Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Virtual Desktop mit mehreren Sitzungen mit Microsoft Intune ist nun allgemein verfügbar.
Sie können jetzt Microsoft Intune verwenden, um Windows Enterprise-Remotedesktops mit mehreren Sitzungen im Microsoft Intune Admin Center genauso wie ein freigegebenes Windows-Clientgerät zu verwalten. Bei der Verwaltung solcher virtuellen Computer (VMs) können Sie gerätebasierte Konfigurationen für Geräte oder benutzerbasierte Konfigurationen für Benutzer verwenden.
Windows Enterprise mit mehreren Sitzungen ist ein neuer Remotedesktop-Sitzungshost, der exklusiv für Azure Virtual Desktop in Azure ist. Das bietet die folgenden Vorteile:
- Ermöglicht mehrere gleichzeitige Benutzersitzungen
- Bietet Benutzern eine vertraute Windows-Erfahrung.
- Unterstützt die Verwendung vorhandener benutzerbasierter Microsoft 365-Lizenzierung
Sie können windows Enterprise-VMs mit mehreren Sitzungen verwalten, die in Azure Government Cloud in der US Government Community (GCC), GCC High und DoD erstellt wurden.
Wichtig
Microsoft Intune-Unterstützung für Azure Virtual Desktop mit mehreren Sitzungen ist derzeit nicht für Citrix DaaS und VMware Horizon Cloud verfügbar. Da Intune keine Unterstützung für Citrix DaaS anbieten kann, lesen Sie die Citrix-Dokumentation, und beachten Sie die Citrix-Supportoptionen für die Unterstützung mehrerer Sitzungen. Alle Fragen, Bedenken oder Hilfe sollten an Citrix gerichtet werden, um Unterstützung für mehrere Sitzungen zu erhalten. Weitere Informationen finden Sie unter Citrix-Support.
Übersicht
Die Gerätekonfigurationsunterstützung in Microsoft Intune für Windows Enterprise mit mehreren Sitzungen ist allgemein verfügbar (GA). Dies bedeutet, dass Richtlinien, die im Betriebssystembereich definiert sind , und Apps, die für die Installation im Systemkontext konfiguriert sind, auf Azure Virtual Desktop-VMs mit mehreren Sitzungen angewendet werden können, wenn sie Gerätegruppen zugewiesen werden.
Hinweis
Die gerätebasierte Konfiguration kann benutzern nicht zugewiesen werden, und die benutzerbasierte Konfiguration kann nicht geräten zugewiesen werden. Es wird als Fehler oder Nicht zutreffend gemeldet.
Die Benutzerkonfigurationsunterstützung in Microsoft Intune für virtuelle Windows Enterprise-Computer mit mehreren Sitzungen ist allgemein verfügbar. Damit sind Sie in der Lage:
Benutzerbereichsrichtlinien mithilfe des Einstellungskatalogs konfigurieren und sie Benutzergruppen zuweisen. Sie können die Suchleiste verwenden, um alle Konfigurationen zu durchsuchen, deren Bereich auf „Benutzer“ festgelegt ist.
Benutzerzertifikate konfigurieren und Benutzern zuweisen.
PowerShell-Skripts so konfigurieren, dass sie im Benutzerkontext installiert und Benutzern zugewiesen werden.
Voraussetzungen
Dieses Feature unterstützt Windows Enterprise-VMs mit mehreren Sitzungen. Dies sind folgende:
- Als Remotedesktops in gepoolten Hostpools eingerichtet, die über Azure Resource Manager bereitgestellt wurden.
- Unter demselben Mandanten wie Intune.
- Azure Virtual Desktop-Agent-Version 1.0.2944.1400 oder höher wird ausgeführt.
-
Microsoft Entra hybrid eingebunden und mit einer der folgenden Methoden in Microsoft Intune registriert:
- Konfiguriert mit einer Active Directory-Gruppenrichtlinie, legen Sie fest, dass Geräteanmeldeinformationen verwendet werden, und legen Sie fest, dass Geräte, die Microsoft Entra hybrid eingebunden sind, automatisch registriert werden.
