Konfigurowanie dzierżaw dla Windows 365 government
Najszybszym sposobem użycia Windows 365 jest użycie usługi AADJ, obrazów galerii i opcji Microsoft Hosted Network. Instrukcje na tej stronie są dostępne tylko wtedy, gdy należy użyć jednego lub obu tych elementów:
- Obrazy niestandardowe. Windows 365 udostępnia zoptymalizowane obrazy galerii, w tym obrazy z wstępnie zainstalowanymi aplikacjami platformy Microsoft 365. Po wdrożeniu obrazu galerii można użyć Intune do dalszego dostosowywania typowych ustawień i wdrażania aplikacji. Jeśli musisz użyć istniejącego obrazu niestandardowego, aby uzyskać więcej informacji, zobacz dodawanie obrazu niestandardowego.
-
Azure Network Connections (ANC). Komputery ANC umożliwiają aprowizowanie komputerów w chmurze dołączonych do zarządzanej sieci wirtualnej. Na przykład:
- Azure Virtual Network (sieć wirtualna).
- Usługa Azure VPN Gateway lub dedykowane połączenie za pośrednictwem usługi ExpressRoute.
- Inne zasoby platformy Azure, w tym zasoby komputera w chmurze.
- Aby uzyskać więcej informacji, zobacz tworzenie połączenia sieciowego platformy Azure.
Tylko dla klientów chmury Government Community Cloud (GCC) poniższe instrukcje umożliwiają Intune uruchamiania na platformie Azure zarządzania komputerami w chmurze działającymi w regionach Azure Government.
Uwaga
- Nie potrzebujesz subskrypcji Azure Government, aby korzystać z usługi Windows 365 Government. Te instrukcje są przeznaczone specjalnie dla usługi GCC i są wymagane tylko wtedy, gdy wymagane są obrazy niestandardowe i/lub Connections sieci platformy Azure. Instrukcje na tej stronie nie mają zastosowania do GCC High.
- W przypadku klientów rządowych, którzy nie mają subskrypcji Azure Government lub wymagają integracji z platformą Azure, rozważ użycie Windows 365 Enterprise. Upewnij się, że spełnia to wymagania dotyczące zgodności. Windows 365 Enterprise jest zgodny ze standardem FedRAMP. Zobacz opis usługi Windows 365
Przed rozpoczęciem
W przypadku mapowania dzierżawy i udzielania uprawnień do obrazów niestandardowych i/lub nawiązywania połączenia z własnymi sieciami potrzebne są:
- Subskrypcja Azure Government.
- Poświadczenia użytkownika, który ma:
- Rola administratora globalnego w dzierżawie platformy Azure (kończąca się onmicrosoft.com).
- Poświadczenia użytkownika, który ma:
- Rola właściciela w subskrypcji Azure Government, AND
- Rola administratora globalnego w dzierżawie Azure Government (kończąca się onmicrosoft.us).
- Aby spełnić wymagania dotyczące licencjonowania.
- (Jeśli dotyczy) Poniższe informacje dotyczące stosowania uprawnień do konfigurowania połączenia sieciowego platformy Azure. Sieć wirtualna i podsieć muszą już istnieć.
- Identyfikator subskrypcji.
- Grupa zasobów.
- Virtual Network.
- Podsieć.
Uwaga
Komputery w chmurze użytkowników GCC są hostowane i zabezpieczone w chmurze Azure Government, ale punkty końcowe dla administratorów i użytkowników końcowych znajdują się w komercyjnej domenie platformy Azure. Użytkownicy będą logować się do komputerów w chmurze przy użyciu poświadczeń zsynchronizowane z Tożsamość Microsoft Entra.
opcje Microsoft Entra
Jeśli chcesz użyć sprzężenia Microsoft Entra lub Microsoft Entra sprzężenia hybrydowego, rozważ następujące przygotowania:
Microsoft Entra dołączone komputery w chmurze: jeśli chcesz użyć infrastruktury Microsoft Entra dołączania i własnej sieci, potrzebujesz dzierżawy i subskrypcji platformy Azure w chmurze Azure Government. Dzierżawa w domenie usługi Azure .com musi zostać zamapowana na dzierżawę w domenie Azure Government (us).
Komputery w chmurze dołączone Microsoft Entra hybrydowe: jeśli chcesz korzystać z infrastruktury przyłączania hybrydowego Microsoft Entra, musisz skonfigurować dzierżawę komercyjną (.com) i dzierżawy instytucji rządowych (us) przed utworzeniem sieci wirtualnych platformy Azure.
Przygotowywanie do Windows 365 narzędzia instalacyjnego GCC
Aby narzędzie instalacyjne GCC Windows 365 do ukończenia mapowania dzierżawy, aplikacja Windows 365 Microsoft Entra musi mieć uprawnienia dostępu do dzierżawy usługi Azure Government AD za pośrednictwem jednostki usługi. Obiekt jednostki usługi definiuje, co aplikacja może zrobić w dzierżawie, kto może uzyskiwać dostęp do aplikacji i do jakich zasobów może uzyskać dostęp aplikacja. Przed pierwszym uruchomieniem narzędzia Windows 365 GCC Setup Tool należy wykonać następujące czynności:
- Jeśli jeszcze nie ukończono, zainstaluj interfejs wiersza polecenia platformy Azure na komputerze, na którym będziesz tworzyć jednostkę usługi. Aby uzyskać więcej informacji, zobacz Jak zainstalować interfejs wiersza polecenia platformy Azure.
- Zaloguj się do dzierżawy usługi AD Azure Government przy użyciu kroków interfejsu wiersza polecenia platformy Azure zdefiniowanych w temacie Logowanie za pomocą interfejsu wiersza polecenia platformy Azure. Uprawnienia administratora globalnego są wymagane do utworzenia jednostki usługi dla Windows App.
- Aby uzyskać więcej informacji na temat pracy z jednostkami usługi na platformie Azure, zobacz Praca z jednostką usługi platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure. Przyznaj dzierżawie uprawnienia aplikacji Windows 365 Microsoft Entra, uruchamiając następujące polecenie programu PowerShell:
az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
. - Po pomyślnym ukończeniu polecenia powinno być możliwe wyświetlenie szczegółów dotyczących jednostki usługi, uruchamiając następujące polecenie programu PowerShell:
az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
. Powinny zostać wyświetlone Windows App wyświetlone w widoku Wszystkie aplikacje w bloku Aplikacji dla przedsiębiorstw w Azure Portal.
Jednostka usługi Windows App może uzyskiwać dostęp tylko do zasobów platformy Azure niezbędnych do skonfigurowania niestandardowego obrazu i obsługi usługi Azure Network Connection (ANC) w Windows 365. Po jej utworzeniu jednostka usługi może zostać usunięta tylko wtedy, gdy obrazy niestandardowe, obiekty ANC i odpowiednie komputery w chmurze korzystające z nich zostaną anulowane. W przeciwnym razie zadania aprowizacji komputerów w chmurze mogą zakończyć się niepowodzeniem, a istniejące komputery w chmurze mogą stać się niedostępne.
Wprowadzenie do narzędzia konfiguracji Windows 365 GCC
Wykonaj następujące kroki, aby skonfigurować mapowanie dzierżawy przy użyciu narzędzia Windows 365 GCC Setup Tool.
- Uruchom GCCSetupTool.exe. To narzędzie jest dostępne w witrynie Windows 365 Government — GCC Setup Tool for Windows 10/11.
- Na stronie Rozpocznijmy wybierz pozycję Dalej.
- Zaloguj się przy użyciu konta platformy Azure. To konto musi mieć uprawnienia administratora globalnego.
- Upewnij się, że chcesz kontynuować korzystanie z konta >komercyjnego Dalej.
- Zaloguj się przy użyciu konta > Azure Government Następnie> wpisz swoje poświadczenia.
- Upewnij się, że chcesz kontynuować korzystanie z konta rządowego> Dalej.
- Na ekranie Wybierz funkcję włączenia upewnij się , że wybrano opcję Obrazy niestandardowe . Ta opcja jest domyślnie wybrana, ponieważ nie ma powodu, aby uruchamiać narzędzie instalujące Windows 365 GCC, chyba że potrzebujesz co najmniej jednej z tych funkcji poniżej.
Uwaga
Usługa ANC zawiera uprawnienia do obrazów niestandardowych.
- Wybierz pozycję Połączenia sieciowe platformy Azure , a następnie wybierz subskrypcję, sieć wirtualną i podsieć , które chcesz skonfigurować. Wybierz pozycję Dalej.
- Na stronie Przeglądanie ustawień przejrzyj wybrane opcje i wybierz pozycję Udziel.
- Po zakończeniu instalacji możesz zamknąć narzędzie.
Rozwiązywanie problemów
Jeśli masz problemy z uruchomieniem narzędzia instalacyjnego Windows 365 GCC:
- W tym samym folderze, w którym jest uruchamiana GCCSetupTool.exe, przejdź do folderu Dziennik i przejrzyj
GCCAdminTool.log
plik. - Jeśli nadal występują problemy, skontaktuj się z pomocą techniczną i podaj plik GCCADminTool.log.
Późniejsze użycie narzędzia instalacyjnego GCC
Narzędzie Windows 365 GCC Setup Tool można uruchomić ponownie po początkowej konfiguracji. Możesz ponownie użyć narzędzia instalacyjnego GCC, jeśli:
- Wcześniej nie skonfigurowano kontrolerów ANC lub
- Chcesz rozszerzyć korzystanie z ancs do innych sieci.
Alternatywa skryptu
Alternatywnie do konfigurowania usługi ANC przy użyciu narzędzia instalacyjnego GCC można również użyć następującego skryptu, aby skonfigurować uprawnienia dla większej liczby ancs.
Uwaga
Mapowanie dzierżawy musi zakończyć się pomyślnie, zanim przejdziesz do skryptu w celu skonfigurowania ancs.
connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
- Jeśli nie masz skonfigurowanych Cloud Shell (wymagane jest konto usługi Azure Storage), masz dwie opcje uruchamiania skryptu:
- Wybierz pozycję Kopiuj skrypt i uruchom skrypt programu PowerShell lokalnie na komputerze.
- Wybierz pozycję Otwórz program CloudShell> wklej skrypt do sesji Cloud Shell subskrypcji > Azure Government uruchom skrypt.
- Po uruchomieniu skryptu w wierszu polecenia wybierz opcję 2. Ta opcja konfiguruje uprawnienia dla usługi ANC.
- Z listy Azure Government subskrypcji wybierz subskrypcję, do którą chcesz udzielić uprawnień.
- Z listy grup zasobów wybierz grupę zasobów, która ma być używana.
- Wybierz sieć wirtualną.
- Skrypt udziela uprawnień i wyświetla listę skonfigurowanych elementów.