Windows 10 o Windows 11 Enterprise desktop remoti a più sessioni
Desktop virtuale Azure multisessione con Microsoft Intune è ora disponibile a livello generale.
È ora possibile usare Microsoft Intune per gestire Windows 10 o Windows 11 Enterprise desktop remoti multisessione nell'interfaccia di amministrazione di Microsoft Intune, così come è possibile gestire un client Windows 10 o Windows 11 condiviso Dispositivo. Quando si gestiscono tali macchine virtuali, sarà possibile usare sia la configurazione basata su dispositivo destinata ai dispositivi che la configurazione basata sull'utente destinata agli utenti.
Windows 10 o Windows 11 Enterprise multisessione è un nuovo host sessione Desktop remoto esclusivo di Desktop virtuale Azure in Azure. Offre i vantaggi seguenti:
- Consente più sessioni utente simultanee.
- Offre agli utenti un'esperienza Windows 10 o Windows 11 familiare.
- Supporta l'uso di licenze di Microsoft 365 esistenti per utente.
È possibile gestire Windows 10 e Windows 11 Enterprise macchine virtuali multisessione create in Azure per enti pubblici Cloud in US Government Community (GCC), GCC High e DoD.
Importante
Microsoft Intune supporto per la multisessione di Desktop virtuale Azure non è attualmente disponibile per Citrix DaaS e VMware Horizon Cloud.
Panoramica
Il supporto della configurazione dei dispositivi in Microsoft Intune per Windows 10 o Windows 11 Enterprise multisessione è disponibile a livello generale. Ciò significa che i criteri definiti nell'ambito del sistema operativo e le app configurate per l'installazione nel contesto di sistema possono essere applicati alle macchine virtuali a più sessioni di Desktop virtuale Azure quando vengono assegnate ai gruppi di dispositivi.
Nota
La configurazione basata su dispositivo non può essere assegnata agli utenti e la configurazione basata su utente non può essere assegnata ai dispositivi. Verrà segnalato come Errore o Non applicabile.
Il supporto della configurazione utente in Microsoft Intune per Windows 10 o Windows 11 macchine virtuali multisessione è disponibile a livello generale. Con questo si è in grado di:
Configurare i criteri di ambito utente usando il catalogo impostazioni e assegnarlo a gruppi di utenti. È possibile usare la barra di ricerca per cercare tutte le configurazioni con ambito impostato su "utente".
Configurare i certificati utente e assegnarlo agli utenti.
Configurare gli script di PowerShell per l'installazione nel contesto utente e l'assegnazione agli utenti.
Prerequisiti
Questa funzionalità supporta Windows 10 o Windows 11 Enterprise macchine virtuali multisessione, ovvero:
- Esecuzione Windows 10 multisessione, versione 1903 o successiva, o esecuzione di Windows 11 più sessioni.
- Configurare come desktop remoti nei pool di host in pool distribuiti tramite Azure Resource Manager.
- Nello stesso tenant di Intune.
- Esecuzione di una versione agente di Desktop virtuale Azure della versione 1.0.2944.1400 o successiva.
- Microsoft Entra aggiunto ibrido e registrato in Microsoft Intune usando uno dei metodi seguenti:
- Configurato con criteri di gruppo di Active Directory, impostato per l'uso delle credenziali del dispositivo e impostato su registra automaticamente i dispositivi Microsoft Entra aggiunti ibridi.
- Configuration Manager la co-gestione.
- Microsoft Entra aggiunto e registrato in Microsoft Intune abilitando Registrare la macchina virtuale con Intune nel portale di Azure.
- Licenze: la licenza appropriata di Desktop virtuale Azure e Microsoft Intune è necessaria se un utente o un dispositivo trae vantaggio direttamente o indirettamente dal servizio Microsoft Intune, incluso l'accesso al servizio Microsoft Intune tramite un'API Microsoft. Per altre informazioni, vedere Microsoft Intune licenze.
Nota
Se si aggiunge host di sessione a Microsoft Entra Domain Services, non è possibile gestirli usando Intune.
Importante
- Se usi Windows 10 versioni 2004, 20H2 o 21H1, assicurati di installare il Windows Update di luglio 2021 o un aggiornamento di Windows successivo. In caso contrario, le azioni remote nell'interfaccia di amministrazione Microsoft Intune, ad esempio la sincronizzazione remota, non funzioneranno correttamente. Di conseguenza, l'applicazione dei criteri in sospeso assegnati ai dispositivi potrebbe richiedere fino a 8 ore.
