將內部部署遠端桌面服務移至 Azure 虛擬桌面案例

  • 發行項

Azure 虛擬桌面 是在雲端上執行的桌面和應用程式虛擬化服務。 它是唯一提供簡化管理、Windows 10 和 Windows 11 企業版 多會話或 Windows Server 操作系統的桌面和應用程式虛擬化基礎結構,以及 Microsoft 365 Apps 企業版的優化。 您可以在幾分鐘內部署及調整 Azure 上的 Windows 桌面和應用程式,並取得內建的安全性與合規性功能。

在本文中,Contoso 會根據 Windows Server 中的遠端桌面服務 (RDS) 將內部部署 VDI 環境移轉至 Azure 虛擬桌面,並將其現代化。

移轉選項 結果
Azure Migrate 在 Azure 虛擬桌面環境中執行工作負載。

商業動機

Contoso IT 小組會與商務夥伴密切合作,為 RDS 內部部署移轉至 Azure 定義業務驅動因素。 這些驅動程式可能包括:

  • 目前的環境生命週期結束: 數據中心在到達租用結束或關閉時,容量不足。 移轉至雲端可提供幾乎無限制的容量。 目前的軟體可能也會達到其生命週期的盡頭,因此需要升級執行 Contoso 桌面和應用程式虛擬化解決方案的軟體。
  • 降低成本: 使用集區、多會話資源降低成本。 有了新的 Windows 11 和 Windows 10 企業版 多會話功能,專屬於 Azure 虛擬桌面,以及 Windows Server 上的遠端桌面會話主機 (RDSH) 角色,您可以大幅減少虛擬機 (VM) 和操作系統額外負荷的數目,同時仍為使用者提供相同的資源。
  • 優化 Microsoft 365 Apps 企業版:提供最佳的 Microsoft 365 Apps 企業版 體驗,多會話虛擬桌面案例可為 Contoso 的使用者提供最具生產力的虛擬化體驗。
  • 部署和調整幾分鐘:在幾分鐘內,使用 Azure 入口網站 的統一管理,快速虛擬化現代化和舊版傳統型應用程式至雲端。
  • 在 Azure 和 Microsoft 365 上安全且具生產力: 部署完整的智慧型手機解決方案,以增強每個人的創造力和共同作業。 移至 Microsoft 365、Windows 11 或 Windows 10,以及 Enterprise Mobility + Security。

RDS 內部部署至 Azure 虛擬桌面目標

考慮到業務驅動因素,Contoso 會定義此移轉的目標:

  • 將雲端的桌面和應用程式虛擬化環境現代化。
  • 利用現有的 Microsoft 365 授權 與 Azure 虛擬桌面。
  • 改善公司數據的安全性,同時為遠端和混合式使用者提供服務。
  • 針對成本和企業級成長優化新環境。

這些目標支援決定使用 Azure 虛擬桌面,並將其驗證為 Contoso 的最佳移轉方法。

執行 Azure 虛擬桌面的優點

使用 Azure 虛擬桌面,Contoso 現在可以順暢地執行、管理及調整其桌面和應用程式虛擬化解決方案。 公司也可以為其使用者提供 Windows 10 或 Windows 11 環境上優化的多會話解決方案。

Contoso 利用現有的 Microsoft 365 授權,同時使用 Azure 的規模、效能、安全性和創新。

其他優點可能包括:

  • 從任何地方存取 Azure 虛擬桌面。
  • 優化 Microsoft 365 Apps 企業版 環境。
  • 適用於開發/測試環境的 Azure 虛擬桌面。
  • 使用 Windows 10 或 Windows 11 多重工作階段取代 Windows Server 多會話主機時,移除 RDS CAL(用戶端存取授權)授權的需求。

目前架構

RDS 個人和集區資源會部署到內部部署數據中心。 Microsoft 365 已由組織授權及使用。

解決方案設計

評估目前的 RDS 部署之後,Contoso 會定義用來設計移轉程式的目標和需求。

建議的架構

下圖概述將建置以將 RDS 內部部署移轉至 Azure 虛擬桌面的架構。

*Figure 1: Proposed architecture: Azure Virtual Desktop LZA will deploy the resources contained under the Azure Virtual Desktop LZ Subscription*圖 1:建議的架構:Azure 虛擬桌面 LZA 會部署 Azure 虛擬桌面 LZ 訂用帳戶下所包含的資源。

