你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署 Azure 虚拟桌面
重要
以下功能目前以预览版提供:
适用于 Azure 政府和由世纪互联运营的 Azure(中国区 Azure)的 Azure Stack HCI 上的 Azure 虚拟桌面。
Azure 扩展区域中的 Azure 虚拟桌面。
采用会话主机配置的主机池。
有关 beta 版、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
本文介绍如何使用 Azure 门户、Azure CLI 或 Azure PowerShell 在 Azure、Azure Stack HCI 或 Azure 扩展区域上部署 Azure 虚拟桌面。 若要部署 Azure 虚拟桌面,需要:
- 创建主机池。
- 创建工作区。
- 创建应用程序组
- 创建会话主机虚拟机 (VM)。
- 启用诊断设置(可选)。
- 将用户或组分配给应用程序组,以便用户可以访问桌面和应用程序。
使用 Azure 门户时,可以在单个进程中执行所有这些任务,但也可以单独执行这些任务。
创建主机池时,可以选择两种管理方法中的一个:
“会话主机配置”(预览版)适用于 Azure 上具有会话主机的共用主机池。 Azure 虚拟桌面会组合使用本机功能来管理共用主机池中的会话主机的生命周期,以提供集成的动态体验。
“标准”管理适用于 Azure 或 Azure Stack HCI 上具有会话主机的共用和个人主机池。 你可以管理主机池中的会话主机的创建、更新和缩放。 如果想要使用现有的工具和流程(如自动化管道、自定义脚本或外部合作伙伴解决方案),则需要使用“标准主机池”管理类型。
有关本文中使用的术语的更多信息,请参阅 Azure 虚拟桌面术语。 有关 Azure 虚拟桌面服务的详细信息,请参阅 Azure 虚拟桌面服务体系结构和复原能力。
提示
本文中介绍的过程是部署 Azure 虚拟桌面的一种深入且适应性强的方法。 若要使用更简单的方法部署示例 Windows 11 桌面来尝试 Azure 虚拟桌面,请参阅教程:使用 Windows 11 桌面部署示例 Azure 虚拟桌面基础结构或使用快速入门。
请选择本文顶部的按钮,以在使用标准管理的主机池与使用会话主机配置的主机池之间进行选择,从而查看相关文档。
先决条件
查看 Azure 虚拟桌面的先决条件,大致了解所需及支持的内容,例如操作系统 (OS)、虚拟网络和标识提供者。 它还包括一个支持的 Azure 区域列表,其中你可在这些区域中部署主机池、工作区和应用程序组。 在这一系列区域中,可以存储主机池的元数据。 但是,会话主机可以位于任何 Azure 区域中。 有关数据和位置类型的详细信息,请参阅 Azure 虚拟桌面的数据位置。
有关所需条件及支持内容的一般概念,例如操作系统 (OS)、虚拟网络和标识提供者,请查看 Azure 虚拟桌面的先决条件。 本文还包括一个支持的 Azure 区域列表,你可在这些区域中部署主机池、工作区和应用程序组。 在这一系列区域中,可以存储主机池的元数据。 不过,会话主机可以位于任何 Azure 区域,使用 Azure Stack HCI 时,它们可以位于本地。 有关数据和位置类型的详细信息,请参阅 Azure 虚拟桌面的数据位置。
有关更多先决条件,包括基于角色的访问控制 (RBAC) 角色,请选择你的情况对应的相关选项卡。
除了常规先决条件外,还需要:
用于创建主机池的 Azure 帐户必须在资源组或订阅上至少具有以下内置 RBAC(基于角色的访问控制)角色或等效角色,以便创建以下资源类型。 如果要将角色分配给资源组,需要先创建此项。
资源类型 RBAC 角色 主机池、工作区和应用程序组 桌面虚拟化参与者 会话主机 (Azure) 虚拟机参与者 为了持续管理主机池、工作区和应用程序组,可以对每种资源类型使用更精细的角色。 有关详细信息,请参阅 Azure 虚拟桌面的内置 Azure RBAC 角色。
为 Azure 虚拟桌面服务主体分配资源组或订阅上的桌面虚拟化虚拟机参与者 RBAC(基于角色的访问控制)角色,其中包含要与会话主机更新配合使用的主机池和会话主机。 有关详细信息,请参阅将 Azure RBAC 角色或 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体。
