Bureaux à distance Windows 10 ou Windows 11 Entreprise multisession

Azure Virtual Desktop multisession avec Microsoft Intune est désormais en disponibilité générale.

Vous pouvez maintenant utiliser Microsoft Intune pour gérer Windows 10 ou Windows 11 Entreprise des bureaux à distance multisession dans le centre d’administration Microsoft Intune tout comme vous pouvez gérer un client Windows 10 partagé ou Windows 11 Appareil. Lors de la gestion de ces machines virtuelles, vous pouvez utiliser à la fois la configuration basée sur l’appareil ciblée sur les appareils ou la configuration basée sur l’utilisateur ciblée sur les utilisateurs.

Windows 10 ou Windows 11 Entreprise sessions multiples est un nouvel hôte de session Bureau à distance exclusif à Azure Virtual Desktop sur Azure. Elle offre les avantages suivants :

• Autorise de plusieurs sessions utilisateur simultanées.
• Offre aux utilisateurs une expérience Windows 10 ou Windows 11 expérience utilisateur.
• Prend en charge l’utilisation des licences Microsoft 365 par utilisateur existantes.

Vous pouvez gérer les machines virtuelles Windows 10 et Windows 11 Enterprise multisession créées dans le cloud Azure Government dans la communauté gouvernementale américaine (Cloud de la communauté du secteur public), Cloud de la communauté du secteur public High et DoD.

Importante

Microsoft Intune prise en charge d’Azure Virtual Desktop multisession n’est actuellement pas disponible pour Citrix DaaS et VMware Horizon Cloud.

Vue d’ensemble

La prise en charge de la configuration de l’appareil dans Microsoft Intune pour Windows 10 ou Windows 11 Entreprise multisession est en disponibilité générale (GA). Cela signifie que les stratégies définies dans l’étendue du système d’exploitation et les applications configurées pour s’installer dans le contexte système peuvent être appliquées aux machines virtuelles multisession Azure Virtual Desktop lorsqu’elles sont affectées à des groupes d’appareils.

Remarque

La configuration basée sur l’appareil ne peut pas être attribuée aux utilisateurs et la configuration basée sur l’utilisateur ne peut pas être attribuée aux appareils. Il sera signalé comme Erreur ou Non applicable.

La prise en charge de la configuration utilisateur dans Microsoft Intune pour les machines virtuelles Windows 10 ou Windows 11 multisession est généralement disponible. Avec cela, vous pouvez :

• Configurez des stratégies d’étendue utilisateur à l’aide du catalogue de Paramètres et affectez-les à des groupes d’utilisateurs. Vous pouvez utiliser la barre de recherche pour rechercher toutes les configurations dont l’étendue est définie sur « utilisateur ».

• Configurez les certificats utilisateur et attribuez-les aux utilisateurs.

• Configurez les scripts PowerShell pour les installer dans le contexte utilisateur et les affecter aux utilisateurs.

Configuration requise

Cette fonctionnalité prend en charge les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession suivantes :

• Exécution de Windows 10 multi-session, version 1903 ou ultérieure, ou exécution de Windows 11 multi-session.
• Configurées en tant que bureaux distants dans des pools d’hôtes regroupés qui ont été déployés par le biais d’Azure Resource Manager.
• Sous le même locataire que Intune.
• Exécution d’un agent Azure Virtual Desktop version 1.0.2944.1400 ou ultérieur.
• Microsoft Entra hybride joint et inscrit dans Microsoft Intune à l’aide de l’une des méthodes suivantes :
  • Configuré avec la stratégie de groupe Active Directory, définissez pour utiliser les informations d’identification de l’appareil et définissez pour inscrire automatiquement les appareils qui sont Microsoft Entra joints hybrides.
  • Cogestion Configuration Manager.
• Microsoft Entra joint et inscrit dans Microsoft Intune en activant Inscrire la machine virtuelle avec Intune dans le Portail Azure.
• Licences : la licence Azure Virtual Desktop et la licence Microsoft Intune appropriées sont requises si un utilisateur ou un appareil bénéficie directement ou indirectement du service Microsoft Intune, y compris l’accès au service Microsoft Intune via une API Microsoft. Pour plus d’informations, consultez Microsoft Intune licences.
• Voir Qu’est-ce que Azure Virtual Desktop ? pour plus d’informations sur les conditions requises pour les licences Azure Virtual Desktop.

