設定 Windows 365 Government 的租使用者
使用 Windows 365 的最快方式是使用AADJ、資源庫映像和Microsoft託管網路] 選項。 只有當您必須同時使用 或兩者時,此頁面上的指示才有:
- 自定義映像。 Windows 365 提供優化的資源庫映像,包括預安裝Microsoft 365 應用程式的影像。 部署資源庫映像之後,Intune 可用於進一步自定義一般設定和應用程式部署。 如果您必須使用現有的自定義映像,如需詳細資訊,請參閱 新增自定義映像。
-
Azure 網路 Connections (ANC) 。 ACS 可讓您布建連結至您所管理虛擬網路的雲端電腦。 範例包含:
- Azure 虛擬網路 (VNet) 。
- Azure VPN 閘道 或透過 ExpressRoute 的專用連線。
- 其他 Azure 資源,包括雲端計算機資源。
- 如需詳細資訊,請 參閱建立 Azure 網路連線。
僅針對政府社群雲端 (GCC) 客戶,下列指示可讓 Intune 在 Azure 中執行,以管理在 Azure Government 區域中執行的雲端電腦。
注意事項
- 您不需要 Azure Government 訂用帳戶就能使用 Windows 365 Government。 這些指示特別適用於 GCC,而且只有在需要自定義映像和/或 Azure 網路 Connections 時。 此頁面上的指示不適用於 GCC High。
- 對於沒有 Azure Government 訂用帳戶或需要與 Azure 整合的政府客戶,請考慮使用 Windows 365 企業版。 請確定這符合您的合規性需求。 Windows 365 企業版 符合 FedRAMP 規範。 請參閱 Windows 365 服務描述
開始之前
對於租用戶對應和授與自定義映像和/或連線到您自己的網路的許可權,您需要:
- Azure Government 訂用帳戶。
- 具有下列項目的使用者認證:
- Azure 租使用者中的全域管理員角色 (以 onmicrosoft.com) 结尾。
- 具有下列項目的使用者認證:
- Azure Government 訂用帳戶中的擁有者角色,AND
- Azure Government 租使用者中的全域管理員角色 ( 以 onmicrosoft.us) 结尾。
- 符合 授權需求。
- (如果適用) 下列資訊可套用許可權以設定 Azure 網路連線。 虛擬網路和子網必須已經存在。
- 訂用帳戶標識碼。
- 資源群組。
- 虛擬網路。
- 子。
注意事項
雖然 GCC 使用者的雲端電腦是在 Azure Government 雲端中裝載及保護,但系統管理員和終端使用者的端點位於商業 Azure 網域中。 使用者會使用與 Microsoft Entra ID 同步處理的認證來登入雲端電腦。
Microsoft Entra 選項
如果您想要使用 Microsoft Entra 加入或 Microsoft Entra 混合式加入,請考慮下列準備工作:
Microsoft Entra 加入的雲端計算機:如果您想要使用 Microsoft Entra 加入基礎結構和您自己的網路,您需要 Azure Government 雲端中的租使用者和 Azure 訂用帳戶。 Azure .com 網域中的租用戶必須對應至 Azure Government (.us) 網域中的租使用者。
已加入混合式 Microsoft Entra 雲端計算機:如果您想要使用 Microsoft Entra 混合式聯結基礎結構,您必須先設定商業 (.com) 租使用者和管理 (.us) 租使用者,才能建立 Azure 虛擬網络。
準備 Windows 365 GCC 安裝工具
若要讓 Windows 365 GCC 安裝工具完成租用戶對應,Windows 365 Microsoft Entra 應用程式必須獲得許可權,才能透過服務主體存取 Azure Government AD 租使用者。 服務主體物件會定義應用程式可以在租用戶中執行的動作、誰可以存取應用程式,以及應用程式可以存取哪些資源。 第一次執行 Windows 365 GCC 安裝工具之前,您必須執行下列動作:
- 如果尚未完成,請在您要建立服務主體的計算機上安裝 Azure CLI。 如需詳細資訊,請 參閱如何安裝 Azure CLI。
