你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面的先决条件

在开始使用 Azure 虚拟桌面之前需要满足的条件。 在此处可以找到成功为用户提供桌面和应用所要满足的先决条件。

概括而言,你需要:

  • 具有活动订阅的 Azure 帐户
  • 支持的标识提供者
  • 会话主机虚拟机支持的操作系统
  • 适当的许可证
  • 网络连接
  • 一个远程桌面客户端

具有有效订阅的 Azure 帐户

需要使用一个具有有效订阅的 Azure 帐户来部署 Azure 虚拟桌面。 如果你没有帐户,可以免费创建一个帐户

若要部署 Azure 虚拟桌面,需要分配相关的 Azure 基于角色的访问控制 (RBAC) 角色。 后续步骤部分中列出的有关部署 Azure 虚拟桌面的每篇文章介绍了具体的角色要求。

此外,请确保为订阅注册了 Microsoft.DesktopVirtualization 资源提供程序。 若要检查资源提供程序的状态并根据需要注册,请选择适用于你的场景的相关选项卡,然后按照以下步骤操作。

重要

必须拥有注册资源提供程序(这需要执行 */register/action 操作)的权限。 如果你在自己的订阅中为账户分配参与者或所有者角色,则已拥有此权限。

  1. 登录 Azure 门户

  2. 选择 订阅

  3. 选择你的订阅名称。

  4. 选择“资源提供程序”。

  5. 搜索“Microsoft.DesktopVirtualization”。

  6. 如果状态为“NotRegistered”,请选择“Microsoft.DesktopVirtualization”,然后选择“注册”。

  7. 验证 Microsoft.DesktopVirtualization 的状态是否为“Registered”。

标识

若要从会话主机访问桌面和应用程序,用户需要能够进行身份验证。 Microsoft Entra ID 是 Microsoft 的集中式云标识服务,可以实现此功能。 始终使用 Microsoft Entra ID 对 Azure 虚拟桌面的用户进行身份验证。 可将会话主机加入同一个 Microsoft Entra 租户,或者使用 Active Directory 域服务 (AD DS) 或 Microsoft Entra 域服务将其加入 Active Directory 域,这样你就可以获得灵活的配置选项。

会话主机

你需要将提供桌面和应用程序的会话主机加入与你的用户相同的 Microsoft Entra 租户,或加入 Active Directory 域(AD DS 或 Microsoft Entra 域服务)。

注意

对于 Azure Stack HCI,只能将会话主机加入 Active Directory 域服务域。 只能将 Azure Stack HCI 上的会话主机加入 Active Directory 域服务 (AD DS) 域。 这包括使用 Microsoft Entra 混合联接,借此方法可以从 Microsoft Entra ID 提供的一些功能中受益。

若要将会话主机加入 Microsoft Entra ID 或 Active Directory 域,需要以下权限:

  • 对于 Microsoft Entra ID,需要一个可将计算机加入你租户的帐户。 有关详细信息,请参阅管理设备标识。 若要了解有关将会话主机加入 Microsoft Entra ID 的详细信息,请参阅 已加入 Microsoft Entra 的会话主机

  • 对于 Active Directory 域,你需要一个可以将计算机加入域的域帐户。 对于 Microsoft Entra 域服务,你需要是 AAD DC 管理员的成员。

用户

你的用户需要 Microsoft Entra ID 中的帐户。 如果你还要在 Azure 虚拟桌面的部署中使用 AD DS 或 Microsoft Entra 域服务,则这些帐户需为混合标识,这意味着用户帐户会同步。 根据你使用的标识提供者,需要记住以下几点:

  • 如果将 Microsoft Entra ID 与 AD DS 配合使用,则需要配置 Microsoft Entra Connect,以便在 AD DS 和 Microsoft Entra ID 之间同步用户标识数据。
  • 如果将 Microsoft Entra ID 与 Microsoft Entra 域服务配合使用,则用户帐户将从 Microsoft Entra ID 单向同步到 Microsoft Entra 域服务。 此同步过程是自动的。

重要

用户帐户必须存在于用于 Azure 虚拟桌面的 Microsoft Entra 租户中。 Azure 虚拟桌面不支持 B2BB2C 或个人 Microsoft 帐户。

使用混合标识时,UserPrincipalName (UPN) 或安全标识符 (SID) 必须在 Active Directory 域服务和 Microsoft Extra ID 之间匹配。 有关详细信息,请参阅支持的标识和身份验证方法

支持的标识方案

下表汇总了 Azure 虚拟桌面目前支持的标识方案:

标识方案 会话主机 用户帐户
Microsoft Entra ID + AD DS 加入 AD DS 在 Microsoft Entra ID 和 AD DS 中,已同步
Microsoft Entra ID + AD DS 已加入 Microsoft Entra ID 在 Microsoft Entra ID 和 AD DS 中,已同步
Microsoft Entra ID + Microsoft Entra 域服务 已加入 Microsoft Entra 域服务 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步
Microsoft Entra ID + Microsoft Entra 域服务 + AD DS 已加入 Microsoft Entra 域服务 在 Microsoft Entra ID 和 AD DS 中,已同步
Microsoft Entra ID + Microsoft Entra 域服务 已加入 Microsoft Entra ID 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步
仅限 Microsoft Entra 已加入 Microsoft Entra ID 在 Microsoft Entra ID 中

有关支持的标识方案(包括单一登录和多重身份验证)的更多详细信息,请参阅支持的标识和身份验证方法

FSLogix 配置文件容器

要在将会话主机加入 Microsoft Entra ID 时使用 FSLogix 配置文件容器,需要将配置文件存储在 Azure 文件存储Azure NetApp 文件中,并且用户帐户必须为混合标识。 必须在 AD DS 中创建这些帐户并将其同步到 Microsoft Entra ID。 若要详细了解如何使用不同的标识方案部署 FSLogix 配置文件容器,请参阅以下文章:

部署参数

部署会话主机时,需要输入以下标识参数:

  • 域名(如果使用 AD DS 或 Microsoft Entra 域服务)。
  • 用于将会话主机加入域的凭据。
  • 组织单位 (OU),这是一个可选参数,让你可以在部署时将会话主机放入所需的 OU 中。

重要

用于加入域的帐户不能启用多重身份验证 (MFA)。

操作系统和许可证

你可以选择操作系统 (OS),便于会话主机用来提供桌面和应用程序。 可以使用具有不同主机池的不同操作系统来为用户提供灵活性。 我们支持以下表列表中的 64 位操作系统和 SKU(其中支持的版本和日期符合 Microsoft 生命周期策略),以及适用于每项商业用途的许可方法:

操作系统
(仅 64 位)
许可方法
(内部商业用途)
许可方法
(外部商业用途)
  • Microsoft 365 E3、E5、A3、A5、F3、商业高级版、学生使用权益
  • Windows 企业版 E3、E5
  • Windows 教育版 A3、A5
  • 每个用户的 Windows VDA
  • 附带软件保障(按用户或按设备)的远程桌面服务 (RDS) 客户端访问许可证 (CAL)
  • RDS 用户订阅许可证。
  • Windows Server 2022 RDS 订阅者访问许可证 (SAL)。

按用户访问定价不适用于 Windows Server 操作系统。

若要详细了解可以使用的许可证(包括按用户访问定价),请参阅对 Azure 虚拟桌面进行许可

重要

如果是 Azure,你可以使用 Microsoft 在 Azure 市场中提供的操作系统映像,或者创建存储在 Azure Compute Gallery 中或存储为托管映像的自有自定义映像。 使用 Azure 虚拟桌面的自定义映像模板,可以轻松创建可在部署会话主机虚拟机 (VM) 时使用的自定义映像。 若要详细了解如何创建自定义映像,请参阅:

或者,对于 Azure Stack HCI,可以使用以下来源的操作系统映像:

可以使用以下任一方法从这些映像部署要用作会话主机的虚拟机 (VM):

如果你的许可证使你可以使用 Azure 虚拟桌面,则无需安装或应用单独的许可证,但如果对外部用户使用按用户访问定价,则需要注册 Azure 订阅。 需要确保在 Azure 中正确分配会话主机上使用的 Windows 许可证,并激活操作系统。 有关详细信息,请参阅将 Windows 许可证应用于会话主机虚拟机

对于 Azure Stack HCI 上的会话主机,你必须先许可并激活虚拟机,然后才能将其与 Azure 虚拟桌面配合使用。 若要激活 Windows 10 和 Windows 11 企业版多会话和 Windows Server 2022 Datacenter Azure Edition,请使用针对 VM 的 Azure 验证。 对于其他所有 OS 映像(例如 Windows 10 和 Windows 11 企业版,以及其他版本的 Windows Server),应继续使用现有的激活方法。 有关详细信息,请参阅在 Azure Stack HCI 上激活 Windows Server VM

注意

为了确保通过最新安全更新来使功能得到继续,请在 2024 年 6 月 17 日之前将 Azure Stack HCI 上的 VM 更新到最新的累积更新。 此更新对于 VM 继续使用 Azure 权益至关重要。 有关详细信息,请参阅 VM 的 Azure 验证

提示

为了简化初始开发和测试期间的用户访问权限,Azure 虚拟桌面支持 Azure 开发/测试定价。 如果在 Azure 开发/测试订阅中部署 Azure 虚拟桌面,最终用户可以在没有单独的许可证权利的情况下连接到该部署,以便执行验收测试或提供反馈。

网络

需要满足几项网络要求才能成功部署 Azure 虚拟桌面。 这样,用户才能连接到他们的桌面和应用程序,同时获得最佳用户体验。

连接到 Azure 虚拟桌面的用户安全地与服务建立反向连接,这意味着无需打开任何入站端口。 默认情况下使用端口 443 上的传输控制协议 (TCP),但 RDP 短路径可用于建立基于直接用户数据报协议 (UDP) 的传输的托管网络公共网络

要成功部署 Azure 虚拟桌面,需要满足以下网络要求:

  • 需要为会话主机创建虚拟网络和子网。 如果在创建主机池的同时创建会话主机,则必须提前为会话主机创建此虚拟网络,这样,该虚拟网络才会显示在下拉列表中。 虚拟网络必须位于会话主机所在的同一 Azure 区域。

  • 如果使用 AD DS 或 Microsoft Entra 域服务,请确保此虚拟网络可以连接到你的域控制器和相关的 DNS 服务器,因为需要将会话主机加入域。

  • 会话主机和用户需要能够连接到 Azure 虚拟桌面服务。 这些连接还在端口 443 上使用 TCP 连接到特定的 URL 列表。 有关详细信息,请参阅所需 URL 的列表。 必须确保这些 URL 未被网络筛选或防火墙阻止,这样,部署才能正常进行并受支持。 如果用户需要访问 Microsoft 365,请确保会话主机可以连接到 Microsoft 365 终结点

也请考虑以下要求:

  • 你的用户可能需要访问托管在不同网络上的应用程序和数据,因此请确保会话主机可以连接到这些网络。

  • 从客户端网络到包含主机池的 Azure 区域的往返时间 (RTT) 延迟应小于 150 毫秒。 若要查看哪些位置的延迟最短,请在 Azure 网络往返延迟统计信息中查找所需的位置。 为了优化网络性能,我们建议在离用户最近的 Azure 区域中创建会话主机。

  • 使用用于 Azure 虚拟桌面部署的 Azure 防火墙来帮助锁定环境并筛选出站流量。

  • 为了帮助保护 Azure 中的 Azure 虚拟桌面环境,建议不要在会话主机上打开入站端口 3389。 Azure 虚拟桌面不需要打开入站端口。 如果必须打开端口 3389 以进行故障排除,我们建议你使用实时 VM 访问。 另外建议不要向会话主机分配公共 IP 地址。

有关详细信息,请参阅了解 Azure 虚拟桌面网络连接

注意

为了让 Azure 虚拟桌面保持可靠且可缩放,我们会聚合流量模式和使用情况,以检查基础结构控制平面的运行状况和性能。 我们会从存在服务基础结构的所有位置聚合此信息,然后将其发送到美国区域。 发送到美国区域的数据包括清理数据,但不包括客户数据。 有关详细信息,请参阅 Azure 虚拟桌面的数据位置

会话主机管理

管理会话主机时,请考虑以下要点:

  • 不要启用任何禁用 Windows Installer 的策略或配置。 如果禁用 Windows Installer,则该服务将无法在你的会话主机上安装代理更新,并且会话主机将无法正常运行。

  • 如果要将会话主机加入 AD DS 域并使用 Intune 管理它们,则需要配置 Microsoft Entra Connect 以启用 Microsoft Entra 混合加入

  • 如果要将会话主机加入 Microsoft Entra 域服务域,则无法使用 Intune 对其进行管理。

  • 如果对会话主机使用 Microsoft Entra 联接和 Windows Server,则无法在 Intune 中对其进行注册,因为 Intune 不支持 Windows Server。 需要在每个会话主机上使用 Active Directory 域中的 Microsoft Entra 混合加入和组策略,或者使用本地组策略。

Azure 区域

可以在以下 Azure 区域部署主机池、工作区和应用程序组。 在这一系列区域中,可以存储主机池的元数据。 不过,当使用 Azure Stack HCI 上的 Azure 虚拟桌面时,用户会话的会话主机可以位于任何 Azure 区域以及位于本地,使你能够将计算资源部署到靠近用户的位置。 有关数据和位置类型的详细信息,请参阅 Azure 虚拟桌面的数据位置

  • 澳大利亚东部
  • 加拿大中部
  • 加拿大东部
  • 印度中部
  • 美国中部
  • 美国东部
  • 美国东部 2
  • 日本东部
  • 美国中北部
  • 北欧
  • 美国中南部
  • 英国南部
  • 英国西部
  • 美国中西部
  • 西欧
  • 美国西部
  • 美国西部 2
  • 美国西部 3

Azure 虚拟桌面也可在主权云(例如美国政府的 Azure 和中国的由世纪互联运营的 Azure)中使用。

要详细了解 Azure 虚拟桌面服务的体系结构和复原能力,请参阅 Azure 虚拟桌面服务体系结构和复原能力

远程桌面客户端

你的用户需要远程桌面客户端来连接到桌面和应用程序。 以下客户端支持 Azure 虚拟桌面:

重要

Azure 虚拟桌面不支持从 RemoteApp 和桌面连接 (RADC) 客户端或远程桌面连接 (MSTSC) 客户端进行连接。

若要了解客户端用于连接的 URL 以及必须允许哪些 URL 通过防火墙和 Internet 筛选器,请参阅所需 URL 的列表

后续步骤