Windows 10 lub Windows 11 Enterprise pulpitów zdalnych z wieloma sesjami

Usługa Azure Virtual Desktop z wieloma sesjami z Microsoft Intune jest teraz ogólnie dostępna.

Teraz możesz użyć Microsoft Intune do zarządzania Windows 10 lub Windows 11 Enterprise pulpitów zdalnych z wieloma sesjami w centrum administracyjnym Microsoft Intune, tak samo jak w przypadku zarządzania klientem udostępnionym Windows 10 lub Windows 11 Urządzenia. Podczas zarządzania takimi maszynami wirtualnymi będzie można używać konfiguracji opartej na urządzeniach przeznaczonych dla urządzeń lub konfiguracji opartej na użytkownikach przeznaczonej dla użytkowników.

Windows 10 lub Windows 11 Enterprise wielu sesji jest nowym hostem sesji pulpitu zdalnego wyłącznie dla usługi Azure Virtual Desktop na platformie Azure. Zapewnia następujące korzyści:

• Umożliwia wiele równoczesnych sesji użytkownika.
• Zapewnia użytkownikom znane środowisko Windows 10 lub Windows 11.
• Obsługuje korzystanie z istniejących licencji platformy Microsoft 365 dla poszczególnych użytkowników.

Możesz zarządzać Windows 10 i Windows 11 Enterprise maszynami wirtualnymi z wieloma sesjami utworzonymi w chmurze Azure Government w usłudze US Government Community (GCC), GCC High i DoD.

Ważna

Microsoft Intune obsługa wielu sesji usługi Azure Virtual Desktop nie jest obecnie dostępna dla usług Citrix DaaS i VMware Horizon Cloud.

Omówienie

Obsługa konfiguracji urządzeń w Microsoft Intune dla Windows 10 lub Windows 11 Enterprise wielu sesjach jest ogólnie dostępna. Oznacza to, że zasady zdefiniowane w zakresie systemu operacyjnego i aplikacje skonfigurowane do instalacji w kontekście systemu mogą być stosowane do maszyn wirtualnych z wieloma sesjami usługi Azure Virtual Desktop, gdy są przypisane do grup urządzeń.

Uwaga

Nie można przypisać konfiguracji opartej na urządzeniach do użytkowników, a konfiguracji opartej na użytkownikach nie można przypisać do urządzeń. Zostanie on zgłoszony jako Błąd lub Nie dotyczy.

Obsługa konfiguracji użytkownika w Microsoft Intune dla Windows 10 lub Windows 11 maszyn wirtualnych z wieloma sesjami jest ogólnie dostępna. Dzięki temu możesz:

• Skonfiguruj zasady zakresu użytkownika przy użyciu wykazu ustawień i przypisz je do grup użytkowników. Możesz użyć paska wyszukiwania, aby wyszukać wszystkie konfiguracje z zakresem ustawionym na "użytkownik".

• Skonfiguruj certyfikaty użytkowników i przypisz je do użytkowników.

• Skonfiguruj skrypty programu PowerShell, aby zainstalować je w kontekście użytkownika i przypisać do użytkowników.

Wymagania wstępne

Ta funkcja obsługuje Windows 10 lub Windows 11 Enterprise maszyn wirtualnych z wieloma sesjami, które są następujące:

