Azure 虚拟桌面的先决条件
在开始使用 Azure 虚拟桌面之前需要满足的条件。 在此处可以找到成功为用户提供桌面和应用所要满足的先决条件。
概括而言,你需要:
- 具有活动订阅的 Azure 帐户
- 支持的标识提供者
- 会话主机虚拟机支持的操作系统
具有有效订阅的 Azure 帐户
需要使用一个具有有效订阅的 Azure 帐户来部署 Azure 虚拟桌面。 如果你没有帐户,可以免费创建一个帐户。
若要部署 Azure 虚拟桌面,需要分配相关的 Azure 基于角色的访问控制 (RBAC) 角色。 后续步骤部分中列出的有关部署 Azure 虚拟桌面的每篇文章介绍了具体的角色要求。
此外,请确保为订阅注册了 Microsoft.DesktopVirtualization 资源提供程序。 若要检查资源提供程序的状态并根据需要注册,请选择适用于你的场景的相关选项卡,然后按照以下步骤操作。
重要
必须具有注册资源提供程序的权限,这需要 */register/action 操作。 如果你在自己的订阅中为账户分配参与者或所有者角色,则已拥有此权限。
- 登录到 Azure 门户。
- 选择 订阅。
- 选择你的订阅名称。
- 选择“资源提供程序”。
- 搜索“Microsoft.DesktopVirtualization”。
- 如果状态为 NotRegistered,请选择“Microsoft.DesktopVirtualization”,然后选择“注册”。
- 验证 Microsoft.DesktopVirtualization 的状态是否为“Registered”。
标识
若要从会话主机访问桌面和应用程序,用户需要能够进行身份验证。 Microsoft Entra ID 是 Microsoft 的集中式云标识服务,可以实现此功能。 始终使用 Microsoft Entra ID 对 Azure 虚拟桌面的用户进行身份验证。 可将会话主机加入同一个 Microsoft Entra 租户,或者使用 Active Directory 域服务 (AD DS) 或 Microsoft Entra 域服务将其加入 Active Directory 域,这样你就可以获得灵活的配置选项。
会话主机
你需要将提供桌面和应用程序的会话主机加入与你的用户相同的 Microsoft Entra 租户,或加入 Active Directory 域(AD DS 或 Microsoft Entra 域服务)。
对于 Azure Stack HCI,只能将会话主机加入 Active Directory 域服务域。
若要将会话主机加入 Microsoft Entra ID 或 Active Directory 域,需要以下权限:
- 对于 Microsoft Entra ID,需要一个可将计算机加入你租户的帐户。 有关详细信息,请参阅管理设备标识。 若要了解有关将会话主机加入 Microsoft Entra ID 的详细信息,请参阅 已加入 Microsoft Entra 的会话主机。
- 对于 Active Directory 域,你需要一个可以将计算机加入域的域帐户。 对于 Microsoft Entra 域服务,你需要是 AAD DC 管理员组的成员。
用户
你的用户需要 Microsoft Entra ID 中的帐户。 如果你还要在 Azure 虚拟桌面的部署中使用 AD DS 或 Microsoft Entra 域服务,则这些帐户需为混合标识,这意味着用户帐户会同步。 根据你使用的标识提供者,需要记住以下几点:
- 如果将 Microsoft Entra ID 与 AD DS 配合使用,则需要配置 Microsoft Entra Connect,以便在 AD DS 和 Microsoft Entra ID 之间同步用户标识数据。
- 如果将 Microsoft Entra ID 与 Microsoft Entra 域服务配合使用,则用户帐户将从 Microsoft Entra ID 单向同步到 Microsoft Entra 域服务。 此同步过程是自动的。
使用混合标识时,UserPrincipalName (UPN) 或安全标识符 (SID) 必须在 Active Directory 域服务和 Microsoft Extra ID 之间匹配。 有关详细信息,请参阅支持的标识和身份验证方法。
支持的标识方案
下表汇总了 Azure 虚拟桌面当前支持的标识方案:
| 标识方案 | 会话主机 | 用户帐户 |
|---|---|---|
| Microsoft Entra ID + AD DS | 加入 AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + AD DS | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 | 已加入 Microsoft Entra 域服务 | 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 + AD DS | 已加入 Microsoft Entra 域服务 | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra 域服务 | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步 |
| 仅限 Microsoft Entra | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 中 |
有关支持的标识方案(包括单一登录和多重身份验证)的更多详细信息,请参阅支持的标识和身份验证方法。
FSLogix 配置文件容器
要在将会话主机加入 Microsoft Entra ID 时使用 FSLogix 配置文件容器,需要将配置文件存储在 Azure 文件存储或 Azure NetApp 文件中,并且用户帐户必须为混合标识。 必须在 AD DS 中创建这些帐户并将其同步到 Microsoft Entra ID。
部署参数
部署会话主机时,需要输入以下标识参数:
- 域名(如果使用 AD DS 或 Microsoft Entra 域服务)。
- 用于将会话主机加入域的凭据。
- 组织单位 (OU),这是一个可选参数,让你可以在部署时将会话主机放入所需的 OU 中。
重要
用于加入域的帐户无法启用多重身份验证 (MFA)。