- 使用使用 Azure CLI 登入中定義的 Azure CLI 步驟,登入您的 Azure Government AD 租使用者。 需要全域管理員許可權,才能建立 Windows App 的服務主體。
- 如需在 Azure 中使用服務主體的詳細資訊,請 參閱使用 Azure CLI 使用 Azure 服務主體。 執行下列 PowerShell 命令,將 Windows 365 Microsoft Entra 應用程式許可權授與您的租使用者:
az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5。 - 命令順利完成之後,您應該能夠執行下列 PowerShell 命令來檢視服務主體的詳細數據:
az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5。 您應該會在 Azure 入口網站 的 [企業應用程式] 刀鋒視窗中,看到 [所有應用程式] 檢視中列出 Windows App。
Windows App 服務主體只能存取在 Windows 365 中設定自定義映射和 Azure 網路連線 (ANC) 支援所需的 Azure 資源。 建立之後,只有在使用自定義映射、ANC 對象和對應的雲端電腦已取消布建時,才能刪除服務主體。 否則,雲端電腦布建工作可能會失敗,而現有的雲端計算機可能會變成無法存取。
開始使用 Windows 365 GCC 安裝工具
請遵循下列步驟,使用 Windows 365 GCC 安裝工具來設定租用戶對應。
- 啟動 GCCSetupTool.exe。 此工具可在 Windows 365 Government - GCC Setup Tool for Windows 10/11 取得。
- 在 [ 讓我們開始 使用] 頁面上,選取 [ 下一步]。
- 使用您的 Azure 帳戶登入。 此帳戶必須具有全域管理員許可權。
- 確認您想要繼續使用商業帳戶 >下一步。
- 使用您的 Azure Government 帳戶>登入下一步>輸入您的認證。
- 確認您想要繼續使用您的政府帳戶 >下一步。
- 在 [ 選取功能以啟用] 畫面上 ,確定已選取 [自定義映 射]。 默認會選取此選項,因為除非您至少需要下列其中一項功能,否則無須執行 Windows 365 GCC 安裝工具。
注意事項
ANC 包含自定義映像的許可權。
- 選 取 [Azure 網络連線 ],然後選取您要設定的 [ 訂用帳戶]、[ 虛擬網络] 和 [ 子網 ]。 選取 [下一步]。
- 在 [ 檢閱設定] 頁面上,檢閱您所做的選取專案,然後選取 [ 授與]。
- 安裝完成之後,您可以關閉工具。
疑難排解
如果您在執行 Windows 365 GCC 安裝工具時發生問題:
- 在執行 GCCSetupTool.exe 的相同資料夾中,流覽至 [記錄 ] 資料夾並檢閱
GCCAdminTool.log檔案。 - 如果您持續發生問題,請 連絡支持 人員並提供GCCADminTool.log檔案。
後續使用 GCC 安裝工具
Windows 365 GCC 安裝工具可以在初始設定之後再次執行。 如果您:您可能想要再次使用 GCC 安裝工具:
- 之前未設定 ANC,或
- 想要將 ANC 的使用範圍擴充到其他網路。
腳本替代專案
除了使用 GCC 安裝工具來設定 ANC,您也可以使用下列腳本來設定更多 ANIC 的許可權。
注意事項
您必須先成功對應租使用者,才能繼續使用腳本來設定 ACS。
connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
- 如果您沒有 Cloud Shell 設定 (所需的 Azure 記憶體帳戶) ,您有兩個選項可執行腳本:
- 選取文稿上的 [複製 ],然後在您的計算機本機執行 PowerShell 腳本。
- 選取 [開啟雲端],將>腳本貼入 Azure Government 訂用帳戶的 Cloud Shell 會話>執行腳本。
- 執行文本之後,在提示字元中選取選項 2。 此選項會設定 ANC 的許可權。
- 從 Azure Government 訂用帳戶清單中,選取您要授與許可權的訂用帳戶。
- 從資源群組清單中,選取您要使用的資源群組。
- 選取您的 vNET。
- 腳本會授與許可權,並列出已設定的內容。