• Uruchamianie Windows 10 wielu sesjach w wersji 1903 lub nowszej lub uruchamianie Windows 11 wielu sesjach.
• Skonfiguruj jako pulpity zdalne w pulach hostów w puli, które zostały wdrożone za pośrednictwem usługi Azure Resource Manager.
• W tej samej dzierżawie co Intune.
• Uruchamianie agenta usługi Azure Virtual Desktop w wersji 1.0.2944.1400 lub nowszej.
• Microsoft Entra przyłączone hybrydowo i zarejestrowane w Microsoft Intune przy użyciu jednej z następujących metod:
  • Skonfigurowano przy użyciu zasad grupy usługi Active Directory, ustawiono opcję używania poświadczeń urządzenia i ustawiono opcję automatycznego rejestrowania urządzeń, które są Microsoft Entra przyłączone hybrydowo.
  • Configuration Manager współzarządzanie.
• Microsoft Entra przyłączone i zarejestrowane w Microsoft Intune, włączając funkcję Rejestrowanie maszyny wirtualnej przy użyciu Intune w Azure Portal.
• Licencjonowanie: odpowiednia licencja usługi Azure Virtual Desktop i Microsoft Intune jest wymagana, jeśli użytkownik lub urządzenie korzysta bezpośrednio lub pośrednio z usługi Microsoft Intune, w tym dostępu do usługi Microsoft Intune za pośrednictwem interfejsu API firmy Microsoft. Aby uzyskać więcej informacji, przejdź do Microsoft Intune licencjonowania.
• Zobacz Co to jest usługa Azure Virtual Desktop? aby uzyskać więcej informacji na temat wymagań dotyczących licencjonowania usługi Azure Virtual Desktop.

Ograniczenia

Intune nie obsługuje używania sklonowanego obrazu komputera, który jest już zarejestrowany. Obejmuje to zarówno urządzenia fizyczne, jak i wirtualne, takie jak Azure Virtual Desktop (AVD). Gdy między urządzeniami są replikowane tokeny rejestracji urządzeń lub tożsamości, Intune wystąpią błędy rejestracji lub synchronizacji urządzeń.

• Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzeń przenośnych — Zarządzanie klientami systemu Windows i rejestrowanie urządzeń uwierzytelniania certyfikatów — Zarządzanie klientami systemu Windows.
• Aby uzyskać informacje na temat rozwiązywania problemów związanych z klonowaniem obrazów, zobacz Błąd hr 0x8007064c: Maszyna jest już zarejestrowana.

Uwaga

Jeśli dołączasz hosty sesji do Microsoft Entra Domain Services, nie możesz zarządzać nimi przy użyciu Intune.

Ważna

• Jeśli używasz kompilacji Windows 10, wersji 2004, 20H2 lub 21H1, upewnij się, że zainstalowano Windows Update z lipca 2021 r. lub nowszą aktualizację systemu Windows. W przeciwnym razie akcje zdalne w centrum administracyjnym Microsoft Intune, takie jak synchronizacja zdalna, nie będą działać poprawnie. W związku z tym stosowanie oczekujących zasad przypisanych do urządzeń może potrwać do 8 godzin.
• Intune obecnie nie obsługuje funkcji roamingu tokenów między urządzeniami. Jeśli program FSLogix lub podobna technologia służy do zarządzania profilami i ustawieniami użytkowników systemu Windows, należy upewnić się, że tokeny nie są nieoczekiwanie przenoszone ani duplikowane między urządzeniami. Aby potwierdzić, że używasz obsługiwanej wersji i konfiguracji programu FSLogix z wyłączonym roamingiem tokenów, zobacz dokumentację ustawień konfiguracji obiektu FSLogix RoamIdentity.

Windows 10 lub Windows 11 Enterprise maszyny wirtualne z wieloma sesjami są traktowane jako oddzielna wersja systemu operacyjnego, a niektóre konfiguracje Windows 10 lub Windows 11 Enterprise nie będą obsługiwane w tej wersji. Używanie Microsoft Intune nie zależy od zarządzania tą samą maszyną wirtualną ani nie zakłóca zarządzania usługą Azure Virtual Desktop.

Twórca profilu konfiguracji

Aby skonfigurować zasady konfiguracji dla Windows 10 lub Windows 11 Enterprise maszyn wirtualnych z wieloma sesjami, należy użyć wykazu ustawień w centrum administracyjnym Microsoft Intune.

