Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Sesiones múltiples de Azure Virtual Desktop con Microsoft Intune
Ahora puede usar Microsoft Intune para administrar escritorios remotos de varias sesiones de Windows Enterprise en el Centro de administración de Microsoft Intune, del mismo modo que puede administrar un dispositivo cliente de Windows compartido. Al administrar dichas máquinas virtuales , puede usar la configuración basada en dispositivos destinada a dispositivos o a la configuración basada en el usuario destinada a los usuarios.
La sesión múltiple de Windows Enterprise es un nuevo host de sesión de Escritorio remoto exclusivo de Azure Virtual Desktop en Azure. Proporciona las ventajas siguientes:
- Permite varias sesiones de usuario simultáneas.
- Proporciona a los usuarios una experiencia de Windows familiar.
- Admite el uso de licencias de Microsoft 365 por usuario existentes.
Puede administrar máquinas virtuales de varias sesiones de Windows Enterprise creadas en Azure Government Cloud in US Government Community (GCC), GCC High y DoD.
Importante
La compatibilidad de Microsoft Intune con sesiones múltiples de Azure Virtual Desktop no está disponible actualmente para Citrix DaaS y VMware Horizon Cloud. Dado que Intune no puede ofrecer compatibilidad con Citrix DaaS, revise la documentación de Citrix y tenga en cuenta las opciones de soporte técnico de Citrix para la compatibilidad con sesiones múltiples. Todas las preguntas, preocupaciones o ayuda deben dirigirse a Citrix para obtener soporte técnico para sesiones múltiples. Consulte Compatibilidad con Citrix.
Información general
La compatibilidad con la configuración de dispositivos en Microsoft Intune para sesiones múltiples de Windows Enterprise está disponible con carácter general (GA). Esto significa que las directivas definidas en el ámbito del sistema operativo y las aplicaciones configuradas para instalarse en el contexto del sistema se pueden aplicar a máquinas virtuales de sesión múltiple de Azure Virtual Desktop cuando se asignan a grupos de dispositivos.
Nota:
La configuración basada en dispositivos no se puede asignar a los usuarios y la configuración basada en el usuario no se puede asignar a los dispositivos. Se notifica como Error o No aplicable.
La compatibilidad con la configuración de usuario en Microsoft Intune para máquinas virtuales de varias sesiones de Windows Enterprise está disponible con carácter general. Con esto, puede:
Configure las directivas de ámbito de usuario mediante el Catálogo de configuraciones y asígnelas a grupos de usuarios. Puede usar la barra de búsqueda para buscar en todas las configuraciones con el ámbito establecido en "usuario".
Configure certificados de usuario y asígnelos a los usuarios.
Configure scripts de PowerShell para instalarlos en el contexto del usuario y asignarlos a los usuarios.
Requisitos previos
Esta característica admite máquinas virtuales de varias sesiones de Windows Enterprise, que son:
- Están configuradas como escritorios remotos en grupos de host agrupados que se han implementado a través de Azure Resource Manager.
- En el mismo inquilino que Intune.
- Ejecutan la versión 1.0.2944.1400 o una posterior del agente de Azure Virtual Desktop.
-
Microsoft Entra híbrido unido e inscrito en Microsoft Intune mediante uno de los métodos siguientes:
- Configurado con la directiva de grupo de Active Directory, se establece para usar credenciales de dispositivo y se establece para inscribir automáticamente los dispositivos que están Microsoft Entra unidos a híbridos.
- Administración conjunta de Configuration Manager
- Microsoft Entra unido e inscrito en Microsoft Intune habilitando Inscribir la máquina virtual con Intune en el Azure Portal.
- Licencias: se requiere la licencia adecuada de Azure Virtual Desktop y Microsoft Intune si un usuario o dispositivo se beneficia directa o indirectamente del servicio Microsoft Intune, incluido el acceso al servicio Microsoft Intune a través de una API de Microsoft. Para obtener más información, vaya a Licencias de Microsoft Intune.
- Consulte Licencias de Azure Virtual Desktop para obtener más información sobre los requisitos de licencia de Azure Virtual Desktop.
Limitaciones
Intune no admite el uso de una imagen clonada de un equipo que ya está inscrito. Esto incluye dispositivos físicos y virtuales, como Azure Virtual Desktop (AVD). Cuando la inscripción de dispositivos o los tokens de identidad se replican entre dispositivos, se producirán errores de sincronización o inscripción de dispositivos de Intune.
