将 Azure 虚拟桌面与 Intune 配合使用
Azure 虚拟桌面 是在 Azure Microsoft上运行的桌面和应用虚拟化服务。 最终用户可以从任何设备安全连接到完整的桌面。 利用 Microsoft Intune,你可以在 Azure 虚拟桌面 VM 注册后,通过策略和应用进行大规模的保护和管理。
先决条件
目前,对于单会话,Intune 支持 Azure 虚拟桌面 VM,其中包括:
- 运行Windows 10 企业版版本 1809 或更高版本,或运行Windows 11。
- 在 Azure 中设置为个人远程桌面的设备。
-
Microsoft Entra混合联接并使用下列方法之一在 Intune 中注册:
- 将 Active Directory 组策略配置为自动注册Microsoft Entra混合联接的设备。
- Configuration Manager 共同管理。
- 用户通过Microsoft Entra加入进行自我注册。
- Microsoft Entra通过启用在 Azure 门户 中使用Intune注册 VM,在 Intune 中加入和注册。
- 与 Intune 在同一租户下
有关 Azure 虚拟桌面许可要求的详细信息,请参阅什么是 Azure 虚拟桌面?。
有关使用多会话远程桌面的信息,请参阅 Windows 10 或 Windows 11 企业版多会话远程桌面。
Intune 将 Azure 虚拟桌面个人 VM 视为与 Windows 10 或 Windows 11 企业版物理桌面相同。 此处理允许使用某些现有配置,并使用合规性策略和条件访问保护 VM。 Intune 管理不依赖于同一虚拟机的 Azure 虚拟桌面管理,也不干扰其管理。
限制
在管理 Windows 10 企业版远程桌面时,需要注意一些限制:
配置
使用 Windows 10 虚拟机中列出的所有 VM 限制也适用于 Azure 虚拟桌面 VM。
此外,目前不支持以下配置文件:
请确保未禁用 RemoteDesktopServices/AllowUsersToConnectRemotely 策略。
注意
目前 Azure 虚拟桌面 VM 不支持安全启动和利用 vTPM(虚拟可信平台模块)的功能的配置和合规性策略。
克隆物理设备和虚拟设备
Intune不支持使用已注册的计算机的克隆映像。 这包括物理设备和虚拟设备,例如 Azure 虚拟桌面 (AVD) 。 在设备之间复制设备注册或标识令牌时,Intune设备注册或同步失败。
- 有关详细信息,请参阅移动设备注册 - Windows 客户端管理和证书身份验证设备注册 - Windows 客户端管理。
- 有关在 AVD 中禁用令牌漫游的信息,请参阅将 Azure 虚拟桌面多会话与 Microsoft Intune 配合使用。
- 有关排查与映像克隆相关的问题的信息,请参阅 错误小时0x8007064c:计算机已注册。
远程操作
Azure 虚拟桌面 VM 不支持/不建议采取以下 Windows 10 桌面设备远程操作:
- Autopilot 重置
- BitLocker 密钥轮换
- 全新启动
- 远程锁定
- 重置密码
- 擦除
退休
从 Azure 中删除 VM 会将孤立的设备记录保留在 Intune 中。 它们将根据为租户配置的清理规则自动 清理 。
已知问题
下表提供了一组已知问题以及每个问题的详细信息。
| 问题 | 更多信息 |
|---|---|
| 如果租户有多个 MDM 提供程序,则无法自动注册 | 此问题将在未来得到解决。 |
| 如果配置了 FSLogix,则新式应用(例如通用 Windows 平台 (UWP) 应用)无法正常工作 | 使用 FSLogix 和新式应用可能会导致兼容性问题。 建议在配置 FSLogix 时不要配置新式应用。 |