Azure 虛擬桌面中的 MSIX 應用程式連結和應用程式連結
重要
應用程式附加目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
注意
應用程式附加 (預覽) 正在逐漸推出,您可能還無法存取它。 如果您沒有存取權,請稍後返回。 MSIX 應用程式附加已正式推出。
Azure 虛擬桌面中有兩項功能可讓您動態將應用程式從應用程式套件連結至 Azure 虛擬桌面中的使用者工作階段 - MSIX 應用程式連結和應用程式附加 (預覽) 。 MSIX 應用程式附加 已正式推出,但 應用程式附加 現已在預覽版中提供,可改善系統管理體驗和用戶體驗。 透過 MSIX 應用程式連結和應用程式附加,應用程式不會安裝在會話主機或映像本機上,讓您更輕鬆地為會話主機建立自定義映像,並降低組織的作業額外負荷和成本。 應用程式會在容器內執行,以分隔用戶數據、操作系統和其他應用程式,提高安全性,讓他們更容易進行疑難解答。
下表比較 MSIX 應用程式附加與應用程式附加:
| MSIX 應用程式連結 | 應用程式附加 |
|---|---|
| 應用程式會使用 RemoteApp 或桌面工作階段的一部分來傳遞。 許可權是由指派給應用程式群組來控制,不過所有桌面用戶都會在傳統型應用程式群組中看到所有 MSIX 應用程式附加應用程式。 | 應用程式會使用 RemoteApp 或桌面工作階段的一部分來傳遞。 每個使用者會套用許可權,讓您更充分掌控使用者可在遠端會話中存取哪些應用程式。 桌面使用者只會看到應用程式附加指派給他們的應用程式。 |
| 應用程式只能在一個主機集區上執行。 如果您想要在另一個主機集區上執行,您必須建立另一個套件。 | 相同的應用程式套件可以跨多個主機集區使用。 |
| 應用程式只能在新增應用程式的主機集區上執行。 | 應用程式可以在與應用程式套件相同的 Azure 區域中執行 Windows 用戶端作業系統的任何會話主機上執行。 |
| 若要更新應用程式,您必須使用另一個套件版本刪除並重新建立應用程式。 您應該在維護視窗中更新應用程式。 | 應用程式可以使用新的磁碟映射升級至新的應用程式版本,而不需要維護期間。 |
| 用戶無法在相同的會話主機上執行兩個相同應用程式的版本。 | 用戶可以在相同的會話主機上同時執行兩個相同應用程式的版本。 |
| 使用量和健康情況的遙測現在可透過 Azure Log Analytics 取得。 | 使用狀況和健康情況的遙測可透過 Azure Log Analytics 取得。 |
您可以使用下列應用程式套件型態和檔案格式:
| 套件類型 | 檔案格式 | 功能可用性 |
|---|---|---|
| MSIX 和 MSIX 套件組合 | .msix.msixbundle |
MSIX 應用程式連結 應用程式附加 |
| Appx 和 Appx 套件組合 | .appx.appxbundle |
僅限應用程序連結 |
MSIX 和 Appx 是 Windows 應用程式套件格式,可為 Windows 應用程式提供現代化封裝體驗。 應用程式會在容器內執行,以分隔用戶數據、操作系統和其他應用程式,提高安全性,讓他們更容易進行疑難解答。 MSIX 和 Appx 很類似,主要差異在於 MSIX 是 Appx 的超集。 MSIX 支援 Appx 的所有功能,以及其他讓 Appx 更適合企業使用的功能。
提示
選取本文頂端的按鈕,以在 MSIX 應用程式附加 (目前) 和應用程式附加 (預覽) 之間進行選擇,以查看相關的檔案。
您可以從軟體廠商取得 MSIX 套件,也可以 從現有的安裝程式建立 MSIX 套件。 若要深入瞭解 MSIX,請參閱 什麼是 MSIX?