- Intune attualmente non supporta la funzionalità di roaming dei token tra dispositivi. Se FSLogix, o una tecnologia simile, viene usato per gestire i profili utente e le impostazioni di Windows, è necessario assicurarsi che i token non vengano sottoposti a roaming imprevisto o duplicati tra dispositivi. Per verificare che sia in esecuzione una versione e una configurazione supportate di FSLogix con il roaming dei token disabilitato, vedere informazioni di riferimento sulle impostazioni di configurazione di RoamIdentity di FSLogix.
Per altre informazioni sui requisiti di licenza di Desktop virtuale Azure, vedere Informazioni su Desktop virtuale Azure .
Windows 10 o Windows 11 Enterprise macchine virtuali multisessione vengono considerate come un'edizione del sistema operativo separata e alcune configurazioni Windows 10 o Windows 11 Enterprise non saranno supportate per questa edizione. L'uso di Microsoft Intune non dipende o interferisce con la gestione di Desktop virtuale Azure della stessa macchina virtuale.
Creare il profilo di configurazione
Per configurare i criteri di configurazione per Windows 10 o Windows 11 Enterprise macchine virtuali a più sessioni, è necessario usare il catalogo Impostazioni nell'interfaccia di amministrazione Microsoft Intune.
I modelli di profilo di configurazione del dispositivo esistenti non sono supportati per Windows 10 o Windows 11 Enterprise macchine virtuali a più sessioni, ad eccezione dei modelli seguenti:
- Certificato attendibile - Dispositivo (computer) quando si selezionano i dispositivi e l'utente quando si indirizzano gli utenti
- Certificato SCEP - Dispositivo (computer) quando si indirizzano i dispositivi e l'utente quando si ha come destinazione gli utenti
- Certificato PKCS - Dispositivo (computer) quando si indirizzano i dispositivi e l'utente quando si ha come destinazione gli utenti
- VPN - Solo tunnel del dispositivo
Microsoft Intune non recapiterà modelli non supportati ai dispositivi a più sessioni e tali criteri vengono visualizzati come Non applicabili nei report.
Nota
Se si usa la co-gestione per Intune e Configuration Manager, in Configuration Manager impostare il dispositivo di scorrimento del carico di lavoro per Criteri di accesso alle risorse su Intune o Intune pilota. Questa impostazione consente ai client Windows 10 e Windows 11 di avviare il processo di richiesta del certificato.
Per configurare i criteri
- Accedere all'interfaccia di amministrazione Microsoft Intune e scegliere Dispositivi>Profili> di configurazionedi Windows>Crea>nuovi criteri.
- In Piattaforma selezionare Windows 10 e versioni successive.
- Per Tipo di profilo selezionare Catalogo impostazioni oppure, quando si distribuiscono le impostazioni usando un modello, selezionare Modelli e quindi il nome del modello supportato.
- Selezionare Crea.
- Nella pagina Informazioni di base specificare un nome e (facoltativamente) una descrizione>avanti.
- Nella pagina Impostazioni di configurazione selezionare Aggiungi impostazioni.
- In Selezione impostazioni selezionare Aggiungi filtro e selezionare le opzioni seguenti:
- Chiave: edizione del sistema operativo
- Operatore: ==
- Valore: multisessione aziendale
- Selezionare Applica. L'elenco filtrato mostra ora tutte le categorie di profili di configurazione che supportano Windows 10 o Windows 11 Enterprise multisessione. L'ambito di un criterio viene visualizzato tra parentesi. Per l'ambito utente viene visualizzato come (utente) e tutti gli altri sono criteri con ambito dispositivo.
- Nell'elenco filtrato selezionare le categorie desiderate.
- Per ogni categoria selezionata, selezionare le impostazioni da applicare al nuovo profilo di configurazione.
- Per ogni impostazione, selezionare il valore desiderato per questo profilo di configurazione.
- Al termine dell'aggiunta delle impostazioni, selezionare Avanti .
- Nella pagina Assegnazioni scegliere i gruppi Microsoft Entra contenenti i dispositivi a cui si vuole assegnare > il profilo Avanti.
- Nella pagina Tag ambito aggiungere facoltativamente i tag di ambito da applicare a questo profilo >Avanti. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
- Nella pagina Rivedi e crea scegliere Crea per creare il profilo.
Modelli amministrativi
Windows 10 o Windows 11 i modelli amministrativi sono supportati per Windows 10 o Windows 11 Enterprise multisessione tramite il catalogo impostazioni con alcune limitazioni:
- Sono supportati i criteri supportati da ADMX. Alcuni criteri non sono ancora disponibili nel catalogo impostazioni.
