用於部署工作階段主機虛擬機器 (VM) 的自訂映像。 若要深入了解如何建立自訂映像,請參閱:
或者,針對 Azure Stack HCI,您也可以使用下列來源的作業系統映像:
- Azure Marketplace。 如需詳細資訊,請參閱使用 Azure Marketplace 映像建立 Azure Stack HCI VM 映像。
- Azure 儲存體帳戶。 如需詳細資訊,請參閱使用 Azure 儲存體中的映像建立 Azure Stack HCI VM 映像。
- 本機共用。 如需詳細資訊,請參閱使用本機共用中的映像建立 Azure Stack HCI VM 映像。
您可以使用下列任何方法,從這些映像部署虛擬機器 (VM) 以作為工作階段主機:
- 在 Azure 入口網站採用自動方法,作為主機集區設定程序的一部分。
- 在 Azure 入口網站中採用手動方法,將工作階段主機新增至現有的主機集區。
- 以程式設計的方式,使用 Azure CLI 或 Azure PowerShell。
如果您的授權授與您有權使用 Azure 虛擬桌面,則不需要安裝或套用個別授權,但如果您使用外部使用者的每一使用者存取定價,則必須註冊 Azure 訂用帳戶。 您必須確定工作階段主機上使用的 Windows 授權已在 Azure 中正確指派,並啟用作業系統。 如需詳細資訊,請參閱將 Windows 授權套用至工作階段主機虛擬機器。
針對 Azure Stack HCI 上的工作階段主機,您必須先授權並啟用所使用的虛擬機器,才能搭配 Azure 虛擬桌面使用。 若要啟用 Windows 10 和 Windows 11 企業版多重工作階段,以及 Windows Server 2022 Datacenter:Azure Edition,請使用適用於 VM 的 Azure 驗證。 對於所有其他 OS 映像 (例如 Windows 10 和 Windows 11 企業版以及其他 Windows Server 版本),您應該繼續使用現有的啟用方法。 如需詳細資訊,請參閱在 Azure Stack HCI 上啟用 Windows Server VM。
注意
為了確保最新安全性更新的持續功能,請在 2024 年 6 月 17 日之前將 Azure Stack HCI 上的 VM 更新至最新的累積更新。 此更新對於 VM 繼續使用 Azure 權益至關重要。 如需詳細資訊,請參閱適用於 VM 的 Azure 驗證。
提示
為了簡化初始開發和測試期間的使用者存取權限,Azure 虛擬桌面支援 Azure 開發/測試定價。 如果您在 Azure 開發/測試訂用帳戶中部署 Azure 虛擬桌面,使用者可能會連線到該部署,不需要個別的授權權利,就可以執行接受度測試或提供意見反應。
網路
您需要符合數個網路需求,才能成功部署 Azure 虛擬桌面。 這可讓使用者連線到其桌面和應用程式,同時為他們提供最佳的使用者體驗。
連線到 Azure 虛擬桌面的使用者可安全建立與服務的反向連線,這表示您不需要開啟任何輸入連接埠。 在預設情況下會使用連接埠 443 上的傳輸控制通訊協定 (TCP),不過 RDP Shortpath 可用於建立直接使用者資料包通訊協定 (UDP) 型傳輸的受控網路和公用網路。
若要成功部署 Azure 虛擬桌面,您必須符合下列網路需求:
您需要適用於工作階段主機的虛擬網路和子網路。 如果您與主機集區同時建立工作階段主機,您必須事先建立此虛擬網路,才能使其出現在下拉式清單中。 您的虛擬網路必須位於與工作階段主機相同的 Azure 區域。
如果您使用 AD DS 或 Microsoft Entra Domain Services,請確定此虛擬網路可以連線到網域控制站和相關 DNS 伺服器,因為您必須將工作階段主機加入網域。
您的工作階段主機和使用者必須能夠連線到 Azure 虛擬桌面服務。 這些連線也會在連接埠 443 上使用 TCP 來連線到一組特定的 URL 清單。 如需詳細資訊,請參閱必要的 URL 清單。 您必須確定網路篩選或防火牆不會封鎖這些 URL,您的部署才能正常運作並受到支援。 如果您的使用者需要存取 Microsoft 365,請確定您的工作階段主機可以連線到 Microsoft 365 端點。
並請考慮下列項目:
您的使用者可能需要存取裝載於不同網路上的應用程式和資料,因此請確定您的工作階段主機可以加以連線。