- Para obtener más información, vea Inscripción de dispositivos móviles: Administración de cliente de Windows e Inscripción de dispositivos de autenticación de certificados: Administración de cliente de Windows.
- Para obtener información sobre la solución de problemas relacionados con la clonación de imágenes, consulte Error hr 0x8007064c: La máquina ya está inscrita.
Nota:
Si va a unir hosts de sesión a Servicios de dominio de Microsoft Entra, no puede administrarlos mediante Intune.
Importante
- Actualmente, Intune no admite la funcionalidad de itinerancia de tokens entre dispositivos. Si FSLogix, o una tecnología similar, se usa para administrar los perfiles de usuario y la configuración de Windows, debe asegurarse de que los tokens no se mueven o duplican inesperadamente entre dispositivos. Para confirmar que está ejecutando una versión y una configuración compatibles de FSLogix con la itinerancia de tokens deshabilitada, consulte la Referencia de configuración de RoamIdentity de FSLogix.
Las máquinas virtuales de sesión múltiple de Windows Enterprise se tratan como una edición de sistema operativo independiente y algunas configuraciones de Windows Enterprise no se admitirán para esta edición. El uso de Microsoft Intune no depende ni interfiere con la administración de Azure Virtual Desktop de la misma máquina virtual.
Crear el perfil de configuración
Para configurar directivas de configuración para máquinas virtuales de varias sesiones de Windows Enterprise, use el catálogo Configuración en el Centro de administración de Microsoft Intune.
Solo se admiten las siguientes plantillas de perfil de configuración para máquinas virtuales de varias sesiones de Windows Enterprise:
- Certificado de confianza : dispositivo (máquina) al dirigirse a dispositivos y usuario al dirigirse a usuarios
- Certificado SCEP : dispositivo (máquina) al dirigirse a dispositivos y usuario al dirigirse a usuarios
- Certificado PKCS : dispositivo (máquina) al dirigirse a dispositivos y usuario al dirigirse a usuarios
- VPN: solo dispositivo Tunnel
Microsoft Intune no entregará plantillas no admitidas a los dispositivos de sesiones múltiples, y esas directivas aparecen como No aplicables en los informes.
Nota:
Si usa la administración conjunta para Intune y Configuration Manager, en Configuration Manager, establezca el control deslizante de la carga de trabajo de las directivas de acceso a los recursos en Intune o Intune piloto. Esta configuración permite a los clientes de Windows iniciar el proceso de solicitud del certificado.
Para configurar directivas
- Inicie sesión en el Centro de administración de Microsoft Intune y elija Dispositivos>por plataforma>Windows>Administrar dispositivos>Configuración>Crear>nueva directiva.
- En Plataforma, seleccione Windows 10 y versiones posteriores.
- En Tipo de perfil, seleccione Catálogo de configuración o, al implementar la configuración mediante una plantilla, seleccione Plantillas y, a continuación, el nombre de la plantilla admitida.
- Seleccione Crear.
- En la página Aspectos básicos, proporcione un Nombre y (opcionalmente) Descripción> Siguiente.
- En la página Opciones de configuración, seleccione Agregar configuración.
- En Selector de configuración, elija Agregar filtro y seleccione las siguientes opciones:
- Clave:edición del sistema operativo
- Operator: ==
- Valor:sesiones múltiples de Enterprise
- Seleccione Aplicar. La lista filtrada ahora muestra todas las categorías de perfil de configuración que admiten sesiones múltiples de Windows Enterprise. El ámbito de una directiva se muestra entre paréntesis. Para el ámbito de usuario, se muestra como (Usuario) y el resto son directivas con ámbito de dispositivo.
- En la lista filtrada, elija las categorías que desee.
- Para cada categoría que elija, seleccione la configuración que desea aplicar al nuevo perfil de configuración.
- Para cada opción de configuración, seleccione el valor que desea para este perfil de configuración.
- Seleccione Siguiente cuando haya terminado de agregar la configuración.
- En la página Asignaciones, elija los grupos de Microsoft Entra que contienen los dispositivos a los que desea asignar este perfil >Siguiente.
- En la página Etiquetas de ámbito , agregue opcionalmente las etiquetas de ámbito que desea aplicar a este perfil >Siguiente. Para obtener más información sobre las etiquetas de ámbito, consulte Usar el control de acceso basado en roles y las etiquetas de ámbito para TI distribuida.