一个密钥保管库,其中包含要用于虚拟机本地管理员帐户凭据的机密,在要将会话主机加入 Active Directory 域的情况下还要包含域加入帐户凭据。 每个用户名和密码都需要一个机密。
你需要为 Azure 虚拟桌面服务主体提供读取机密的权限。 可以将密钥保管库配置为使用以下任一项:
用于为 Azure 虚拟桌面服务主体分配你创建的自定义角色的 Azure RBAC 权限模型。
用于为 Azure 虚拟桌面服务主体分配 Get 机密权限的访问策略。
密钥保管库必须允许用于实现模板部署的 Azure 资源管理器。
可将会话主机加入到的 Active Directory 域。 不支持将会话主机加入 Microsoft Entra ID,但可以使用 Microsoft Entra 混合加入。
使用 Azure 门户创建会话主机时,请勿禁用 Windows 远程管理 (WinRM),因为 PowerShell DSC 需要它。
所用 Azure 帐户必须在资源组或订阅上至少具有以下内置 RBAC 角色或等效角色,才能创建以下资源类型。 如果要将角色分配给资源组,需要先创建资源组。
资源类型 RBAC 角色 主机池、工作区和应用程序组 桌面虚拟化参与者 会话主机(Azure 和 Azure 扩展区域) 虚拟机参与者 会话主机 (Azure Stack HCI) Azure Stack HCI VM 参与者 为了持续管理主机池、工作区和应用程序组,可以对每种资源类型使用更精细的角色。 有关详细信息,请参阅 Azure 虚拟桌面的内置 Azure RBAC 角色。
若要将用户分配到应用程序组,还需要应用程序组的
Microsoft.Authorization/roleAssignments/write
权限。 包含此权限的内置 RBAC 角色是“用户访问管理员”和“所有者”。使用 Azure 门户创建会话主机时,请勿禁用 Windows 远程管理,因为 PowerShell DSC 需要它。
若要在 Azure Stack HCI 上添加会话主机,还需要:
已在 Azure 中注册的 Azure Stack HCI 群集。 Azure Stack HCI 群集需要至少运行版本 23H2。 有关详细信息,请参阅 Azure Stack HCI 版本 23H2 部署概述。 Azure Arc VM 管理会自动安装。
从本地网络到 Azure 的稳定连接。
群集上至少有一个 Windows OS 映像可用。 有关详细信息,请参阅如何使用 Azure 市场映像创建 VM 映像、使用 Azure 存储帐户中的映像,以及使用本地共享中的映像。
在 Azure Stack HCI 群集上创建的逻辑网络。 支持 DHCP 逻辑网络或具有自动 IP 分配的静态逻辑网络。 有关详细信息,请参阅为 Azure Stack HCI 创建逻辑网络。
若要将会话主机部署到 Azure 扩展区域,还需要做好以下准备:
你的 Azure 订阅已在相应 Azure 扩展区域注册。 有关详细信息,请参阅请求访问 Azure 扩展区域。
要将会话主机部署到的虚拟网络上具有出站规则的一个 Azure 负载均衡器。 你可以使用现有的负载均衡器,也可以在添加会话主机时创建新的负载均衡器。
创建采用会话主机配置的主机池
若要创建采用会话主机配置的主机池,请选择对应该应用场景的相关选项卡,并按照相关步骤操作。
下面将介绍如何使用 Azure 门户创建采用会话主机配置的主机池,该操作还会创建默认会话主机管理策略和默认会话主机配置。 部署后,可以更改默认会话主机管理策略和会话主机配置。
确保你已使用本文开头的链接注册有限预览版,然后使用注册后提供给你的特定链接登录 Azure 门户。
在搜索栏中,输入“Azure 虚拟桌面”,然后选择匹配的服务条目。
选择“主机池”,然后选择“创建”。
在“基本信息”选项卡上,完成以下信息:
参数 值/说明 订阅 从下拉列表中选择要在其中创建主机池的订阅。 资源组 选择现有资源组或选择“新建”并输入名称。 主机池名称 输入主机池的名称,例如“hp01”,长度最多为 64 个字符。 位置 选择要在其中创建主机池的 Azure 区域。 验证环境 选择“是”以创建用作验证环境的主机池。
预览期间需要使用验证环境。首选应用组类型 从桌面或 RemoteApp 中选择此主机池的首选应用程序组类型。 使用 Azure 门户时,会自动创建桌面应用程序组,并根据所设置的任意首选应用程序组类型进行创建。 主机池类型 主机池类型 系统将自动选择“共用”,并且这是会话主机配置支持的唯一主机池类型。 使用会话主机配置 选择是。 完成此选项卡后,选择“下一步: 会话主机”。
