Sdílet prostřednictvím


Windows 10 nebo Windows 11 Enterprise vzdálené plochy s více relacemi

Azure Virtual Desktop pro více relací s Microsoft Intune je teď obecně dostupná.

Teď můžete použít Microsoft Intune ke správě Windows 10 nebo Windows 11 Enterprise vzdálené plochy s více relacemi v Centru pro správu Microsoft Intune, stejně jako můžete spravovat sdílené Windows 10 nebo Windows 11 klienta. zařízení. Při správě takových virtuálních počítačů budete moct používat jak konfiguraci založenou na zařízeních, tak konfiguraci založenou na uživatelích.

Windows 10 nebo Windows 11 Enterprise více relací je nový hostitel relace vzdálené plochy, který je výhradní pro Azure Virtual Desktop v Azure. Poskytuje následující výhody:

  • Umožňuje více souběžných uživatelských relací.
  • Poskytuje uživatelům známé Windows 10 nebo Windows 11 prostředí.
  • Podporuje použití stávajících licencí Microsoft 365 pro jednotlivé uživatele.

Můžete spravovat Windows 10 a Windows 11 Enterprise virtuální počítače s více relacemi vytvořené v Azure Government Cloudu v komunitě GCC (US Government Community), GCC High a DoD.

Důležité

Microsoft Intune podporu více relací služby Azure Virtual Desktop není v současné době k dispozici pro Citrix DaaS a VMware Horizon Cloud. Vzhledem k tomu, že Intune nemůže nabídnout podporu pro Citrix DaaS, projděte si dokumentaci společnosti Citrix a seznamte se s možnostmi podpory citrixu pro podporu více relací. Všechny dotazy, připomínky nebo pomoc by měly být směřovány na společnost Citrix s žádostí o podporu v rámci více relací. Viz podpora citrixu.

Přehled

Obecně dostupná je podpora konfigurace zařízení v Microsoft Intune pro Windows 10 nebo Windows 11 Enterprise více relací . To znamená , že zásady definované v oboru operačního systému a aplikace nakonfigurované pro instalaci v kontextu systému je možné použít na virtuální počítače Azure Virtual Desktopu s více relacemi, pokud jsou přiřazené ke skupinám zařízení.

Poznámka

Konfiguraci založenou na zařízení nelze přiřadit uživatelům a konfiguraci založenou na uživatelích nelze přiřadit k zařízením. Bude nahlášena jako Chyba nebo Nepoužitelné.

Podpora konfigurace uživatelů v Microsoft Intune pro Windows 10 nebo Windows 11 virtuální počítače s více relacemi je obecně dostupná. Díky tomu můžete:

  • Nakonfigurujte zásady oboru uživatele pomocí katalogu Nastavení a přiřaďte je skupinám uživatelů. Pomocí panelu hledání můžete prohledat všechny konfigurace s oborem nastaveným na "uživatel".

  • Nakonfigurujte certifikáty uživatelů a přiřaďte je uživatelům.

  • Nakonfigurujte skripty PowerShellu pro instalaci v kontextu uživatele a přiřazení uživatelům.

Požadavky

Tato funkce podporuje Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi, mezi které patří:

  • Spuštění Windows 10 více relací verze 1903 nebo novější nebo spuštění Windows 11 více relací.
  • Nastavte jako vzdálené plochy ve fondech hostitelů nasazených prostřednictvím Azure Resource Manager.
  • Ve stejném tenantovi jako Intune.
  • Spuštění verze agenta Služby Azure Virtual Desktop 1.0.2944.1400 nebo novější.
  • Microsoft Entra hybridní připojení a zaregistrované v Microsoft Intune pomocí jedné z následujících metod:
  • Microsoft Entra se připojili a zaregistrovali v Microsoft Intune tak, že v Azure Portal povolíte možnost Registrovat virtuální počítač pomocí Intune.
  • Licencování: Příslušná licence služby Azure Virtual Desktop a Microsoft Intune se vyžaduje, pokud má uživatel nebo zařízení přímé nebo nepřímé výhody ze služby Microsoft Intune, včetně přístupu ke službě Microsoft Intune prostřednictvím rozhraní Microsoft API. Další informace najdete v tématu Microsoft Intune licencování.
  • Další informace o licenčních požadavcích služby Azure Virtual Desktop najdete v tématu Co je Azure Virtual Desktop? .

