Delen via


Vereisten voor Azure Virtual Desktop

Er zijn enkele dingen die u nodig hebt om Azure Virtual Desktop te gaan gebruiken. Hier vindt u welke vereisten u moet voltooien om uw gebruikers te voorzien van desktops en toepassingen.

Op hoog niveau hebt u het volgende nodig:

  • Een Azure-account met een actief abonnement
  • Een ondersteunde id-provider
  • Een ondersteund besturingssysteem voor sessiehost-VM's
  • Juiste licenties
  • Netwerkverbinding
  • Een Extern bureaublad-client

Azure-account met een actief abonnement

U hebt een Azure-account met een actief abonnement nodig om Azure Virtual Desktop te implementeren. Als u er nog geen hebt, kunt u gratis een account maken.

Als u Azure Virtual Desktop wilt implementeren, moet u de relevante RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure toewijzen. De specifieke rolvereisten worden behandeld in elk van de gerelateerde artikelen voor het implementeren van Azure Virtual Desktop, die worden vermeld in de sectie Volgende stappen .

Zorg er ook voor dat u de resourceprovider Microsoft.DesktopVirtualization hebt geregistreerd voor uw abonnement. Als u de status van de resourceprovider wilt controleren en indien nodig wilt registreren, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen.

Belangrijk

U moet gemachtigd zijn om een resourceprovider te registreren. Hiervoor is de */register/action bewerking vereist. Dit is inbegrepen als aan uw account de rol inzender of eigenaar voor uw abonnement is toegewezen.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer Abonnementen.

  3. Selecteer de naam van uw abonnement.

  4. Selecteer Resourceproviders.

  5. Zoek naar Microsoft.DesktopVirtualization.

  6. Als de status NotRegistered is, selecteert u Microsoft.DesktopVirtualization en selecteert u Registreren.

  7. Controleer of de status van Microsoft.DesktopVirtualization is geregistreerd.

Identiteit

Voor toegang tot desktops en toepassingen vanaf uw sessiehosts moeten uw gebruikers zich kunnen verifiëren. Microsoft Entra ID is de gecentraliseerde cloudidentiteitsservice van Microsoft die deze mogelijkheid mogelijk maakt. Microsoft Entra-id wordt altijd gebruikt om gebruikers te verifiëren voor Azure Virtual Desktop. Sessiehosts kunnen worden toegevoegd aan dezelfde Microsoft Entra-tenant of aan een Active Directory-domein met behulp van Active Directory-domein Services (AD DS) of Microsoft Entra Domain Services, zodat u een keuze hebt uit flexibele configuratieopties.

Sessiehosts

U moet deelnemen aan sessiehosts die desktops en toepassingen bieden aan dezelfde Microsoft Entra-tenant als uw gebruikers, of een Active Directory-domein (AD DS of Microsoft Entra Domain Services).

Notitie

Voor Azure Local kunt u alleen sessiehosts toevoegen aan een Active Directory-domein Services-domein. U kunt alleen sessiehosts op Azure Local toevoegen aan een AD DS-domein (Active Directory-domein Services). Dit omvat het gebruik van Microsoft Entra hybrid join, waar u kunt profiteren van een deel van de functionaliteit van Microsoft Entra ID.

Als u sessiehosts wilt toevoegen aan Microsoft Entra ID of een Active Directory-domein, hebt u de volgende machtigingen nodig:

  • Voor Microsoft Entra-id hebt u een account nodig dat computers kan koppelen aan uw tenant. Zie Apparaatidentiteiten beheren voor meer informatie. Zie Voor meer informatie over het toevoegen van sessiehosts aan Microsoft Entra ID, microsoft Entra-gekoppelde sessiehosts.

  • Voor een Active Directory-domein hebt u een domeinaccount nodig dat computers aan uw domein kan koppelen. Voor Microsoft Entra Domain Services moet u lid zijn van de groep AAD DC-beheerders.

Gebruikers

Uw gebruikers hebben accounts nodig die zich in Microsoft Entra-id bevinden. Als u ook AD DS of Microsoft Entra Domain Services gebruikt in uw implementatie van Azure Virtual Desktop, moeten deze accounts hybride identiteiten zijn, wat betekent dat de gebruikersaccounts worden gesynchroniseerd. Houd rekening met de volgende zaken op basis van de id-provider die u gebruikt:

  • Als u Microsoft Entra ID gebruikt met AD DS, moet u Microsoft Entra Connect configureren om gebruikersidentiteitsgegevens tussen AD DS en Microsoft Entra-id te synchroniseren.
  • Als u Microsoft Entra-id gebruikt met Microsoft Entra Domain Services, worden gebruikersaccounts op één manier gesynchroniseerd van Microsoft Entra-id naar Microsoft Entra Domain Services. Dit synchronisatieproces is automatisch.