在“会话主机”选项卡上,填写以下信息,这些信息是在会话主机配置中捕获的,用于创建会话主机。
参数 值/说明 会话主机数 输入在创建主机池时要创建的会话主机数。 你可以输入 0,以表示此时不创建任何会话主机,但当你创建会话主机时,系统仍会使用你指定的值创建会话主机配置。
如果你愿意,此时最多可以部署 500 个会话主机 VM(具体取决于你的订阅配额),或者稍后可以添加更多。
有关详细信息,请参阅 Azure 虚拟桌面服务限制和虚拟机限制。会话主机配置 资源组 自动默认为你在“基本信息”选项卡上选择的主机池所在的资源组,但也可以从下拉列表中选择其他资源组。 名称前缀 输入会话主机的名称,例如 hp01-sh。
此值用作会话主机 VM 的前缀。 每个会话主机都有一个连字符后缀,然后末尾添加一个序列号,例如 hp01-sh-0。
它最多可以包含 10 个字符,并用于操作系统中的计算机名。 前缀和后缀加起来最多可以包含 15 个字符。 会话主机名必须唯一。虚拟机位置 选择要部署会话主机 VM 的 Azure 区域。 此区域必须与虚拟网络所在的区域相同。 可用性区域 选择要部署虚拟机的一个或多个可用性区域。 安全类型 从“标准”、“受信任启动虚拟机”或“机密虚拟机”中进行选择。
- 如果选择“受信任启动虚拟机”,则系统会自动选择“安全启动”和“vTPM”选项。
- 如果选择“机密虚拟机”,则系统会自动选择“安全启动”、“vTPM”和“完整性监视”选项。 使用机密 VM 时,无法选择退出 vTPM。
默认为“受信任启动虚拟机”。映像 从列表中选择要使用的操作系统映像,或选择“查看所有映像”以查看更多映像,包括你自己创建并存储为 Azure Compute Gallery 共享映像或托管映像的任何自定义映像。 虚拟机大小 选择 SKU。 如果要使用其他 SKU,请选择“更改大小”,然后从列表中选择。 OS 磁盘类型 选择要用于会话主机的磁盘类型。 对于生产工作负载,建议选择“高级 SSD”。 OS 磁盘大小 为 OS 磁盘选择大小。
如果启用休眠,请确保 OS 磁盘足够大,除了 OS 和其他应用程序之外还可以存储内存的内容。启动诊断 选择是否要启用启动诊断。 网络和安全性 虚拟网络 选择你的虚拟网络。 这会显示用于选择子网的选项。 子网 从虚拟网络中选择子网。 网络安全组类型 选择是否要使用网络安全组 (NSG)。
- 基本:创建新的 NSG,并且你可以指定公共入站端口。
- 选择“高级”可以选择现有 NSG。
无需打开入站端口,即可连接到 Azure 虚拟桌面。 有关详细信息,请访问了解 Azure 虚拟桌面网络连接。要加入的域 选择要加入的目录 选择“Active Directory”,然后选择包含域加入帐户的用户名和密码所对应的机密的密钥保管库。
你可以选择指定域名和组织单位路径。虚拟机管理员帐户 选择新会话主机 VM 的本地管理员帐户的用户名和密码所对应的密钥保管库和密钥。 用户名和密码必须满足 Azure 中 Windows VM 的要求。 自定义配置 自定义配置脚本 URL 如果要在部署期间运行 PowerShell 脚本,可以在此处输入 URL。 提示
完成此选项卡后,你可以选择“下一步: 工作区”(可选),以便从此主机池中向新的或预先存在的工作区注册默认桌面应用程序组,并启用诊断设置。 或者,如果想要单独创建和配置这些,请选择“下一步:查看 + 创建”并转到步骤 9。
可选:如果要创建工作区并从此主机池注册默认桌面应用程序组,请在“工作区”选项卡上填写以下信息:
参数 值/说明 注册桌面应用组 请选择“是”。 这会将默认桌面应用组注册到选定的工作区。 到此工作区 从列表中选择现有工作区,或者选择“新建”并输入名称,例如 ws01。 完成此选项卡后,选择“下一步: 高级”。
可选:如果要启用诊断设置,请在“高级”选项卡上填写以下信息:
参数 值/说明 启用诊断设置 选中对应框。 选择要向其发送日志的目标详细信息 选择以下目标之一:
- 发送到 Log Analytics 工作区
- 存档到存储帐户
- 流式传输到事件中心完成此选项卡后,选择“下一步: 标记”。
可选:在“标记”选项卡上,可以输入所需的任何名称/值对,然后选择“下一步:查看 + 创建”。
在“查看 + 创建”选项卡上,确保通过验证并查看部署期间的信息。
选择“创建”以创建主机池。
创建主机池后,选择“转到资源”以转到新主机池的概述,然后选择“属性”以查看其属性。
后期部署
如果还将会话主机添加到了主机池中,则可能需要进行一些额外的配置,这将在以下部分中介绍。
许可
要确保会话主机已正确应用许可证,需要执行以下任务:
如果拥有运行 Azure 虚拟桌面工作负载所需的正确许可证,则可以将 Windows 或 Windows Server 许可证作为 Azure 虚拟桌面的一部分应用到会话主机,无需支付单独的许可证费用即可运行。 此许可证是在使用 Azure 虚拟桌面服务创建会话主机时自动应用的,但如果在 Azure 虚拟桌面外部创建了会话主机,则可能需要单独应用该许可证。 有关详细信息,请参阅将 Windows 许可证应用于会话主机虚拟机。
如果会话主机运行的是 Windows Server OS,则还需要从 RDS 许可证服务器向它们颁发远程桌面服务 (RDS) 客户端访问许可证 (CAL)。 有关详细信息,请参阅使用客户端访问许可证许可 RDS 部署。
对于 Azure Stack HCI 上的会话主机,必须先许可并激活虚拟机,然后才能将其与 Azure 虚拟桌面配合使用。 要激活使用 Windows 10 企业版多会话、Windows 11 企业版多会话和 Windows Server 2022 Datacenter:Azure Edition 的 VM,请使用适用于 VM 的 Azure 验证。 对于其他所有 OS 映像(例如 Windows 10 企业版、Windows 11 企业版,以及其他版本的 Windows Server),应继续使用现有的激活方法。 有关详细信息,请参阅在 Azure Stack HCI 上激活 Windows Server VM。
已建立 Microsoft Entra 联接的会话主机
对于 Azure 上已加入 Microsoft Entra ID 的会话主机,还需要启用单一登录或更早的身份验证协议、向用户分配 RBAC 角色,并查看多重身份验证策略,以便用户可以登录到 VM。 有关详细信息,请参阅已建立 Microsoft Entra 联接的会话主机。
注意
如果在同一进程中创建了主机池和工作区,还从此主机池注册了默认桌面应用程序组,请转到将用户分配到应用程序组部分并完成本文的其余部分。 使用 Azure 门户自动创建桌面应用程序组,并根据所设置的任意首选应用程序组类型进行创建。
如果在同一进程中创建了主机池和工作区,但未从此主机池注册默认桌面应用程序组,请转到创建应用程序组部分并完成本文的其余部分。
如果未创建工作区,请转到下一部分并完成本文的其余部分。
创建采用标准管理的主机池
要创建主机池,请选择方案的相关选项卡,然后执行以下步骤。
下面介绍如何使用 Azure 门户创建主机池:
登录到 Azure 门户。
在搜索栏上,输入“Azure 虚拟桌面”,然后选择匹配的服务条目。
选择“主机池”,然后选择“创建”。
在“基本信息”选项卡上,完成以下信息:
参数 值/说明 订阅 在下拉列表中,选择要在其中创建主机池的订阅。 资源组 选择现有资源组,或选择“新建”并输入名称。 主机池名称 输入主机池的名称,例如“hp01”。 位置 选择要在其中创建主机池的 Azure 区域。 验证环境 选择“是”,创建用作验证环境的主机池。
选择“否”(默认)以创建不用作验证环境的主机池。首选应用组类型 为此主机池选择首选应用程序组类型:桌面或 RemoteApp。 使用 Azure 门户时会自动创建桌面应用程序组。 主机池类型 选择希望主机池是“个人”还是“共用”。
如果选择“个人”,会为“分配类型”显示新选项。 选择“自动”或“直接”。
如果选择“共用”,将针对“负载均衡算法”和“会话数上限”显示两个新选项。
- 对于“负载均衡算法”,请根据使用模式选择“广度优先”或“深度优先”。
- 对于最大会话限制,请输入要在单个会话主机中进行负载均衡的最大用户数。 有关详细信息,请参阅主机池负载均衡算法。提示
完成此选项卡后,可以继续选择创建会话主机、创建工作区、从此主机池注册默认桌面应用程序组,并选择“下一步: 虚拟机”来启用诊断设置。 或者,如果想要单独创建和配置这些资源,请选择“下一步: 查看 + 创建”并转到步骤 9。