Omezení

Intune nepodporuje použití klonované image počítače, který je už zaregistrovaný. To zahrnuje fyzická i virtuální zařízení, jako je Azure Virtual Desktop (AVD). Když se mezi zařízeními replikují registrace zařízení nebo tokeny identity, dojde k Intune selhání registrace nebo synchronizace zařízení.

Poznámka

Pokud připojujete hostitele relací k Microsoft Entra Doménové služby, nemůžete je spravovat pomocí Intune.

Důležité

  • Pokud používáte buildy Windows 10 verze 2004, 20H2 nebo 21H1, nezapomeňte nainstalovat služba Windows Update nebo novější aktualizaci Windows z července 2021. V opačném případě nebudou správně fungovat vzdálené akce v Centru pro správu Microsoft Intune, jako je vzdálená synchronizace. V důsledku toho může použití čekajících zásad přiřazených k zařízením trvat až 8 hodin.
  • Intune aktuálně nepodporuje funkci roamingu tokenů mezi zařízeními. Pokud se ke správě profilů uživatelů a nastavení windows používá FSLogix nebo podobná technologie, musíte zajistit, aby se tokeny neočekávaně nepřechávaly nebo nezdvojovaly mezi zařízeními. Pokud chcete ověřit, že používáte podporovanou verzi a konfiguraci FSLogix se zakázaným roamingem tokenů, projděte si referenční informace k nastavení konfigurace FSLogix RoamIdentity.

Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi se považují za samostatnou edici operačního systému a některé konfigurace Windows 10 nebo Windows 11 Enterprise nebudou pro tuto edici podporovány. Použití Microsoft Intune nezávisí na správě služby Azure Virtual Desktop stejného virtuálního počítače ani na něm nenarušuje.

Vytvoření konfiguračního profilu

Pokud chcete nakonfigurovat zásady konfigurace pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi, budete muset použít katalog Nastavení v Centru pro správu Microsoft Intune.

Existující šablony profilu konfigurace zařízení se nepodporují pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi s výjimkou následujících šablon:

  • Důvěryhodný certifikát – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
  • Certifikát SCEP – Zařízení (počítač) při cílení na zařízení a uživatel při cílení na uživatele
  • Certifikát PKCS – Zařízení (počítač) při cílení na zařízení a Uživatel při cílení na uživatele
  • VPN – pouze tunel zařízení

Microsoft Intune nedoručí nepodporované šablony do zařízení s více relacemi a tyto zásady se zobrazí jako Nepoužitelné v sestavách.

Poznámka

Pokud pro Intune a Configuration Manager používáte spolusprávu, nastavte v Configuration Manager posuvník úlohy zásady přístupu k prostředkům na Intune nebo pilotní Intune. Toto nastavení umožňuje Windows 10 a Windows 11 klientům zahájit proces žádosti o certifikát.