Istniejące szablony profilów konfiguracji urządzeń nie są obsługiwane w przypadku maszyn wirtualnych Windows 10 lub Windows 11 Enterprise wielu sesji, z wyjątkiem następujących szablonów:

• Zaufany certyfikat — urządzenie (maszyna) podczas określania wartości docelowej urządzeń i użytkowników w przypadku określania wartości docelowej dla użytkowników
• Certyfikat SCEP — urządzenie (maszyna) podczas określania wartości docelowej urządzeń i użytkowników w przypadku określania wartości docelowej dla użytkowników
• Certyfikat PKCS — urządzenie (maszyna) podczas określania wartości docelowej urządzeń i użytkownika podczas określania wartości docelowej dla użytkowników
• VPN — tylko tunel urządzenia

Microsoft Intune nie będą dostarczać nieobsługiwanych szablonów do urządzeń z wieloma sesjami, a te zasady są wyświetlane jako Nie dotyczy w raportach.

Uwaga

Jeśli używasz współzarządzania dla Intune i Configuration Manager, w Configuration Manager ustaw suwak obciążenia dla zasad dostępu do zasobów na Intune lub Intune pilotażowe. To ustawienie umożliwia klientom Windows 10 i Windows 11 rozpoczęcie procesu żądania certyfikatu.

Aby skonfigurować zasady

1. Zaloguj się do centrum administracyjnego Microsoft Intune i wybierz pozycję Urządzenia>Profile> konfiguracjisystemu Windows>Twórca>Nowe zasady.
2. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.
3. W polu Typ profilu wybierz pozycję Katalog ustawień lub podczas wdrażania ustawień przy użyciu szablonu wybierz pozycję Szablony , a następnie nazwę obsługiwanego szablonu.
4. Wybierz pozycję Utwórz.
5. Na stronie Podstawy podaj nazwę i (opcjonalnie) opis>dalej.
6. Na stronie Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia.
7. W obszarze Selektor ustawień wybierz pozycję Dodaj filtr i wybierz następujące opcje:
   • Klucz: wersja systemu operacyjnego
   • Operator: ==
   • Wartość: wielosesja przedsiębiorstwa
   • Wybierz pozycję Zastosuj. Filtrowana lista zawiera teraz wszystkie kategorie profilów konfiguracji obsługujące Windows 10 lub Windows 11 Enterprise wielu sesjach. Zakres zasad jest wyświetlany w nawiasach. W przypadku zakresu użytkownika jest on wyświetlany jako (użytkownik), a wszystkie pozostałe to zasady z zakresem urządzenia.
8. Z filtrowanej listy wybierz żądane kategorie.
   • Dla każdej wybranej kategorii wybierz ustawienia, które chcesz zastosować do nowego profilu konfiguracji.
   • Dla każdego ustawienia wybierz odpowiednią wartość dla tego profilu konfiguracji.
9. Po zakończeniu dodawania ustawień wybierz pozycję Dalej .
10. Na stronie Przypisania wybierz grupy Microsoft Entra zawierające urządzenia, do których ma zostać przypisany > ten profil Dalej.
11. Na stronie Tagi zakresu opcjonalnie dodaj tagi zakresu, które chcesz zastosować do tego profilu >Dalej. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.
12. Na stronie Przeglądanie i tworzenie wybierz pozycję Twórca, aby utworzyć profil.

Szablony administracyjne

Szablony administracyjne Windows 10 lub Windows 11 są obsługiwane w przypadku Windows 10 lub Windows 11 Enterprise wielu sesji za pośrednictwem wykazu ustawień z pewnymi ograniczeniami:

• Obsługiwane są zasady wspierane przez usługę ADMX. Niektóre zasady nie są jeszcze dostępne w wykazie ustawień.
• Obsługiwane są zasady pozyskiwane przez usługę ADMX, w tym ustawienia pakietu Office i przeglądarki Microsoft Edge dostępne w plikach szablonów administracyjnych pakietu Office i plikach szablonów administracyjnych przeglądarki Microsoft Edge. Aby uzyskać pełną listę kategorii zasad pozyskanych przez usługę ADMX, zobacz Konfiguracja zasad aplikacji Win32 i Mostek dla aplikacji klasycznych. Niektóre ustawienia pozyskane przez usługę ADMX nie mają zastosowania do Windows 10 lub Windows 11 Enterprise wielu sesji.