可选:在“虚拟机”选项卡上,如果要添加会话主机,请展开以下其中一个部分,并根据是要在 Azure 还是 Azure Stack HCI 上创建会话主机,填写相关信息。 有关调整会话主机虚拟机大小的指导,请参阅会话主机虚拟机大小调整指导原则。
要在 Azure 上添加会话主机,请展开此部分。
参数 值/说明 添加虚拟机 选择是。 此操作会显示几个新选项。 资源组 此值默认为在“基本信息”选项卡上选择以包含主机池的资源组,但可以选择替代项。 名称前缀 输入会话主机的名称前缀,例如 hp01-sh。
每个会话主机都带有一个连字符后缀,然后在末尾添加序列号,例如 hp01-sh-0。
此名称前缀最多可以包含 11 个字符,并用于操作系统中的计算机名。 前缀和后缀加起来最多可以包含 15 个字符。 会话主机名必须唯一。虚拟机类型 选择“Azure 虚拟机”。 虚拟机位置 选择要在其中部署会话主机的 Azure 区域。 此值必须与包含虚拟网络的区域相同。 可用性选项 从“可用性区域”、“可用性集”或“无需基础结构冗余”中进行选择。 如果选择“可用性区域”或“可用性集”,请填写显示的额外参数。 安全类型 从“标准”、“受信任启动虚拟机”或“机密虚拟机”中进行选择。
- 如果选择“受信任启动虚拟机”,则系统会自动选择“安全启动”和“vTPM”选项。
- 如果选择“机密虚拟机”,则系统会自动选择“安全启动”、“vTPM”和“完整性监视”选项。 使用机密 VM 时,无法选择退出 vTPM。图像 从列表中选择要使用的 OS 映像,或选择“查看所有映像”以了解详细信息。 完整列表包括已创建并存储为 Azure Compute Gallery 共享映像或托管映像的所有映像。 虚拟机大小 选择一个大小。 如果要使用不同的大小,请选择“更改大小”,然后从列表中选择。 休眠 选中该框可启用休眠。 休眠仅适用于个人主机池。 有关详细信息,请参阅虚拟机中的休眠。 如果使用 Microsoft Teams 媒体优化,则应将 WebRTC 重定向程序服务更新为 1.45.2310.13001。
FSLogix 和应用附加目前不支持休眠。 要对个人主机池使用 FSLogix 或应用附加,请不要启用休眠。VM 数量 输入要部署的虚拟机数。 如果需要,此时最多可以部署 400 台会话主机(具体取决于你的订阅配额),也可以稍后再添加更多主机。
有关详细信息,请参阅 Azure 虚拟桌面服务限制和虚拟机限制。OS 磁盘类型 选择要用于会话主机的磁盘类型。 建议仅将高级 SSD 用于生产工作负载。 OS 磁盘大小 为 OS 磁盘选择大小。
如果启用休眠,请确保 OS 磁盘足够大,以存储除 OS 和其他应用程序之外的内存内容。机密计算加密 如果使用机密 VM,则必须选中“机密计算加密”复选框,才能启用 OS 磁盘加密。
仅当选择“机密虚拟机”作为安全类型时,才会显示此复选框。启动诊断 选择是否要启用启动诊断。 网络和安全性 虚拟网络 选择你的虚拟网络。 这会显示用于选择子网的选项。 子网 从虚拟网络中选择子网。 网络安全组 选择是否要使用网络安全组 (NSG)。
如果选择“无”,则不会创建新的 NSG。-
- “基本”会为 VM 网络适配器创建新的 NSG。
- 选择“高级”可以选择现有 NSG。
建议不要在此处创建 NSG,而是在子网上创建 NSG。公共入站端口 可以从列表中选择要允许的端口。 Azure 虚拟桌面不需要公共入站端口,因此建议选择“否”。 要加入的域 选择要联接的目录 从 Microsoft Entra ID 或 Active Directory 中进行选择,并填写所选选项的相关参数。 虚拟机管理员帐户 用户名 输入要用作新会话主机的本地管理员帐户的名称。 密码 输入本地管理员帐户的密码。 确认密码 重新输入密码。 自定义配置 自定义配置脚本 URL 如果要在部署期间运行 PowerShell 脚本,则可以在此处输入 URL。 要在 Azure Stack HCI 上添加会话主机,请展开此部分。
参数 值/说明 添加虚拟机 选择是。 此操作会显示几个新选项。 资源组 此值默认为在“基本信息”选项卡上选择以包含主机池的资源组,但可以选择替代项。 名称前缀 输入会话主机的名称前缀,例如 hp01-sh。
每个会话主机都带有一个连字符后缀,然后在末尾添加序列号,例如 hp01-sh-0。