- Co-Verwaltung mit Configuration Manager
- Microsoft Entra in Microsoft Intune eingebunden und in Microsoft Intune registriert, indem Sie im Azure-Portal Die VM mit Intune registrieren aktivieren.
- Lizenzierung: Die entsprechende Azure Virtual Desktop- und Microsoft Intune-Lizenz ist erforderlich, wenn ein Benutzer oder Gerät direkt oder indirekt vom Microsoft Intune-Dienst profitiert, einschließlich des Zugriffs auf den Microsoft Intune-Dienst über eine Microsoft-API. Weitere Informationen findest du unter Microsoft Intune-Lizenzierung.
- Weitere Informationen zu den Lizenzierungsanforderungen für Azure Virtual Desktop finden Sie unter Lizenzierung von Azure Virtual Desktop .
Begrenzungen
Intune unterstützt nicht die Verwendung eines geklonten Images eines computers, der bereits registriert ist. Dies umfasst sowohl physische als auch virtuelle Geräte wie Azure Virtual Desktop (AVD). Wenn Geräteregistrierungs- oder Identitätstoken zwischen Geräten repliziert werden, treten Fehler bei der Registrierung oder Synchronisierung von Intune-Geräten auf.
- Weitere Informationen finden Sie unter Registrierung mobiler Geräte – Windows-Clientverwaltung und Zertifikatauthentifizierung – Windows-Clientverwaltung.
- Informationen zur Behandlung von Problemen im Zusammenhang mit dem Klonen von Images finden Sie unter Fehler 0x8007064c: Der Computer ist bereits registriert.
Hinweis
Wenn Sie Sitzungshosts mit Microsoft Entra Domain Services verknüpfen, können Sie sie nicht mit Intune verwalten.
Wichtig
- Intune unterstützt derzeit keine Tokenroamingfunktionen zwischen Geräten. Wenn FSLogix oder eine ähnliche Technologie zum Verwalten von Windows-Benutzerprofilen und -einstellungen verwendet wird, müssen Sie sicherstellen, dass Token nicht unerwartet auf allen Geräten übertragen oder dupliziert werden. Um zu bestätigen, dass Sie eine unterstützte Version und Konfiguration von FSLogix mit deaktiviertem Tokenroaming ausführen, lesen Sie die Referenz zu DEN FSLogix RoamIdentity-Konfigurationseinstellungen.
Windows Enterprise-VMs mit mehreren Sitzungen werden als separate Betriebssystemedition behandelt, und einige Windows Enterprise-Konfigurationen werden für diese Edition nicht unterstützt. Die Verwendung von Microsoft Intune ist nicht von der Azure Virtual Desktop-Verwaltung derselben VM abhängig oder beeinträchtigt diese.
Erstellen des Konfigurationsprofils
Verwenden Sie zum Konfigurieren von Konfigurationsrichtlinien für windows Enterprise-VMs mit mehreren Sitzungen den Einstellungskatalog im Microsoft Intune Admin Center.
Für Windows Enterprise-VMs mit mehreren Sitzungen werden nur die folgenden Konfigurationsprofilvorlagen unterstützt:
- Vertrauenswürdiges Zertifikat : Gerät (Computer) beim Ziel von Geräten und Benutzer beim Zielbenutzer
- SCEP-Zertifikat : Gerät (Computer) beim Ziel von Geräten und Benutzer beim Zielbenutzer
- PKCS-Zertifikat : Gerät (Computer) beim Ziel von Geräten und Benutzer beim Zielbenutzer
- VPN – nur Gerätetunnel
Microsoft Intune stellt keine nicht unterstützten Vorlagen für Geräte mit mehreren Sitzungen bereit, und diese Richtlinien werden in Berichten als Nicht zutreffend angezeigt.
Hinweis
Wenn Sie die Co-Verwaltung für Intune und Configuration Manager verwenden, legen Sie in Configuration Manager den Workload Schieberegler für Ressourcenzugriffsrichtlinien auf Intune oder Pilot Intune fest. Mit dieser Einstellung können Windows-Clients den Prozess zum Anfordern des Zertifikats starten.
So konfigurieren Sie Richtlinien
- Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>nach Plattform>Windows>Geräte> verwaltenKonfiguration>Neue Richtlinieerstellen> aus.