下載 Visio 檔案

此圖概述移轉的必要條件的資源(身分識別、管理、連線能力、Azure AD 同步),以及AVD LZ和AVD共用服務 LZ 訂用帳戶下 Azure 虛擬桌面登陸區域加速器部署所建立的資源。 如需所部署資源的詳細資訊,請參閱 Azure 虛擬桌面 登陸區域加速器資源組織圖

移轉程序

Contoso 會經歷下列流程,以從內部部署 RDS 遷移至 Azure 虛擬桌面:

*Figure 2: The migration process.*圖 2:移轉程式。“*” 表示選擇性步驟。

移轉流程會以下列移轉步驟進行結構化:

  1. 定義必要條件
  2. 評估目前的 RDS 內部部署環境
  3. 部署 Azure 虛擬桌面登陸區域加速器 (LZA)
  4. 使用 FSLogix 為用戶準備新配置檔。
  5. 將必須保存到 Azure 的 VM 移轉(選擇性)。
  6. 將必須保存至 Azure 的 VM 映像移轉(選擇性)。
  7. 管理 Azure 虛擬桌面
  8. 優化 Azure 虛擬桌面

遷移

Contoso 現在會逐步完成完成 Azure 虛擬桌面移轉所需的步驟:

步驟 1 :先決條件

  1. 需要 Azure 訂用帳戶(訂用帳戶需求)。

  2. 請確定網域服務,Active Directory 網域服務 (AD DS) 或 Microsoft Entra Domain Services (Microsoft Entra Domain Services), 會與 Microsoft Entra ID 同步處理。 請確定網域服務可從您部署 Azure 虛擬桌面工作階段主機的 Azure 訂用帳戶和虛擬網路存取。 Azure 虛擬桌面需要混合式使用者身分識別,才能進行大部分的 Azure 虛擬桌面部署和所需的功能。 Azure 虛擬桌面服務需要用戶主體名稱 (UPN) 或安全性識別碼 (SID) 才能在內部部署 AD 與 Microsoft Entra 識別符之間進行比對。

  3. 在部署 Azure 虛擬桌面 LZA 之前,請確定 符合 Azure 虛擬桌面 LZA 必要條件

    注意

    深入了解:

步驟 2:評估目前的 RDS 內部部署環境

若要從目前環境收集效能和重設大小的其他數據,建議您執行 RDS 內部部署環境的評估,以達到此 Contoso 其喜好設定工具。 評估將涵蓋每個 RDS 案例的下列資訊:

  • 每個角色中的用戶數目。
  • 使用者正在使用的應用程式。
  • 依使用者的資源耗用量。
  • 使用者角色的資源使用率平均值。
  • RDS 會話主機效能數據。
  • 用戶並行報告。
  • 使用中的熱門軟體套件。

一旦每個案例擷取足夠的數據量,Contoso 會檢閱評估的見解,並判斷最符合成本效益的路徑是同時使用集區和個人 Azure 虛擬桌面資源,以取代現有的 RDS 案例:

  1. 多工作階段(集區): 執行 Windows 伺服器的 RDS 會話主機,並允許多個用戶連線到相同的主機。
  2. 單一會話(個人): 執行 Windows 10 或 Windows 11 的 RDS 會話主機,並允許單一用戶連線到主機。

注意

若要改善 Azure 虛擬桌面使用者流程的效能,Contoso 也需要移轉 Azure 虛擬桌面環境將使用的應用程式伺服器和數據源。 這個相同的方法應該套用至 Azure 虛擬桌面將依賴的平臺共用服務(域控制器、DNS、網路裝置等等)。 建議將這些服務裝載在與 Azure 虛擬桌面工作階段主機相同的 Azure 區域中。

步驟 3:部署 Azure 虛擬桌面登陸區域加速器 (LZA)