此名称前缀最多可以包含 11 个字符,并用于操作系统中的计算机名。 前缀和后缀加起来最多可以包含 15 个字符。 会话主机名必须唯一。虚拟机类型 选择“Azure Stack HCI 虚拟机”。 自定义位置 在下拉列表中,选择要在其中部署会话主机的 Azure Stack HCI 群集。 映像 从列表中选择要使用的 OS 映像,或者选择“管理 VM 映像”来管理所选群集上可用的映像。 VM 数量 输入要部署的虚拟机数。 稍后可以添加更多。 虚拟处理器计数 输入要分配给每台会话主机的虚拟处理器数。 不会根据群集中可用的资源验证此值。 内存类型 为固定内存分配选择“静态”,或为动态内存分配选择“动态”。 内存 (GB) 输入要分配给每台会话主机的内存量(以 GB 为单位)。 此值不会根据群集中可用的资源进行验证。 最大内存 如果选择了动态内存分配,请输入一个数字,表示希望会话主机能够使用的最大内存量(以 GB 为单位)。 最小内存 如果选择了动态内存分配,请输入一个数字,表示希望会话主机能够使用的最小内存量(以 GB 为单位)。 网络和安全性 网络下拉列表 选择要将每个会话连接到的现有网络。 要加入的域 选择要加入的目录 Active Directory 是唯一可用的选项。 这包括使用 Microsoft Entra 混合加入。 AD 域加入 UPN 输入有权将会话主机加入域的 Active Directory 用户的用户主体名称 (UPN)。 密码 输入 Active Directory 用户的密码。 指定域或单位 如果要将会话主机加入到特定域或放置在特定组织单位 (OU) 中,请选择“是”。 如果选择“否”,则会将 UPN 的后缀用作域。 虚拟机管理员帐户 用户名 输入要用作新会话主机的本地管理员帐户的名称。 密码 输入本地管理员帐户的密码。 确认密码 重新输入密码。 要在 Azure 扩展区域上添加会话主机,请展开此部分。
参数 值/说明 添加虚拟机 选择是。 此操作会显示几个新选项。 资源组 此值默认为在“基本信息”选项卡上选择以包含主机池的资源组,但可以选择替代项。 名称前缀 输入会话主机的名称前缀,例如 hp01-sh。
每个会话主机都带有一个连字符后缀,然后在末尾添加序列号,例如 hp01-sh-0。
此名称前缀最多可以包含 11 个字符,并用于操作系统中的计算机名。 前缀和后缀加起来最多可以包含 15 个字符。 会话主机名必须唯一。虚拟机类型 选择“Azure 虚拟机”。 虚拟机位置 选择“部署到 Azure 扩展区域”。 Azure 扩展区域 选择所需的扩展区域。 网络和安全性 选择负载均衡器 选择要用于会话主机的同一虚拟网络上的现有 Azure 负载均衡器,或选择“创建负载均衡器”以创建新的负载均衡器。 选择后端池 选择要用于会话主机的负载平衡器上的一个后端池。 如果要创建新的负载均衡器,请选择“新建”来为新负载均衡器创建一个新的后端池。 添加出站规则 如果要创建新的负载均衡器,请选择“新建”来为它创建一个新的出站规则。 完成此选项卡后,选择“下一步: 工作区”。
可选:如果要创建工作区并从此主机池注册默认桌面应用程序组,请在“工作区”选项卡上填写以下信息:
参数 值/说明 注册桌面应用组 选择是。 此操作会将默认桌面应用程序组注册到选定的工作区。 到此工作区 从列表中选择现有工作区,或者选择“新建”并输入名称,例如“ws01”。 完成此选项卡后,选择“下一步: 高级”。
可选:如果要启用诊断设置,请在“高级”选项卡上填写以下信息:
参数 值/说明 启用诊断设置 选择相应的框。 选择要向其发送日志的目标详细信息 选择以下目标之一:
- 发送到 Log Analytics 工作区
- 存档到存储帐户
- 流式传输到事件中心完成此选项卡后,选择“下一步: 标记”。
可选:在“标记”选项卡上,可以输入所需的任何名称/值对,然后选择“下一步: 查看 + 创建”。
在“查看 + 创建”选项卡上,确保验证通过并查看部署期间将使用的信息。
选择“创建”以创建主机池。
选择“转到资源”以转到新主机池的概述,然后选择“属性”以查看其属性。
部署后任务
如果还将会话主机添加到了主机池中,则需要进行一些额外的配置,这将在以下部分介绍。
许可
要确保会话主机已正确应用许可证,需要执行以下任务:
如果拥有运行 Azure 虚拟桌面工作负载所需的正确许可证,则可以将 Windows 或 Windows Server 许可证作为 Azure 虚拟桌面的一部分应用到会话主机,无需支付单独的许可证费用即可运行。 此许可证是在使用 Azure 虚拟桌面服务创建会话主机时自动应用的,但如果在 Azure 虚拟桌面外部创建了会话主机,则可能需要单独应用该许可证。 有关详细信息,请参阅将 Windows 许可证应用于会话主机虚拟机。
