Azure 虛擬桌面的必要條件
您需要一些項目才能開始使用 Azure 虛擬桌面。 您可以在這裡找到所需完成的必要條件,以順利為使用者提擬桌面和應用程式。
概括而言,您需要:
- 具有有效訂用帳戶的 Azure 帳戶
- 支援的識別提供者
- 工作階段主機虛擬機器支援的作業系統
具有作用中訂用帳戶的 Azure 帳戶
您需要具有有效訂用帳戶的 Azure 帳戶,才能部署 Azure 虛擬桌面。 如果您還沒有帳戶,您可以 免費 建立帳戶。
若要部署 Azure 虛擬桌面,您必須指派相關的 Azure 角色型存取控制 (RBAC) 角色。 部署 Azure 虛擬桌面的各相關文章均說明特定角色需求,相關文章列在後續步驟區段。
您也必須確定您的訂用帳戶已註冊 Microsoft.DesktopVirtualization 資源提供者。 若要檢查資源提供者的狀態,並在必要時註冊,請選取您案例的相關索引標籤,並遵循步驟。
重要
您必須擁有註冊資源提供者的權限,這需要 */register/action 作業。 如果您的帳戶已被指派訂用帳戶上的參與者或擁有者角色,便已經包括此權限。
- 登入 Azure 入口網站。
- 選取 訂用帳戶 。
- 選取您的訂用帳戶名稱。
- 選取 [資源提供者 ]。
- 搜尋 Microsoft.DesktopVirtualization。
- 如果狀態為 NotRegistered,請選取 [Microsoft.DesktopVirtualization],然後選取 [註冊]。
- 確認 Microsoft.DesktopVirtualization 的狀態為 [已註冊]。
身分識別
若要從工作階段主機存取桌面和應用程式,您的使用者必須能夠進行驗證。 Microsoft Entra ID 是 Microsoft 提供此功能的集中式雲端識別服務。 一律使用 Microsoft Entra ID 來驗證 Azure 虛擬桌面的使用者。 工作階段主機可以加入相同的 Microsoft Entra 租用戶,或是加入使用 Active Directory Domain Services (AD DS) 或 Microsoft Entra Domain Services 的 Active Directory 網域,讓您能夠彈性選擇設定選項。
工作階段主機
您必須將提供桌面和應用程式的工作階段主機加入與使用者相同的 Microsoft Entra 租用戶,或 Active Directory 網域 (AD DS 或 Microsoft Entra Domain Services)。
對於 Azure Stack HCI,您只能將工作階段主機加入 Active Directory Domain Services 網域。
若要將工作階段主機加入 Microsoft Entra ID 或 Active Directory 網域,您需要下列權限:
- 若為 Microsoft Entra ID,您需要可將電腦加入租用戶的帳戶。 如需詳細資訊,請參閱管理裝置識別。 若要深入瞭解如何將工作階段主機加入 Microsoft Entra 識別碼,請參閱加入 Microsoft Entra 的工作階段主機。
- 若為 Active Directory 網域,您需要可將電腦加入網域的網域帳戶。 若為 Microsoft Entra Domain Services,您必須是 AAD DC 管理員群組的成員。
使用者
您的使用者需要 Microsoft Entra ID 中的帳戶。 如果您也在 Azure 虛擬桌面部署中使用 AD DS 或 Microsoft Entra Domain Services,這些帳戶必須是混合式身分識別,表示使用者帳戶已同步處理。 根據您使用的識別提供者,您必須記住下列事項:
- 如果您是使用 Microsoft Entra ID 搭配 AD DS,您必須設定 Microsoft Entra Connect 以同步處理 AD DS 與 Microsoft Entra ID 之間的使用者身分識別資料。
- 如果您使用 Microsoft Entra ID 搭配 Microsoft Entra Domain Services,使用者帳戶會從 Microsoft Entra ID 一直同步到 Microsoft Entra Domain Services。 此同步處理程序是自動執行的。
使用混合式身分識別時,UserPrincipalName (UPN) 或安全性識別碼 (SID) 在 Active Directory Domain Services 和 Microsoft Entra ID 上必須相符。 如需詳細資訊,請參閱支援的身分識別和驗證方法。
支援的身分識別案例
下表摘要說明 Azure 虛擬桌面目前支援的身分識別案例:
| 身分識別案例 | 工作階段主機 | 使用者帳戶 |
|---|---|---|
| Microsoft Entra ID + AD DS | 已加入 AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + AD DS | 加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra Domain Services | 加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步 |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | 加入 Microsoft Entra Domain Services | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
| Microsoft Entra ID + Microsoft Entra Domain Services | 加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 Microsoft Entra Domain Services 中,已同步 |
| 僅 Microsoft Entra | 加入 Microsoft Entra ID | 在 Microsoft Entra ID 中 |
如需支援身分識別案例的詳細資訊,包括單一登入和多重要素驗證,請參閱支援的身分識別和驗證方法。
FSLogix 設定檔容器
若要在將工作階段主機加入 Microsoft Entra ID 時使用 FSLogix 設定檔容器,您必須將設定檔儲存在 Azure 檔案儲存體或 Azure NetApp Files 上,且使用者帳戶必須是混合式身分識別。 您必須在 AD DS 中建立這些帳戶,並將其同步至 Microsoft Entra ID。
部署參數
部署工作階段主機時,您必須輸入下列身分識別參數:
- 網域名稱,如果使用 AD DS 或 Microsoft Entra Domain Services。
- 將工作階段主機加入網域的認證。
- 組織單位 (OU),此為選擇性參數,可讓您在部署期間將工作階段主機置於所需的 OU。
重要
您用來加入網域的帳戶無法啟用多重要素驗證 (MFA)。