- En la página Revisión y creación, elija Crear para crear un perfil.
Plantillas administrativas
Las plantillas administrativas del catálogo de configuración de Intune son compatibles con las sesiones múltiples de Windows Enterprise con algunas limitaciones:
- Se admiten directivas respaldadas por ADMX. Algunas directivas aún no están disponibles en el catálogo Configuración.
- Se admiten directivas ingeridas en ADMX. Para obtener una lista completa de las categorías de directivas ingeridas por ADMX, consulte Configuración de directiva de aplicaciones de Win32 y Puente de escritorio. Algunas configuraciones ingeridas de ADMX no se aplicarán a las sesiones múltiples de Windows Enterprise.
Cumplimiento y acceso condicional
Puede proteger las máquinas virtuales de varias sesiones de Windows Enterprise mediante la configuración de directivas de cumplimiento y directivas de acceso condicional en el Centro de administración de Microsoft Intune. Las siguientes directivas de cumplimiento se admiten en máquinas virtuales de varias sesiones de Windows Enterprise:
- Versión de SO mínima
- Versión de SO máxima
- Compilaciones válidas del sistema operativo
- Contraseñas sencillas
- Tipo de contraseña
- Longitud mínima de la contraseña
- Complejidad de contraseña
- Expiración de contraseña (días)
- Número de contraseñas anteriores que no se pueden reutilizar
- Antimalware de Microsoft Defender
- Actualización de la inteligencia de seguridad de Antimalware de Microsoft Defender
- Firewall
- Antivirus
- Antiespía
- Protección en tiempo real
- Versión mínima de Antimalware de Microsoft Defender
- Puntuación de riesgo de ATP de Defender
Todas las demás directivas se notifican como No aplicable.
Importante
Tendrá que crear una nueva directiva de cumplimiento y dirigirla al grupo de dispositivos que contiene las máquinas virtuales de varias sesiones. No se admiten las configuraciones de cumplimiento de destino del usuario.
Las directivas de acceso condicional admiten configuraciones basadas en usuarios y dispositivos para sesiones múltiples de Windows Enterprise.
Seguridad de punto de conexión
Puede configurar perfiles en Seguridad de puntos de conexión para máquinas virtuales con varias sesiones; para ello, seleccione Plataforma windows. Si esa plataforma no está disponible, el perfil no se admite en máquinas virtuales de varias sesiones.
Para obtener más información, consulte Administrar la seguridad de los dispositivos con directivas de seguridad de punto de conexión en Microsoft Intune
Implementación de aplicaciones
Todas las aplicaciones de Windows se pueden implementar en sesiones múltiples de Windows Enterprise con las siguientes restricciones:
- Todas las aplicaciones deben configurarse para instalarse en el contexto del sistema o dispositivo y estar destinadas a dispositivos. Las aplicaciones web siempre se aplican en el contexto del usuario de forma predeterminada, por lo que no se aplicarán a las máquinas virtuales de sesiones múltiples.
- Todas las aplicaciones deben configurarse con la intención de asignación de aplicaciones Requerido o Desinstalar. La intención de implementación Aplicaciones disponibles no se admite en máquinas virtuales de sesiones múltiples.
- Si una aplicación Win32 configurada para instalarse en el contexto del sistema tiene dependencias o relación de sustitución en las aplicaciones configuradas para instalarse en el contexto de usuario, la aplicación no se instalará. Para aplicar a una máquina virtual con varias sesiones de Windows Enterprise, cree una instancia independiente de la aplicación de contexto del sistema o asegúrese de que todas las dependencias de la aplicación estén configuradas para instalarse en el contexto del sistema.
- RemoteApp de Azure Virtual Desktop y la conexión de aplicaciones MSIX no se admiten actualmente en Microsoft Intune.
Implementación de scripts
Los scripts configurados para ejecutarse en el contexto del sistema y asignados a dispositivos se admiten en varias sesiones de Windows Enterprise. Esto puede configurarse en la configuración de scripts estableciendo Ejecutar este script con las credenciales de inicio de sesión en No.
