已知问题:Windows 365 企业版和前线
以下项是Windows 365 企业版的已知问题。
首次云电脑登录触发器“不可能旅行位置”警报
使用条件访问时,首次登录云电脑的用户可能会触发不可能的旅行位置警报。
解决方案
按照以下步骤调查风险 ,并根据用户的物理位置和云电脑的位置验证活动是否与用户的预期行为匹配。
Windows 365 中的水印支持
水印支持在会话主机上配置,并由远程桌面客户端强制实施。 水印支持设置可以通过组策略(GPO)或 Intune 设置目录进行配置。 QR 码嵌入式内容设置的默认值不允许管理员从云电脑泄露的图像中查找设备信息。
解决方案
确保 QR 码嵌入的内容设置配置为 GPO 中的设备 ID 或用于配置水印支持的 Intune 配置文件的 Intune 设置目录。
有关详细信息,请参阅 Azure 虚拟桌面的管理模板。
使用 iPad 和远程桌面应用访问云电脑时缺少开始菜单和任务栏
当非本地管理员用户使用 iPad 和 Microsoft 远程桌面 应用登录到云电脑时,Windows 11 用户界面中可能缺少开始菜单和任务栏。
解决方案
确保拥有最新版本的远程桌面客户端,可从远程桌面服务和远程电脑的远程桌面客户端中找到该客户端。
此外,还可以使用 Windows 365 登录到云电脑。
还原和自动滚动凭据
向 Active Directory 注册的许多设备可能具有自动更新的计算机帐户密码。 默认情况下,这些密码每 30 天更新一次。 此自动化适用于已加入混合的电脑,但不适用于 Microsoft Entra Native PC。
计算机帐户密码在云电脑上进行维护。 如果云电脑还原到存储了以前密码的点,云电脑将无法登录到域。
有关详细信息,请参阅 计算机帐户密码过程。
游标的可见位置与实际位置偏移
在远程桌面会话中,在文本文件中选择一个位置时,云电脑中的光标与实际位置存在一些偏移量。
可能的原因
在高 DPI 模式下,服务器和云电脑浏览器都缩放游标。 此冲突导致可见光标位置和实际光标焦点之间的偏移量。
解决方案
关闭高 DPI 模式。
Outlook 仅下载一个月的邮件
Outlook 仅下载上一个月的邮件,无法在 Outlook 设置中更改。
解决方案
打开注册表编辑器。
syncwindowsetting删除路径下的注册表项:\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\Cached Mode使用
syncwindowsetting路径下的值1添加注册表项:\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Cached Mode
完成这些步骤后,默认值将为一个月。 但是,可以在 Outlook 设置中更改下载期。
就地 Windows 升级可能会更改计算机名称
将 Windows 10 版本升级到 Windows 11 之间的现有云电脑可能会导致计算机名称更改为前缀为“pps”的名称,同时使 Intune 设备名称保持不变。
解决方案
通过使用未更改的 Intune 设备名称(通过“设备所有设备”>列表或“设备>Windows 365>所有云电脑”列表)在 Microsoft Intune 中查找和管理云电脑。
Windows 365 预配失败
如果满足以下两个条件,则可能会出现 Windows 365 预配失败:
- Desired State Configuration (DSC) 扩展未签名。
- PowerShell 执行策略设置为 GPO 中的 AllSigned 。
解决方案
- 检查 Azure 网络连接(ANC)是否失败,并出现错误“发生内部错误。 虚拟机部署超时。如果是,请查看相关的 GPO。
- 检查 PowerShell 执行策略是否已设置为 AllSigned。 如果是,请删除 GPO 或将 PowerShell 执行策略重置为 “不受限制”。
- 重试 ANC 运行状况检查。 如果检查成功,请重试预配。
云电脑报告不符合合规性策略
以下设备符合性设置报告在 评估云电脑时不适用 :
- 受信任的平台模块 (TPM)
- 要求对设备上的数据存储进行加密
在评估云电脑时,以下设备符合性设置可能会报告为 “不合规 ”:
- 需要 BitLocker
- 要求在设备上启用安全启动。 安全启动功能的云电脑支持现在可供所有客户使用。
解决方案
若要在云电脑上启用安全启动,请参阅 重新预配 特定的云电脑。
若要删除不符合设置,请执行以下作:
- 为所有云电脑创建筛选器。
- 对于评估为云电脑并包含任 一不合规 设置的现有设备符合性策略,请使用此新筛选器从策略分配中排除云电脑。