Limitations

Intune ne prend pas en charge l’utilisation d’une image cloné d’un ordinateur déjà inscrit. Cela inclut les appareils physiques et virtuels tels qu’Azure Virtual Desktop (AVD). Lorsque des jetons d’inscription ou d’identité d’appareil sont répliqués entre les appareils, Intune échecs d’inscription ou de synchronisation des appareils se produisent.

• Pour plus d’informations, consultez Inscription d’appareils mobiles - Gestion des clients Windows et Inscription des appareils d’authentification par certificat - Gestion des clients Windows.
• Pour plus d’informations sur la résolution des problèmes liés au clonage d’images, consultez Erreur hr 0x8007064c : l’ordinateur est déjà inscrit.

Remarque

Si vous rejoignez des hôtes de session pour Microsoft Entra Domain Services, vous ne pouvez pas les gérer à l’aide de Intune.

Importante

• Si vous utilisez Windows 10, versions 2004, 20H2 ou 21H1, veillez à installer la Windows Update de juillet 2021 ou une mise à jour Windows ultérieure. Sinon, les actions à distance dans le centre d’administration Microsoft Intune, telles que la synchronisation à distance, ne fonctionneront pas correctement. Ainsi, les stratégies en attente affectées aux appareils peuvent prendre jusqu’à 8 heures.
• Intune ne prend actuellement pas en charge la fonctionnalité d’itinérance de jeton entre les appareils. Si FSLogix, ou une technologie similaire, est utilisée pour gérer les profils utilisateur et les paramètres Windows, vous devez vous assurer que les jetons ne sont pas itinérants ou dupliqués de manière inattendue sur les appareils. Pour vérifier que vous exécutez une version et une configuration prises en charge de FSLogix avec l’itinérance de jeton désactivée, consultez la référence des paramètres de configuration de FSLogix RoamIdentity.

Windows 10 ou Windows 11 Entreprise machines virtuelles multisession sont traitées comme une édition de système d’exploitation distincte et certaines configurations Windows 10 ou Windows 11 Entreprise ne seront pas prises en charge pour cette édition. L’utilisation de Microsoft Intune ne dépend pas ou n’interfère pas avec la gestion Azure Virtual Desktop de la même machine virtuelle.

Créer le profil de configuration

Pour configurer des stratégies de configuration pour Windows 10 ou Windows 11 Entreprise machines virtuelles multisession, vous devez utiliser le catalogue Paramètres dans le centre d’administration Microsoft Intune.

Les modèles de profil de configuration d’appareil existants ne sont pas pris en charge pour les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession , à l’exception des modèles suivants :

• Certificat approuvé - Appareil (machine) lors du ciblage des appareils et Utilisateur lors du ciblage des utilisateurs
• Certificat SCEP : appareil (machine) lors du ciblage d’appareils et utilisateur lors du ciblage d’utilisateurs
• Certificat PKCS - Appareil (machine) lors du ciblage des appareils et Utilisateur lors du ciblage des utilisateurs
• VPN - Tunnel de l’appareil uniquement

Microsoft Intune ne fournit pas de modèles non pris en compte aux appareils multisession, et ces stratégies apparaissent comme non applicables dans les rapports.

Remarque

Si vous utilisez la cogestion pour Intune et Configuration Manager, dans Configuration Manager définissez le curseur de la charge de travail pour la stratégie d’accès aux ressources sur Intune ou sur Pilote Intune. Ce paramètre permet aux clients Windows 10 et Windows 11 de démarrer le processus de demande du certificat.