從用戶端的網路到包含主機集區之 Azure 區域的來回行程時間 (RTT) 延遲應少於 150 毫秒。 若要查看哪些位置具有最佳的延遲,請在 Azure 網路來回延遲統計資料中查閱所需的位置。 若要將網路效能最佳化,建議您在最接近使用者的 Azure 區域中建立工作階段主機。
針對 Azure 虛擬桌面部署使用 Azure 防火牆,以協助您鎖定環境並篩選輸出流量。
為了保護您在 Azure 中的 Azure 虛擬桌面環境,建議您不要在工作階段主機上開啟輸入連接埠 3389。 Azure 虛擬桌面不需要開啟輸入連接埠。 如果您為了要進行疑難排解而必須開啟連接埠 3389,建議您使用 Just-In-Time VM 存取。 我們也建議您不要將公用 IP 位址指派給工作階段主機。
若要深入了解,請參閱了解 Azure 虛擬桌面網路連線能力。
注意
若要 Azure 虛擬桌面保持可靠並可調整,我們會彙總流量模式和使用量,並檢查基礎結構控制平面的健康情況和效能。 我們會從服務基礎結構所在的所有位置彙總此資訊,然後將其傳送至美國區域。 傳送至美國區域的資料包括清除的資料,但不包括客戶資料。 如需詳細資訊,請參閱 Azure 虛擬桌面的資料位置。
工作階段主機管理
管理工作階段主機時,請考慮下列重點:
請勿啟用任何停用 Windows Installer 的原則或設定。 如果您停用 Windows Installer,服務會無法在您的工作階段主機上安裝代理程式更新,而您的工作階段主機將無法正常運作。
如果您要將工作階段主機加入 AD DS 網域,而且您想要使用 Intune 來管理這些主機,您必須設定 Microsoft Entra Connect 以啟用 Microsoft Entra 混合式聯結。
如果您要將工作階段主機加入 Microsoft Entra Domain Services 網域,則無法使用 Intune 來加以管理。
如果您要在工作階段主機中使用 Microsoft Entra 聯結搭配 Windows Server,則無法在 Intune 中註冊它們,因為 Intune 不支援 Windows Server。 您必須使用 Active Directory 網域中的 Microsoft Entra 混合式聯結和群組原則,或使用每個工作階段主機上的本機群組原則。
Azure 區域
您可以在下列 Azure 區域中部署主機集區、工作區和應用程式群組。 此區域清單是可以儲存主機集區中繼資料的位置。 不過,當在 Azure Stack HCI 上使用 Azure 虛擬桌面時,使用者工作階段的工作階段主機可以位於任何 Azure 區域和本地內部,這使您能夠將計算資源部署到靠近您的使用者的地方。 如需有關資料和位置類型的詳細資訊,請參閱 Azure 虛擬桌面的資料位置。
- 澳大利亞東部
- 加拿大中部
- 加拿大東部
- 印度中部
- 美國中部
- 美國東部
- 美國東部 2
- 日本東部
- 美國中北部
- 北歐
- 美國中南部
- 英國南部
- 英國西部
- 美國中西部
- 西歐
- 美國西部
- 美國西部 2
- 美國西部 3
Azure 虛擬桌面也適用於主權雲端,例如適用於美國政府的 Azure 以及在中國由 21Vianet 營運的 Azure。
若要深入了解 Azure 虛擬桌面服務的架構和復原能力,請參閱 Azure 虛擬桌面服務架構和復原。
遠端桌面用戶端
您的使用者需要遠端桌面用戶端,以連線到桌面和應用程式。 下列用戶端支援 Azure 虛擬桌面:
- Windows 桌面用戶端
- 適用於 Windows 的 Azure 虛擬桌面市集應用程式
- Web 用戶端
- macOS 用戶端
- iOS 和 iPadOS 用戶端
- Android 和 Chrome OS 用戶端
- 適用於 Windows 的遠端桌面應用程式
重要
Azure 虛擬桌面不支援來自 RemoteApp 和桌面連線 (RADC) 用戶端或遠端桌面連線 (MSTSC) 用戶端的連線。
若要了解用戶端會使用哪些 URL 進行連線,而且您必須在防火牆和網際網路篩選器中允許這些 URL,請參閱必要的 URL 清單。
下一步
如需透過建立範例基礎結構以開始使用 Azure 虛擬桌面的簡單方式,請參閱教學課程:使用 Windows 11 Desktop 部署範例 Azure 虛擬桌面基礎結構。
如需更深入瞭解部署 Azure 虛擬桌面的調整方法,請參閱部署 Azure 虛擬桌面。