Konfigurace zásad

  1. Přihlaste se do Centra pro správu Microsoft Intune a zvolte Zařízení>podle platformy>Windows>Spravovat zařízení>Konfigurace>Vytvořit>novou zásadu.
  2. V části Platforma vyberte Windows 10 a novější.
  3. V části Typ profilu vyberte Katalog nastavení nebo při nasazení nastavení pomocí šablony vyberte Šablony a pak název podporované šablony.
  4. Vyberte Vytvořit.
  5. Na stránce Základy zadejte Název a (volitelně) Popis>Další.
  6. Na stránce Nastavení konfigurace vyberte Přidat nastavení.
  7. V části Výběr nastavení vyberte Přidat filtr a vyberte následující možnosti:
    • Klíč: Edice operačního systému
    • Operátor: ==
    • Hodnota: Organizace pro více relací
    • Vyberte Použít. Filtrovaný seznam teď zobrazuje všechny kategorie konfiguračních profilů, které podporují Windows 10 nebo Windows 11 Enterprise více relací. Rozsah zásad se zobrazuje v závorkách. Pro obor uživatele se zobrazuje jako (Uživatel) a všechny ostatní jsou zásady s oborem zařízení.
  8. Z filtrovaného seznamu vyberte požadované kategorie.
    • Pro každou kategorii, kterou vyberete, vyberte nastavení, která chcete použít pro nový konfigurační profil.
    • Pro každé nastavení vyberte požadovanou hodnotu pro tento konfigurační profil.
  9. Až dokončíte přidávání nastavení, vyberte Další .
  10. Na stránce Přiřazení zvolte skupiny Microsoft Entra obsahující zařízení, ke kterým chcete tento profil přiřadit >Další.
  11. Na stránce Značky oboru volitelně přidejte značky oboru, které chcete použít pro tento profil >Další. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.
  12. Na stránce Zkontrolovat a vytvořit zvolte Vytvořit a vytvořte profil.

Šablony pro správu

Windows 10 nebo Windows 11 šablony pro správu jsou podporované pro Windows 10 nebo Windows 11 Enterprise více relací prostřednictvím katalogu Nastavení s určitými omezeními:

  • Podporují se zásady založené na ADMX. Některé zásady ještě nejsou dostupné v katalogu Nastavení.
  • Podporují se zásady ingestované službou ADMX, včetně nastavení Office a Microsoft Edge, která jsou k dispozici v souborech šablon pro správu Office a v souborech šablon pro správu Microsoft Edge. Úplný seznam kategorií zásad přijatých službou ADMX najdete v tématu Konfigurace zásad aplikací Win32 a Přemostění na desktop. Některá nastavení ingestované službou ADMX nebudou použitelná pro Windows 10 nebo Windows 11 Enterprise více relací.

Pokud chcete zobrazit seznam podporovaných šablon pro správu, budete muset použít filtr v katalogu Nastavení.

Dodržování předpisů a podmíněný přístup

Své Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi můžete zabezpečit konfigurací zásad dodržování předpisů a zásad podmíněného přístupu v Centru pro správu Microsoft Intune. Na Windows 10 nebo Windows 11 Enterprise virtuálních počítačích s více relacemi se podporují následující zásady dodržování předpisů:

  • Minimální verze operačního systému
  • Maximální verze operačního systému
  • Platná sestavení operačního systému
  • Jednoduchá hesla
  • Typ hesla
  • Minimální délka hesla
  • Složitost hesla
  • Vypršení platnosti hesla (dny)
  • Počet předchozích hesel, aby se zabránilo opakovanému použití
  • Microsoft Defender Antimalware
  • Microsoft Defender aktuální antimalwarové bezpečnostní informace
  • Brána firewall
  • Antivirus
  • Antispyware
  • Ochrana v reálném čase
  • Microsoft Defender minimální verze antimalwaru
  • Defender ATP Risk Score

Všechny ostatní zásady se hlásí jako Nepoužitelné.

Důležité

Budete muset vytvořit nové zásady dodržování předpisů a zacílit je na skupinu zařízení obsahující virtuální počítače s více relacemi. Konfigurace dodržování předpisů cílené na uživatele se nepodporují.

Zásady podmíněného přístupu podporují konfigurace založené na uživatelích a zařízeních pro Windows 10 nebo Windows 11 Enterprise více relací.

Poznámka

Podmíněný přístup pro místní Exchange se nepodporuje pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi.

Poznámka

Zásady konfigurace a dodržování předpisů pro Nástroj BitLocker, zabezpečené spouštění a funkce využívající vTPM (Virtual Trusted Platform Module) se v současnosti nepodporují pro virtuální počítače Azure Virtual Desktop.

Zabezpečení koncových bodů

Profily můžete nakonfigurovat v části Zabezpečení koncových bodů pro virtuální počítače s více relacemi tak, že vyberete Windows 10 platformy, Windows 11 a Windows Server. Pokud tato platforma není dostupná, profil se nepodporuje na virtuálních počítačích s více relacemi.

Další informace najdete v tématu Správa zabezpečení zařízení pomocí zásad zabezpečení koncových bodů v Microsoft Intune

Nasazení aplikace

Všechny aplikace Windows 10 nebo Windows 11 je možné nasadit do Windows 10 nebo Windows 11 Enterprise více relací s následujícími omezeními:

  • Všechny aplikace musí být nakonfigurované tak, aby se nainstalovaly v kontextu systému nebo zařízení, a musí být cílené na zařízení. Webové aplikace se ve výchozím nastavení vždy použijí v kontextu uživatele, takže se nebudou vztahovat na virtuální počítače s více relacemi.
  • Všechny aplikace musí být nakonfigurované se záměrem Povinné nebo Odinstalovat přiřazení aplikace. Záměr Nasazení dostupných aplikací se na virtuálních počítačích s více relacemi nepodporuje.
  • Pokud má aplikace Win32 nakonfigurovanou tak, aby se nainstalovala v kontextu systému, závislosti nebo vztah nahrazování u všech aplikací nakonfigurovaných tak, aby se nainstalovaly v kontextu uživatele, aplikace se nenainstaluje. Pokud chcete použít Windows 10 nebo Windows 11 Enterprise virtuální počítač s více relacemi, vytvořte samostatnou instanci aplikace kontextu systému nebo se ujistěte, že jsou všechny závislosti aplikací nakonfigurované tak, aby se nainstalovaly v kontextu systému.
  • Připojení aplikace RemoteApp služby Azure Virtual Desktop a MSIX se v současné době v Microsoft Intune nepodporuje.

Nasazení skriptu

Skripty nakonfigurované tak, aby běžely v kontextu systému a přiřazené k zařízením, se podporují v Windows 10 nebo Windows 11 Enterprise více relacích. To můžete nakonfigurovat v nastavení skriptu nastavením Možnosti Spustit tento skript pomocí přihlášených přihlašovacích údajů na Hodnotu Ne.

Skripty nakonfigurované tak, aby běžely v kontextu uživatele a přiřazené uživatelům, jsou podporovány ve Windows 10 a Windows 11 Enterprise více relacích. To se dá nakonfigurovat v nastavení skriptu tak, že nastavíte Spustit tento skript pomocí přihlášených přihlašovacích údajů na Ano.

služba Windows Update pro firmy

Katalog nastavení můžete použít ke správě nastavení služba Windows Update pro aktualizace kvality (zabezpečení) pro Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi. Pokud chcete najít podporovaná nastavení v katalogu, nakonfigurujte filtr nastavení pro podnikové více relací a rozbalte kategorii služba Windows Update pro firmy.

V katalogu jsou k dispozici následující nastavení s odkazy, které otevírají dokumentaci k programu CSP systému Windows:

Vzdálené akce

Následující vzdálené akce Windows 10 nebo Windows 11 desktopových zařízení se nepodporují. V uživatelském rozhraní se zobrazí šedě a v Graphu se pro virtuální počítače Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi zakáže:

  • Resetování autopilota
  • Obměně klíčů nástroje BitLocker
  • Začít znovu
  • Vzdálené uzamčení
  • Resetujte heslo.
  • Vymazání

Vyřazení

Odstraněním virtuálních počítačů z Azure zůstanou záznamy osamocených zařízení v Centru pro správu Microsoft Intune. Počítače AVD se automaticky odstraní po 30 dnech a trvale se odeberou po 60 dnech. Další informace najdete tady:

Výchozí hodnoty zabezpečení

Standardní hodnoty zabezpečení nejsou v současnosti dostupné pro Windows 10 nebo Windows 11 Enterprise více relací. Doporučujeme projít si dostupné standardní hodnoty zabezpečení a nakonfigurovat doporučené zásady a hodnoty v katalogu Nastavení.