Contoso 已準備好部署 Azure 虛擬桌面。 Azure 虛擬桌面 LZA 是 Microsoft 的企業就緒解決方案,可用來部署端對端 Azure 虛擬桌面企業就緒環境。 若要部署加速器,請遵循 Azure 虛擬桌面 LZA 部署逐步解 說指南。

重要

根據評估階段的結果,需要美國東部 2兩個 Azure 虛擬桌面 LZA 部署,才能解決 Contoso 案例:

  • 多會話(集區主機集區): 使用 Windows 10 或 Windows 11 多工作階段會話主機和 FSLogix 進行部署的 Azure 虛擬桌面管理平面(工作區、主機集區、應用程式群組、調整方案)部署,以管理使用者配置檔數據。
  • 單一會話(個人主機集區): Azure 虛擬桌面管理平面(工作區、主機集區、應用程式群組)部署,而不需要建立新的會話主機(個人 VM 將會從 RDS 移轉)。
部署類型 連結
Azure 入口網站 UI Deploy to Azure
命令行 (Bicep/ARM) Powershell/Azure CLI implementation
Terraform Terraform implementation

此時,Azure 虛擬桌面環境可供使用。 Contoso 可以繼續準備使用者配置檔數據,以移至 Azure 虛擬桌面環境中的新 FSLogix 配置檔。

步驟 4:使用 FSLogix 為用戶準備新配置檔

注意

Microsoft 不支援將設定檔從使用者設定檔磁碟 (UPD) 或漫遊使用者策略檔 (RUP) 移轉至 FSLogix。

Azure 虛擬桌面不支援使用者配置檔磁碟(UPD),因此 Contoso 必須使用 FSLogix 來準備其使用者以取得新配置檔。 使用新設定檔啟動使用者,可提供UPD或 RUP 設定檔的最佳轉換。 若要進行這項轉換,Contoso 必須讓使用者在第一次登入桌面之前儲存或備份其數據。

  1. 啟用 Microsoft Edge 企業同步處理。如果使用其他瀏覽器,請將書籤或我的最愛匯出並匯入至 Microsoft Edge。
  2. 為移至 Azure 虛擬桌面的使用者啟用 OneDrive。
  3. 啟用 已知資料夾重新 導向至 OneDrive(選擇性)。 使用者和非用戶數據都應該儲存或備份至 OneDrive、SharePoint 或其他檔存放庫。
  4. 使用者和非用戶數據都應該儲存或備份至 OneDrive、SharePoint 或其他檔存放庫。

Contoso 現已啟用 Microsoft Edge 企業同步處理,以匯出瀏覽器數據和已知資料夾重新導向至 OneDrive,以儲存使用者和非用戶數據。

重要

使用者可能需要來自第三方或其他企業營運應用程式配置檔中的設定或應用程式數據。 如果需要該數據,您應該遵循廠商的建議加以保留。 Microsoft 不負責此數據。

如需 FSLogix 的詳細資訊:

此時,使用者已儲存或備份其重要配置文件數據。 Contoso 可以繼續開始復寫 VM,並將 VM 保存到 Azure 虛擬桌面。

步驟 5:移轉必須保存至 Azure 的 VM(選擇性)

Contoso 移轉程式的下一個步驟是移轉必須保存到 Azure 虛擬桌面的 RDS 會話主機(執行 Windows Server)。 若要這樣做,Contoso 會逐步執行 Azure Migrate:伺服器移轉 步驟:

重要

  • Microsoft 建議不要移轉 RDS 會話主機,而是使用 Azure 市場位置映像或從市集建置的自定義映像來重新部署 VM,因為這些映像可確保相容性,並從現有的內部部署映射中移除任何可能的膨脹。
  • Azure Migrate 僅支援 Windows Server 操作系統移轉。 您可以使用 Azure Site Recovery 複寫和故障轉移來移轉 Windows 10 等用戶端操作系統,一旦這些 VM 可在 Azure 中使用,請跳至第 5 節來安裝和設定 AVD 代理程式。

  1. 登入 Azure 入口網站

  2. 在搜尋列中,輸入 Azure Migrate ,然後選取相符的服務專案。

  3. [開始使用 Azure Migrate] 中,選取 [探索、評估和移轉]。

    Screenshot that shows the overview page and Get Started tab for Azure Migrate.圖 3:用戶入門。