如果会话主机运行的是 Windows Server OS,则还需要从 RDS 许可证服务器向它们颁发远程桌面服务 (RDS) 客户端访问许可证 (CAL)。 有关详细信息,请参阅使用客户端访问许可证许可 RDS 部署。
对于 Azure Stack HCI 上的会话主机,必须先许可并激活虚拟机,然后才能将其与 Azure 虚拟桌面配合使用。 要激活使用 Windows 10 企业版多会话、Windows 11 企业版多会话和 Windows Server 2022 Datacenter:Azure Edition 的 VM,请使用适用于 VM 的 Azure 验证。 对于其他所有 OS 映像(例如 Windows 10 企业版、Windows 11 企业版,以及其他版本的 Windows Server),应继续使用现有的激活方法。 有关详细信息,请参阅在 Azure Stack HCI 上激活 Windows Server VM。
已建立 Microsoft Entra 联接的会话主机
对于 Azure 上已加入 Microsoft Entra ID 的会话主机,还需要启用单一登录或更早的身份验证协议、向用户分配 RBAC 角色,并查看多重身份验证策略,以便用户可以登录到 VM。 有关详细信息,请参阅已建立 Microsoft Entra 联接的会话主机。
注意
如果创建了主机池和工作区,并且在此进程中还从此主机池注册了默认桌面应用程序组,请转到将用户分配到应用程序组部分并完成本文的其余部分。 使用 Azure 门户时会自动创建桌面应用程序组(无论将哪种应用程序组类型设置为首选类型)。
如果在同一进程中创建了主机池和工作区,但未从此主机池注册默认桌面应用程序组,请转到创建应用程序组部分并完成本文的其余部分。
如果未创建工作区,请转到下一部分并完成本文的其余部分。
创建工作区
接下来,要创建工作区,请选择方案的相关选项卡,然后执行以下步骤。
下面介绍如何使用 Azure 门户创建工作区:
在 Azure 虚拟桌面概述中,选择“工作区”,然后选择“创建”。
在“基本信息”选项卡上,完成以下信息:
参数 值/说明 订阅 在下拉列表中,选择要在其中创建工作区的订阅。 资源组 选择现有资源组,或选择“新建”并输入名称。 工作区名称 输入工作区的名称,例如“workspace01”。 易记名称 可选:输入工作区的显示名称。 描述 可选:输入工作区的说明。 位置 选择要在其中部署工作区的 Azure 区域。 提示
完成此选项卡后,可以选择将现有应用程序组注册到此工作区(如果有),并选择“下一步: 应用程序组”来启用诊断设置。 或者,如果想要单独创建和配置这些资源,请选择“查看 + 创建”并转到步骤 9。
可选:如果要将现有应用程序组注册到此工作区,请在“应用程序组”选项卡上填写以下信息:
参数 值/说明 注册应用程序组 选择“是”,然后选择“+ 注册应用程序组”。 在打开的新窗格中,选择要添加的应用程序组的“添加”图标,然后选择“选择”。 完成此选项卡后,选择“下一步: 高级”。
可选:如果要启用诊断设置,请在“高级”选项卡上填写以下信息:
参数 值/说明 启用诊断设置 选择相应的框。 选择要向其发送日志的目标详细信息 选择以下目标之一:
- 发送到 Log Analytics 工作区
- 存档到存储帐户
- 流式传输到事件中心完成此选项卡后,选择“下一步: 标记”。
可选:在“标记”选项卡上,可以输入所需的任何名称/值对,然后选择“下一步: 查看 + 创建”。
在“查看 + 创建”选项卡上,确保验证通过并查看部署期间将使用的信息。
选择“创建”以创建工作区。
选择“转到资源”以转到新工作区的概述,然后选择“属性”以查看其属性。
注意
如果将应用程序组添加到了此工作区,请转到将用户分配到应用程序组部分并完成本文的其余部分。
如果未将应用程序组添加到此工作区,请转到下一部分并完成本文的其余部分。
创建应用程序组
要创建应用程序组,请选择方案的相关选项卡,然后执行以下步骤。
下面介绍如何使用 Azure 门户创建应用程序组:
在 Azure 虚拟桌面概述中,选择“应用程序组”,然后选择“创建”。
在“基本信息”选项卡上,完成以下信息:
参数 值/说明 订阅 在下拉列表中,选择要在其中创建应用程序组的订阅。 资源组 选择现有资源组,或选择“新建”并输入名称。 主机池 选择应用程序组的主机池。 位置 元数据存储在与主机池相同的位置。 应用程序组类型 为此主机池选择应用程序组类型:桌面或 RemoteApp。 应用程序组名称 输入应用程序组的名称,例如“会话桌面”。 提示
完成此选项卡后,选择“下一步: 查看 + 创建”。 不需要完成其他选项卡就可以创建应用程序组,但需要创建工作区,将应用程序组添加到工作区,并将用户分配到应用程序组后,用户才能访问资源。
如果为 RemoteApp 创建了应用程序组,则还需要向其中添加应用程序。 有关详细信息,请参阅发布应用程序。
可选:如果选择创建 RemoteApp 应用程序组,可以将应用程序添加到该组。 在“应用程序组”选项卡上,选择“+ 添加应用程序”,然后选择一个应用程序。 有关应用程序参数的详细信息,请参阅使用 RemoteApp 发布应用程序。 主机池中必须至少有一个会话主机已打开并可在 Azure 虚拟桌面中使用。
完成此选项卡后,或者在创建桌面应用程序组的情况下,请选择“下一步: 分配”。
可选:如果要将用户或组分配到此应用程序组,请在“分配”选项卡上,选择“+ 添加 Microsoft Entra 用户或用户组”。 在打开的新窗格中,选中要添加的用户或组旁边的框,然后选择“选择”。
完成此选项卡后,选择“下一步: 工作区”。
可选:如果要创建桌面应用程序组,可在“工作区”选项卡上填写以下信息,从所选主机池注册默认桌面应用程序组:
参数 值/说明 注册应用程序组 选择是。 此操作会将默认桌面应用程序组注册到选定的工作区。 注册应用程序组 从列表中选择现有工作区。 完成此选项卡后,选择“下一步: 高级”。
可选:若要启用诊断设置,请在“高级”选项卡上填写以下信息:
参数 值/说明 启用诊断设置 选择相应的框。 选择要向其发送日志的目标详细信息 选择以下目标之一:
- 发送到 Log Analytics 工作区
- 存档到存储帐户
- 流式传输到事件中心完成此选项卡后,选择“下一步: 标记”。
可选:在“标记”选项卡上,可以输入所需的任何名称/值对,然后选择“下一步: 查看 + 创建”。
在“查看 + 创建”选项卡上,确保验证通过并查看部署期间将使用的信息。
选择“创建”以创建应用程序组。
选择“转到资源”以转到新应用程序组的概述,然后选择“属性”以查看其属性。
注意
如果创建了桌面应用程序组、分配了用户或组,并将默认桌面应用程序组注册到工作区,那么分配的用户可以连接到桌面,并且你不需要完成本文的其余部分。
如果创建了 RemoteApp 应用程序组、添加了应用程序,并且分配了用户或组,请转到将应用程序组添加到工作区部分并完成本文的其余部分。
如果未添加应用程序、未分配用户或组,或者未将应用程序组注册到工作区,请转到下一部分并完成本文的其余部分。
将应用程序组添加到工作区
接下来,要将应用程序组添加到工作区,请选择方案的相关选项卡并执行以下步骤。
下面介绍如何使用 Azure 门户将应用程序组添加到工作区:
在 Azure 虚拟桌面概述中,选择“工作区”,然后选择要将应用程序组分配到的工作区的名称。
在工作区概述中,选择“应用程序组”,然后选择“+ 添加”。
在列表中,选择应用程序组旁边的加号图标 (+)。 仅列出尚未分配给工作区的应用程序组。
选择“选择”。 应用程序组会添加到该工作区。
将用户分配给应用程序组
最后,要将用户或用户组分配给应用程序组,请选择方案的相关选项卡,然后执行以下步骤。 我们建议将用户组分配给应用程序组,以简化正在进行的管理。
所用帐户需要具有相应权限,能够在创建应用程序组后为其分配 Azure RBAC 中的角色。 该权限为 Microsoft.Authorization/roleAssignments/write
,包含在某些内置角色中,例如用户访问管理员和所有者。
下面介绍如何使用 Azure 门户将用户或用户组分配给应用程序组:
在 Azure 虚拟桌面概述中,选择“应用程序组”。
从列表中选择应用程序组。
在应用程序组概述中,选择“分配”。
选择“+ 添加”,然后搜索并选择要分配给此应用程序组的用户帐户或用户组。
最后选择“选择”。
相关内容
部署 Azure 虚拟桌面后,用户可以从多个平台(包括 Web 浏览器)进行连接。 有关详细信息,请参阅 Azure 虚拟桌面的远程桌面客户端和使用远程桌面 Web 客户端连接到 Azure 虚拟桌面。
下面是可能需要执行的一些额外任务: