通过

已知问题:Windows 365 企业版和前线

  • 项目

以下项目是 Windows 365 企业版的已知问题。

首次云电脑登录触发器不可能的旅行位置警报

使用条件访问时,首次登录到云电脑的用户可能会触发不可能的旅行位置警报。

故障排除步骤按照以下步骤调查风险 ,根据用户的物理位置和云电脑的位置,验证活动是否与用户的预期行为匹配。

Windows 365 中的水印支持

水印支持在会话主机上配置,并由远程桌面客户端强制实施。 可以通过组策略 (GPO) 或Intune设置目录配置水印支持设置设置。 QR 码嵌入内容设置的默认值不允许管理员从云电脑泄露的图像中查找设备信息。

故障排除步骤:确保将 QR 码嵌入内容设置配置为 GPO 或用于配置水印支持的Intune配置文件的Intune设置目录中的设备 ID

有关详细信息,请参阅 Azure 虚拟桌面的管理模板

使用 iPad 和远程桌面应用访问云电脑时缺少开始菜单和任务栏

当非本地管理员用户通过使用 iPad 和 Microsoft 远程桌面应用登录到云电脑时,Windows 11 用户界面中可能缺少“开始”菜单和任务栏。

故障排除步骤:确保你具有可在 此处 找到的最新版本的远程桌面客户端。 此外,还可以通过使用 windows365.microsoft.com 登录到云电脑。

还原和自动滚动凭据

许多注册到 Active Directory 的设备可能具有自动更新的计算机帐户密码。 默认情况下,这些密码每 30 天更新一次。 此自动化适用于已加入混合的电脑,但不适用于Microsoft Entra本机电脑。

计算机帐户密码在云电脑上维护。 如果将云电脑还原到存储了以前密码的点,则云电脑将无法登录到域。

有关详细信息,请参阅 计算机帐户密码进程

光标可见位置与实际位置的偏移量

在远程桌面会话中,选择文本文件中的一个位置时,云电脑中的光标与实际位置有一定的偏移量。

可能的原因:在高 DPI 模式下,服务器和云电脑浏览器都会缩放光标。 此冲突会导致可见光标位置与实际光标焦点之间出现偏移。

故障排除步骤:禁用高 DPI 模式。

Outlook 仅下载一个月的邮件

Outlook 仅下载此前一个月的邮件,并且无法在 Outlook 设置中更改此设置。

故障排除步骤

  1. 启动注册表编辑器。
  2. 删除路径 \HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\outlook\cached 模式下的 syncwindowsetting regkey。
  3. 在路径 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Cached 模式下添加值为 1 的 syncwindowsetting regkey。

完成这些步骤后,默认值为一个月。 但可在 Outlook 设置中更改下载时间。

就地 Windows 升级可能会更改计算机名称

将现有云电脑从 Windows 10 版本升级到 Windows 11 可能会导致计算机名称更改为带有“pps”前缀的名称,同时使 Intune 设备名称保持不变。

故障排除步骤:使用未更改Intune设备名称(通过“设备>所有设备”列表或>“设备Windows 365所有云电脑”列表)查找和管理 Microsoft Intune > 中的云电脑

Windows 365 预配失败

Windows 365 预配可能由于以下原因而失败:

  • Desired State Configuration (DSC) 扩展未签名,同时
  • PowerShell 执行策略在组策略对象 (GPO) 中设置为 Allsigned

故障排除步骤

  1. Azure 网络连接 (ANC) 是否失败并出现以下错误:"An internal error occurred. The virtual machine deployment timed out."
  2. 如果是,请查看相关的 GPO。 PowerShell 执行是否设置为 AllSigned?
  3. 如果为是,请删除 GPO 或将 PowerShell 执行重置为 Unrestricted。
  4. 重试 ANC 运行状况检查。 如果检查成功,请重试预配。

云电脑报告不符合合规性策略

在评估云电脑时 ,以下设备合规性设置报告为“不适用”:

  • 受信任平台模块 (TPM)
  • 需要对设备上的数据存储进行加密。

在评估云电脑时,以下设备合规性设置报告为“不兼容”:

  • 需要 BitLocker
  • 要求在设备上启用安全启动。 现在,所有客户都可以使用云电脑对 安全启动 功能的支持。

在云电脑上启用安全启动的故障排除步骤

  1. 重新预配 特定的云电脑。

删除不合规设置的故障排除步骤

  1. 为所有云电脑创建筛选器
  2. 对于评估为云电脑并包含任一“不兼容”设置的任何现有设备合规性策略,请使用此新筛选器从策略分配中排除云电脑。
  3. 创建一个新的设备合规性策略,而不使用任一“不兼容”设置,并使用此新筛选器包含用于策略分配的云电脑。

单一登录用户在连接尝试期间看到允许远程桌面连接的对话框

启用单一登录时,在启动与新云电脑的连接时,将显示一个提示,提示对Microsoft Entra ID进行身份验证并允许远程桌面连接。 在再次提示之前,Microsoft Entra最多会记住 15 台设备 30 天。 如果看到此对话框,请选择“ ”进行连接。

若要防止显示此对话框,可以创建预先同意的设备组。 按照说明 配置目标设备组 以开始使用。

通过Microsoft Entra条件访问拒绝单一登录用户连接

可能的原因:若要通过单一登录登录,远程桌面客户端会向 Microsoft Entra 中的 Microsoft 远程桌面 应用请求访问令牌,这可能是连接失败的原因。

故障排除:若要 排查登录问题,请执行以下步骤。

当云电脑锁定时,单一登录用户立即断开连接

不使用单一登录时,用户可以看到云电脑锁屏界面,并输入凭据来解锁其 Windows 会话。 但是,使用单一登录时,云电脑会完全断开会话的连接,以便:

  1. 用户可以使用无密码身份验证解锁其云电脑。
  2. 解锁云电脑时,可以强制实施条件访问策略和多重身份验证。

从非托管设备进行连接时,不会要求单一登录用户重新进行身份验证Microsoft Entra ID

使用单一登录时,所有身份验证行为 (包括支持的凭据类型和登录频率) 都通过Microsoft Entra ID驱动。

故障排除:若要通过Microsoft Entra ID强制定期重新进行身份验证,请使用登录频率控制创建条件访问策略。

我在Intune管理中心“设备>概述”页上看不到云电脑报告

如果在Intune管理中心中打开了“使用设备预览”设置,“概述”页上不会显示“云电脑性能 (预览) ”选项卡、“连接质量问题云电脑”报表和“低利用率的云电脑”。

故障排除步骤:关闭“设备概述”页右上角的“使用设备>预览”开关。

还原或调整大小操作后,云电脑停滞在重启循环中

可能的原因:对于在 2022 年 7 月之前预配的、使用以下任一方法的云电脑,可能会出现此问题:

  • MSFT 攻击面减少规则 (例如,在 Microsoft Intune 中使用终结点安全策略管理攻击面减少设置 |Microsoft Learn) ,或
  • 在预配后过程中阻止安装语言脚本执行的第三方解决方案。

2022 年 7 月之后预配的云电脑不会遇到此问题。

故障排除步骤:确定根本原因:

  1. 搜索 Windows 事件日志。 如果系统显示以下重新启动事件 (1074) ,请继续执行步骤 2。
The process C:\WINDOWS\system32\wbem\wmiprvse.exe (<CPC Name>) has initiated the restart of computer <CPC Name> on behalf of user NT AUTHORITY\SYSTEM for the following reason: Application: Maintenance (Planned)
Reason Code: 0x80040001
Shutdown Type: restart
Comment: DSC is restarting the computer.
  1. 在提升的命令窗口中运行 Get-DscConfigurationStatus 。 如果结果显示作业的重新启动挂起,请继续执行步骤 3。
  2. 在提升的命令窗口中运行 Get-DscConfiguration 。 如果结果显示安装语言的 DSC,请继续转到 “解决方法 ”部分。

解决方法:若要停止重启循环,请尝试以下任一选项:

  • 删除 ASR 策略,或将策略切换到“审核”模式,然后将新策略应用到云电脑。

  • 在提升的命令窗口中,运行以下命令以重新启动作业:

    Remove-DSCConfiguration -Stage Pending,Current,Previous -Verbose

GCC 高级政府客户的云电脑连接问题

某些将资源部署到“microsoft.us”环境的 GCC 高级政府客户可能会遇到使用 Web 客户端或 Safari 浏览器连接到其云电脑的问题。

可能的原因:当 Web 客户端或 Safari 浏览器阻止第三方 Cookie 时,会出现此问题。 第三方 Cookie 是由你正在访问的域以外的域设置的 Cookie。

对于资源部署到 microsoft.us 环境的 GCC High 客户, microsoft.us Web 客户端或 Safari 浏览器会将 Cookie 视为第三方 Cookie。 此注意事项是因为 Web 客户端/Safari 浏览器使用云电脑的域名(不同于 microsoft.us)来确定第一方域。 如果 Web 客户端/Safari 浏览器阻止第三方 Cookie,则会阻止 microsoft.us Cookie:

  • 正在存储。
  • 用于身份验证和授权。

因此,无法连接到云电脑会话。

故障排除步骤:允许第三方 Cookie 来自 microsoft.us

  • Web 客户端或 Safari 浏览器设置,或者
  • 组策略。

此更改允许 Web 客户端/Safari 浏览器存储和使用 microsoft.us Cookie 连接到云电脑会话。

Windows 安全中心报告内存完整性已关闭。 你的设备可能易受攻击。

Windows 安全中心报告内存完整性已关闭。你的设备可能易受攻击。

在云电脑的 Windows 系统信息中,你可能还会看到基于虚拟化的安全 (VBS) 行显示 已启用但未运行

当嵌套虚拟化打开时,可能会导致此问题。 启用嵌套虚拟化后,它需要一个正在运行的嵌套虚拟机监控程序,这会禁止直接内存访问保护。 运行 VBS 时,需要 DMA 保护。

故障排除步骤

请确保:

  • 云电脑的嵌套虚拟化已 关闭
  • 策略已启用 VBS 和 DMA 保护。

另一种方法是不需要 VBS 的 DMA,因为它们彼此不兼容。

Teams 未强制实施屏幕捕获保护

启用屏幕捕获保护后,Windows 365云电脑上的 Teams 不会强制实施屏幕捕获保护。

故障排除步骤

  • 确认 WebRTC 版本是最新的。

  • 确认已正确配置屏幕捕获保护策略,以选择客户端和服务器:

    1. 登录到Microsoft Intune管理中心,选择“设备>配置>”,选择策略。
    2. “配置设置”下,确保选择了以下项: Windows 组件>远程桌面服务>远程桌面会话主机>Azure 虚拟桌面
      • 启用屏幕捕获保护 = 启用
      • 屏幕捕获保护选项 = 阻止客户端和服务器上的屏幕捕获

Windows 365范围标记和嵌套组

Windows 365不支持嵌套安全组。 如果将作用域标记应用于嵌套安全组的顶部,则内部嵌套组中的云电脑不会分配作用域标记。

故障排除步骤

将范围标记单独应用于嵌套安全组中的每个组。

Windows 365不支持编辑单个云电脑的范围标记

Windows 365用户界面和图形 API不支持编辑单个云电脑的范围标记。

故障排除步骤

在Intune的“所有设备”边栏选项卡上编辑单个云电脑的范围标记,以将范围标记关联同步到Windows 365服务。

无法编辑自定义图像的范围标记

顶级管理员无法编辑或直接添加应用于自定义映像的范围标记。

故障排除步骤

当作用域管理员创建自定义映像时,这些自定义映像使用与作用域管理员关联的相同范围标记进行标记。

例如,如果作用域标记为“范围标记 A”的管理员创建自定义映像,则创建的自定义映像将自动标记为“范围标记 A”。

云电脑库映像的 2024 年 5 月 21 日更新缺少 WebRTC 重定向器服务。 如果没有此组件,Teams 媒体重定向将不起作用。

这适用于以下库图像:

  • Windows 11 23H2 Microsoft 365 个应用
  • Windows 11 22H2 Microsoft 365 个应用

疑难解答步骤

对于新预配的云电脑,请验证 WebRTC 是否可用。 否则,可以使用以下选项之一:

后续步骤

Windows 365 企业版云电脑疑难解答