  4. 選取建立專案

    Screenshot that shows the Create Project button.圖 4:建立新的 Azure Migrate 專案。

  5. 設定移轉作業數據的訂用帳戶、資源群組、項目名稱和地理位置,然後選取 [ 建立]。

    Screenshot of adding job data to the Azure Migrate project.圖 5:將作業數據新增至移轉。

    重要

    此位置不是將部署新 Azure 虛擬桌面環境的位置。 此處只會儲存與 Azure Migrate 專案相關的數據。

  6. Contoso 會從在 Azure Migrate:伺服器移轉工具中選取 [ 探索 ] 開始。

    Screenshot of the Azure Migrate: server migration discovery option.圖 6:探索伺服器移轉。

  7. Contoso 會在其環境中轉換設備,以管理機器複寫至 Azure 虛擬桌面。 確定目標區域設定 為美國東部 2,其中已建立 Azure 虛擬桌面環境。 如需完整的 Azure Migrate OS 支援矩陣,請參閱 Hyper-V 的支援矩陣和 VMware vSphere 的支援矩陣。

    Screenshot that shows creating an appliance for managing the replication.

    圖 7:轉換設備。

  8. Contoso 會下載、安裝及註冊複寫提供者至 Azure Migrate 專案,以開始複寫至 Azure。

    Screenshot that shows downloading and configuring replication.

    圖 8:復寫至 Azure 的必要條件。

  9. 主機復寫至 Azure Blob 儲存體 開始。 Contoso 可以繼續讓復寫發生,直到它準備好測試 VM,然後將其遷移至生產環境為止。

  10. 當移轉的 VM 開始在 Azure 中執行時,Contoso 必須在每個已移轉的上安裝及設定 Azure 虛擬桌面代理程式:

注意

Contoso 將此程式自動化的另一個選項是使用 VM 自定義腳本擴充功能來部署 Azure 虛擬桌面代理程式,此程式包含在 (Azure 虛擬桌面 LZA 自動化) 中。

此時,Contoso 會完成必須保存並繼續逐漸將其餘內部部署 RDS 會話主機移轉至 Azure 虛擬桌面的機器移轉。

步驟 6:移轉必須儲存至 Azure 的 VM 映像(選擇性)

重要

Microsoft 建議根據 Vanilla Marketplace 映射,在 Azure 中建置新的映射,而不是移轉 VM 映射。 這可確保與映像的相容性,並減少原始 VM 映射中可能存在的垃圾相依性或組態。 此外,從市集映像在 Azure 中建置新的映像有助於簡化部署程式,並確保映像具有最新的安全性修補程式和更新。 Azure 虛擬桌面 LZA 自定義映像建置 - 用戶入門

針對 VM 映像必須保存到 Azure 虛擬桌面的案例,下列文章提供準備 Windows VHD 或 VHDX 以上傳至 Azure 的指引

步驟 7:管理 Azure 虛擬桌面

  1. 發佈應用程式和桌面:Azure 虛擬桌面 LZA 部署預設會為桌面建立一個應用程式群組,而且可以選擇同時部署 RemoteApp 應用程式群組。 部署后,預設不需要發佈桌面。 您可以遵循指引來管理 RemoteApps:

  2. 管理會話主機:一旦會話主機部署並加入網域,就可以使用 SCCM 和組策略等現有工具來管理這些主機。 Microsoft Intune 也可用來協助您管理裝置和應用程式。 若要開始使用 Intune,請參閱 Microsoft Intune 檔

  3. 使用者存取:作為最終移轉前的最後一個步驟,Contoso 會選取 Azure 虛擬桌面設定中的 [使用者 ] 專案,以指派使用者和群組。

    Screenshot that shows assigning Azure Virtual Desktop resources to users and groups.圖 9:最終移轉前的最後一個步驟。

    如需額外的使用者指派資訊,請參閱使用 Azure 入口網站 管理應用程式群組。

  4. 主機集區調整:Azure 虛擬桌面 LZA 部署可以選擇在集區主機集區上建立指派和啟用的 Azure 虛擬桌面調整方案。 調整計劃會預先設定與會話主機和默認調整規則位於相同時區的兩個排程(工作日和週末)。