Belangrijk

Het gebruikersaccount moet bestaan in de Microsoft Entra-tenant die u gebruikt voor Azure Virtual Desktop. Azure Virtual Desktop biedt geen ondersteuning voor B2B-, B2C- of persoonlijke Microsoft-accounts.

Wanneer u hybride identiteiten gebruikt, moet de UPN (UserPrincipalName) of de BEVEILIGINGS-id (SID) overeenkomen met Active Directory-domein Services en Microsoft Entra ID. Zie Ondersteunde identiteiten en verificatiemethoden voor meer informatie.

Ondersteunde identiteitsscenario's

De volgende tabel bevat een overzicht van identiteitsscenario's die momenteel door Azure Virtual Desktop worden ondersteund:

Identiteitsscenario Sessiehosts Gebruikersaccounts
Microsoft Entra ID + AD DS Toegevoegd aan AD DS Gesynchroniseerd in Microsoft Entra ID en AD DS
Microsoft Entra ID + AD DS Toegevoegd aan Microsoft Entra-id Gesynchroniseerd in Microsoft Entra ID en AD DS
Microsoft Entra ID + Microsoft Entra Domain Services Toegevoegd aan Microsoft Entra Domain Services Gesynchroniseerd in Microsoft Entra ID en Microsoft Entra Domain Services
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS Toegevoegd aan Microsoft Entra Domain Services Gesynchroniseerd in Microsoft Entra ID en AD DS
Microsoft Entra ID + Microsoft Entra Domain Services Toegevoegd aan Microsoft Entra-id Gesynchroniseerd in Microsoft Entra ID en Microsoft Entra Domain Services
Alleen Microsoft Entra Toegevoegd aan Microsoft Entra-id In Microsoft Entra-id

Zie Ondersteunde identiteiten en verificatiemethoden voor meer gedetailleerde informatie over ondersteunde identiteitsscenario's, waaronder eenmalige aanmelding en meervoudige verificatie.

FSLogix-profielcontainer

Als u FSLogix-profielcontainer wilt gebruiken bij het toevoegen van uw sessiehosts aan Microsoft Entra ID, moet u profielen opslaan in Azure Files of Azure NetApp Files en moeten uw gebruikersaccounts hybride identiteiten zijn. U moet deze accounts maken in AD DS en deze synchroniseren met Microsoft Entra-id. Zie de volgende artikelen voor meer informatie over het implementeren van FSLogix-profielcontainer met verschillende identiteitsscenario's:

Implementatieparameters

U moet de volgende identiteitsparameters invoeren bij het implementeren van sessiehosts:

  • Domeinnaam, als u AD DS of Microsoft Entra Domain Services gebruikt.
  • Referenties voor het toevoegen van sessiehosts aan het domein.
  • Organisatie-eenheid (OE), een optionele parameter waarmee u sessiehosts in de gewenste organisatie-eenheid kunt plaatsen tijdens de implementatie.

Belangrijk

Het account dat u gebruikt voor het toevoegen van een domein, kan meervoudige verificatie (MFA) niet hebben ingeschakeld.

Besturingssystemen en licenties

U hebt een keuze uit besturingssystemen (OS) die u kunt gebruiken voor sessiehosts om desktops en toepassingen te bieden. U kunt verschillende besturingssystemen met verschillende hostgroepen gebruiken om uw gebruikers flexibiliteit te bieden. We ondersteunen de 64-bits besturingssystemen en SKU's in de volgende tabellijsten (waarbij ondersteunde versies en datums inline zijn met het levenscyclusbeleid van Microsoft), samen met de licentiemethoden die voor elk commercieel doel van toepassing zijn:

Besturingssysteem
(alleen 64-bits)
Licentiemethode
(Interne commerciële doeleinden)
Licentiemethode
(Externe commerciële doeleinden)
  • Microsoft 365 E3, E5, A3, A5, F3, Business Premium, Student Use Benefit
  • Windows Enterprise E3, E5
  • Windows Education A3, A5
  • Windows VDA per gebruiker
  • Extern bureaublad-services (RDS) Client Access License (CAL) met Software Assurance (per gebruiker of per apparaat)
  • RDS-gebruikersabonnementslicenties.
  • Windows Server RDS Subscriber Access License (SAL).

Prijzen voor toegang per gebruiker zijn niet beschikbaar voor Windows Server-besturingssystemen.

Zie Licentieverlening voor Azure Virtual Desktop voor meer informatie over licenties die u kunt gebruiken, inclusief prijzen voor toegang per gebruiker.

