連接到遠端桌面服務會話主機或執行 Windows Server 的 Azure 虛擬桌面工作階段主機的每個使用者和裝置都需要遠端桌面服務 (RDS) 用戶端存取授權 (CAL)。
本文說明 RDS CAL 授權,以協助您有效地部署和管理授權。
了解 RDS CAL 模型
您可以使用遠端桌面授權伺服器來安裝、發出及追蹤 RDS CAL。 當使用者或裝置連線到會話主機時,會話主機會判斷是否需要 RDS CAL。 如果需要 RDS CAL,會話主機會向遠端桌面授權伺服器要求 RDS CAL。 如果授權伺服器提供適當的 RDS CAL,RDS CAL 會發給客戶端,使用者即可連線到嘗試使用的桌面或應用程式的遠端會話。
There are two types of RDS CALs: per device and per user. 您需要的 RDS CAL 類型取決於使用者或裝置存取工作階段主機的方式。
下表提供兩種 RDS CAL 類型的摘要比較:
| 每個裝置 RDS CAL | 每位使用者 RDS CAL 授權配額 |
|---|---|
| 實際指派給每個裝置。 | 指派給 Active Directory 中的使用者。 |
| 由授權伺服器追蹤。 | 由授權伺服器追蹤。 |
| 不論 Active Directory 成員資格為何,都可以追蹤。 | 無法在工作群組中被追蹤。 |
| 您可以撤銷最多 20% 的 RDS CAL。 | 您無法撤銷任何 RDS CAL。 |
| 暫存 RDS CAL 會在每個裝置的第一次登入時指派,且有效期為 90 天。 | 無法使用暫時的 RDS CAL。 |
| 永久 RDS CAL 在續約前的隨機期間為 52 到 89 天有效。 | 永久 RDS CAL 在續約前 60 天有效,或重新指派前 90 天有效。 |
| 無法超額配置。 | 可能會過度配置,違反遠端桌面許可協定。 |
以下是何時可以使用每個 RDS CAL 類型的範例:
- 每個裝置型號適用於在一個環境中,兩班或更多班次的工人使用相同的計算機來存取會話主機。
- 每個使用者模型最適合每個使用者有自己的專用 Windows 裝置來存取工作階段主機的環境。
授權寬限期為 120 天,在此期間不需要授權伺服器。 寬限期結束后,客戶端必須擁有授權伺服器簽發的有效 RDS CAL,才能登入遠端會話。
授權伺服器可以在不同的 Active Directory 網域或樹系或工作組環境中發出 RDS CAL。 不過,有一些需要考慮的限制。 如需詳細資訊,請參閱跨 Active Directory 網域/樹系或工作組設定遠端桌面授權的最佳做法。
每部裝置的遠端桌面服務客戶端存取授權 (RDS CAL)
當您使用每裝置模式時,第一次裝置連線到會話主機時,會授與暫時授權。 當使用者登入會話之後,會話主機會指示授權伺服器將發出的暫存 RDS CAL 令牌標示為已驗證。
下次裝置連線時,只要授權伺服器已啟用且有可用的 RDS CAL,授權伺服器就會將暫存 RDS CAL 令牌升級為完整的 RDS CAL 令牌,併為每個裝置發出永久 RDS CAL。 如果沒有可用的 RDS CAL 令牌,暫存 RDS CAL 令牌會繼續運作 90 天。
每次用戶端裝置連線到會話主機時,就會將其 RDS CAL 憑證呈現給伺服器。 伺服器不僅會檢查用戶端裝置是否具備有效憑證,也會檢查該憑證的到期日。 如果憑證的到期日在目前日期的七天之內,會話主機會連線到授權伺服器,將授權更新為 52 到 89 天之間的隨機期間。
使用者端的 RDS 客戶訪問授權 (CAL)
當您使用每個使用者模型時,不會強制執行授權,而且每位使用者都會獲得授權,以從任意數目的裝置連線到會話主機。 授權伺服器會從可用的 RDS CAL 集區或超額使用的 RDS CAL 集區發出 RDS CAL。 系統管理員有責任確保所有使用者都有有效的授權,而不使用過度使用的 RDS CAL,以避免違反遠端桌面服務授權條款。
每個使用者 RDS CAL 在發行後的 60 天內會顯示為到期。 如果到期日即將來臨,則使用者登入時,日期會再延長 60 天。 如果使用者未在到期日之前登入,則會卸除清單,但下次登入時,會再次出現新的到期日。
對於大部分授權合約而言,90 天是較為相關的時段,因為這是將授權重新指派給不同使用者所需的最短時間 (特殊情況除外)。
您可以使用遠端桌面授權管理員來追蹤和產生每個使用者 RDS CAL 的報告。 為了確保您符合遠端桌面服務授權條款,請追蹤組織中所使用的每個使用者 RDS CAL 數目。 針對所有使用者,請務必在授權伺服器上安裝足夠的 RDS CAL。
RDS CAL 版本相容性
由使用者或裝置使用的 RDS CAL 必須對應於使用者或裝置所連線 Windows Server 版本。 您無法使用舊版 RDS CAL 來存取較新版的 Windows Server,但可以使用較新版的 RDS CAL 來存取舊版的 Windows Server。 例如,如果您有適用於 Windows Server 2022 的 RDS CAL,您可以連線到執行 Windows Server 2022 或更早版本的會話主機,但無法使用它連線到執行 Windows Server 2025 的會話主機。
下表顯示 RDS CAL 和會話主機的 Windows Server 版本彼此相容。
| 會話主機 Windows Server 版本 | Windows Server 2025 RDS CAL | Windows Server 2022 RDS CAL | Windows Server 2019 RDS CAL | Windows Server 2016 RDS CAL |
|---|---|---|---|---|
| Windows Server 2025 | Yes | No | No | No |
| Windows Server 2022 | Yes | Yes | No | No |
| Windows Server 2019 | Yes | Yes | Yes | No |
| Windows Server 2016 | Yes | Yes | Yes | Yes |
您也必須在執行相容版本的 Windows Server 的遠端桌面授權伺服器上安裝 RDS CAL。 您可以在執行與 RDS CAL 或更早版本相同 Windows Server 的授權伺服器上安裝 RDS CAL。 例如,如果您有適用於 Windows Server 2022 的 RDS CAL,您可以在執行 Windows Server 2022 或更早版本的授權伺服器上安裝它們,但您無法使用它來安裝適用於 Windows Server 2025 的 RDS CAL。
下表顯示哪些 RDS CAL 和授權伺服器版本彼此相容。
| 授權伺服器 Windows Server 版本 | Windows Server 2025 RDS CAL | Windows Server 2022 RDS CAL | Windows Server 2019 RDS CAL | Windows Server 2016 RDS CAL |
|---|---|---|---|---|
| Windows Server 2025 | Yes | Yes | Yes | Yes |
| Windows Server 2022 | No | Yes | Yes | Yes |
| Windows Server 2019 | No | No | Yes | Yes |
| Windows Server 2016 | No | No | No | Yes |