Zgodność i dostęp warunkowy

Możesz zabezpieczyć Windows 10 lub Windows 11 Enterprise maszyn wirtualnych z wieloma sesjami, konfigurując zasady zgodności i zasady dostępu warunkowego w centrum administracyjnym Microsoft Intune. Następujące zasady zgodności są obsługiwane na maszynach wirtualnych Windows 10 lub Windows 11 Enterprise wielu sesjach:

• Minimalna wersja systemu operacyjnego
• Maksymalna wersja systemu operacyjnego
• Prawidłowe kompilacje systemu operacyjnego
• Proste hasła
• Typ hasła
• Minimalna długość hasła
• Złożoność hasła
• Wygaśnięcie hasła (dni)
• Liczba poprzednich haseł, aby zapobiec ponownemu użyciu
• ochrona przed złośliwym kodem Microsoft Defender
• Microsoft Defender Analiza zabezpieczeń oprogramowania chroniącego przed złośliwym kodem jest aktualna
• Zapory
• Antivirus
• Antyspyware
• Ochrona w czasie rzeczywistym
• minimalna wersja oprogramowania chroniącego przed złośliwym kodem Microsoft Defender
• Ocena ryzyka usługi Defender ATP

Wszystkie inne zasady raportują jako Nie dotyczy.

Ważna

Musisz utworzyć nowe zasady zgodności i skierować je do grupy urządzeń zawierającej maszyny wirtualne z wieloma sesjami. Konfiguracje zgodności przeznaczone dla użytkowników nie są obsługiwane.

Zasady dostępu warunkowego obsługują konfiguracje oparte na użytkownikach i urządzeniach dla Windows 10 lub Windows 11 Enterprise wielu sesjach.

Uwaga

Dostęp warunkowy dla lokalnego programu Exchange nie jest obsługiwany w przypadku maszyn wirtualnych Windows 10 lub Windows 11 Enterprise wielu sesji.

Uwaga

Zasady konfiguracji i zgodności funkcji BitLocker, bezpiecznego rozruchu i funkcji korzystających z modułu vTPM (Virtual Trusted Platform Module) nie są obecnie obsługiwane w przypadku maszyn wirtualnych usługi Azure Virtual Desktop.

Zabezpieczenia punktu końcowego

Profile w obszarze Zabezpieczenia punktu końcowego dla maszyn wirtualnych z wieloma sesjami można skonfigurować, wybierając pozycje Platform Windows 10, Windows 11 i Windows Server. Jeśli ta platforma nie jest dostępna, profil nie jest obsługiwany na maszynach wirtualnych z wieloma sesjami.

Aby uzyskać więcej informacji, zobacz Zarządzanie zabezpieczeniami urządzeń przy użyciu zasad zabezpieczeń punktu końcowego w Microsoft Intune

Wdrażanie aplikacji

Wszystkie aplikacje Windows 10 lub Windows 11 można wdrożyć w Windows 10 lub Windows 11 Enterprise wielu sesjach z następującymi ograniczeniami:

• Wszystkie aplikacje muszą być skonfigurowane do instalowania w kontekście systemu/urządzenia i być przeznaczone dla urządzeń. Aplikacje internetowe są zawsze stosowane domyślnie w kontekście użytkownika, więc nie będą stosowane do maszyn wirtualnych z wieloma sesjami.
• Wszystkie aplikacje muszą być skonfigurowane z zamiarem przypisania aplikacji Wymagane lub Odinstaluj . Intencja wdrożenia Dostępne aplikacje nie jest obsługiwana na maszynach wirtualnych z wieloma sesjami.
• Jeśli aplikacja Win32 skonfigurowana do zainstalowania w kontekście systemu ma relację zależności lub zastępowania dla wszystkich aplikacji skonfigurowanych do instalacji w kontekście użytkownika, aplikacja nie zostanie zainstalowana. Aby zastosować do Windows 10 lub Windows 11 Enterprise maszyny wirtualnej z wieloma sesjami, utwórz oddzielne wystąpienie aplikacji kontekstowej systemu lub upewnij się, że wszystkie zależności aplikacji są skonfigurowane do instalacji w kontekście systemu.
• Dołączanie aplikacji Azure Virtual Desktop RemoteApp i MSIX nie jest obecnie obsługiwane w Microsoft Intune.

Wdrażanie skryptu

Skrypty skonfigurowane do uruchamiania w kontekście systemu i przypisywane do urządzeń są obsługiwane w Windows 10 lub Windows 11 Enterprise wielu sesjach. Można to skonfigurować w obszarze Ustawienia skryptu, ustawiając opcję Uruchom ten skrypt przy użyciu poświadczeń zalogowanych nawartość Nie.

Skrypty skonfigurowane do uruchamiania w kontekście użytkownika i przypisywane do użytkowników są obsługiwane w Windows 10 i Windows 11 Enterprise wielu sesjach. Można to skonfigurować w obszarze Ustawienia skryptu, ustawiając ustawienie Uruchom ten skrypt przy użyciu zalogowanych poświadczeń nawartość Tak.

Windows Update dla firm

Wykaz ustawień umożliwia zarządzanie ustawieniami Windows Update aktualizacji jakości (zabezpieczeń) dla maszyn wirtualnych Windows 10 lub Windows 11 Enterprise wielu sesji. Aby znaleźć obsługiwane ustawienia w wykazie, skonfiguruj filtr ustawień dla wielu sesji przedsiębiorstwa, a następnie rozwiń kategorię Windows Update for Business.

W wykazie są dostępne następujące ustawienia z linkami otwierającymi dokumentację dostawcy CSP systemu Windows:

• Koniec godzin aktywnych
• Maksymalny zakres godzin aktywnych
• Początek godzin aktywnych
• Blokuj możliwość wstrzymywania Aktualizacje
• Konfigurowanie okresu prolongaty terminu ostatecznego
• Odroczenie okresu Aktualizacje jakości (dni)
• Wstrzymywanie czasu rozpoczęcia Aktualizacje jakości
• Okres ostatecznego terminu aktualizacji jakości (dni)

Akcje zdalne

Następujące akcje zdalne Windows 10 lub Windows 11 urządzenia stacjonarnego nie są obsługiwane i zostaną wyszarzone w interfejsie użytkownika i wyłączone w programie Graph dla maszyn wirtualnych Windows 10 lub Windows 11 Enterprise wielu sesji:

• Resetowanie rozwiązania Autopilot
• Rotacja kluczy funkcji BitLocker
• Rozpoczęcie od nowa
• Zdalne blokowanie
• Resetuj hasło
• Wyczyść dane

Wycofanie

Usunięcie maszyn wirtualnych z platformy Azure spowoduje pozostawienie oddzielonych rekordów urządzeń w centrum administracyjnym Microsoft Intune. Zostaną one automatycznie oczyszczone zgodnie z regułami oczyszczania skonfigurowanym dla dzierżawy.

Plan bazowy zabezpieczeń

Punkty odniesienia zabezpieczeń nie są obecnie dostępne dla Windows 10 lub Windows 11 Enterprise wielu sesji. Zalecamy zapoznanie się z dostępnymi punktami odniesienia zabezpieczeń i skonfigurowanie zalecanych zasad i wartości w wykazie ustawień.

Dodatkowe konfiguracje, które nie są obsługiwane na maszynach wirtualnych Windows 10 lub Windows 11 Enterprise wielu sesjach

Rejestracja środowiska OOBE (Out of Box Experience) nie jest obsługiwana w przypadku okna 10 ani Windows 11 Enterprise wielu sesji. To ograniczenie oznacza, że:

• Rozwiązanie Windows Autopilot oraz komercyjne rozwiązania OOBE nie są obsługiwane.
• Strona stanu rejestracji nie jest obsługiwana.

Windows 10 lub Windows 11 Enterprise wielosesyjne zarządzane przez Microsoft Intune nie są obecnie obsługiwane w przypadku suwerennej chmury Chin.

Rozwiązywanie problemów

Poniższe sekcje zawierają wskazówki dotyczące rozwiązywania typowych problemów.

Problemy z rejestracją

Problem	Szczegóły
Rejestracja maszyny wirtualnej przyłączonych hybrydowo Microsoft Entra kończy się niepowodzeniem	Automatyczne rejestrowanie jest skonfigurowane do używania poświadczeń użytkownika. Windows 10 lub Windows 11 Enterprise maszyny wirtualne z wieloma sesjami muszą być zarejestrowane przy użyciu poświadczeń urządzenia. Używany agent usługi Azure Virtual Desktop musi mieć wersję 1.0.2944.1400 lub nowszą. Masz więcej niż jednego dostawcę mdm, który nie jest obsługiwany. Windows 10 lub Windows 11 Enterprise maszyna wirtualna z wieloma sesjami jest skonfigurowana poza pulą hostów. Microsoft Intune obsługuje tylko maszyny wirtualne aprowizowane jako część puli hostów. Pula hostów usługi Azure Virtual Desktop nie została utworzona za pomocą szablonu usługi Azure Resource Manager.
Rejestracja maszyny wirtualnej przyłączonych Microsoft Entra kończy się niepowodzeniem	Używany agent usługi Azure Virtual Desktop nie jest aktualizowany. Agent musi mieć wersję 1.0.2944.1400 lub nowszą. Pula hostów usługi Azure Virtual Desktop nie została utworzona za pomocą szablonu usługi Azure Resource Manager.

Problemy z konfiguracją

Problem	Szczegóły
Zasady wykazu ustawień nie powiodły się	Upewnij się, że maszyna wirtualna została zarejestrowana przy użyciu poświadczeń urządzenia. Rejestracja przy użyciu poświadczeń użytkownika nie jest obecnie obsługiwana w przypadku Windows 10 lub Windows 11 Enterprise wielu sesji.
Zasady konfiguracji nie zostały zastosowane	Szablony (z wyjątkiem certyfikatów) nie są obsługiwane w Windows 10 lub Windows 11 Enterprise wielu sesjach. Wszystkie zasady należy utworzyć za pośrednictwem katalogu ustawień.
Raporty zasad konfiguracji jako Nie dotyczy	Niektóre zasady nie mają zastosowania do maszyn wirtualnych usługi Azure Virtual Desktop.
Zasady Microsoft Edge/Microsoft Office ADMX nie są wyświetlane, gdy zastosuję filtr dla Windows 10 lub Windows 11 Enterprise wersji wielosesyjnej	Zastosowanie tych ustawień nie jest oparte na wersji lub wersji systemu Windows, ale na tym, czy te aplikacje zostały zainstalowane na urządzeniu. Aby dodać te ustawienia do zasad, może być konieczne usunięcie filtrów zastosowanych w selektorze ustawień.
Aplikacja skonfigurowana do instalacji w kontekście systemu nie została zastosowana	Upewnij się, że aplikacja nie ma relacji zależności ani zastępowania dla żadnych aplikacji skonfigurowanych do instalowania w kontekście użytkownika. Aplikacje kontekstowe użytkownika nie są obecnie obsługiwane w Windows 10 lub Windows 11 Enterprise wielu sesjach.
Pierścienie aktualizacji dla zasad Windows 10 i nowszych nie zostały zastosowane	Zasady pierścieni aktualizacji systemu Windows nie są obecnie obsługiwane.

Następne kroki

Dowiedz się więcej o usługach Azure Virtual Desktops.