Dela via

Konfigurera klientorganisationer för Windows 365 Government

  • Artikel

Det snabbaste sättet att använda Windows 365 är att använda AADJ, galleriavbildningar och alternativet Microsoft Hosted Network. Anvisningarna på den här sidan är bara om du måste använda antingen eller båda:

Endast för GCC-kunder (Government Community Cloud) låter följande instruktioner Intune köras i Azure för att hantera molndatorer som körs i Azure Government regioner.

Obs!

  • Du behöver ingen Azure Government-prenumeration för att använda Windows 365 Government. De här anvisningarna är specifikt för GCC och endast om anpassade avbildningar och/eller Azure Network-Connections krävs. Anvisningarna på den här sidan gäller inte för GCC High.
  • Överväg att använda Windows 365 Enterprise för myndighetskunder som inte har en Azure Government-prenumeration eller som kräver integrering med Azure. Kontrollera att detta uppfyller dina efterlevnadskrav. Windows 365 Enterprise är FedRAMP-kompatibel. Se beskrivning av Windows 365-tjänst

Innan du börjar

För både klientmappning och beviljande av behörigheter för anpassade avbildningar och/eller anslutning till dina egna nätverk behöver du:

  • En Azure Government prenumeration.
  • Autentiseringsuppgifter för en användare som har:
    • Global administratörsroll i din Azure-klient (slutar med onmicrosoft.com).
  • Autentiseringsuppgifter för en användare som har:
    • Ägarrollen i din Azure Government-prenumeration, AND
    • Rollen Global administratör i din Azure Government klientorganisation (slutar med onmicrosoft.us).
  • För att uppfylla licenskraven.
  • (Om tillämpligt) Följande information för att tillämpa behörigheter för att konfigurera Azure-nätverksanslutningen. Det virtuella nätverket och undernätet måste redan finnas.
    • Prenumerations-ID.
    • Resursgrupp.
    • Virtual Network.
    • Undernät.

Obs!

GCC-användarnas molndatorer finns och skyddas i Azure Government molnet, men slutpunkterna för administratörer och slutanvändare finns i den kommersiella Azure-domänen. Användarna loggar in på molndatorerna med autentiseringsuppgifter synkroniserade med Microsoft Entra ID.

Microsoft Entra alternativ

Om du vill använda Microsoft Entra-anslutning eller Microsoft Entra hybridanslutning bör du överväga följande förberedelser:

Microsoft Entra anslutna molndatorer: Om du vill använda en Microsoft Entra ansluta till infrastruktur och ditt eget nätverk behöver du en klientorganisation och en Azure-prenumeration i Azure Government molnet. Klientorganisationen i Azure .com-domänen måste mappas till klientorganisationen i domänen Azure Government (.us).

Hybrid Microsoft Entra anslutna molndatorer: Om du vill använda en Microsoft Entra hybridanslutningsinfrastruktur måste du konfigurera din kommersiella (.com) klientorganisation och dina statliga (.us) klientorganisationer innan du skapar dina virtuella Azure-nätverk.

Förbereda för Windows 365 GCC-installationsverktyg

För Windows 365 GCC-konfigurationsverktyget för att slutföra klientmappningen måste Windows 365 Microsoft Entra-programmet ges behörighet att komma åt din Azure Government AD-klient via ett huvudnamn för tjänsten. Objektet för tjänstens huvudnamn definierar vad appen kan göra i klientorganisationen, vem som kan komma åt appen och vilka resurser som appen kan komma åt. Innan du kör konfigurationsverktyget för Windows 365 GCC första gången måste du göra följande:

  1. Om det inte redan har slutförts installerar du Azure CLI på den dator där du ska skapa tjänstens huvudnamn. Mer information finns i Så här installerar du Azure CLI.
  2. Logga in på din Azure Government AD-klientorganisation med hjälp av Azure CLI-stegen som definieras i Logga in med Azure CLI. Globala administratörsbehörigheter krävs för att skapa tjänstens huvudnamn för Windows App.
  3. Mer information om hur du arbetar med tjänstens huvudnamn i Azure finns i Arbeta med Azure-tjänstens huvudnamn med hjälp av Azure CLI. Bevilja Windows 365 Microsoft Entra appbehörigheter till din klientorganisation genom att köra följande PowerShell-kommando: az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
  4. När kommandot har slutförts bör du kunna visa information om tjänstens huvudnamn genom att köra följande PowerShell-kommando: az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. Du bör se Windows App i vyn Alla program på bladet Företagsprogram i Azure Portal.

Tjänstens huvudnamn för Windows App kan bara komma åt De Azure-resurser som krävs för att konfigurera anpassad avbildning och stöd för Azure-nätverksanslutning (ANC) i Windows 365. När tjänstens huvudnamn har skapats kan det bara tas bort när anpassade avbildningar, ANC-objekt och motsvarande molndatorer som använder dem har avetableras. Annars kan etableringsuppgifter för molndatorer misslyckas och befintliga molndatorer kan bli otillgängliga.

Kom igång med konfigurationsverktyget för Windows 365 GCC

Följ de här stegen för att konfigurera klientmappning med hjälp av konfigurationsverktyget för Windows 365 GCC.

  1. Starta GCCSetupTool.exe. Det här verktyget finns på Windows 365 Government – GCC-konfigurationsverktyget för Windows 10/11.
  2. På sidan Låt oss komma igång väljer du Nästa.
  3. Logga in med ditt Azure-konto. Det här kontot måste ha behörighet som global administratör.
  4. Bekräfta att du vill fortsätta med ditt kommersiella konto >Nästa.
  5. Logga in med ditt Azure Government-konto >Nästa> typ av autentiseringsuppgifter.
  6. Bekräfta att du vill fortsätta med ditt myndighetskonto >Nästa.
  7. skärmen Välj funktion för att aktivera kontrollerar du att Anpassade avbildningar har valts. Det här alternativet är markerat som standard eftersom det inte finns någon anledning att köra Windows 365 GCC-konfigurationsverktyget om du inte behöver minst en av dessa funktioner nedan.

    Obs!

    ANC innehåller behörigheter för anpassade avbildningar.

  8. Välj Azure-nätverksanslutningar och välj sedan prenumeration,virtuellt nätverk och undernät som du vill konfigurera. Välj Nästa.
  9. På sidan Granska inställningar granskar du de val du har gjort och väljer Bevilja.
  10. När installationen är klar kan du stänga verktyget.

Felsökning

Om du har problem med att köra konfigurationsverktyget för Windows 365 GCC:

  1. I samma mapp där GCCSetupTool.exe körs navigerar du till loggmappen och granskar GCCAdminTool.log filen.
  2. Om du fortfarande har problem kontaktar du supporten och anger GCCADminTool.log-filen.

Senare användning av GCC-konfigurationsverktyget

Konfigurationsverktyget för Windows 365 GCC kan köras igen efter den första installationen. Du kanske vill använda GCC-konfigurationsverktyget igen om du:

  • Konfigurerade inte ANC:er tidigare, eller
  • Vill du utöka användningen av ANCs till andra nätverk.

Alternativ för skript

Som ett alternativ till att använda GCC-konfigurationsverktyget för att konfigurera ANC kan du också använda följande skript för att konfigurera behörigheter för fler ANC:er.

Obs!

Klientmappningen måste lyckas innan du fortsätter med skriptet för att konfigurera ANCs.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
  1. Om du inte har Cloud Shell konfigurerat (ett Azure Storage-konto krävs) har du två alternativ för att köra skriptet:
    • Välj Kopiera på skriptet och kör PowerShell-skriptet lokalt på datorn.
    • Välj Öppna Cloudshell> och klistra in skriptet i Azure Government-prenumerationens Cloud Shell session > kör skriptet.
  2. När du har kört skriptet väljer du alternativ 2 i kommandotolken. Det här alternativet konfigurerar behörigheter för ANC.
  3. I listan över Azure Government prenumerationer väljer du den prenumeration som du vill bevilja behörigheter till.
  4. I listan över resursgrupper väljer du den resursgrupp som du vill använda.
  5. Välj ditt virtuella nätverk.
  6. Skriptet beviljar behörigheter och visar vad som har konfigurerats.

Nästa steg

Läs mer om Windows 365 government.