使用者如何取得應用程式
您可以將不同的應用程式指派給相同主機集區或相同會話主機上的不同使用者。 登入期間,必須符合下列三項需求,使用者才能在正確的時間取得正確的應用程式:
應用程式必須指派給主機集區。 將應用程式指派給主機集區可讓您選擇性地選擇應用程式可用的主機集區,以確保應用程式可以使用正確的硬體資源。 例如,如果應用程式需要大量圖形,您可以確定它只會在具有 GPU 優化會話主機的主機集區上執行。
用戶必須能夠登入主機集區中的會話主機,因此他們必須位於桌面或 RemoteApp 應用程式群組中。 針對 RemoteApp 應用程式群組,應用程式附加應用程式必須新增至應用程式群組,但您不需要將應用程式新增至傳統型應用程式群組。
應用程式必須指派給使用者。 您可以使用群組或使用者帳戶。
如果符合所有這些需求,使用者就會取得應用程式。 此程式可控制誰取得哪個主機集區上的應用程式,以及如何讓單一主機集區內的使用者,甚至登入相同的多會話會話主機,以取得不同的應用程序組合。 不符合需求的使用者不會取得應用程式。
使用者如何取得應用程式
您可以將不同的應用程式指派給相同主機集區中的不同使用者。 使用 MSIX 應用程式連結時,您會將 MSIX 套件新增至主機集區,並使用桌面或 RemoteApp 應用程式群組來控制應用程式的指派。 在登入期間,必須符合下列需求,使用者才能在正確的時間取得正確的應用程式:
用戶必須能夠登入主機集區中的會話主機,因此他們必須位於桌面或 RemoteApp 應用程式群組中。
MSIX 映像必須新增至主機集區。
如果符合這些需求,使用者就會取得應用程式。 使用傳統型應用程式群組指派應用程式會將應用程式新增至使用者的 [開始] 功能表。 不符合需求的使用者不會取得應用程式。
應用程式映像
您必須先使用 MSIXMGR 工具從現有的應用程式套件建立 MSIX 映像,才能搭配 Azure 虛擬桌面使用應用程式套件。 接著,您必須將每個磁碟映像儲存在會話主機可存取的檔案共用上。 如需檔案共用需求的詳細資訊,請參閱 檔案共用。
磁碟映像類型
您可以將 複合映像檔系統 (CimFS)、 VHDX 或 VHD 用於磁碟映像,但我們不建議使用 VHD。 掛接和卸除 CimFS 映射的速度比 VHD 和 VHDX 檔案更快,而且耗用較少的 CPU 和記憶體。 只有在會話主機執行 Windows 11 時,才建議針對應用程式映像使用 CimFS。
CimFS 映像是數個檔案的組合:一個檔案具有 .cim 擴展名,並包含元數據,以及至少另外兩個檔案,一個從 開始,另一個 objectid_ 則以包含實際應用程式數據開頭 region_ 。 隨附檔案的 .cim 檔案沒有擴展名。 下表是針對 CimFS 映射找到的範例檔案清單:
| File name | 大小 |
|---|---|
MyApp.cim |
1 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
27 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
20 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
42 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
428 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
217 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
264,132 KB |
下表是 VHDX 與 CimFS 之間的效能比較。 這些數位是測試回合的結果,每個格式各有 300 MB 的 500 個檔案,並在 DSv4 Azure 虛擬機上執行測試。
| 計量 | VHD | CimFS |
|---|---|---|
| 平均掛接時間 | 356 毫秒 | 255 毫秒 |
| 平均卸除時間 | 1615 毫秒 | 36 毫秒 |
| 記憶體使用量 | 6% (8 GB) | 2% (8 GB) |
| CPU (計數尖峰) | 逾時多次 | 無效果 |
應用程式註冊
應用程式連結會將包含您應用程式的磁碟映像從檔案共用掛接至使用者登入期間的會話,然後註冊程式可讓使用者使用應用程式。 註冊類型有兩種:
MSIX 應用程式會在登入期間將包含您應用程式的磁碟映像掛接至使用者的會話,然後註冊程式可讓使用者使用應用程式。 註冊類型有兩種:
隨選:應用程式只會在登入時部分註冊,應用程式的完整註冊會延後,直到使用者啟動應用程式為止。 隨選是建議您使用的註冊類型,因為它不會影響登入 Azure 虛擬桌面所需的時間。 隨選是預設的註冊方法。
登入封鎖:您指派給使用者的每個應用程式都會完全註冊。 註冊會在使用者登入其會話時發生,這可能會影響登入 Azure 虛擬桌面的時間。
重要
所有 MSIX 和 Appx 應用程式套件都包含憑證。 您必須負責確定您的環境中信任憑證。 自我簽署憑證支持適當的信任鏈結。
應用程式附加不會限制使用者可以使用的應用程式數目。 您應該考慮可用的網路輸送量,以及每個檔案 (每個映像) 檔案共用支持的開啟句柄數目,因為它可能會限制您可以支援的使用者或應用程式數目。 如需詳細資訊,請參閱 檔案共用。
重要
所有 MSIX 應用程式套件都包含憑證。 您必須負責確定您的環境中信任憑證。 支援自我簽署憑證。
MSIX 應用程式附加不會限制使用者可以使用的應用程式數目。 您應該考慮可用的網路輸送量,以及每個檔案 (每個映像) 檔案共用支持的開啟句柄數目,因為它可能會限制您可以支援的使用者或應用程式數目。 如需詳細資訊,請參閱 檔案共用。
應用程式狀態
MSIX 和 Appx 套件會設定為作用中或非使用中。 設定為作用中的套件可讓使用者使用應用程式。 Azure 虛擬桌面會忽略設定為非作用中的套件,且當使用者登入時不會新增。
MSIX 套件會設定為作用中或非使用中。 MSIX 套件設定為作用中,可讓使用者使用應用程式。 Azure 虛擬桌面會忽略設定為非作用中的 MSIX 套件,而且當使用者登入時不會新增。
新版本的應用程式
您可以藉由提供包含已更新應用程式的新映像,來新增應用程式的新版本。 您可以使用下列兩種方式來使用此新映像:
並存:使用新的磁碟映像建立新的應用程式,並將它指派給與現有應用程式相同的主機集區和使用者。
就地:建立新的映像,其中應用程式的版本號碼會變更,然後更新現有的應用程式以使用新的映像。 版本號碼可以更高或更低,但您無法以相同的版本號碼更新應用程式。 在所有使用者都完成使用該映像之前,請勿刪除現有的映像。
更新之後,使用者會在下次登入時取得更新的應用程式版本。 使用者不需要停止使用舊版來新增新版本。
新版本的應用程式
使用 MSIX 應用程式連結時,您必須刪除應用程式套件,然後使用新的磁碟映像建立新的應用程式,並將它指派給相同的主機集區。 您無法就地更新,因為您可以使用應用程式連結。 使用者會在下次登入時,使用更新的應用程式取得新的映像。 您應該在維護期間執行這些工作。
身分識別提供者
以下是您可以搭配應用程式附加使用的識別提供者:
| 識別提供者 | 狀態 |
|---|---|
| Microsoft Entra ID | 支援 |
| Active Directory Domain Services (AD DS) | 支援 |
| Microsoft Entra 網域服務 | 不支援 |
以下是您可以搭配 MSIX 應用程式連結使用的識別提供者:
| 識別提供者 | 狀態 |
|---|---|
| Microsoft Entra ID | 不支援 |
| Active Directory Domain Services (AD DS) | 支援 |
| Microsoft Entra Domain Services (Azure AD DS) | 不支援 |
檔案共用
應用程式附加要求您的應用程式映像儲存在SMB檔案共用上,然後在登入期間掛接在每個會話主機上。 應用程式附加與檔案共用所使用的記憶體網狀架構類型沒有相依性。 建議您使用 Azure 檔案儲存體,因為它與 Microsoft Entra ID 或 Active Directory 網域服務 相容,並在成本和管理額外負荷之間提供絕佳的價值。
您也可以使用 Azure NetApp Files,但這需要您的會話主機加入 Active Directory 網域服務。
MSIX 應用程式附加要求您的應用程式映像儲存在SMB第3版檔案共用上,然後在登入期間掛接在每個會話主機上。 MSIX 應用程式附加與檔案共用所使用的記憶體網狀架構類型沒有相依性。 建議您使用 Azure 檔案儲存體,因為它與您可以用於 MSIX 應用程式附加的支持識別提供者相容,並在成本和管理額外負荷之間提供絕佳的價值。 您也可以使用 Azure NetApp Files,但這需要您的會話主機加入 Active Directory 網域服務。
下列各節提供檔案共用所需許可權、效能和可用性的一些指引。