Pour configurer des stratégies

1. Connectez-vous au Centre d’administration Microsoft Intune et choisissez Appareils>Profils> de configurationWindows>Create>Nouvelle stratégie.
2. Pour Plateforme, sélectionnez Windows 10 et ultérieur.
3. Pour Type de profil, sélectionnez Catalogue de paramètres ou, lorsque vous déployez des paramètres à l’aide d’un modèle, sélectionnez Modèles, puis le nom du modèle pris en charge.
4. Sélectionnez Créer.
5. Dans la page Informations de base, entrez un Nom et une Description (facultative)>Suivant.
6. Sur la page Paramètres de configuration, sélectionnez Ajouter des paramètres.
7. Sous Sélecteur de paramètres, sélectionnez Ajouter un filtre et sélectionnez les options suivantes :
   • Clé : Édition du système d’exploitation
   • Opérateur : ==
   • Valeur : Enterprise multisession
   • Sélectionnez Appliquer. La liste filtrée affiche désormais toutes les catégories de profil de configuration qui Windows 10 ou Windows 11 Entreprise plusieurs sessions. L’étendue d’une stratégie est indiquée entre parenthèses. Pour l’étendue de l’utilisateur, il s’affiche sous la forme (Utilisateur) et tous les autres sont des stratégies avec étendue de l’appareil.
8. Dans la liste filtrée, sélectionnez les catégories que vous souhaitez.
   • Pour chaque catégorie que vous choisissez, sélectionnez les paramètres que vous souhaitez appliquer à votre nouveau profil de configuration.
   • Pour chaque paramètre, sélectionnez la valeur souhaitée pour ce profil de configuration.
9. Sélectionnez Suivant lorsque vous avez terminé d’ajouter des paramètres.
10. Dans la page Affectations, choisissez les groupes Microsoft Entra contenant les appareils auxquels vous souhaitez attribuer ce profil >Suivant.
11. Dans la page Balises d’étendue , ajoutez éventuellement les balises d’étendue que vous souhaitez appliquer à ce profil >Suivant. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.
12. Sur la page Vérifier + créer, choisissez Créer pour créer le profil.

Modèles d’administration

Windows 10 ou Windows 11 modèles d’administration sont pris en charge pour Windows 10 ou Windows 11 Entreprise sessions multiples via le catalogue Paramètres avec certaines limitations :

• Les stratégies reposant sur ADMX sont prises en charge. Certaines stratégies ne sont pas encore disponibles dans le catalogue Paramètres.
• Les stratégies ingérées par ADMX sont prises en charge, y compris les paramètres Office et Microsoft Edge disponibles dans les fichiers de modèles d’administration Office et les fichiers de modèles d’administration Microsoft Edge. Pour obtenir la liste complète des catégories de stratégie ingérées par ADMX, consultez Configuration des stratégies d’application Win32 et Desktop Bridge. Certains paramètres ADMX ingérés ne s’appliquent pas aux Windows 10 ou Windows 11 Entreprise multisession .

Conformité et accès conditionnel

Vous pouvez sécuriser votre Windows 10 ou Windows 11 Entreprise machines virtuelles multisession en configurant des stratégies de conformité et des stratégies d’accès conditionnel dans le centre d’administration Microsoft Intune. Les stratégies de conformité suivantes sont Windows 10 ou Windows 11 Entreprise des VM à sessions multiples :

• Version minimale du système d’exploitation
• Version maximale du système d’exploitation
• Builds de système d’exploitation valides
• Mots de passe simples
• Type de mot de passe
• Longueur minimale du mot de passe
• complexité du mot de passe ;
• Expiration du mot de passe (jours)
• Nombre de mots de passe précédents avant d’autoriser leur réutilisation
• Logiciel anti-programme malveillant Microsoft Defender
• Veille de sécurité du logiciel anti-programme malveillant Microsoft Defender à jour
• Pare-feu
• Antivirus
• Logiciel anti-espion
• Protection en temps réel
• Version minimale du logiciel anti-programme malveillant Microsoft Defender
• Score de risque Defender ATP

Toutes les autres stratégies sont signalées comme Non applicables.

Importante

Vous devez créer une stratégie de conformité et la cibler sur le groupe d’appareils contenant vos machines virtuelles multisession. Les configurations de conformité ciblées par l’utilisateur ne sont pas prises en charge.

Les stratégies d’accès conditionnel prise en charge les configurations utilisateur et appareil pour Windows 10 ou Windows 11 Entreprise plusieurs sessions.

Remarque

L’accès conditionnel Exchange sur site n’est pas pris en charge pour Windows 10 ou Windows 11 Entreprise des VM multisession.