- Wählen Sie unter Plattform die Option Windows 10 und höher aus.
- Für Profiltyp die Option Einstellungskatalog auswählen, oder wählen Sie bei der Bereitstellung von Einstellungen mithilfe einer Vorlage Vorlagen und dann den Namen der unterstützten Vorlage aus.
- Wählen Sie Erstellen aus.
- Geben Sie auf der Seite Grundlagen unter Name einen Wert und (optional) eine Beschreibung an, und klicken Sie auf >Weiter.
- Wählen Sie unter Konfigurationseinstellungen die Option Einstellungen hinzufügen aus.
- Klicken Sie unter Einstellungsauswahl auf die Option Filter hinzufügen, und wählen Sie die folgenden Optionen aus:
- Schlüssel: Betriebssystemedition
- Operator: ==
- Wert:Enterprise mit mehreren Sitzungen
- Wählen Sie Anwenden aus. Die gefilterte Liste zeigt jetzt alle Konfigurationsprofilkategorien an, die Windows Enterprise multi-session unterstützen. Der Bereich für eine Richtlinie wird in Klammern angezeigt. Für den Benutzerbereich wird es als (Benutzer) angezeigt, und der Rest sind Richtlinien mit Gerätebereich.
- Wählen Sie in der gefilterten Liste die gewünschten Kategorien aus.
- Wählen Sie für jede ausgewählte Kategorie die Einstellungen aus, die Sie auf Ihr neues Konfigurationsprofil anwenden möchten.
- Wählen Sie für jede Einstellung den gewünschten Wert für dieses Konfigurationsprofil aus.
- Wählen Sie Weiter aus, wenn Sie mit dem Hinzufügen von Einstellungen fertig sind.
- Wählen Sie auf der Seite Zuweisungen die Microsoft Entra Gruppen aus, die die Geräte enthalten, denen dieses Profil zugewiesen werden >soll Weiter.
- Fügen Sie auf der Seite Bereichstags optional die Bereichstags hinzu, die Sie auf dieses Profil > anwenden möchten. Weiter. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).
- Wählen Sie auf der Seite Überprüfen + Erstellen den Befehl Erstellen aus, um das Profil zu erstellen.
Administrative Vorlagen
Administrative Vorlagen im Intune-Einstellungskatalog werden für Windows Enterprise mit mehreren Sitzungen mit einigen Einschränkungen unterstützt:
- Durch ADMX unterstützte Richtlinien werden unterstützt. Einige Richtlinien sind im Einstellungskatalog noch nicht verfügbar.
- AdMX-erfasste Richtlinien werden unterstützt. Eine vollständige Liste der in ADMX erfassten Richtlinienkategorien finden Sie unter Konfigurieren von Win32- und Desktop-Brücke-App-Richtlinien. Einige ADMX-erfasste Einstellungen gelten nicht für Windows Enterprise mit mehreren Sitzungen.
Compliance und bedingter Zugriff
Sie können Ihre windows Enterprise-VMs mit mehreren Sitzungen schützen, indem Sie Konformitätsrichtlinien und Richtlinien für bedingten Zugriff im Microsoft Intune Admin Center konfigurieren. Die folgenden Konformitätsrichtlinien werden auf virtuellen Windows Enterprise-Computern mit mehreren Sitzungen unterstützt:
- Minimale Version des Betriebssystems
- Maximale Version des Betriebssystems
- Gültige Betriebssystembuilds
- Einfache Kennwörter
- Kennworttyp
- Minimale Kennwortlänge
- Kennwortkomplexität
- Kennwortablauf (Tage)
- Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird
- Microsoft Defender-Antischadsoftware
- Sicherheitsinformationen zur Microsoft Defender-Antischadsoftware auf dem neuesten Stand
- Firewall
- Antivirus
- Antispyware
- Echtzeitschutz
- Mindestversion der Microsoft Defender-Antischadsoftware
- Defender ATP-Risikobewertung
Alle anderen Richtlinien werden als Nicht zutreffend angegeben.
Wichtig
Sie müssen eine neue Konformitätsrichtlinie erstellen und diese auf die Gerätegruppe ausrichten, die Ihre virtuellen Computer mit mehreren Sitzungen enthält. Benutzerorientierte Konformitätskonfigurationen werden nicht unterstützt.