權限
每個會話主機都會從檔案共用掛接應用程式映像。 您必須設定NTFS和共享許可權,以允許每個會話主計算機物件讀取檔案和檔案共用的存取權。 設定正確許可權的方式取決於您用於檔案共享和會話主機的記憶體提供者和身分識別提供者。
若要在會話主機加入 Microsoft Entra ID 時使用 Azure 檔案儲存體,您必須將讀取器和數據存取 Azure 角色型存取控制 (RBAC) 角色指派給 Azure 虛擬桌面和 Azure 虛擬桌面 ARM 提供者服務主體。 此 RBAC 角色指派可讓您的工作階段主機使用 存取金鑰來存取記憶體帳戶。 記憶體帳戶必須與會話主機位於相同的 Azure 訂用帳戶中。 若要瞭解如何將 Azure RBAC 角色指派給 Azure 虛擬桌面服務主體,請參閱 將 RBAC 角色指派給 Azure 虛擬桌面服務主體。
如需搭配已加入 Microsoft Entra ID、Active Directory 網域服務 或 Microsoft Entra Domain Services 之會話主機使用 Azure 檔案儲存體 的詳細資訊,請參閱 SMB 存取的 Azure 檔案儲存體 身分識別型驗證選項概觀。
警告
將 Azure 虛擬桌面 ARM 提供者 服務主體指派給記憶體帳戶,會將 Azure 虛擬桌面服務授與記憶體帳戶內的所有數據。 建議您只將應用程式儲存在此儲存體帳戶中搭配應用程式連結使用,並定期輪替存取密鑰。
針對具有 Active Directory 網域服務 的 Azure 檔案儲存體,您必須將 儲存體 檔案數據 SMB 共用讀取器 Azure 角色型存取控制 (RBAC) 角色指派為預設共享層級許可權,並設定 NTFS 許可權,以授與每個工作階段主機計算機物件的讀取許可權。
如需搭配已加入 Microsoft Entra ID、Active Directory 網域服務 或 Microsoft Entra Domain Services 之會話主機使用 Azure 檔案儲存體 的詳細資訊,請參閱 SMB 存取的 Azure 檔案儲存體 身分識別型驗證選項概觀。
針對 Azure NetApp Files,您可以 建立 SMB 磁碟區 並設定 NTFS 許可權,以授與每個會話主機計算機對象的讀取許可權。 您的會話主機必須加入 Active Directory 網域服務 或 Microsoft Entra Domain Services。 不支援 Microsoft Entra ID。
您可以使用 PsExec 來驗證權限是否正確。 如需詳細資訊,請參閱 檢查檔案共用存取權。
效能
需求可能會因映像中儲存多少個已封裝的應用程式而有所不同,而您需要測試應用程式以瞭解您的需求。 針對較大的映像,您需要配置更多頻寬。 下表提供單一 1 GB MSIX 映像的需求範例,其中包含每個會話主機需要一個應用程式:
| 資源 | 需求 |
|---|---|
| 穩定狀態 IOPS | 一個 IOP |
| 電腦開機登入 | 10 IOPS |
| Latency | 400 毫秒 |
若要將應用程式的效能優化,建議您:
您的檔案共用應位於與會話主機相同的 Azure 區域中。 如果您使用 Azure 檔案儲存體,記憶體帳戶必須位於與會話主機相同的 Azure 區域中。
從防病毒軟體掃描中排除包含應用程式的磁碟映像,因為它們是唯讀的。
請確定您的記憶體和網路網狀架構可以提供適當的效能。 您應該避免使用 與 FSLogix 設定檔案容器相同的檔案共用。
可用性
Azure 虛擬桌面的任何災害復原方案都必須包含將 MSIX 應用程式附加檔案共用復寫至次要故障轉移位置。 您也必須確定您的檔案共享路徑可在次要位置存取。 例如,您可以使用分散式文件系統 (DFS) 命名空間搭配 Azure 檔案儲存體,在不同的檔案共享之間提供單一共享名稱。 若要深入瞭解 Azure 虛擬桌面的災害復原,請參閱 設定商務持續性和災害復原計劃。
Azure 檔案
Azure 檔案儲存體 每個根目錄、目錄和檔案的開啟句柄數目有所限制。 使用 MSIX 應用程式連結或應用程式連結時,VHDX 或 CimFS 磁碟映像會使用會話主機的電腦帳戶掛接,這表示每個磁碟映像會為每個會話主機開啟一個句柄,而不是每個使用者。 如需限制和重設大小指引的詳細資訊,請參閱 Azure 檔案儲存體 延展性和效能目標,以及 Azure 虛擬桌面 Azure 檔案儲存體 大小調整指引。
下一步
瞭解如何 在 Azure 虛擬桌面中新增和管理應用程式連結應用程式。