Belangrijk

Voor Azure kunt u installatiekopieën van besturingssystemen van Microsoft gebruiken in Azure Marketplace of uw eigen aangepaste installatiekopieën maken die zijn opgeslagen in een Azure Compute Gallery of als een beheerde installatiekopieën. Met aangepaste installatiekopiesjablonen voor Azure Virtual Desktop kunt u eenvoudig een aangepaste installatiekopie maken die u kunt gebruiken bij het implementeren van virtuele machines (VM's) voor sessiehosts. Zie voor meer informatie over het maken van aangepaste installatiekopieën:

Voor Azure Local kunt u ook installatiekopieën van besturingssystemen gebruiken vanuit:

U kunt een virtuele machine (VM's) implementeren die als sessiehosts van deze installatiekopieën moeten worden gebruikt met een van de volgende methoden:

Als u met uw licentie Azure Virtual Desktop kunt gebruiken, hoeft u geen afzonderlijke licentie te installeren of toe te passen, maar als u toegangsprijzen per gebruiker gebruikt voor externe gebruikers, moet u een Azure-abonnement inschrijven. U moet ervoor zorgen dat de Windows-licentie die wordt gebruikt op uw sessiehosts correct is toegewezen in Azure en dat het besturingssysteem is geactiveerd. Zie Windows-licentie toepassen op virtuele machines voor sessiehosts voor meer informatie.

Voor sessiehosts in Azure Local moet u de virtuele machines die u gebruikt, licentie verlenen en activeren voordat u ze met Azure Virtual Desktop gebruikt. Voor het activeren van Windows 10 en Windows 11 Enterprise meerdere sessies en Windows Server 2022 Datacenter: Azure Edition, gebruikt u Azure-verificatie voor VM's. Voor alle andere installatiekopieën van het besturingssysteem (zoals Windows 10 en Windows 11 Enterprise en andere edities van Windows Server) moet u bestaande activeringsmethoden blijven gebruiken. Zie Windows Server-VM's activeren in Azure Local voor meer informatie.

Notitie

Werk uw VM's op Azure Local bij naar de meest recente cumulatieve update op 17 juni 2024 om te zorgen voor continue functionaliteit met de nieuwste beveiligingsupdate. Deze update is essentieel voor VM's om azure-voordelen te blijven gebruiken. Zie Azure-verificatie voor VM's voor meer informatie.

Tip

Azure Virtual Desktop ondersteunt prijzen voor Azure Dev/Test om de toegangsrechten van gebruikers tijdens de eerste ontwikkeling en het testen te vereenvoudigen. Als u Azure Virtual Desktop implementeert in een Azure Dev/Test-abonnement, kunnen eindgebruikers verbinding maken met die implementatie zonder afzonderlijke licentierechten om acceptatietests uit te voeren of feedback te geven.

Netwerk

Er zijn verschillende netwerkvereisten waaraan u moet voldoen om Azure Virtual Desktop te kunnen implementeren. Hierdoor kunnen gebruikers verbinding maken met hun bureaubladen en toepassingen, terwijl ze ook de best mogelijke gebruikerservaring bieden.

Gebruikers die verbinding maken met Azure Virtual Desktop, maken veilig een omgekeerde verbinding met de service. Dit betekent dat u geen binnenkomende poorten hoeft te openen. Transmission Control Protocol (TCP) op poort 443 wordt standaard gebruikt, maar RDP Shortpath kan worden gebruikt voor beheerde netwerken en openbare netwerken die een direct UDP-transport (User Datagram Protocol) tot stand brengt.

Als u Azure Virtual Desktop wilt implementeren, moet u voldoen aan de volgende netwerkvereisten:

  • U hebt een virtueel netwerk en subnet nodig voor uw sessiehosts. Als u uw sessiehosts op hetzelfde moment als een hostgroep maakt, moet u dit virtuele netwerk vooraf maken zodat het in de vervolgkeuzelijst wordt weergegeven. Uw virtuele netwerk moet zich in dezelfde Azure-regio bevinden als de sessiehost.

  • Zorg ervoor dat dit virtuele netwerk verbinding kan maken met uw domeincontrollers en relevante DNS-servers als u AD DS of Microsoft Entra Domain Services gebruikt, omdat u sessiehosts moet toevoegen aan het domein.

  • Uw sessiehosts en gebruikers moeten verbinding kunnen maken met de Azure Virtual Desktop-service. Deze verbindingen gebruiken ook TCP op poort 443 voor een specifieke lijst met URL's. Zie de lijst met vereiste URL's voor meer informatie. U moet ervoor zorgen dat deze URL's niet worden geblokkeerd door netwerkfilters of een firewall om ervoor te zorgen dat uw implementatie goed werkt en wordt ondersteund. Als uw gebruikers toegang nodig hebben tot Microsoft 365, moet u ervoor zorgen dat uw sessiehosts verbinding kunnen maken met Microsoft 365-eindpunten.

Houd ook rekening met het volgende:

  • Uw gebruikers hebben mogelijk toegang nodig tot toepassingen en gegevens die worden gehost op verschillende netwerken, dus zorg ervoor dat uw sessiehosts verbinding met hen kunnen maken.

