Dołączanie aplikacji i dołączanie aplikacji MSIX w usłudze Azure Virtual Desktop
W usłudze Azure Virtual Desktop istnieją dwie funkcje, które umożliwiają dynamiczne dołączanie aplikacji z pakietu aplikacji do sesji użytkownika w usłudze Azure Virtual Desktop — dołączanie aplikacji i dołączanie aplikacji MSIX. Dołączanie aplikacji i dołączanie aplikacji MSIX powoduje, że aplikacje nie są instalowane lokalnie na hostach lub obrazach sesji, co ułatwia tworzenie obrazów niestandardowych dla hostów sesji oraz zmniejszenie kosztów operacyjnych i kosztów dla organizacji. Aplikacje działają w kontenerach, które oddzielają dane użytkownika, system operacyjny i inne aplikacje, zwiększając bezpieczeństwo i ułatwiając rozwiązywanie problemów.
W poniższej tabeli porównaliśmy dołączanie aplikacji MSIX z dołączaniem aplikacji:
Dołączanie aplikacji MSIX | Dołączanie aplikacji |
---|---|
Aplikacje są dostarczane przy użyciu usługi RemoteApp lub w ramach sesji pulpitu. Uprawnienia są kontrolowane przez przypisanie do grup aplikacji, jednak wszyscy użytkownicy pulpitu widzą wszystkie aplikacje dołączania aplikacji MSIX w grupie aplikacji klasycznych. | Aplikacje są dostarczane przy użyciu usługi RemoteApp lub w ramach sesji pulpitu. Uprawnienia są stosowane dla poszczególnych użytkowników, co zapewnia większą kontrolę nad aplikacjami, do których użytkownicy mogą uzyskiwać dostęp w sesji zdalnej. Użytkownicy pulpitu widzą tylko przypisane do nich aplikacje dołączania aplikacji. |
Aplikacje mogą być uruchamiane tylko w jednej puli hostów. Jeśli chcesz, aby był uruchamiany w innej puli hostów, musisz utworzyć inny pakiet. | Tego samego pakietu aplikacji można używać w wielu pulach hostów. |
Aplikacje mogą być uruchamiane tylko w puli hostów, w której są dodawane. | Aplikacje mogą być uruchamiane na dowolnym hoście sesji z systemem operacyjnym Windows w tym samym regionie świadczenia usługi Azure co pakiet aplikacji. |
Aby zaktualizować aplikację, należy usunąć i ponownie utworzyć aplikację przy użyciu innej wersji pakietu. Aplikację należy zaktualizować w oknie obsługi. | Aplikacje można uaktualnić do nowej wersji aplikacji przy użyciu nowego obrazu dysku bez konieczności obsługi okna obsługi. |
Użytkownicy nie mogą uruchamiać dwóch wersji tej samej aplikacji na tym samym hoście sesji. | Użytkownicy mogą uruchamiać dwie wersje tej samej aplikacji jednocześnie na tym samym hoście sesji. |
Dane telemetryczne dotyczące użycia i kondycji nie są dostępne za pośrednictwem usługi Azure Log Analytics. | Dane telemetryczne dotyczące użycia i kondycji są dostępne za pośrednictwem usługi Azure Log Analytics. |
Można użyć następujących typów pakietów aplikacji i formatów plików:
Typ pakietu | Formaty plików | Dostępność funkcji |
---|---|---|
Pakiet MSIX i MSIX | .msix .msixbundle |
Dołączanie aplikacji MSIX Dołączanie aplikacji |
Pakiet Appx i Appx | .appx .appxbundle |
Tylko dołączanie aplikacji |
App-V | .appv |
Tylko dołączanie aplikacji |
MsiX i Appx to formaty pakietów aplikacji systemu Windows, które zapewniają nowoczesne środowisko tworzenia pakietów dla aplikacji systemu Windows. Aplikacje działają w kontenerach, które oddzielają dane użytkownika, system operacyjny i inne aplikacje, zwiększając bezpieczeństwo i ułatwiając rozwiązywanie problemów. MsiX i Appx są podobne, gdzie główną różnicą jest to, że MSIX jest nadzbiorem Appx. MsiX obsługuje wszystkie funkcje aplikacji Appx oraz inne funkcje, które sprawiają, że są bardziej odpowiednie do użytku w przedsiębiorstwie.
Program Microsoft Application Virtualization (App-V) dla systemu Windows dostarcza aplikacje Win32 użytkownikom jako aplikacje wirtualne. Aplikacje wirtualne są instalowane na centralnie zarządzanych serwerach i dostarczane użytkownikom jako usługa w czasie rzeczywistym i zgodnie z potrzebami. Użytkownicy uruchamiają aplikacje wirtualne ze znanych punktów dostępu i korzystają z nich tak, jakby zostały zainstalowane lokalnie.
Napiwek
Wybierz przycisk w górnej części tego artykułu, aby wybrać między dołączaniem aplikacji a dołączaniem aplikacji MSIX, aby wyświetlić odpowiednią dokumentację.
Pakiety MSIX można pobrać od dostawców oprogramowania lub utworzyć pakiet MSIX z istniejącego instalatora. Aby dowiedzieć się więcej o msiX, zobacz Co to jest MSIX?
Jak użytkownik pobiera aplikację
Różne aplikacje można przypisać do różnych użytkowników w tej samej puli hostów lub na tym samym hoście sesji. Podczas logowania wszystkie trzy z następujących wymagań muszą zostać spełnione, aby użytkownik mógł uzyskać odpowiednią aplikację w odpowiednim czasie:
Aplikacja musi być przypisana do puli hostów. Przypisanie aplikacji do puli hostów umożliwia selektywne wybieranie pul hostów, na których aplikacja jest dostępna, aby upewnić się, że odpowiednie zasoby sprzętowe są dostępne do użycia przez aplikację. Jeśli na przykład aplikacja intensywnie korzysta z grafiki, możesz upewnić się, że działa tylko w puli hostów z hostami sesji zoptymalizowanymi pod kątem procesora GPU.
Użytkownik musi mieć możliwość logowania się do hostów sesji w puli hostów, dlatego musi znajdować się w grupie aplikacji Pulpit lub RemoteApp. W przypadku grupy aplikacji RemoteApp aplikacja dołączania aplikacji musi zostać dodana do grupy aplikacji, ale nie musisz dodawać aplikacji do grupy aplikacji klasycznych.
Aplikacja musi być przypisana do użytkownika. Możesz użyć grupy lub konta użytkownika.
Jeśli wszystkie te wymagania zostaną spełnione, użytkownik pobierze aplikację. Ten proces zapewnia kontrolę nad tym, kto pobiera aplikację, w której puli hostów oraz jak jest to możliwe dla użytkowników w ramach pojedynczej puli hostów, a nawet zalogowanych do tego samego hosta sesji wielosesyjnej w celu uzyskania różnych kombinacji aplikacji. Użytkownicy, którzy nie spełniają wymagań, nie otrzymują aplikacji.
Jak użytkownik pobiera aplikację
Różne aplikacje można przypisać do różnych użytkowników w tej samej puli hostów. Dołączanie aplikacji MSIX umożliwia dodawanie pakietów MSIX do puli hostów i kontrolowanie przypisywania aplikacji przy użyciu grup aplikacji pulpitu lub usługi RemoteApp. Podczas logowania należy spełnić następujące wymagania, aby użytkownik mógł uzyskać odpowiednią aplikację w odpowiednim czasie:
Użytkownik musi mieć możliwość logowania się do hostów sesji w puli hostów, dlatego musi znajdować się w grupie aplikacji Pulpit lub RemoteApp.
Obraz MSIX należy dodać do puli hostów.
Jeśli te wymagania zostaną spełnione, użytkownik pobierze aplikację. Przypisywanie aplikacji przy użyciu grupy aplikacji klasycznych dodaje je do menu Start użytkownika. Użytkownicy, którzy nie spełniają wymagań, nie otrzymują aplikacji.
Obrazy aplikacji
Aby można było używać pakietów aplikacji MSIX w usłudze Azure Virtual Desktop, musisz utworzyć obraz MSIX z istniejących pakietów aplikacji. Zamiast tego można użyć pakietu App-V. Następnie należy przechowywać każdy obraz MSIX lub pakiet App-V w udziale plików dostępnym dla hostów sesji. Aby uzyskać więcej informacji na temat wymagań dotyczących udziału plików, zobacz Udział plików.
Aby można było używać pakietów aplikacji MSIX w usłudze Azure Virtual Desktop, musisz utworzyć obraz MSIX z istniejących pakietów aplikacji. Następnie należy przechowywać każdy obraz dysku w udziale plików dostępnym dla hostów sesji. Aby uzyskać więcej informacji na temat wymagań dotyczących udziału plików, zobacz Udział plików.
Typy obrazów dysków
W przypadku obrazów dysków MSIX i Appx można użyć systemu plików obrazów złożonych (CimFS), VHDX lub VHD, ale nie zalecamy używania dysku VHD. Instalowanie i odinstalowywanie obrazów CimFS jest szybsze niż pliki VHD i VHDX, a także zużywa mniej procesora CPU i pamięci. Zalecamy używanie systemu cimFS dla obrazów aplikacji tylko wtedy, gdy hosty sesji korzystają z systemu Windows 11.
Obraz CimFS jest kombinacją kilku plików: jeden plik ma .cim
rozszerzenie pliku i zawiera metadane, wraz z co najmniej dwoma innymi plikami objectid_
, jeden rozpoczynający się od i drugi, począwszy od region_
tego, który zawiera rzeczywiste dane aplikacji. Pliki towarzyszące .cim
plikowi nie mają rozszerzenia pliku. Poniższa tabela zawiera listę przykładowych plików, które można znaleźć dla obrazu CimFS:
Nazwa pliku | Rozmiar |
---|---|
MyApp.cim |
1 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
27 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
20 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
42 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
428 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
217 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
264 132 KB |
Poniższa tabela zawiera porównanie wydajności między dyskami VHDX i CimFS. Te liczby były wynikiem przebiegu testu z 500 plikami 300 MB na format, a testy zostały wykonane na maszynie wirtualnej platformy Azure DSv4.
Metric | VHD | CimFS |
---|---|---|
Średni czas instalacji | 356 ms | 255 ms |
Średni czas odinstalowania | 1615 ms | 36 ms |
Użycie pamięci | 6% (z 8 GB) | 2% (z 8 GB) |
Procesor CPU (skok liczby) | Wielokrotnie maksymalnie maksymalnie | Brak wpływu |
Rejestrowanie aplikacji
Dołączanie aplikacji instaluje obrazy dysków lub pakiety App-V zawierające aplikacje z udziału plików do sesji użytkownika podczas logowania, a następnie proces rejestracji udostępnia aplikacje użytkownikowi. Istnieją dwa typy rejestracji:
Aplikacja MSIX dołącza obrazy dysków zawierające aplikacje z udziału plików do sesji użytkownika podczas logowania, a następnie proces rejestracji udostępnia aplikacje użytkownikowi. Istnieją dwa typy rejestracji:
Na żądanie: aplikacje są tylko częściowo zarejestrowane podczas logowania, a pełna rejestracja aplikacji zostanie odroczona do momentu uruchomienia aplikacji przez użytkownika. Na żądanie jest typem rejestracji, którego zalecamy użyć, ponieważ nie ma to wpływu na czas potrzebny na zalogowanie się do usługi Azure Virtual Desktop. Na żądanie jest domyślną metodą rejestracji.
Blokowanie: każda aplikacja przypisana do użytkownika jest w pełni zarejestrowana. Rejestracja odbywa się podczas logowania użytkownika do sesji, co może mieć wpływ na czas logowania do usługi Azure Virtual Desktop.
Ważne
Wszystkie pakiety aplikacji MSIX i Appx zawierają certyfikat. Odpowiadasz za upewnienie się, że certyfikaty są zaufane w twoim środowisku. Certyfikaty z podpisem własnym są obsługiwane z odpowiednim łańcuchem zaufania.
Dołączanie aplikacji nie ogranicza liczby aplikacji, z których mogą korzystać użytkownicy. Należy wziąć pod uwagę dostępną przepływność sieci i liczbę otwartych dojść na plik (każdy obraz), który obsługuje udział plików, ponieważ może ograniczyć liczbę użytkowników lub aplikacji, które można obsługiwać. Aby uzyskać więcej informacji, zobacz Udział plików.
Ważne
Wszystkie pakiety aplikacji MSIX zawierają certyfikat. Odpowiadasz za upewnienie się, że certyfikaty są zaufane w twoim środowisku. Certyfikaty z podpisem własnym są obsługiwane.
Dołączanie aplikacji MSIX nie ogranicza liczby aplikacji, których użytkownicy mogą używać. Należy wziąć pod uwagę dostępną przepływność sieci i liczbę otwartych dojść na plik (każdy obraz), który obsługuje udział plików, ponieważ może ograniczyć liczbę użytkowników lub aplikacji, które można obsługiwać. Aby uzyskać więcej informacji, zobacz Udział plików.
Stan aplikacji
Pakiety aplikacji są ustawiane jako aktywne lub nieaktywne. Pakiety ustawione na aktywne udostępniają aplikację użytkownikom. Pakiety ustawione na nieaktywne są ignorowane przez usługę Azure Virtual Desktop i nie są dodawane podczas logowania użytkownika.
Pakiet MSIX jest ustawiony jako aktywny lub nieaktywny. Pakiety MSIX ustawione na aktywne udostępniają aplikację użytkownikom. Pakiety MSIX ustawione na nieaktywne są ignorowane przez usługę Azure Virtual Desktop i nie są dodawane podczas logowania użytkownika.
Nowe wersje aplikacji
Możesz dodać nową wersję aplikacji, podając nowy obraz zawierający zaktualizowaną aplikację. Ten nowy obraz można używać na dwa sposoby:
Obok siebie: utwórz nową aplikację przy użyciu nowego obrazu dysku i przypisz ją do tych samych pul hostów i użytkowników co istniejąca aplikacja.
W miejscu: utwórz nowy obraz, na którym zmienia się numer wersji aplikacji, a następnie zaktualizuj istniejącą aplikację, aby korzystała z nowego obrazu. Numer wersji może być wyższy lub niższy, ale nie można zaktualizować aplikacji przy użyciu tego samego numeru wersji. Nie usuwaj istniejącego obrazu, dopóki wszyscy użytkownicy nie będą z niego korzystać.
Po zaktualizowaniu użytkownicy otrzymają zaktualizowaną wersję aplikacji przy następnym logowaniu. Użytkownicy nie muszą przestać używać poprzedniej wersji, aby dodać nową wersję.
Nowe wersje aplikacji
Dołączanie aplikacji MSIX wymaga usunięcia pakietu aplikacji, a następnie utworzenia nowej aplikacji przy użyciu nowego obrazu dysku i przypisania go do tych samych pul hostów. Nie można zaktualizować w miejscu, ponieważ można to za pomocą dołączania aplikacji. Użytkownicy otrzymają nowy obraz ze zaktualizowaną aplikacją przy następnym logowaniu. Te zadania należy wykonać podczas okna obsługi.
Dostawcy tożsamości
Oto dostawcy tożsamości, których można używać z dołączaniem aplikacji:
Dostawca tożsamości | Stan |
---|---|
Microsoft Entra ID | Obsługiwane |
Active Directory Domain Services (AD DS) | Obsługiwane |
Usługi domenowe Microsoft Entra | Nieobsługiwane |
Oto dostawcy tożsamości, których można używać z dołączaniem aplikacji MSIX:
Dostawca tożsamości | Stan |
---|---|
Microsoft Entra ID | Nieobsługiwane |
Active Directory Domain Services (AD DS) | Obsługiwane |
Microsoft Entra Domain Services (Azure AD DS) | Nieobsługiwane |
Udział plików
Dołączanie aplikacji wymaga, aby obrazy aplikacji są przechowywane w udziale plików SMB, który jest następnie instalowany na każdym hoście sesji podczas logowania. Dołączanie aplikacji nie ma zależności od typu sieci szkieletowej magazynu używanej przez udział plików. Zalecamy używanie usługi Azure Files, ponieważ jest ona zgodna z identyfikatorem Entra firmy Microsoft lub usługami domena usługi Active Directory, a także oferuje doskonałą wartość między kosztami i kosztami zarządzania.
Możesz również użyć usługi Azure NetApp Files, ale wymaga to dołączenia hostów sesji do usług domena usługi Active Directory.
Dołączanie aplikacji MSIX wymaga, aby obrazy aplikacji są przechowywane w udziale plików SMB w wersji 3, który następnie jest instalowany na każdym hoście sesji podczas logowania. Dołączanie aplikacji MSIX nie ma zależności od typu sieci szkieletowej magazynu używanej przez udział plików. Zalecamy używanie usługi Azure Files , ponieważ jest ona zgodna z obsługiwanymi dostawcami tożsamości, których można używać do dołączania aplikacji MSIX, i oferuje doskonałą wartość między kosztami i kosztami zarządzania. Możesz również użyć usługi Azure NetApp Files, ale wymaga to przyłączenia hostów sesji do usług domena usługi Active Directory.
Poniższe sekcje zawierają wskazówki dotyczące uprawnień, wydajności i dostępności wymaganych dla udziału plików.
Uprawnienia
Każdy host sesji instaluje obrazy aplikacji z udziału plików. Należy skonfigurować uprawnienia systemu plików NTFS i udziału, aby umożliwić każdemu obiektowi hosta sesji dostęp do odczytu plików i udziału plików. Sposób konfigurowania właściwego uprawnienia zależy od dostawcy magazynu i dostawcy tożsamości używanego dla udziałów plików i hostów sesji.
Aby użyć usługi Azure Files, gdy hosty sesji dołączyły do identyfikatora Entra firmy Microsoft, należy przypisać rolę Czytelnik i Dostęp do danych kontroli dostępu opartej na rolach (RBAC) platformy Azure do jednostek usług dostawcy usługi AZURE Virtual Desktop i Azure Virtual Desktop. To przypisanie roli RBAC umożliwia hostom sesji dostęp do konta magazynu przy użyciu kluczy dostępu lub firmy Microsoft Entra.
Aby dowiedzieć się, jak przypisać rolę RBAC platformy Azure do jednostek usługi usługi Azure Virtual Desktop, zobacz Przypisywanie ról RBAC do jednostek usługi usługi Azure Virtual Desktop. W przyszłej aktualizacji nie trzeba przypisywać jednostki usługi dostawcy usługi ARM usługi Azure Virtual Desktop.
Aby uzyskać więcej informacji na temat korzystania z usługi Azure Files z hostami sesji, które są przyłączone do identyfikatora Entra firmy Microsoft, usług domena usługi Active Directory lub microsoft Entra Domain Services, zobacz Omówienie opcji uwierzytelniania opartego na tożsamościach usługi Azure Files na potrzeby dostępu za pomocą protokołu SMB.
Ostrzeżenie
Przypisanie jednostki usługi dostawcy usługi ARM usługi Azure Virtual Desktop do konta magazynu przyznaje usłudze Azure Virtual Desktop wszystkie dane na koncie magazynu. Zalecamy przechowywanie tylko aplikacji do użycia z dołączaniem aplikacji na tym koncie magazynu i regularne obracanie kluczy dostępu.
W przypadku usługi Azure Files z usługami domena usługi Active Directory należy przypisać rolę Kontroli dostępu opartej na rolach (RBAC) danych plików magazynu magazynu jako rolę kontroli dostępu opartej na rolach (RBAC) magazynu i skonfigurować uprawnienia systemu plików NTFS w celu udzielenia dostępu do odczytu do obiektu komputera hosta sesji.
Aby uzyskać więcej informacji na temat korzystania z usługi Azure Files z hostami sesji, które są przyłączone do identyfikatora Entra firmy Microsoft, usług domena usługi Active Directory lub microsoft Entra Domain Services, zobacz Omówienie opcji uwierzytelniania opartego na tożsamościach usługi Azure Files na potrzeby dostępu za pomocą protokołu SMB.
W przypadku usługi Azure Files z usługami domena usługi Active Directory należy przypisać rolę Kontroli dostępu opartej na rolach (RBAC) danych plików magazynu magazynu jako rolę kontroli dostępu opartej na rolach (RBAC) magazynu i skonfigurować uprawnienia systemu plików NTFS w celu udzielenia dostępu do odczytu do obiektu komputera hosta sesji.
Aby uzyskać więcej informacji na temat korzystania z usługi Azure Files z hostami sesji, które są przyłączone do usług domena usługi Active Directory lub Microsoft Entra Domain Services, zobacz Omówienie opcji uwierzytelniania opartego na tożsamościach usługi Azure Files na potrzeby dostępu za pomocą protokołu SMB.
- W przypadku usługi Azure NetApp Files można utworzyć wolumin SMB i skonfigurować uprawnienia systemu plików NTFS w celu udzielenia dostępu do odczytu do obiektu komputera hosta sesji. Hosty sesji muszą być przyłączone do usług domena usługi Active Directory lub Microsoft Entra Domain Services.
Możesz sprawdzić, czy uprawnienia są poprawne, korzystając z programu PsExec. Aby uzyskać więcej informacji, zobacz Sprawdzanie dostępu do udziału plików.
Wydajność
Wymagania mogą się znacznie różnić w zależności od tego, ile spakowanych aplikacji jest przechowywanych na obrazie i musisz przetestować aplikacje, aby zrozumieć wymagania. W przypadku większych obrazów należy przydzielić większą przepustowość. W poniższej tabeli przedstawiono przykład wymagań dotyczących pojedynczego obrazu 1 GB lub pakietu App-V zawierającego jedną aplikację wymaga hosta sesji:
Zasób | Wymagania |
---|---|
Stałe we/wy na sekundę | Jeden obiekt IOP |
Logowanie rozruchowe maszyny | 10 operacji we/wy na sekundę |
Opóźnienie | 400 ms |
Aby zoptymalizować wydajność aplikacji, zalecamy:
Udział plików powinien znajdować się w tym samym regionie świadczenia usługi Azure co hosty sesji. Jeśli używasz usługi Azure Files, konto magazynu musi znajdować się w tym samym regionie świadczenia usługi Azure, co hosty sesji.
Wyklucz obrazy dysków zawierające aplikacje ze skanowania antywirusowego, ponieważ są one tylko do odczytu.
Upewnij się, że magazyn i sieć szkieletowa mogą zapewnić odpowiednią wydajność. Należy unikać używania tego samego udziału plików z kontenerami profilów FSLogix.
Dostępność
Wszystkie plany odzyskiwania po awarii usługi Azure Virtual Desktop muszą obejmować replikowanie udziału plików do pomocniczej lokalizacji trybu failover. Należy również upewnić się, że ścieżka udziału plików jest dostępna w lokalizacji pomocniczej. Można na przykład użyć przestrzeni nazw rozproszonego systemu plików (DFS) z usługą Azure Files , aby zapewnić jedną nazwę udziału w różnych udziałach plików. Aby dowiedzieć się więcej na temat odzyskiwania po awarii dla usługi Azure Virtual Desktop, zobacz Konfigurowanie planu ciągłości działania i odzyskiwania po awarii.
Azure Files
Usługa Azure Files ma limity liczby otwartych dojść na katalog główny, katalog i plik. W przypadku korzystania z dołączania aplikacji lub dołączania aplikacji MSIX obrazy dysków VHDX lub CimFS są instalowane przy użyciu konta komputera hosta sesji, co oznacza, że jeden uchwyt jest otwierany na hosta sesji na obraz dysku, a nie na użytkownika. Aby uzyskać więcej informacji na temat limitów i wskazówek dotyczących określania rozmiaru, zobacz Cele dotyczące skalowalności i wydajności usługi Azure Files oraz Wskazówki dotyczące określania rozmiaru usługi Azure Virtual Desktop.
Certyfikaty pakietów MSIX i Appx
Wszystkie pakiety MSIX i Appx wymagają prawidłowego certyfikatu podpisywania kodu. Aby używać tych pakietów z dołączaniem aplikacji, upewnij się, że cały łańcuch certyfikatów jest zaufany na hostach sesji. Certyfikat podpisywania kodu ma identyfikator 1.3.6.1.5.5.7.3.3
obiektu . Certyfikat podpisywania kodu dla pakietów można uzyskać z:
Publiczny urząd certyfikacji( CA).
Wewnętrzny urząd certyfikacji lub autonomiczny urząd certyfikacji, taki jak usługi certyfikatów Active Directory. Należy wyeksportować certyfikat podpisywania kodu, w tym jego klucz prywatny.
Narzędzie, takie jak polecenie cmdlet programu PowerShell New-SelfSignedCertificate , które generuje certyfikat z podpisem własnym. Certyfikaty z podpisem własnym należy używać tylko w środowisku testowym. Aby uzyskać więcej informacji na temat tworzenia certyfikatu z podpisem własnym dla pakietów MSIX i Appx, zobacz Tworzenie certyfikatu na potrzeby podpisywania pakietów.
Po uzyskaniu certyfikatu należy cyfrowo podpisać pakiety MSIX lub Appx przy użyciu certyfikatu. Narzędzie do tworzenia pakietów MSIX umożliwia podpisywanie pakietów podczas tworzenia pakietu MSIX. Aby uzyskać więcej informacji, zobacz Tworzenie pakietu MSIX z dowolnego instalatora pulpitu.
Aby upewnić się, że certyfikat jest zaufany na hostach sesji, hosty sesji muszą ufać całemu łańcuchowi certyfikatów. Jak to zrobić, zależy od tego, skąd otrzymasz certyfikat i jak zarządzasz hostami sesji i używanym dostawcą tożsamości. Poniższa tabela zawiera wskazówki dotyczące sposobu zapewniania, że certyfikat jest zaufany na hostach sesji:
Publiczny urząd certyfikacji: certyfikaty z publicznego urzędu certyfikacji są domyślnie zaufane w systemach Windows i Windows Server.
Wewnętrzny urząd certyfikacji przedsiębiorstwa:
W przypadku hostów sesji dołączonych do usługi Active Directory z usługami AD CS skonfigurowanymi jako wewnętrzny urząd certyfikacji przedsiębiorstwa są domyślnie zaufane i przechowywane w kontekście nazewnictwa konfiguracji usług domena usługi Active Directory Services. Gdy usługi AD CS są skonfigurowane jako autonomiczny urząd certyfikacji, należy skonfigurować zasady grupy do dystrybucji certyfikatów głównych i pośrednich na hosty sesji. Aby uzyskać więcej informacji, zobacz Rozpowszechnianie certyfikatów na urządzeniach z systemem Windows przy użyciu zasad grupy.
W przypadku hostów sesji dołączonych do identyfikatora Entra firmy Microsoft można użyć usługi Microsoft Intune do dystrybucji certyfikatów głównych i pośrednich na hosty sesji. Aby uzyskać więcej informacji, zobacz Profile zaufanych certyfikatów głównych dla usługi Microsoft Intune.
W przypadku hostów sesji korzystających z przyłączania hybrydowego firmy Microsoft Entra można użyć jednej z poprzednich metod w zależności od wymagań.
Podpis własny: zainstaluj zaufany katalog główny w magazynie zaufanych głównych urzędów certyfikacji na każdym hoście sesji. Nie zalecamy rozpowszechniania tego certyfikatu przy użyciu zasad grupy ani usługi Intune, ponieważ należy go używać tylko do testowania.
Ważne
Należy określić sygnaturę czasową pakietu, aby jego ważność mogła wyprzeć datę wygaśnięcia certyfikatu. W przeciwnym razie po wygaśnięciu certyfikatu należy zaktualizować pakiet przy użyciu nowego ważnego certyfikatu i ponownie upewnić się, że jest zaufany na hostach sesji.
Następne kroki
Dowiedz się, jak dodawać aplikacje dołączania aplikacji i zarządzać nimi w usłudze Azure Virtual Desktop.