托管计算机

托管计算机允许您构建、测试和运行有人参与和无人参与的桌面流,而无需提供或设置任何物理计算机。

您可以直接通过 Power Automate 门户创建托管计算机。 Power Automate 将根据您的配置自动预配 Windows 计算机,并将其注册到您的环境。 访问 Power Automate 门户中的托管计算机,并开始在几分钟之内构建桌面流。 托管计算机使用 Windows 365 进行预配和访问。

以下是您可以使用托管计算机执行的一些重点操作:

  • 使用 Power Automate 桌面版构建和测试桌面流。
  • 运行有人参与和无人参与的桌面流。
  • 要分配您的自动化工作负载,请将托管计算机分配到计算机组

主要功能:

  • 工作或学校帐户集成:允许访问链接到您的组织的商业计划中的资源,例如 Office SharePoint 和 Azure。

  • 托管计算机的普通或自定义 VM 映像:使用 Microsoft 提供的普通虚拟机 (VM) 映像,或者通过直接从 Azure Compute Gallery 提供你自己的 Windows 映像来个性化托管计算机。 提供您自己的 Windows 映像允许您将所有应用程序安装在已预配的托管计算机上。

  • 连接到您自己的虚拟网络:安全地相互通信、Internet 通信以及本地网络通信。

    备注

    • 登录访问权限仅对托管的计算机创建者可用。
    • 您可以使用与托管计算机创建者不同的工作或学校账户运行无人参与 桌面流,前提是您在托管计算机上添加账户。

许可要求

要使用托管计算机,您需要 Power Automate 托管流程许可证(以前为 Power Automate 托管 RPA 附件)。 为您的环境分配与您希望在环境中运行的托管计算机数量一样多的容量。

您还需要以下必备许可证:Windows、Intune 和 Microsoft Entra ID。

备注

托管流程为计算机而不是用户提供许可。 高级用户计划是运行有人参与 RPA 以及 RPA 开发人员在 Power Automate 门户上构建和管理桌面流所必需的。 要了解高级用户计划附带的高级 RPA 功能的更多信息,请访问高级 RPA 功能

用于评估的试用许可证

要评估托管计算机,您需要以下试用许可选项之一:

  • 使用 Power Automate 托管流程许可证

    Power Automate 托管 RPA 附加产品的试用版可持续 30 天,并且可以延期一次,总共 60 天。 组织管理员可以从 Microsoft 365 管理中心获得多达 25 个用户许可证,将这些 Power Automate Premium(以前是 Power Automate 每用户计划,包含有人参与 RPA)试用分配给 25 个单独的制作者,并将托管 RPA 附加产品分配给目标环境。

  • 使用 90 天自助高级试用版。

    试用用户被授予每个租户一台主机的容量。 要启动试用版,请在 Power Automate 门户Power Automate 定价页或桌面流页面中的 Power Automate Premium 下选择免费试用

    备注

    基于 90 天自助高级试用版的托管计算机容量已被暂时禁用,直至另行通知。

先决条件

本节介绍创建和使用托管计算机的所有先决条件。

Microsoft Entra 和 Intune 要求

  • 一个有效且可用的 Intune 和 Microsoft Entra 租户。
  • 确保将 Intune 设备类型注册限制设置为允许使用 Windows (BMA) 平台进行企业注册

要查找有关 Microsoft Entra 和 Intune 要求的更多信息,请转到 Windows 365 要求

Windows 365 云 PC 和 Azure 虚拟桌面服务主体

备注

应会在租户中自动创建 Windows 365 和 Azure 虚拟桌面服务主体。 您可以跳过此步骤,除非您在预配托管计算机时遇到租户中未创建服务主体的错误。

  1. 验证 Windows 365 服务主体是否已经创建:

    1. 登录到 Azure 门户

    2. 导航至 Microsoft Entra>企业应用程序>所有应用程序

    3. 删除筛选器应用程序类型 == 企业应用程序

    4. 用 Windows 365 应用程序 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5 填充筛选器应用程序 ID 的开头为

      如果在 Microsoft Entra 中预配了服务主体,该页面应类似以下屏幕截图:

      Microsoft Entra ID 中 Enterprise 应用程序的屏幕截图。

      如果应用程序与所呈现的屏幕截图类似,则无需执行任何额外步骤。 但是,如果应用程序没有显示,则必须创建服务主体。

  2. 创建 Windows 365 服务主体。

    您可以从 Azure 命令行接口 (CLI) 使用 az ad sp create 命令创建 Azure 服务主体。

    az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
    
  3. 创建与 Azure 虚拟桌面相关的其他服务主体。

    若要创建托管计算机,您必须在租户内创建以下 Azure 虚拟桌面服务。

    应用程序名称 Application ID
    Azure 虚拟桌面 9cdead84-a844-4324-93f2-b2e6bb768d07
    Azure 虚拟桌面客户端 a85cf173-4192-42f8-81fa-777a763e6e2c
    Azure 虚拟桌面 ARM 提供程序 50e95039-b200-4007-bc97-8d5790743a63

    按照与创建 Windows 365 应用程序相同的说明检查和创建服务主体。

获取默认 VM 映像的访问权限

要创建托管计算机,您需要访问作为您环境一部分的默认映像。 您可以在监视>计算机>VM 映像中查看默认映像。

VM 映像列表中默认 VM 映像的屏幕截图。

用户需要系统管理员桌面流计算机映像管理员角色,以查看和管理默认映像。 对于其他用户,系统管理员桌面流计算机映像管理员需要先与他们共享默认映像 ,然后才能使用它。

共享默认映像

  1. 登录到 Power Automate

  2. 转到监视>计算机>VM 映像

  3. 从列表中选择默认 Windows 桌面映像。

  4. 选择管理访问权限

  5. 选择添加人员,然后输入组织中您要与之共享映像的人员的姓名。

  6. 选择人员的姓名,并选择用户可以访问计算机的权限。

  7. 选择保存

VM 映像的“管理访问权限”对话的屏幕截图。

创建托管的计算机

要创建托管的计算机,请执行以下操作:

  1. 登录到 Power Automate

  2. 转到监视>计算机

  3. 选择新建>托管计算机

  4. 在托管计算机创建向导中:

    1. 输入托管的计算机的名称,并添加说明(可选)。

    2. 选择要用于托管的计算机的 VM 映像。 可以使用推荐的名为默认 Windows 桌面映像的默认 Windows 11 映像。 如果您没有看到它,请确保您已按照先决条件中所述的步骤进行了操作。

      或者,您也可以选择已与您的帐户共享的自定义 VM 映像

    3. 您也可以选择希望为托管计算机预配的自定义网络连接。 否则,您将会自动连接到 Microsoft 托管网络。

    4. 查看并创建托管的计算机。

托管计算机创建向导的屏幕截图。

备注

需要预配托管计算机的时间因托管计算机的配置而异。 计算机可能需要 30 多分钟才能准备好访问。

访问托管的计算机

  1. 登录到 Power Automate

  2. 转到监视>计算机

  3. 选择计算机选项卡

  4. 从计算机列表中选择您的托管计算机。

  5. 在计算机详细信息页中,您应该观察以下详细信息:

    • 机器类型: 托管计算机
    • 连接状态: 已连接
    • 机器状态: 活动

    托管的计算机详细信息的屏幕截图。

  6. 选择在浏览器中打开

  7. 浏览器中的新选项卡应该会打开并加载托管的计算机的访问权限。 使用您的工作或学校帐户登录。

  8. 托管的计算机已预先注册到 Power Automate 环境。

    Power Automate 计算机运行时应用程序的屏幕截图。

为托管计算机使用自定义 VM 映像

您可以通过直接从 Azure Compute Gallery 提供您自己的 Windows 映像来个性化您的托管计算机。 该功能允许您将所有应用程序安装在托管计算机中。

  1. 转到 Azure 门户

  2. 创建一个新的 Azure Compute Gallery,并在共享选项卡中,选择基于角色的访问控制 (RBAC)

  3. 选择查看 + 创建,在验证所有设置后,选择创建

  4. 创建 Azure Compute Gallery 后,您可以按照创建映像定义和映像版本中的步骤创建映像定义。 您应该在部署托管计算机的确切位置创建映像。 您可以在您的环境地理位置中找到以下映射:

  • 澳大利亚:澳大利亚东部
  • 亚洲:东亚
  • 巴西:巴西南部
  • 加拿大:加拿大中部
  • 欧洲:北欧
  • 法国:法国中部
  • 德国:德国中西部(受限,将您的请求发送到 hostedrpa@microsoft.com)
  • 印度:印度中部
  • 日本:日本东部
  • 韩国:韩国中部
  • 挪威:挪威东部
  • 瑞士:瑞士北部
  • 阿拉伯联合酋长国:阿拉伯联合酋长国北部
  • 英国:英国南部
  • 美国:美国东部

图像要求

自定义 VM 映像必须满足以下要求:

  • Windows 10 Enterprise 20H2 或更高版本
  • Windows 11 Enterprise 21H2 或更高版本
  • 第二代图像
  • 通用 VM 映像
  • 单会话虚拟机映像(不支持多会话)
  • 没有恢复分区。 若要查找有关如何删除恢复分区的更多信息,请转到 Windows Server 命令:删除分区
  • 默认的 64 GB OS 磁盘大小。 OS 磁盘大小自动调整为 256 GB
  • 映像定义必须启用可信启动作为安全类型

与 Windows 365 服务主体共享 Azure 订阅的读者权限

要将 VM 映像用于托管计算机,您需要授予 Windows 365 服务主体以下权限:

  • Azure 订阅的读者权限。

上传自定义映像时,您必须使用订阅所有者或管理员帐户登录。

在 Power Automate 中使用映像之前的最后一步是与 Power Automate 制造商共享映像。

  1. Azure 门户中,转到您的 Azure Compute Gallery。

  2. 转到访问控制 (IAM) 设置。

  3. 选择添加> 添加角色分配

  4. 至少为要与之共享库的 Power Automate 制作者分配读者访问权限。 然后选择下一步

  5. 选择选择成员,搜索您要与之共享的 Power Automate 制作者。

  6. 选择要添加的所有成员后,您可以查看权限和用户并进行分配。

添加新的自定义 VM 映像

  1. 登录到 Power Automate

  2. 转到监视>计算机

  3. 选择新建>VM 映像

  4. 输入 VM 映像名称、描述和用法。

    • VM 映像名称: 用于标识映像的唯一名称。
    • VM 映像说明: 图像的可选描述。
    • 如果您希望映像同时适用于托管计算机和托管计算机组,请使用 with: 选择 either 托管计算机 or Both
  5. 选择您可以从 Azure Compute Gallery 访问的映像之一。

    VM 映像的屏幕截图。

    备注

    • 需要在与托管计算机相同的 Azure 区域中复制映像。
    • 可用映像列表可能因您选择的用途而异。

共享映像

  1. 登录到 Power Automate

  2. 转到监视>计算机>VM 映像

  3. 选择您创建的映像。

  4. 选择管理访问权限

  5. 选择添加人员,然后输入组织中您要与之共享映像的人员的姓名。

  6. 选择人员的姓名,并选择用户可以访问映像的权限。

  7. 选择保存

VM 映像的“管理访问权限”对话的屏幕截图。

备注

当用户不再属于某个环境时,您可以继续将该用户视为已停用。 如果映像与停用用户共享,您将在映像的管理访问权限部分收到通知。 在这种情况下,删除它们的访问权限。

为您托管的计算机使用自定义虚拟网络

您可以使用托管计算机连接到您自己的虚拟网络,以安全地相互通信、与 Internet 和您的本地网络通信。 从您的 Azure 订阅提供您自己的虚拟网络允许您托管的计算机自动配置您的虚拟网络。

备注

每个租户最多可以配置 30 个自定义虚拟网络。

一般网络要求

要将您自己的网络与托管计算机一起使用,您必须满足以下要求:

需要在与托管计算机相同的位置创建虚拟网络。 您可以在您的环境地理位置中找到以下映射:

  • 澳大利亚:澳大利亚东部
  • 亚洲:东亚
  • 巴西:巴西南部
  • 加拿大:加拿大中部
  • 欧洲:北欧
  • 法国:法国中部
  • 德国:德国中西部(受限,将您的请求发送到 hostedrpa@microsoft.com)
  • 印度:印度中部
  • 日本:日本东部
  • 韩国:韩国中部
  • 挪威:挪威东部
  • 瑞士:瑞士北部
  • 阿拉伯联合酋长国:阿拉伯联合酋长国北部
  • 英国:英国南部
  • 美国:美国东部

混合加入的托管计算机的其他 Microsoft Entra 要求

要使用您自己的网络并预配 Microsoft Entra 混合加入的计算机,您必须满足以下要求:

域需求

  • 您必须配置基础架构,以便域加入本地 Active Directory 的任何设备可实现自动 Microsoft Entra 混合加入。 此 配置允许在云中识别和管理它们
  • Microsoft Entra 混合加入的托管计算机需要定期与您的内部域控制器进行网络通信。 如果不进行此连接,设备将无法使用。 有关更多信息,请参阅规划您的 Microsoft Entra 混合加入部署
  • 如果指定了组织单位,请确保其存在并且有效。
  • 一个 Active Directory 用户帐户,具有足够的权限将计算机加入 Active Directory 域中的指定组织单位。 如果不指定组织单位,用户帐户必须有足够的权限将计算机加入 Active Directory 域。
  • 作为托管计算机创建者的用户帐户必须在 Active Directory 和 Microsoft Entra ID 中具有可用的同步身份。

角色和身份要求

托管计算机用户必须配置有混合身份,以便他们可以使用内部和云中的资源进行身份验证。

DNS 要求

作为 Microsoft Entra 混合加入要求的一部分,托管计算机必须能够加入本地 Active Directory。 这要求托管的计算机能够为您的本地 AD 环境解析 DNS 记录。 配置您的 Azure Virtual Network,其中托管的计算机按如下方式配置:

  1. 确保您的 Azure 虚拟网络与可以解析 Active Directory 域的 DNS 服务器具有网络连接。
  2. 在 Azure 虚拟网络的设置中,选择 DNS 服务器,然后选择“自定义”。
  3. 输入可以解析您的 AD DS 域的 DNS 服务器的 IP 地址。

与 Windows 365 服务主体共享虚拟网络

若要将虚拟网络用于托管计算机,需要授予 Windows 365 服务主体以具有以下权限:

  • Azure 订阅的读者权限
  • 对指定资源组的 Windows 365 网络接口参与者权限
  • 虚拟网络上的 Windows 365 网络用户权限

备注

对于 2023 年 11 月 26 日之前创建的虚拟网络,网络参与者角色用于对资源组和虚拟网络应用权限。 新的 RBAC 角色具有更具体的权限。 若要手动删除现有角色并添加新角色,请参阅下表,了解每个 Azure 资源上使用的现有角色。 在删除现有角色之前,请确保已分配更新的角色。

Azure 资源 现有角色(2023 年 11 月 26 日之前) 更新的角色(2023 年 11 月 26 日之后)
Resource group 网络参与者 Windows 365 网络接口参与者
虚拟网络 网络参与者 Windows 365 网络用户
预订 读者 读者

与 Power Automate 制作者共享虚拟网络

在能够从 Power Automate 引用您的虚拟网络之前,最后一步是与 Power Automate 制作者共享虚拟网络。

  1. 转到 Azure 门户

  2. 在 Azure 门户中,转到您的虚拟网络

  3. 转到访问控制 (IAM) 设置。

  4. 选择添加> 添加角色分配

  5. 为要与之共享虚拟网络的 Power Automate 制作者至少分配读者访问权限。 然后选择下一步

  6. 选择选择成员,搜索您要与之共享的 Power Automate 制作者。

  7. 选择要添加的所有成员后,您可以查看权限和用户并进行分配。

添加新网络连接

  1. 登录到 Power Automate

  2. 转到监视>计算机

  3. 选择新建>网络连接

  4. 输入网络连接名称、说明和用途。

    • 网络连接名称: 用于标识网络连接的唯一名称。
    • Description: 网络连接的可选描述。
  5. 选择Azure 中提供的满足网络要求的 Azure 虚拟网络

  6. 选择托管计算机使用的子网

  7. 选择计算机使用的域加入类型

  8. 如果选择了 'Microsoft Entra hybrid join' ,则需要以下信息:

    • DNS 域名 :要用于连接和预置托管计算机的 Active Directory 域的 DNS 名称。 例如,corp.contoso.com。
    • 组织单位 (可选): 组织单位 (OU) 是 Active Directory 域中的容器,可以容纳用户、组和计算机。 确保此 OU 已启用,可与 Microsoft Entra Connect 同步。 如果此 OU 没有同步,配置会失败。
    • 用户名 UPN :用户主体名称 (UPN) 格式的用户名,用于将托管计算机连接到 Active Directory 域。 例如,svcDomainJoin@corp.contoso.com。 此服务帐户必须拥有将计算机加入域和目标 OU(如有设置)的权限。
    • Domain password :用户的密码。

    备注

    使用混合加入域加入类型准备金新的网络连接 Microsoft Entra 需要 10-15 分钟。

“新建网络连接”对话框的屏幕截图。

共享网络连接

  1. 登录到 Power Automate

  2. 转到监视>计算机>网络连接

  3. 选择您创建的网络连接。

  4. 选择管理访问权限

  5. 选择添加人员,然后输入组织中您要与之共享网络连接的人员的姓名。

  6. 选择人员的姓名,并选择用户可以访问网络连接的权限。

  7. 选择保存

“管理网络连接的访问权限”的屏幕截图。

备注

当用户不再属于某个环境时,您可以继续将该用户视为已停用。 如果网络连接与停用用户共享,您将在网络连接的管理访问权限部分收到通知。 在这种情况下,删除它们的访问权限。

查看托管计算机的列表

在环境中创建托管计算机后,您可以在 Power Automate 门户中查看其详细信息。

  1. 登录到 Power Automate
  2. 转到监视>计算机
  3. 选择计算机

该列表包含托管计算机和标准计算机。 对于列表内的每一项,您可以查看:

  • 计算机的名称。
  • 计算机的说明。
  • 计算机的 Power Automate 桌面版版本
  • 它所属的计算机组(如果它在计算机组中)。
  • 计算机中运行的流数量。
  • 在计算机中排队的流的数量。
  • 对计算机具有的访问权限类型。
  • 计算机的负责人。

Power Automate 门户中托管计算机列表的屏幕截图。

选择列表中的托管计算机将带您进入托管计算机详细信息页面,在那里,您将能够:

  • 查看和编辑计算机的详细信息。
  • 访问计算机。
  • 将计算机添加到计算机组。
  • 监视运行队列。
  • 查看过去的运行。
  • 列出引用计算机的现有连接。
  • 查看计算机上的预配错误(如果有)。
  • 管理计算机的访问权限。
  • 删除计算机。

托管的计算机详细信息页面的屏幕截图。

共享托管的计算机

您可以与其他用户共享托管的计算机,以便他们可以使用其中的创建者连接运行桌面流。 要共享托管计算机,请执行以下操作:

  1. 登录到 Power Automate

  2. 转到监视>计算机

  3. 选择计算机选项卡。

  4. 选择列表中的托管计算机并导航到该计算机的详细信息页。

  5. 选择管理访问权限

  6. 输入您要与之共享托管计算机的用户名或电子邮件,选择您要添加的用户。

  7. 对于每个用户,您可以授予不同的权限:用户共同负责人

    用户 权限仅允许目标用户在选定的托管计算机上运行桌面流。 共同负责人还可以编辑托管计算机详细信息。

备注

  • 登录访问权限仅对托管的计算机创建者可用。
  • 您可以使用与托管计算机创建者不同的工作或学校帐户运行无人参与 桌面流,前提是您在 托管计算机 上添加该帐户。
  • 当用户不再属于某个环境时,您可以继续将该用户视为已停用用户。 如果托管计算机与停用用户共享,您将在托管计算机的管理访问权限部分收到通知。 在这种情况下,删除它们的访问权限。

在托管计算机上运行桌面流

Power Automate 使您能够像在标准计算机中一样触发托管计算机上的桌面流。 若要实现此功能,您需要到托管计算机的桌面流连接

要查找有关从云端流触发桌面流的更多信息,请转到从云端流触发桌面流

备注

如果您打算使用默认虚拟机 (VM) 映像选项在托管计算机上运行无人参与桌面流,您需要在计算机上禁用网络级身份验证

重新启动托管计算机

Power Automate 使您能够从 Power Automate 门户重新启动托管的计算机。 要重新启动托管的计算机:

  1. 登录到 Power Automate

  2. 转到监视>计算机

  3. 选择计算机选项卡。

  4. 选择列表中的托管计算机并导航到该计算机的详细信息页。

  5. 选择重启计算机

备注

托管计算机重新启动可能需要几分钟才能完成。 请等待几分钟,然后尝试访问托管计算机

重启托管计算机功能的屏幕截图。

基于安全角色的权限

托管计算机权限和角色是基于桌面流计算机管理权限和角色的迭代。 托管计算机组将遵循与常规组相同的规则和特权。

托管计算机和特权的创建

本节介绍托管计算机的权限。

环境创建者角色

默认情况下,环境创建者角色可以在环境中创建托管计算机。 需要特权才能使用托管计算机的实体是:

  • 流计算机
  • 流计算机组
  • 流计算机映像
  • 流计算机网络(如果对托管计算机使用自定义虚拟网络)

环境创建者角色可以创建和共享自定义 VM 映像,因为这些操作需要在流计算机映像上具有创建和追加特权。

环境创建者角色可以创建和共享自定义虚拟网络,因为这些操作需要在流计算机网络上具有创建和追加特权。

管理员还可以使用作为桌面流一部分提供的角色。 您可以在管理计算机中查找有关桌面流安全角色的更多信息。

环境创建者角色权限的屏幕截图。

桌面流计算机负责人角色

默认情况下,桌面流计算机负责人可以创建托管计算机,但不能创建自定义 VM 映像或自定义虚拟网络。 他们只能在自己的托管计算机中使用以前共享的自定义 VM 映像自定义虚拟网络

桌面流计算机负责人角色的权限的屏幕截图。

桌面流计算机配置管理员角色

桌面流计算机配置管理员角色仅对流计算机映像流计算机网络实体具有完全特权。 特别是,它允许具有此角色的用户共享/取消共享 VM 映像和虚拟网络,以用于在环境中创建的托管计算机。 您可以在创建托管计算机中找到有关共享提前预配的 VM 映像和虚拟网络的更多信息。

桌面流计算机配置管理员角色的权限的屏幕截图。

托管计算机的限制

本节介绍托管计算机的限制。

地理区域可用性/限制

以下列表显示了公有云中所有受支持的 Power Platform 地理区域:

  • 澳大利亚
  • 亚洲
  • 巴西
  • 加拿大
  • 欧洲
  • 法国
  • 德国(受限,请将您的请求发送到 hostedrpa@microsoft.com)
  • 印度
  • 日本
  • 韩国
  • 挪威
  • 瑞士
  • 阿拉伯联合酋长国
  • 英国
  • 美国

备注

托管计算机在主权云中尚不可用。

公有云中的 Azure 租户国家/地区和支持的地理区域

托管计算机将有限的元数据存储在租户所在国家/地区的地理区域中,此区域可能与您的 Power Automate 环境区域不同。 默认情况下,启用了托管计算机跨地域支持。 系统管理员和环境管理员可以从 Power Platform 管理中心禁用或启用该功能。

  1. 登录 Power Platform 管理中心

  2. 转到环境,并选择合适的环境。

  3. 选择设置>功能

  4. 托管 RPA 下面,选择为托管计算机启用跨地域支持切换开关以禁用或启用此功能。

    Power Platform 管理中心中的“为托管计算机启用跨地域支持”选项的屏幕截图。

  5. 选择保存

备注

当您的租户在 Azure 上的国家或地区不属于您的 Power Automate 环境的同一区域范围时,在环境级别禁用此功能将限制托管计算机的创建。 若要检查 Azure 上的租户国家/地区,请执行以下操作:

  1. 转到 Azure 门户

  2. 打开租户属性服务。 国家或地区或区域可用作属性之一。

    国家/地区或区域租户属性的屏幕截图。

删除未使用的资源

对于没有 Power Automate 托管 RPA 容量的环境,我们会清理未使用的资源,以确保我们的服务可供所有人使用。 可能会自动删除已停用 14 天的托管计算机。 已删除的托管计算机仍然可见,但不能再使用。 停用的托管计算机是最近 14 天没有运行任何流并且没有使用 Power Automate 桌面版的计算机。

备注

您需要删除停用的托管计算机,并重新创建一台新的计算机,以继续使用托管计算机功能。 您需要重新配置与云端流关联的连接。

托管计算机疑难解答

若要查找有关如何对托管计算机进行疑难解答的信息,请转到托管计算机疑难解答