Remarque

Les stratégies de configuration et de conformité pour BitLocker, le démarrage sécurisé et les fonctionnalités tirant parti de vTPM (module de plateforme sécurisée virtuelle) ne sont pas prises en charge pour le moment pour les machines virtuelles Azure Virtual Desktop.

Sécurité de point de terminaison

Vous pouvez configurer des profils sous Sécurité des points de terminaison pour les machines virtuelles multisession en sélectionnant Platform Windows 10, Windows 11 et Windows Server. Si cette plateforme n’est pas disponible, le profil n’est pas pris en charge sur les machines virtuelles multisession.

Pour plus d’informations, consultez Gérer la sécurité des appareils avec des stratégies de sécurité de point de terminaison dans Microsoft Intune

Déploiement d’applications

Toutes les Windows 10 ou Windows 11 applications peuvent être déployées sur Windows 10 ou Windows 11 Entreprise sessions multisession avec les restrictions suivantes :

• Toutes les applications doivent être configurées pour s’installer dans le contexte du système/appareil et être destinées aux appareils. Les applications web sont toujours appliquées dans le contexte utilisateur par défaut afin de ne pas s’appliquer aux machines virtuelles multisession.
• Toutes les applications doivent être configurées avec l’intention d’affectation d’application Obligatoire ou Désinstaller. L’intention de déploiement des Applications disponibles ne sont pas prises en charge sur les machines virtuelles multisession.
• Si une application Win32 configurée pour s’installer dans le contexte système a des dépendances ou une relation de remplacement sur toutes les applications configurées pour l’installation dans le contexte utilisateur, l’application n’est pas installée. Pour appliquer une application à une Windows 10 ou une Windows 11 Entreprise VM multisession, créez une instance distincte de l’application de contexte système ou assurez-vous que toutes les dépendances d’application sont configurées pour être installées dans le contexte système.
• L’attachement d’application RemoteApp et MSIX Azure Virtual Desktop n’est actuellement pas pris en charge dans Microsoft Intune.

Déploiement de script

Les scripts configurés pour s’exécuter dans le contexte système et affectés aux appareils sont pris en charge sur Windows 10 ou Windows 11 Entreprise multi-session. Vous pouvez configurer ce paramètre sous Paramètres de script en définissant Exécuter ce script en utilisant les informations d’identification de connexion sur Non.

Les scripts configurés pour s’exécuter dans le contexte utilisateur et affectés aux utilisateurs sont pris en charge sur Windows 10 et Windows 11 Entreprise plusieurs sessions. Ceci peut être configuré sous Paramètres du script en définissant Exécuter ce script en utilisant les informations d'identification de la session sur Oui.

Windows Update pour Entreprise

Vous pouvez utiliser le catalogue de paramètres pour gérer les paramètres Windows Update pour les mises à jour de qualité (sécurité) pour les machines virtuelles multisession Windows 10 ou Windows 11 Entreprise. Pour rechercher les paramètres pris en charge dans le catalogue, configurez un filtre de paramètres pour multisession Entreprise, puis développez la catégorie Windows Update pour Entreprise .

Les paramètres suivants sont disponibles dans le catalogue, avec les liens ouvrant la documentation du fournisseur de solutions cloud Windows :

• Fin des heures d’activité
• Plage maximale des heures actives
• Début des heures d’activité
• Bloquer la fonctionnalité « Suspendre les mises à jour »
• Configurer l’échéance de la période de grâce
• Période de report des mises à jour qualité (jours)
• Heure de début de la suspension des mises à jour qualité
• Période d’échéance des mises à jour qualité (jours)

Actions à distance.

Les actions à distance d’appareil de bureau Windows 10 ou Windows 11 suivantes ne sont pas prises en charge et seront grisées dans l’interface utilisateur et désactivées dans Graph pour les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession :

• Réinitialisation d’Autopilot
• Rotation de clés BitLocker
• Redémarrage à zéro
• Verrouiller à distance
• Réinitialiser le mot de passe
• Réinitialisation

Retraites

La suppression de machines virtuelles d’Azure laisse les enregistrements d’appareils orphelins dans le centre d’administration Microsoft Intune. Ils seront automatiquement nettoyés en fonction des règles de nettoyage configurées pour le locataire.

Bases de référence de sécurité

Les bases de référence de sécurité ne sont pas disponibles pour Windows 10 ou Windows 11 Entreprise multisession pour le moment. Nous vous recommandons de consulter les sections Bases de référence de la sécurité disponibles et de configurer les stratégies et valeurs recommandées dans le catalogue des paramètres.

Configurations supplémentaires qui ne sont pas prises en charge sur les machines virtuelles Windows 10 ou Windows 11 Entreprise multisession

L’inscription à Out Of Box Experience (OOBE) n’est pas prise en charge pour Window 10 ou Windows 11 Entreprise sessions multiples. Cette restriction signifie ce qui suit :

• Windows Autopilot et les OOBE commerciales ne sont pas pris en charge.
• La page d’status d’inscription n’est pas prise en charge.

Windows 10 ou Windows 11 Entreprise multisession géré par Microsoft Intune n’est actuellement pas pris en charge pour le cloud souverain en Chine.

Résolution des problèmes

Les sections suivantes fournissent des conseils de résolution des problèmes pour les problèmes courants.

Problèmes d’inscription

Problème	Détails
Échec de l’inscription de Microsoft Entra machine virtuelle jointe hybride	L’inscription automatique est configurée pour utiliser les informations d’identification de l’utilisateur. Windows 10 ou Windows 11 Entreprise machines virtuelles à sessions multiples doivent être inscrites à l’aide des informations d’identification de l’appareil. L’agent Azure Virtual Desktop que vous utilisez doit être version 1.0.2944.1400 ou ultérieure. Vous avez plusieurs fournisseurs GPM, ce qui n’est pas pris en charge. Windows 10 ou Windows 11 Entreprise une VM à sessions multiples est configurée en dehors d’un pool d’hôtes. Microsoft Intune ne prend en charge que les VM provisionnées dans le cadre d'un pool d'hôtes. Le pool d’hôtes Azure Virtual Desktop n’a pas été créé via le modèle Azure Resource Manager.
Échec de l’inscription de Microsoft Entra machine virtuelle jointe	L’agent Azure Virtual Desktop que vous utilisez n’est pas mis à jour. L’agent doit être version 1.0.2944.1400 ou ultérieure. Le pool d’hôtes Azure Virtual Desktop n’a pas été créé via le modèle Azure Resource Manager.

Problèmes de configuration

Problème	Détails
Échec de la stratégie de catalogue des paramètres	Vérifiez que la machine virtuelle est inscrite à l’aide des informations d’identification de l’appareil. L’inscription avec les informations d’identification de l’utilisateur n’est actuellement pas prise en charge pour Windows 10 ou Windows 11 Entreprise multisession.
La stratégie de configuration ne s’est pas appliquée	Les modèles (à l’exception des certificats) ne sont pas pris en charge sur Windows 10 ou Windows 11 Entreprise multisession. Toutes les stratégies doivent être créées via le catalogue de paramètres.
Rapports de stratégie de configuration comme non applicables	Certaines stratégies ne s’appliquent pas aux machines virtuelles Azure Virtual Desktop.
La stratégie ADMX Microsoft Edge/Microsoft Office ne s’affiche pas lorsque j’applique le filtre pour Windows 10 ou Windows 11 Entreprise multisession	L’applicabilité de ces paramètres n’est pas basée sur la version ou l’édition de Windows, mais sur le fait que ces applications ont été installées sur l’appareil. Pour ajouter ces paramètres à votre stratégie, vous devrez peut-être supprimer tous les filtres appliqués dans le sélecteur de paramètres.
L’application configurée pour l’installation dans le contexte système ne s’est pas appliquée	Vérifiez que l’application n’a pas de relation de dépendance ou de remplacement sur les applications configurées pour être installées dans le contexte utilisateur. Les applications de contexte utilisateur ne sont actuellement pas prises en charge sur Windows 10 ou Windows 11 Entreprise multisession.
Les anneaux de mise à jour pour Windows 10 et la stratégie ultérieure ne s’appliquent pas	Les stratégies d’anneaux de mise à jour Windows ne sont pas prises en charge actuellement.

Prochaines étapes

En savoir plus sur Azure Virtual Desktop.