    Azure Virtual Desktop LZA scaling plan.圖 10:Azure 虛擬桌面調整方案排程範例。

    應修改調整規則,以符合裝載 Azure 虛擬桌面環境之工作負載的特定需求。 您可以在自動調整調整方案和範例案例中找到設定調整計劃的相關信息。

  5. 監視:Azure 虛擬桌面 LZA 部署可以選擇部署 Azure 虛擬桌面深入解析活頁簿所需的所有診斷設定(預設啟用),包括建立新的記錄分析工作區(可使用現有選項)來收集 Azure 虛擬桌面記錄、計量和事件。

    Azure Virtual Desktop LZA insights.圖 11:Azure 虛擬桌面監視器深入解析範例。

    如需 Azure 虛擬桌面監視的詳細資訊,請參閱 使用 Azure 虛擬桌面深入解析來監視您的部署

步驟 8:優化 Azure 虛擬桌面

  1. 安全性:Contoso 的安全性小組會檢閱 Azure VM,以判斷任何安全性問題。 為了控制存取權,小組會檢閱 VM 的網路安全組(NSG)。 NSG 是用來確保只有允許到應用程式的流量可以連線到它。 小組也會考慮使用 Azure 磁碟加密和 Azure 金鑰保存庫 來保護磁碟上的數據。 會話主機也應該使用適用於端點的 Defender 或選擇的產品來保護,請確定您的廠商在 Azure VDI 環境中支援其產品。 也選擇使用 適用於雲端的 Defender 來保護 Azure 虛擬桌面登陸區域訂用帳戶,以提高可見度和合規性控制。

    注意

    深入瞭解 Azure 虛擬桌面安全性與 Azure 虛擬桌面安全性最佳做法

  2. 授權Microsoft 365 授權 用於桌面部署。 如果仍然需要 Windows Server 工作階段主機,Contoso 將需要攜帶其 RDS CAL(用戶端存取授權)授權。 由於 Azure 虛擬桌面授權權利,任何操作系統都沒有 OS 成本,包括 Windows Server。

  3. 成本優化:Contoso 會使用下列功能來協助進行成本優化:

    • Contoso 會啟用 Azure 成本管理 + 計費 ,以協助監視和管理 Azure 資源。
    • Contoso 會使用 Azure 虛擬桌面 標記 來追蹤成本,並根據主機集區的相關資源進行分組。
    • Contoso 會使用 Azure 虛擬桌面深入解析來監視整個 Azure 虛擬桌面部署的使用率,並評估保留實例、節省方案或保留容量的成本節省機會。

  4. 設定商務持續性和災害復原 (BCDR):Azure 虛擬桌面會使用 Microsoft 受控元件的組合,其隨附非財務支援的 SLA,以 99.9% 運行時間為目標,用於 Azure 虛擬桌面網關、訊息代理程式、Web 存取和診斷。 這些服務元數據和服務數據會在幕後備份並復寫,以在發生中斷時復原到替代區域。 Contoso 負責客戶管理的元件,這些元件包括:虛擬機器、儲存體、映射、應用程式,以及其DR需求的網路元件。

    • 針對 Azure 虛擬桌面的大型全域部署,我們建議採用多區域架構,以減少任何單一區域的單一失敗點。

    • 下圖是 Azure 虛擬桌面多區域架構的範例,專為區域 Azure 虛擬桌面部署所設計,完全獨立。 根據 SLA 需求,主要區域可能會有不同的相依性層級。 如需主要區域不同相依性層級的範例圖表,請參閱 Azure 虛擬桌面登陸區域加速器檔 Azure 虛擬桌面 登陸區域加速器圖表

      Azure Virtual Desktop Multi-region deployment Stage 3.圖 12:Azure 虛擬桌面多區域架構的範例。

      下載 Visio 檔案。

    注意

    深入瞭解具有 Azure 虛擬桌面商務持續性和災害復原考慮的 BCDR 選項

下一步

深入瞭解 Azure 虛擬桌面,請參閱: