Configurare i tenant per Windows 365 enti pubblici

Il modo più veloce per usare Windows 365 consiste nell'usare AADJ, le immagini della raccolta e l'opzione Microsoft Hosted Network. Le istruzioni riportate in questa pagina sono solo se è necessario usare uno o entrambi:

• Immagini personalizzate. Windows 365 offre immagini della raccolta ottimizzate, incluse le immagini con le app di Microsoft 365 preinstallate. Dopo la distribuzione dell'immagine della raccolta, è possibile usare Intune per un'ulteriore personalizzazione delle impostazioni comuni e della distribuzione dell'applicazione. Se è necessario usare l'immagine personalizzata esistente, per altre informazioni, vedere Aggiungere un'immagine personalizzata.
• Azure Network Connections (ANC). Gli ANC consentono di effettuare il provisioning di PC cloud collegati a una rete virtuale gestita. Alcuni esempi:
  • Azure Rete virtuale (VNet).
  • Azure Gateway VPN o una connessione dedicata tramite ExpressRoute.
  • Altre risorse di Azure, incluse le risorse di Cloud PC.
• Per altre informazioni, vedere Creare una connessione di rete di Azure.

Solo per i clienti di Government Community Cloud (GCC), le istruzioni seguenti consentono a Intune in esecuzione in Azure di gestire i PC cloud in esecuzione nelle aree Azure per enti pubblici.

Nota

• Non è necessaria una sottoscrizione Azure per enti pubblici per usare Windows 365 per enti pubblici. Queste istruzioni sono specifiche per GCC e solo se sono necessarie immagini personalizzate e/o Connections di rete di Azure. Le istruzioni in questa pagina non si applicano a GCC High.
• Per i clienti pubblici che non dispongono di una sottoscrizione Azure per enti pubblici o richiedono l'integrazione con Azure, provare a usare Windows 365 Enterprise. Assicurarsi che soddisfi i requisiti di conformità. Windows 365 Enterprise è conforme a FedRAMP. Vedere Windows 365 Descrizione del servizio

Prima di iniziare

Per il mapping del tenant e la concessione delle autorizzazioni per le immagini personalizzate e/o la connessione alle proprie reti, è necessario:

• Sottoscrizione Azure per enti pubblici.
• Credenziali di un utente che dispone di:
  • Ruolo amministratore globale nel tenant di Azure (che termina con onmicrosoft.com).
• Credenziali di un utente che dispone di:
  • Ruolo di proprietario nella sottoscrizione Azure per enti pubblici, AND
  • Ruolo amministratore globale nel tenant Azure per enti pubblici (che termina con onmicrosoft.us).
• Per soddisfare i requisiti di licenza.
• (Se applicabile) Le informazioni seguenti per applicare le autorizzazioni per configurare la connessione di rete di Azure. La rete virtuale e la subnet devono già esistere.
  • ID sottoscrizione.
  • Gruppo di risorse.
  • Rete virtuale.
  • Sottorete.

Nota

Mentre i PC cloud degli utenti GCC sono ospitati e protetti nel cloud Azure per enti pubblici, gli endpoint per amministratori e utenti finali si trovano nel dominio commerciale di Azure. Gli utenti potranno accedere ai PC cloud usando credenziali sincronizzate con Microsoft Entra ID.

opzioni Microsoft Entra

Se si vuole usare Microsoft Entra join o Microsoft Entra join ibrido, tenere presente quanto segue:

Microsoft Entra PC cloud aggiunti: se si vuole usare un'infrastruttura Microsoft Entra join e la propria rete, sono necessari un tenant e una sottoscrizione di Azure nel cloud Azure per enti pubblici. Il tenant nel dominio .com di Azure deve essere mappato al tenant nel dominio Azure per enti pubblici (.us).

PC cloud aggiunti Microsoft Entra ibridi: se si vuole usare un'infrastruttura di join ibrida Microsoft Entra, è necessario configurare il tenant commerciale (.com) e i tenant per enti pubblici (con estensione us) prima di creare le reti virtuali di Azure.

Preparazione per Windows 365 strumento di installazione GCC

Affinché lo strumento di installazione GCC Windows 365 completi il mapping del tenant, all'applicazione Windows 365 Microsoft Entra deve essere concessa l'autorizzazione per accedere al tenant Azure per enti pubblici AD tramite un'entità servizio. L'oggetto entità servizio definisce le operazioni che l'app può eseguire nel tenant, chi può accedere all'app e quali risorse può accedere all'app. Prima di eseguire il Windows 365 strumento di installazione GCC la prima volta, è necessario eseguire le operazioni seguenti:

1. Se non è già stata completata, installare l'interfaccia della riga di comando di Azure nel computer in cui verrà creata l'entità servizio. Per altre informazioni, vedere Come installare l'interfaccia della riga di comando di Azure.
2. Accedere al tenant di Azure per enti pubblici AD usando i passaggi dell'interfaccia della riga di comando di Azure definiti in Accedere con l'interfaccia della riga di comando di Azure. Le autorizzazioni di amministratore globale sono necessarie per creare l'entità servizio per Windows App.
3. Per altre informazioni sull'uso delle entità servizio in Azure, vedere Usare l'entità servizio di Azure usando l'interfaccia della riga di comando di Azure. Concedere le autorizzazioni dell'app Windows 365 Microsoft Entra al tenant eseguendo il comando di PowerShell seguente: az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
4. Al termine del comando, sarà possibile visualizzare i dettagli sull'entità servizio eseguendo il comando di PowerShell seguente: az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. Verrà visualizzato Windows App elencato nella visualizzazione Tutte le applicazioni nel pannello Applicazione aziendale in portale di Azure.

L'entità servizio Windows App può accedere solo alle risorse di Azure necessarie per configurare l'immagine personalizzata e il supporto di Connessione di rete di Azure in Windows 365. Dopo la creazione, l'entità servizio può essere eliminata solo dopo il deprovisioning di immagini personalizzate, oggetti ANC e PC cloud corrispondenti che li usano. In caso contrario, le attività di provisioning dei PC cloud potrebbero non riuscire e i PC cloud esistenti potrebbero diventare inaccessibili.

Introduzione allo strumento di installazione di Windows 365 GCC

Seguire questa procedura per configurare il mapping del tenant usando lo strumento di installazione Windows 365 GCC.

1. Avviare il GCCSetupTool.exe. Questo strumento è disponibile all'indirizzo Windows 365 Government - GCC Setup Tool for Windows 10/11.This tool is available at Windows 365 Government - GCC Setup Tool for Windows 10/11.
2. Nella pagina Attività iniziali selezionare Avanti.
3. Accedere con l'account Azure. Questo account deve disporre delle autorizzazioni di amministratore globale.
4. Verificare di voler continuare con l'account > commerciale Avanti.
5. Accedere con l'account > Azure per enti pubblici Digitare> quindi le credenziali.
6. Confermare che si vuole continuare con il proprio account > pubblico Avanti.
7. Nella schermata Seleziona funzionalità per abilitare verificare che sia selezionata l'opzione Immagini personalizzate . Questa opzione è selezionata per impostazione predefinita perché non esiste alcun motivo per eseguire lo strumento di installazione Windows 365 GCC, a meno che non sia necessaria almeno una di queste funzionalità di seguito.

   Nota

   AnC include le autorizzazioni per le immagini personalizzate.

8. Selezionare Connessioni di rete di Azure e quindi selezionare la sottoscrizione, la rete virtuale e la subnet da configurare. Seleziona Avanti.
9. Nella pagina Rivedi impostazioni esaminare le selezioni effettuate e selezionare Concedi.
10. Al termine dell'installazione, è possibile chiudere lo strumento.

Risoluzione dei problemi

Se si verificano problemi durante l'esecuzione dello strumento di installazione Windows 365 GCC:

1. Nella stessa cartella in cui viene eseguito il GCCSetupTool.exe, passare alla cartella Log ed esaminare il GCCAdminTool.log file.
2. Se si continuano a riscontrare problemi, contattare il supporto tecnico e fornire il file GCCADminTool.log.

Uso successivo dello strumento di installazione GCC

Il Windows 365 strumento di installazione GCC può essere eseguito di nuovo dopo l'installazione iniziale. Potrebbe essere necessario usare di nuovo lo strumento di installazione GCC se:

• Non sono stati configurati anc prima o
• Si vuole espandere l'uso dei controller di rete ad altre reti.

Alternativa script

In alternativa all'uso dello strumento di installazione GCC per la configurazione di ANC, è anche possibile usare lo script seguente per configurare le autorizzazioni per altri anc.

Nota

Il mapping del tenant deve avere esito positivo prima di procedere con lo script per configurare gli ANC.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1

1. Se non è Cloud Shell configurato (è necessario un account di archiviazione di Azure), sono disponibili due opzioni per eseguire lo script:
   • Selezionare Copia nello script ed eseguire lo script di PowerShell in locale nel computer.
   • Selezionare Apri CloudShell> per incollare lo script nella sessione > di Cloud Shell della sottoscrizione di Azure per enti pubblici eseguire lo script.
2. Dopo aver eseguito lo script, al prompt selezionare l'opzione 2. Questa opzione configura le autorizzazioni per l'ANC.
3. Nell'elenco delle sottoscrizioni Azure per enti pubblici selezionare la sottoscrizione a cui si desidera concedere le autorizzazioni.
4. Nell'elenco dei gruppi di risorse selezionare il gruppo di risorse da usare.
5. Selezionare la rete virtuale.
6. Lo script concede le autorizzazioni ed elenca gli elementi configurati.

Passaggi successivi

Altre informazioni su Windows 365 government.