- Sono supportati i criteri inseriti da ADMX, incluse le impostazioni di Office e Microsoft Edge disponibili nei file dei modelli amministrativi di Office e nei file dei modelli amministrativi di Microsoft Edge. Per un elenco completo delle categorie di criteri inseriti da ADMX, vedi Configurazione dei criteri dell'app Win32 e Desktop Bridge. Alcune impostazioni di inserimento di ADMX non saranno applicabili a Windows 10 o Windows 11 Enterprise multisessione.
Conformità e accesso condizionale
È possibile proteggere Windows 10 o Windows 11 Enterprise macchine virtuali multisessione configurando criteri di conformità e criteri di accesso condizionale nell'interfaccia di amministrazione Microsoft Intune. I criteri di conformità seguenti sono supportati nelle macchine virtuali a più sessioni Windows 10 o Windows 11 Enterprise:
- Versione minima del sistema operativo
- Versione massima del sistema operativo
- Compilazioni valide del sistema operativo
- Password semplici
- Tipo di password
- Lunghezza minima password
- Complessità della password
- Scadenza password (giorni)
- Numero di password precedenti per impedire il riutilizzo
- Microsoft Defender Antimalware
- Microsoft Defender l'intelligence di sicurezza antimalware aggiornata
- Firewall
- Antivirus
- Antispyware
- Protezione in tempo reale
- Microsoft Defender versione minima di Antimalware
- Punteggio di rischio di Defender ATP
Tutti gli altri criteri segnalano come Non applicabile.
Importante
Sarà necessario creare un nuovo criterio di conformità e indirizzarlo al gruppo di dispositivi contenente le macchine virtuali a più sessioni. Le configurazioni di conformità destinate all'utente non sono supportate.
I criteri di accesso condizionale supportano configurazioni basate su utenti e dispositivi per Windows 10 o Windows 11 Enterprise multisessione.
Nota
L'accesso condizionale per Exchange locale non è supportato per le macchine virtuali Windows 10 o Windows 11 Enterprise multisessione.
Nota
I criteri di configurazione e conformità per BitLocker, avvio protetto e funzionalità che sfruttano vTPM (Virtual Trusted Platform Module) non sono attualmente supportati per le macchine virtuali di Desktop virtuale Azure.
Sicurezza endpoint
È possibile configurare i profili in Sicurezza degli endpoint per le macchine virtuali multisessione selezionando Platform Windows 10, Windows 11 e Windows Server. Se tale piattaforma non è disponibile, il profilo non è supportato nelle macchine virtuali multisessione.
Per altre informazioni, vedere Gestire la sicurezza dei dispositivi con i criteri di sicurezza degli endpoint in Microsoft Intune
Distribuzione dell'applicazione
Tutte le app Windows 10 o Windows 11 possono essere distribuite in Windows 10 o Windows 11 Enterprise più sessioni con le restrizioni seguenti:
- Tutte le app devono essere configurate per l'installazione nel contesto di sistema/dispositivo ed essere destinate ai dispositivi. Le app Web vengono sempre applicate nel contesto utente per impostazione predefinita, in modo che non si applichino alle macchine virtuali a più sessioni.
- Tutte le app devono essere configurate con la finalità di assegnazione delle app Obbligatoria o Disinstalla . La finalità di distribuzione Delle app disponibili non è supportata nelle macchine virtuali a più sessioni.
- Se un'app Win32 configurata per l'installazione nel contesto di sistema ha dipendenze o relazioni di sostituzione in qualsiasi app configurata per l'installazione nel contesto utente, l'app non verrà installata. Per applicare a una macchina virtuale a più sessioni Windows 10 o Windows 11 Enterprise, creare un'istanza separata dell'app di contesto di sistema o verificare che tutte le dipendenze dell'app siano configurate per l'installazione nel contesto di sistema.
- Desktop virtuale Azure RemoteApp e il collegamento all'app MSIX non sono attualmente supportati in Microsoft Intune.
Distribuzione di script
Gli script configurati per l'esecuzione nel contesto di sistema e assegnati ai dispositivi sono supportati in Windows 10 o Windows 11 Enterprise multisessione. Questa opzione può essere configurata in Impostazioni script impostando Esegui questo script usando le credenziali di accesso suNo.
Gli script configurati per l'esecuzione nel contesto utente e assegnati agli utenti sono supportati in Windows 10 e Windows 11 Enterprise multisessione. Questa opzione può essere configurata in Impostazioni script impostando Esegui questo script usando le credenziali di accesso suSì.