  • Retourtijdlatentie (RTT) van het netwerk van de client naar de Azure-regio die de hostgroepen bevat, moet kleiner zijn dan 150 ms. Als u wilt zien welke locaties de beste latentie hebben, zoekt u de gewenste locatie op in de latentiestatistieken van het Azure-netwerk. Om te optimaliseren voor netwerkprestaties raden we u aan sessiehosts te maken in de Azure-regio die zich het dichtst bij uw gebruikers bevindt.

  • Gebruik Azure Firewall voor Azure Virtual Desktop-implementaties om uw omgeving te vergrendelen en uitgaand verkeer te filteren.

  • Om uw Azure Virtual Desktop-omgeving in Azure te beveiligen, raden we u aan binnenkomende poort 3389 niet te openen op uw sessiehosts. Voor Azure Virtual Desktop is geen geopende binnenkomende poort vereist. Als u poort 3389 moet openen voor probleemoplossing, raden we u aan Just-In-Time-VM-toegang te gebruiken. U wordt ook aangeraden geen openbaar IP-adres toe te wijzen aan uw sessiehosts.

Zie Azure Virtual Desktop-netwerkconnectiviteit voor meer informatie.

Notitie

Om Azure Virtual Desktop betrouwbaar en schaalbaar te houden, aggregeren we verkeerspatronen en -gebruik om de status en prestaties van het infrastructuurbeheervlak te controleren. We aggregeren deze informatie van alle locaties waar de service-infrastructuur zich bevindt en verzenden deze vervolgens naar de regio VS. De gegevens die naar de regio VS worden verzonden, bevatten geroofde gegevens, maar geen klantgegevens. Zie Gegevenslocaties voor Azure Virtual Desktop voor meer informatie.

Sessiehostbeheer

Houd rekening met de volgende punten bij het beheren van sessiehosts:

  • Schakel geen beleidsregels of configuraties in die Windows Installer uitschakelen. Als u Windows Installer uitschakelt, kan de service geen agentupdates installeren op uw sessiehosts en werken uw sessiehosts niet goed.

  • Als u sessiehosts koppelt aan een AD DS-domein en u deze wilt beheren met Behulp van Intune, moet u Microsoft Entra Connect configureren om hybride deelname van Microsoft Entra in te schakelen.

  • Als u sessiehosts aan een Domein van Microsoft Entra Domain Services deelneemt, kunt u deze niet beheren met Intune.

  • Als u Microsoft Entra join gebruikt met Windows Server voor uw sessiehosts, kunt u deze niet registreren bij Intune omdat Windows Server niet wordt ondersteund met Intune. U moet hybride deelname en groepsbeleid van Microsoft Entra gebruiken vanuit een Active Directory-domein of lokaal groepsbeleid op elke sessiehost.

Azure-regio's

U kunt hostgroepen, werkruimten en toepassingsgroepen implementeren in de volgende Azure-regio's. In deze lijst met regio's kunnen de metagegevens voor de hostgroep worden opgeslagen. Sessiehosts voor de gebruikerssessies kunnen zich echter in elke Azure-regio en on-premises bevinden wanneer u Azure Virtual Desktop op Azure Local gebruikt, zodat u rekenresources dicht bij uw gebruikers kunt implementeren. Zie Gegevenslocaties voor Azure Virtual Desktop voor meer informatie over de typen gegevens en locaties.

  • Australië - oost
  • Canada - midden
  • Canada - oost
  • India - centraal
  • Central US
  • VS - oost
  • VS - oost 2
  • Japan - oost
  • VS - noord-centraal
  • Europa - noord
  • VS - zuid-centraal
  • Verenigd Koninkrijk Zuid
  • Verenigd Koninkrijk West
  • VS - west-centraal
  • Europa -west
  • VS - west
  • VS - west 2
  • US - west 3

Azure Virtual Desktop is ook beschikbaar in onafhankelijke clouds, zoals Azure voor de Amerikaanse overheid en Azure beheerd door 21Vianet in China.

Zie de architectuur en tolerantie van de Azure Virtual Desktop-service voor meer informatie over de architectuur en tolerantie van de Azure Virtual Desktop-service.

Extern bureaublad-clients

Uw gebruikers hebben een Extern bureaublad-client nodig om verbinding te maken met bureaubladen en toepassingen. De volgende clients ondersteunen Azure Virtual Desktop:

Belangrijk

Azure Virtual Desktop biedt geen ondersteuning voor verbindingen van de RADC-client (RemoteApp and Desktop Connections) of de MSTSC-client (Remote Desktop Connection).

Als u wilt weten welke URL's clients gebruiken om verbinding te maken en die u moet toestaan via firewalls en internetfilters, raadpleegt u de lijst met vereiste URL's.

Volgende stappen