Další konfigurace, které nejsou podporované na virtuálních počítačích Windows 10 nebo Windows 11 Enterprise s více relacemi

Registrace prostředí prvního spuštění počítače (OOBE) není podporovaná pro Windows 10 ani Windows 11 Enterprise více relací. Toto omezení znamená, že:

  • Windows Autopilot a komerční OOBE se nepodporují.
  • Stránka stavu registrace se nepodporuje.

Windows 10 nebo Windows 11 Enterprise více relací spravovaných službou Microsoft Intune se v současné době nepodporuje pro čínský suverénní cloud.

Řešení problémů

Následující části obsahují pokyny k řešení běžných problémů.

Problémy s registrací

Problém Detail
Registrace Microsoft Entra virtuálních počítačů připojených k hybridnímu připojení selže
  • Automatická registrace je nakonfigurovaná tak, aby používala přihlašovací údaje uživatele. Windows 10 nebo Windows 11 Enterprise virtuální počítače s více relacemi musí být zaregistrované pomocí přihlašovacích údajů zařízení.
  • Agent Služby Azure Virtual Desktop, který používáte, musí být verze 1.0.2944.1400 nebo novější.
  • Máte víc než jednoho poskytovatele MDM, který se nepodporuje.
  • Windows 10 nebo Windows 11 Enterprise virtuální počítač s více relacemi je nakonfigurovaný mimo fond hostitelů. Microsoft Intune podporuje jenom virtuální počítače zřízené jako součást fondu hostitelů.
  • Fond hostitelů služby Azure Virtual Desktop se nevytvořil prostřednictvím šablony Azure Resource Manager.
Selhání registrace virtuálního počítače připojeného k Microsoft Entra
  • Agent služby Azure Virtual Desktop, který používáte, se neaktualizuje. Agent musí mít verzi 1.0.2944.1400 nebo vyšší.
  • Fond hostitelů služby Azure Virtual Desktop se nevytvořil prostřednictvím šablony Azure Resource Manager.

Problémy s konfigurací

Problém Detail
Selhání zásad katalogu nastavení Pomocí přihlašovacích údajů zařízení ověřte, že je virtuální počítač zaregistrovaný. Registrace s přihlašovacími údaji uživatele se v současné době nepodporuje pro Windows 10 nebo Windows 11 Enterprise více relací.
Zásady konfigurace se nepoužily. Šablony (s výjimkou certifikátů) nejsou podporovány ve Windows 10 nebo Windows 11 Enterprise více relacích. Všechny zásady se musí vytvořit prostřednictvím katalogu nastavení.
Zásady konfigurace se hlásí jako Nepoužitelné Některé zásady se nevztahují na virtuální počítače Azure Virtual Desktopu.
Při použití filtru pro Windows 10 nebo Windows 11 Enterprise multi-session edition se zásady Microsoft Edge nebo Microsoft Office ADMX nezobrazují Použitelnost těchto nastavení není založená na verzi nebo edici Windows, ale na tom, jestli byly tyto aplikace na zařízení nainstalované. Pokud chcete tato nastavení přidat do zásad, možná budete muset odebrat všechny filtry použité ve výběru nastavení.
Aplikace nakonfigurovaná pro instalaci v kontextu systému se nepoužila. Ověřte, že aplikace nemá závislost nebo vztah nahrazování u žádné aplikace nakonfigurované pro instalaci v kontextu uživatele. Aplikace kontextu uživatele nejsou v současné době podporovány ve Windows 10 nebo Windows 11 Enterprise více relacích.
Nepoužily se aktualizační kanály pro Windows 10 a novější zásady Zásady okruhů windows update se v současné době nepodporují. Aktualizace pro zvýšení kvality je možné spravovat prostřednictvím nastavení dostupných v katalogu nastavení.

Další kroky

Přečtěte si další informace o službě Azure Virtual Desktops.