Richtlinien für bedingten Zugriff unterstützen sowohl benutzer- als auch gerätebasierte Konfigurationen für Windows Enterprise mit mehreren Sitzungen.
Endpunktsicherheit
Sie können Profile unter Endpunktsicherheit für VMs mit mehreren Sitzungen konfigurieren, indem Sie Plattform-Windows auswählen. Wenn diese Plattform nicht verfügbar ist, wird das Profil auf VMs mit mehreren Sitzungen nicht unterstützt.
Weitere Informationen finden Sie unter Verwalten der Gerätesicherheit mit Endpunktsicherheitsrichtlinien in Microsoft Intune
Anwendungsbereitstellung
Alle Windows-Apps können mit den folgenden Einschränkungen in Windows Enterprise mit mehreren Sitzungen bereitgestellt werden:
- Alle Apps müssen für die Installation im System-/Gerätekontext konfiguriert sein und Geräte als Ziel festgelegt haben. Web-Apps werden standardmäßig immer im Benutzerkontext angewendet, sodass sie nicht auf VMs mit mehreren Sitzungen angewendet werden.
- Alle Apps müssen mit der App-Zuweisungsabsicht Erforderlich oder Deinstallieren konfiguriert werden. Die Bereitstellungsabsicht Verfügbare Apps wird auf VMs mit mehreren Sitzungen nicht unterstützt.
- Wenn eine für die Installation im Systemkontext konfigurierte Win32-App Abhängigkeiten oder Ablösungsbeziehungen für Apps aufweist, die für die Installation im Benutzerkontext konfiguriert sind, wird die App nicht installiert. Um auf eine Windows Enterprise-VM mit mehreren Sitzungen anzuwenden, erstellen Sie eine separate instance der Systemkontext-App, oder stellen Sie sicher, dass alle App-Abhängigkeiten für die Installation im Systemkontext konfiguriert sind.
- Das Anfügen von Azure Virtual Desktop RemoteApp und MSIX-Apps wird in Microsoft Intune derzeit nicht unterstützt.
Skriptbereitstellung
Skripts, die für die Ausführung im Systemkontext konfiguriert und Geräten zugewiesen sind, werden unter Windows Enterprise mit mehreren Sitzungen unterstützt. Dies kann unter „Skripteinstellungen“ konfiguriert werden, indem Sie Dieses Skript mit den Anmeldeinformationen des angemeldeten Benutzers ausführen auf Nein festlegen.
Skripts, die für die Ausführung im Benutzerkontext konfiguriert sind und Benutzern zugewiesen sind, werden unter Windows Enterprise mit mehreren Sitzungen unterstützt. Dies kann unter Skripteinstellungen konfiguriert werden, indem dieses Skript mit den angemeldeten Anmeldedaten ausführen auf Ja gesetzt wird.
Windows Update-Clientrichtlinien
Sie können den Einstellungskatalog verwenden, um Windows Update Einstellungen für Qualitätsupdates (Sicherheitsupdates) für virtuelle Windows Enterprise-Computer mit mehreren Sitzungen zu verwalten. Um die unterstützten Einstellungen im Katalog zu finden, konfigurieren Sie einen Einstellungsfilter für Enterprise mit mehreren Sitzungen, und erweitern Sie dann die Kategorie Windows Update for Business.
Die folgenden Einstellungen sind im Katalog verfügbar, mit den Links, die die Windows CSP-Dokumentation öffnen:
- Ende der aktiven Stunden
- Maximaler Bereich für Nutzungszeit
- Beginn der aktiven Stunden
- Funktion „Updates aussetzen“ blockieren
- Karenzzeit für Stichtag konfigurieren
- Rückstellungszeitraum für Qualitätsupdates (Tage)
- Startzeitpunkt für das Anhalten von Qualitätsupdates
- Frist für Qualitätsupdate (Tage)
Remoteaktionen
Die folgenden Remoteaktionen für Windows-Desktopgeräte werden nicht unterstützt und auf der Benutzeroberfläche abgeblendet und in Graph for Windows Enterprise-VMs mit mehreren Sitzungen deaktiviert:
- Windows Autopilot zurücksetzen
- BitLocker-Schlüsselrotation
- Neustart
- Remotesperre
- Kennwort zurücksetzen
- Wischen
Auslaufen
Beim Löschen von VMs aus Azure werden verwaiste Gerätedatensätze im Microsoft Intune Admin Center zurückgehalten. AVD-Computer werden nach 30 Tagen automatisch gelöscht und nach 60 Tagen endgültig entfernt. Weitere Informationen finden Sie unter:
- Verwenden von Intune-Regeln für die Gerätebereinigung.
