为Windows 365政府设置租户
使用Windows 365的最快方法是使用 AADJ、库映像和Microsoft托管网络选项。 仅当必须使用其中一个或两者时,此页面上的说明才有:
- 自定义映像。 Windows 365提供优化的库映像,包括预安装了Microsoft 365 个应用的映像。 部署库映像后,Intune可用于进一步自定义常见设置和应用程序部署。 如果必须使用现有的自定义映像,有关详细信息,请参阅 添加自定义映像。
-
Azure 网络Connections (ANC) 。 ANC 允许预配附加到你管理的虚拟网络的云电脑。 示例包括:
- Azure 虚拟网络 (VNet) 。
- Azure VPN 网关或通过 ExpressRoute 建立专用连接。
- 其他 Azure 资源,包括云电脑资源。
- 有关详细信息,请参阅 创建 Azure 网络连接。
对于政府社区云 (GCC) 客户,以下说明允许在 Azure 中运行的Intune来管理在Azure 政府区域中运行的云电脑。
注意
- 无需Azure 政府订阅即可使用 Windows 365 政府版。 这些说明专门针对 GCC,并且仅在需要自定义映像和/或 Azure 网络Connections时才提供。 此页上的说明不适用于 GCC High。
- 对于没有Azure 政府订阅或需要与 Azure 集成的政府客户,请考虑使用 Windows 365 企业版。 请确保这符合合规性要求。 Windows 365 企业版符合 FedRAMP 要求。 请参阅Windows 365服务说明
开始之前
对于租户映射和授予自定义映像和/或连接到自己的网络的权限,需要:
- Azure 政府订阅。
- 具有:
- Azure 租户中的全局管理员角色 (onmicrosoft.com) 结束。
- 具有:
- Azure 政府订阅中的所有者角色,AND
- Azure 政府租户中的全局管理员角色 (以 onmicrosoft.us) 结尾。
- 满足 许可要求。
- ((如果适用)) 以下信息用于应用设置 Azure 网络连接的权限。 虚拟网络和子网必须已存在。
- 订阅 ID。
- 资源组。
- 虚拟网络。
- 子。
注意
虽然 GCC 用户的云电脑在Azure 政府云中托管和保护,但管理员和最终用户的终结点位于商业 Azure 域中。 用户将使用与 Microsoft Entra ID 同步的凭据登录到云电脑。
Microsoft Entra选项
如果要使用Microsoft Entra联接或Microsoft Entra混合联接,请考虑以下准备:
Microsoft Entra已加入的云电脑:如果要使用Microsoft Entra加入基础结构和自己的网络,则需要Azure 政府云中的租户和 Azure 订阅。 Azure .com 域中的租户必须映射到 Azure 政府 (.us) 域中的租户。
已加入混合Microsoft Entra云电脑:如果要使用Microsoft Entra混合加入基础结构,则必须在创建 Azure 虚拟网络之前配置商业 (.com) 租户和政府 (.us) 租户。
准备Windows 365 GCC 设置工具
若要使 Windows 365 GCC 安装工具完成租户映射,必须向 Windows 365 Microsoft Entra 应用程序授予通过服务主体访问 Azure 政府 AD 租户的权限。 服务主体对象定义应用可以在租户中执行的操作、谁可以访问应用以及应用可以访问的资源。 在首次运行 Windows 365 GCC 安装工具之前,必须执行以下操作:
- 如果尚未完成,请在要在其中创建服务主体的计算机上安装 Azure CLI。 有关详细信息,请参阅 如何安装 Azure CLI。
- 使用 Azure CLI 登录中定义的 Azure CLI 步骤登录到 Azure 政府 AD 租户。 为 Windows 应用创建服务主体需要全局管理员权限。
- 有关在 Azure 中使用服务主体的详细信息,请参阅 使用 Azure CLI 使用 Azure 服务主体。 通过运行以下 PowerShell 命令向租户授予Windows 365 Microsoft Entra应用权限:
az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
。 - 命令成功完成后,应能够通过运行以下 PowerShell 命令来查看有关服务主体的详细信息:
az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
。 Azure 门户的企业应用程序边栏选项卡的“所有应用程序”视图中应会显示 Windows 应用。
Windows 应用服务主体只能访问配置自定义映像和 Azure 网络连接所需的 Azure 资源, (WINDOWS 365 中的 ANC) 支持。 创建服务主体后,仅当自定义映像、ANC 对象和使用它们的相应云电脑已取消预配时,才能删除服务主体。 否则,云电脑预配任务可能会失败,并且现有云电脑可能不可访问。
Windows 365 GCC 设置工具入门
按照以下步骤使用 Windows 365 GCC 设置工具配置租户映射。
- 启动 GCCSetupTool.exe。 此工具在 中可用 https://aka.ms/gccsetuptool。
- 在“ 让我们开始” 页上,选择“ 下一步”。
- 使用 Azure 帐户登录。 此帐户必须具有全局管理员权限。
- 确认要继续使用商业帐户 >“下一步”。
- 使用 Azure 政府 帐户>登录 接下来>键入凭据。
- 确认要继续使用政府帐户 >“下一步”。
- 在 “选择启用功能”屏幕上 ,确保已选择 “自定义图像 ”。 此选项默认处于选中状态,因为除非需要以下至少一项功能,否则没有理由运行 Windows 365 GCC 安装工具。
注意
ANC 包括自定义映像的权限。
- 选择 “Azure 网络连接 ”,然后选择要配置的 “订阅”、“ 虚拟网络”和 “子网 ”。 选择 下一步。
- 在“ 审阅设置 ”页上,查看所做的选择,然后选择“ 授予”。
- 安装完成后,可以关闭该工具。
疑难解答
如果在运行 Windows 365 GCC 安装工具时遇到问题:
- 在运行 GCCSetupTool.exe 的同一文件夹中,导航到 “日志 ”文件夹并查看
GCCAdminTool.log
该文件。 - 如果仍然遇到问题, 请联系支持人员 并提供GCCADminTool.log文件。
GCC 设置工具的后续使用
Windows 365 GCC 设置工具可以在初始设置后再次运行。 如果执行以下操作,则可能需要再次使用 GCC 设置工具:
- 以前未设置 ANC,或
- 希望将 ANC 的使用扩展到其他网络。
脚本替代项
作为使用 GCC 设置工具设置 ANC 的替代方法,还可以使用以下脚本为更多 ANC 设置权限。
注意
在继续使用脚本设置 ANC 之前,租户映射必须成功。
connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
- 如果没有Cloud Shell设置 (所需的 Azure 存储帐户) ,则有两种运行脚本的选项:
- 在脚本上选择“ 复制 ”,然后在计算机上本地运行 PowerShell 脚本。
- 选择“打开 Cloudshell>”,将脚本粘贴到Azure 政府订阅的Cloud Shell会话>中,运行脚本。
- 运行脚本后,在提示符下,选择选项 2。 此选项设置 ANC 的权限。
- 从Azure 政府订阅列表中,选择要向其授予权限的订阅。
- 从资源组列表中,选择要使用的资源组。
- 选择 vNET。
- 脚本授予权限并列出配置的内容。