- 在不合规设置的情况下创建新的设备符合性策略,并使用此新筛选器包括策略分配的云电脑。
单一登录用户在连接尝试期间看到允许远程桌面连接的对话框
启用单一登录时,系统会提示向Microsoft Entra ID 进行身份验证,并在启动与新云电脑的连接时允许远程桌面连接。 Microsoft Entra 在再次提示之前,最多会记住 15 台设备 30 天。 如果看到此对话框,请选择“是”进行连接。
若要防止出现此对话框,可以创建预先考虑的设备组。 按照说明 配置目标设备组 以开始使用。
单一登录用户连接通过 Microsoft Entra 条件访问被拒绝
可能的原因
若要通过单一登录登录,远程桌面客户端在 Microsoft Entra 中请求Microsoft 远程桌面应用的访问令牌,这可能是连接失败的原因。
疑难解答步骤
按照排查登录问题的步骤作。
云电脑锁定时,单一登录用户会立即断开连接
未使用单一登录时,用户可以看到云电脑锁屏界面并输入凭据以解锁其 Windows 会话。 但是,使用单一登录时,云电脑会完全断开会话的连接,以便:
- 用户可以使用无密码身份验证来解锁其云电脑。
- 解锁云电脑时,可以强制实施条件访问策略和多重身份验证。
从非托管设备进行连接时,不要求单一登录用户重新对 Microsoft Entra ID 进行身份验证
使用单一登录时,所有身份验证行为(包括支持的凭据类型和登录频率)都通过 Microsoft Entra ID 驱动。
解决方案
若要通过 Microsoft Entra ID 强制实施定期重新身份验证,请使用 登录频率控制创建条件访问策略。
在 Intune 管理中心的“设备 > 概述”页上看不到云电脑报告
如果在 Intune 管理中心中打开 “使用设备预览 ”设置, “云电脑性能”选项卡 、 “连接质量问题 ”报告的云电脑和 利用率 较低的云电脑不在“ 概述 ”页上。
解决方案
关闭“设备>概述”页右上角的“使用设备预览”切换。
还原或调整大小作后,云电脑停滞在重启循环中
可能的原因
对于 2022 年 7 月之前预配的、使用以下任一项的云电脑,可能会出现此问题:
- Microsoft攻击面减少规则(例如, 在 Microsoft Intune 中使用终结点安全策略管理攻击面减少设置),或
- 在预配后过程中阻止安装语言脚本执行的第三方解决方案。
2022 年 7 月之后预配的云电脑不会遇到此问题。
疑难解答步骤
确定根本原因:
搜索 Windows 事件日志。 如果系统显示以下重新启动事件(1074),请继续执行步骤 2。
The process C:\WINDOWS\system32\wbem\wmiprvse.exe (<CPC Name>) has initiated the restart of computer <CPC Name> on behalf of user NT AUTHORITY\SYSTEM for the following reason: Application: Maintenance (Planned) Reason Code: 0x80040001 Shutdown Type: restart Comment: DSC is restarting the computer.在提升的命令窗口中运行
Get-DscConfigurationStatus。 如果结果显示作业挂起的重新启动,请继续执行步骤 3。在提升的命令窗口中运行
Get-DscConfiguration。 如果结果显示安装语言的 DSC,请继续下一部分。
解决方案
若要停止重启循环,请尝试以下任一选项:
删除 Azure Site Recovery 策略或将策略切换到审核模式,然后将新策略应用到云电脑。
在提升的命令窗口中,运行以下命令以重新启动作业:
Remove-DSCConfiguration -Stage Pending,Current,Previous -Verbose
GCC 高政府客户的云电脑连接问题
某些将资源部署到 microsoft.us 环境的 GCC High 政府客户可能会遇到使用 Web 客户端或 Safari 浏览器连接到其云电脑时出现的问题。
可能的原因
当 Web 客户端或 Safari 浏览器阻止第三方 Cookie 时,会出现此问题。 第三方 Cookie 是由你访问的域以外的域设置的 Cookie。
对于部署到 microsoft.us 环境的 GCC High 客户, microsoft.us Cookie 被 Web 客户端或 Safari 浏览器视为第三方 Cookie。 之所以考虑这一点,是因为 Web 客户端或 Safari 浏览器使用云电脑的域名(不同于 microsoft.us)来确定第一方域。 如果 Web 客户端或 Safari 浏览器阻止第三方 Cookie,它会阻止 microsoft.us Cookie:
- 正在存储。
- 用于身份验证和授权。
因此,无法连接到云电脑会话。
解决方案
允许 Web 客户端设置、Safari 浏览器设置或组策略中的第三方 Cookie microsoft.us 。
此更改允许 Web 客户端或 Safari 浏览器存储并使用 microsoft.us Cookie 连接到云电脑会话。
Windows 安全报告“内存完整性已关闭”。 你的设备可能易受攻击。
Windows 安全报告“内存完整性已关闭”。 你的设备可能易受攻击。
在云电脑的 Windows 系统信息中,你可能还会看到基于虚拟化的安全性(VBS)行显示 “已启用”但未运行。
打开嵌套虚拟化时,可能会导致此问题。 打开嵌套虚拟化时,它需要一个正在运行的嵌套虚拟机监控程序,从而抑制直接内存访问(DMA)保护。 运行 VBS 时,需要 DMA 保护。
解决方案
请确保:
- 已为云电脑关闭嵌套虚拟化。
- 策略启用了 DMA 保护的 VBS。
另一个选项是不需要 VBS 的 DMA,因为它们彼此不兼容。
Microsoft Teams 未强制实施屏幕捕获保护
启用屏幕捕获保护后,Microsoft Windows 365 云电脑上的 Teams 不会强制实施屏幕捕获保护。
疑难解答步骤
确认 WebRTC 版本是最新的。
确认已正确配置屏幕捕获保护策略,以便选择客户端和服务器:
- 登录到 Microsoft Intune 管理中心,选择“设备>配置”,然后选择策略。
- 在“配置设置”下,选择“Windows 组件>远程桌面服务>远程桌面会话主机>Azure 虚拟桌面”,然后确保已设置以下内容:
- 启用屏幕捕获保护 = 启用
- 屏幕捕获保护选项 = 阻止客户端和服务器上的屏幕捕获
Windows 365 范围标记和嵌套组
Windows 365 不支持嵌套安全组。 如果将范围标记应用于嵌套安全组的顶部,则内部嵌套组中的云电脑不会分配作用域标记。
解决方案
将范围标记单独应用于嵌套安全组中的每个组。
Windows 365 不支持编辑单个云电脑的范围标记
Windows 365 用户界面和图形 API 不支持编辑单个云电脑的范围标记。
解决方案
在 Intune 的 “所有设备” 边栏选项卡上编辑单个云电脑的范围标记,以将范围标记关联同步到 Windows 365 服务。
无法编辑自定义图像的范围标记
无法编辑或直接由顶级管理员编辑或直接添加应用于自定义图像的范围标记。
解决方案
当作用域管理员创建自定义映像时,这些自定义映像使用与作用域管理员关联的相同范围标记进行标记。
例如,如果作用域标记为“作用域标记 A”的管理员创建了自定义映像,则创建的自定义映像会自动标记为“作用域标记 A”。
最新Windows 365 云电脑库映像中缺少 WebRTC 重定向程序服务
云电脑库映像的 2024 年 5 月 21 日更新缺少 WebRTC 重定向程序服务。 如果没有此组件,Teams 媒体重定向将不起作用。
这适用于以下库映像:
- 具有 Microsoft 365 应用的 Windows 11 23H2
- 具有 Microsoft 365 应用的 Windows 11 22H2
疑难解答步骤
对于新预配的云电脑,请验证 WebRTC 是否可用。 如果没有,可以使用以下任一选项:
若要将 WebRTC 重定向程序服务应用添加到默认情况下要安装到云电脑上的应用列表,请按照将Microsoft 365 应用版添加到具有 Microsoft Intune 的 Windows 10/11 设备中的步骤作。
若要将 WebRTC 重定向程序服务应用添加到单个云电脑,请按照安装远程桌面 WebRTC 重定向程序服务中的步骤作。 若要获取最新的安装程序,请使用以下链接: https://aka.ms/msrdcwebrtcsvc/msi
Windows 365 前线问题
以下是 Windows 365 Frontline 的问题:
重置后,用户必须等待大约 90 秒
当用户在共享模式下的 Frontline 云电脑上执行 “重置” 作时, “连接” 按钮灰显约 90 秒。 在此期间,用户无法连接到另一台 Frontline 云电脑。
用户可以在共享模式下连接到 Frontline Cloud PC 时选择“连接”
当用户连接到 Frontline 云电脑时,Windows 应用中的“连接”按钮将保持蓝色且可单击。 如果用户选择“连接”,则打开一个新窗口并连接。 上一个窗口将保持打开状态,并显示新的连接通知对话框。