- Automatisches Entfernen von Geräten mit Bereinigungsregeln
Sicherheitsbasispläne
Sicherheitsbaselines sind für Windows Enterprise mit mehreren Sitzungen verfügbar. Es wird empfohlen, die verfügbaren Sicherheitsbaselines zu lesen und die empfohlenen Richtlinien und Werte im Einstellungskatalog zu konfigurieren.
Zusätzliche Konfigurationen, die auf virtuellen Windows Enterprise-Computern mit mehreren Sitzungen nicht unterstützt werden
Die Registrierung der Out-of-Box-Erfahrung (OOBE) wird für Windows Enterprise mit mehreren Sitzungen nicht unterstützt. Diese Einschränkung bedeutet Folgendes:
- Der Windows-Selbstbereitstellungsmodus mit Autopilot und die kommerzielle OOBE-Registrierung werden nicht unterstützt.
- Die Registrierungsseite status wird nicht unterstützt.
Windows Enterprise mit mehreren Sitzungen, die von Microsoft Intune verwaltet werden, wird derzeit für China Sovereign Cloud nicht unterstützt.
Problembehandlung
In den folgenden Abschnitten finden Sie Anleitungen zur Problembehandlung bei häufig auftretenden Problemen.
Probleme bei der Registrierung
| Problem | Detail |
|---|---|
| Fehler bei der Registrierung Microsoft Entra hybrid eingebundenen virtuellen Computers |
|
| Fehler bei der Registrierung Microsoft Entra verknüpften virtuellen Computers |
|
Konfigurationsprobleme
| Problem | Detail |
|---|---|
| Fehler bei der Einstellungskatalogrichtlinie | Bestätigen Sie, dass der virtuelle Computer mithilfe von Geräteanmeldeinformationen registriert ist. Die Registrierung mit Benutzeranmeldeinformationen wird derzeit für Windows Enterprise mit mehreren Sitzungen nicht unterstützt. |
| Die Konfigurationsrichtlinie wurde nicht angewendet. | Vorlagen (mit Ausnahme von Zertifikaten) werden unter Windows Enterprise mit mehreren Sitzungen nicht unterstützt. Alle Richtlinien müssen über den Einstellungskatalog erstellt werden. |
| Konfigurationsrichtlinie wird als „Nicht zutreffend“ gemeldet | Einige Richtlinien gelten nicht für virtuelle Azure Virtual Desktop-Computer. |
| Die Microsoft Edge-/Microsoft Office ADMX-Richtlinie wird nicht angezeigt, wenn ich den Filter für die Windows Enterprise-Edition mit mehreren Sitzungen anwendet. | Die Anwendbarkeit für diese Einstellungen basiert nicht auf der Windows Version oder Edition, sondern darauf, ob diese Apps auf dem Gerät installiert wurden. Um diese Einstellungen Ihrer Richtlinie hinzuzufügen, müssen Sie möglicherweise alle Filter entfernen, die in der Einstellungsauswahl angewendet wurden. |
| App, die für die Installation im Systemkontext konfiguriert wurde, wurde nicht angewendet | Vergewissern Sie sich, dass die App keine Abhängigkeits- oder Überlagerungsbeziehung für Apps aufweist, die für die Installation im Benutzerkontext konfiguriert sind. Benutzerkontext-Apps werden derzeit unter Windows Enterprise mit mehreren Sitzungen nicht unterstützt. |
| Updateringe für Windows-Richtlinie wurden nicht angewendet | Richtlinien für Windows-Updateringe werden derzeit nicht unterstützt. Qualitätsupdates können über einstellungen verwaltet werden, die im Einstellungskatalog verfügbar sind. |