Windows Update per le aziende
È possibile usare il catalogo delle impostazioni per gestire le impostazioni di Windows Update per gli aggiornamenti qualitativi (sicurezza) per Windows 10 o Windows 11 Enterprise macchine virtuali a più sessioni. Per trovare le impostazioni supportate nel catalogo, configurare un filtro delle impostazioni per più sessioni aziendali e quindi espandere la categoria Windows Update for Business.
Nel catalogo sono disponibili le impostazioni seguenti, con i collegamenti che aprono la documentazione di Windows CSP:
- Fine dell'orario di attività
- Intervallo massimo ore di attività
- Inizio orario di attività
- Blocca la funzionalità "Sospendi Aggiornamenti"
- Configurare il periodo di tolleranza di scadenza
- Posticipare il periodo di Aggiornamenti qualità (giorni)
- Sospendi qualità Aggiornamenti ora di inizio
- Periodo di scadenza degli aggiornamenti qualitativi (giorni)
Azioni remote
Le seguenti azioni remote Windows 10 o Windows 11 dispositivo desktop non sono supportate e verranno disattivate nell'interfaccia utente e disabilitate in Graph per Windows 10 o Windows 11 Enterprise macchine virtuali a più sessioni:
- Reimpostazione di Autopilot
- Rotazione della chiave di BitLocker
- Fresh Start
- Impostare il blocco remoto
- Reimpostare la password
- Cancellazione
Ritiro
L'eliminazione di macchine virtuali da Azure lascerà i record dei dispositivi orfani nell'interfaccia di amministrazione Microsoft Intune. Verranno puliti automaticamente in base alle regole di pulizia configurate per il tenant.
Baseline di sicurezza
Le baseline di sicurezza non sono attualmente disponibili per Windows 10 o Windows 11 Enterprise multisessione. È consigliabile esaminare le baseline di sicurezza disponibili e configurare i criteri e i valori consigliati nel catalogo Impostazioni.
Configurazioni aggiuntive non supportate in macchine virtuali a più sessioni Windows 10 o Windows 11 Enterprise
La registrazione di Configurazione guidata non è supportata per Windows 10 o Windows 11 Enterprise multisessione. Questa restrizione significa che:
- Windows Autopilot e la Configurazione guidata commerciale non sono supportati.
- La pagina dello stato della registrazione non è supportata.
Windows 10 o Windows 11 Enterprise multisessione gestita da Microsoft Intune non è attualmente supportata per China Sovereign Cloud.
Risoluzione dei problemi
Le sezioni seguenti forniscono indicazioni per la risoluzione dei problemi comuni.
Problemi di registrazione
| Problema | Dettagli |
|---|---|
| La registrazione di Microsoft Entra macchina virtuale aggiunta ibrida non riesce |
|
| La registrazione di Microsoft Entra macchina virtuale aggiunta non riesce |
|
Problemi di configurazione
| Problema | Dettagli |
|---|---|
| I criteri del catalogo delle impostazioni hanno esito negativo | Verificare che la macchina virtuale sia registrata usando le credenziali del dispositivo. La registrazione con le credenziali utente non è attualmente supportata per Windows 10 o Windows 11 Enterprise multisessione. |
| Criteri di configurazione non applicati | I modelli (ad eccezione dei certificati) non sono supportati in Windows 10 o Windows 11 Enterprise multisessione. Tutti i criteri devono essere creati tramite il catalogo delle impostazioni. |
| Report dei criteri di configurazione non applicabili | Alcuni criteri non sono applicabili alle macchine virtuali di Desktop virtuale Azure. |
| I criteri ADMX di Microsoft Edge/Microsoft Office non vengono visualizzati quando si applica il filtro per Windows 10 o Windows 11 Enterprise'edizione multisessione | L'applicabilità per queste impostazioni non è basata sulla versione o sull'edizione di Windows, ma sul fatto che tali app siano state installate nel dispositivo. Per aggiungere queste impostazioni ai criteri, potrebbe essere necessario rimuovere eventuali filtri applicati nella selezione impostazioni. |
| L'app configurata per l'installazione nel contesto di sistema non è stata applicata | Verificare che l'app non abbia una relazione di dipendenza o sostituzione in alcuna app configurata per l'installazione nel contesto utente. Le app di contesto utente non sono attualmente supportate in Windows 10 o Windows 11 Enterprise multisessione. |
| Gli anelli di aggiornamento per Windows 10 e i criteri successivi non sono stati applicati | I criteri degli anelli di Windows Update non sono attualmente supportati. |
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per