Los scripts configurados para ejecutarse en el contexto de usuario y asignados a los usuarios se admiten en varias sesiones de Windows Enterprise. Esto se puede configurar en Configuración de script estableciendo Ejecutar este script con las credenciales iniciadas en Sí.
directivas de cliente de Windows Update
Puede usar el catálogo de configuración para administrar Windows Update configuración de actualizaciones de calidad (seguridad) para máquinas virtuales de varias sesiones de Windows Enterprise. Para buscar la configuración con soporte en el catálogo, configure un filtro de configuración para sesiones múltiples de Enterprise y, a continuación, expanda la categoría Windows Update para empresas.
La siguientes configuraciones están disponibles en el catálogo, con los vínculos que abren la documentación de Windows CSP:
- Fin de horas activas
- Intervalo máximo de horas activas
- Inicio de horas activas
- Bloqueo de la capacidad "Pausar las actualizaciones"
- Configuración de la fecha límite del período de gracia
- Aplazamiento del período de actualizaciones de calidad (días)
- Pausa de la hora de inicio de actualizaciones de calidad
- Período límite para la actualización de calidad (días)
Acciones remotas
Las siguientes acciones remotas de dispositivo de escritorio de Windows no se admiten y se atenuarán en la interfaz de usuario y se deshabilitarán en Graph para máquinas virtuales de varias sesiones de Windows Enterprise:
- Restablecimiento de Windows Autopilot
- Rotación de clave de BitLocker
- Comienzo de cero
- Bloqueo remoto
- Restablecer contraseña
- Barrido
Retiradas
La eliminación de máquinas virtuales de Azure dejará registros de dispositivos huérfanos en el Centro de administración de Microsoft Intune. Las máquinas AVD se eliminan automáticamente después de 30 días y se quitan permanentemente después de 60 días. Para más información, vea:
- Usar reglas de limpieza de dispositivos de Intune.
- Eliminación automática de dispositivos con reglas de limpieza
Líneas base de seguridad
Las líneas base de seguridad están disponibles para varias sesiones de Windows Enterprise. Se recomienda revisar las líneas base de seguridad disponibles y configurar las directivas y los valores recomendados en el catálogo de configuración.
Configuraciones adicionales que no se admiten en máquinas virtuales de varias sesiones de Windows Enterprise
No se admite la inscripción de La experiencia rápida (OOBE) para sesiones múltiples de Windows Enterprise. Esta restricción significa que:
- No se admiten Windows Autopilot y la OOBE comercial.
- No se admite la página de estado de inscripción.
Windows Enterprise multisesión administrado por Microsoft Intune no se admite actualmente para china Sovereign Cloud.
Solución de problemas
En las secciones siguientes se proporcionan instrucciones para solucionar problemas comunes.
Problemas de inscripción
| Problema | Detalles |
|---|---|
| Se produce un error en la inscripción de Microsoft Entra máquina virtual unida a híbridos |
|
| Se produce un error en la inscripción de Microsoft Entra máquina virtual unida |
|
Problemas de configuración
| Problema | Detalles |
|---|---|
| Error en la directiva del catálogo de configuración | Confirme que la máquina virtual está inscrita con credenciales de dispositivo. La inscripción con credenciales de usuario no se admite actualmente para sesiones múltiples de Windows Enterprise. |
| No se aplica la directiva de configuración | Las plantillas (excepto los certificados) no se admiten en las sesiones múltiples de Windows Enterprise. Todas las directivas deben crearse a través del catálogo de configuración. |
| Informes de directivas de configuración como No aplicables | Algunas directivas no se aplican a las máquinas virtuales de Azure Virtual Desktop. |
| La directiva ADMX de Microsoft Edge o Microsoft Office no aparece cuando se aplica el filtro para la edición de varias sesiones de Windows Enterprise | La aplicabilidad de esta configuración no depende de la versión o de la edición de Windows, sino de que dichas aplicaciones se hayan instalado en el dispositivo. Para agregar esta configuración a la directiva, es posible que tenga que quitar los filtros aplicados en el selector de configuración. |
| La aplicación configurada para instalarse en el contexto del sistema no se aplicó | Confirma que la aplicación no tiene una relación de dependencia o sustitución en ninguna aplicación configurada para instalarse en el contexto del usuario. Las aplicaciones de contexto de usuario no se admiten actualmente en sesiones múltiples de Windows Enterprise. |
| No se aplicaron anillos de actualización para la directiva de Windows | Las directivas de anillos de Windows Update no se admiten actualmente. Las actualizaciones de calidad se pueden administrar a través de la configuración disponible en el catálogo de configuración. |