Partager via

Bureau à distance multisession Windows Entreprise

Azure Virtual Desktop multisession avec Microsoft Intune est désormais en disponibilité générale.

Vous pouvez désormais utiliser Microsoft Intune pour gérer les bureaux à distance Windows Entreprise multisession dans le Centre d’administration Microsoft Intune tout comme vous pouvez gérer un appareil client Windows partagé. Lors de la gestion de ces machines virtuelles, vous pouvez utiliser une configuration basée sur l’appareil ciblée sur les appareils ou une configuration basée sur l’utilisateur ciblée sur les utilisateurs.

Windows Entreprise multisession est un nouvel hôte de session Bureau à distance exclusif à Azure Virtual Desktop sur Azure. Elle offre les avantages suivants :

  • Autorise de plusieurs sessions utilisateur simultanées.
  • Offre aux utilisateurs une expérience Windows familière.
  • Prend en charge l’utilisation des licences Microsoft 365 par utilisateur existantes.

Vous pouvez gérer des machines virtuelles Windows Entreprise multisession créées dans Azure Government Cloud dans la communauté du gouvernement des États-Unis (GCC), GCC High et DoD.

Importante

La prise en charge de Microsoft Intune pour Azure Virtual Desktop multisession n’est actuellement pas disponible pour Citrix DaaS et VMware Horizon Cloud. Étant donné qu’Intune ne peut pas offrir de prise en charge de Citrix DaaS, consultez la documentation Citrix et tenez compte des options de support Citrix pour la prise en charge multisession. Toutes les questions, préoccupations ou aide doivent être adressées à Citrix pour une prise en charge multisession. Consultez Prise en charge de Citrix.

Vue d’ensemble

La prise en charge de la configuration des appareils dans Microsoft Intune pour Windows Entreprise multisession est en disponibilité générale (GA). Cela signifie que les stratégies définies dans l’étendue du système d’exploitation et les applications configurées pour s’installer dans le contexte système peuvent être appliquées aux machines virtuelles multisession Azure Virtual Desktop lorsqu’elles sont affectées à des groupes d’appareils.

Remarque

La configuration basée sur l’appareil ne peut pas être attribuée aux utilisateurs et la configuration basée sur l’utilisateur ne peut pas être attribuée aux appareils. Il est signalé comme Erreur ou Non applicable.

La prise en charge de la configuration utilisateur dans Microsoft Intune pour les machines virtuelles multisession Windows Entreprise est généralement disponible. Avec cela, vous pouvez :

  • Configurez des stratégies d’étendue utilisateur à l’aide du catalogue de Paramètres et affectez-les à des groupes d’utilisateurs. Vous pouvez utiliser la barre de recherche pour rechercher toutes les configurations dont l’étendue est définie sur « utilisateur ».

  • Configurez les certificats utilisateur et attribuez-les aux utilisateurs.

  • Configurez les scripts PowerShell pour les installer dans le contexte utilisateur et les affecter aux utilisateurs.

Configuration requise

Cette fonctionnalité prend en charge les machines virtuelles Windows Entreprise multisession, qui sont les suivantes :

  • Configurées en tant que bureaux distants dans des pools d’hôtes regroupés qui ont été déployés par le biais d’Azure Resource Manager.
  • Sous le même locataire qu’Intune.
  • Exécution d’un agent Azure Virtual Desktop version 1.0.2944.1400 ou ultérieur.
  • Microsoft Entra hybride joint et inscrit dans Microsoft Intune à l’aide de l’une des méthodes suivantes :
    • Configuré avec la stratégie de groupe Active Directory, définissez pour utiliser les informations d’identification de l’appareil et définissez pour inscrire automatiquement les appareils qui sont Microsoft Entra joints hybrides.
    • Cogestion Configuration Manager.
  • Microsoft Entra joints et inscrits dans Microsoft Intune en activant Inscrire la machine virtuelle auprès d’Intune dans le Portail Azure.
  • Licences : la licence Azure Virtual Desktop et la licence Microsoft Intune appropriées sont requises si un utilisateur ou un appareil bénéficie directement ou indirectement du service Microsoft Intune, y compris l’accès au service Microsoft Intune via une API Microsoft. Pour plus d’informations, consultez Licences Microsoft Intune.
  • Pour plus d’informations sur les conditions de licence d’Azure Virtual Desktop, consultez Gestion des licences Azure Virtual Desktop .

Limitations

Intune ne prend pas en charge l’utilisation d’une image cloné d’un ordinateur déjà inscrit. Cela inclut les appareils physiques et virtuels tels qu’Azure Virtual Desktop (AVD). Lorsque des jetons d’inscription ou d’identité d’appareil sont répliqués entre des appareils, des échecs d’inscription ou de synchronisation d’appareils Intune se produisent.

Remarque

Si vous rejoignez des hôtes de session pour Microsoft Entra Domain Services, vous ne pouvez pas les gérer à l’aide d’Intune.

Importante

  • Actuellement, Intune ne prend pas en charge la fonctionnalité d’itinérance de jeton entre les appareils. Si FSLogix, ou une technologie similaire, est utilisée pour gérer les profils utilisateur et les paramètres Windows, vous devez vous assurer que les jetons ne sont pas itinérants ou dupliqués de manière inattendue sur les appareils. Pour vérifier que vous exécutez une version et une configuration prises en charge de FSLogix avec l’itinérance de jeton désactivée, consultez la référence des paramètres de configuration de FSLogix RoamIdentity.

Les machines virtuelles Windows Entreprise multisession sont traitées comme une édition de système d’exploitation distincte et certaines configurations Windows Entreprise ne seront pas prises en charge pour cette édition. L’utilisation de Microsoft Intune ne dépend pas ou n’interfère pas avec la gestion Azure Virtual Desktop de la même machine virtuelle.

Créer le profil de configuration

Pour configurer des stratégies de configuration pour les machines virtuelles Windows Entreprise multisession, utilisez le catalogue Paramètres dans le Centre d’administration Microsoft Intune.

Seuls les modèles de profil de configuration suivants sont pris en charge pour les machines virtuelles Windows Entreprise multisession :

  • Certificat approuvé - Appareil (machine) lors du ciblage des appareils et Utilisateur lors du ciblage des utilisateurs
  • Certificat SCEP : appareil (machine) lors du ciblage d’appareils et utilisateur lors du ciblage d’utilisateurs
  • Certificat PKCS - Appareil (machine) lors du ciblage des appareils et Utilisateur lors du ciblage des utilisateurs
  • VPN - Tunnel de l’appareil uniquement

Microsoft Intune ne fournit pas de modèles non pris en compte aux appareils multisession, et ces stratégies apparaissent comme non applicables dans les rapports.

Remarque

Si vous utilisez la cogestion pour Intune et Configuration Manager, dans Configuration Manager définissez le curseur de la charge de travail pour la stratégie d’accès aux ressources sur Intune ou sur Pilote Intune. Ce paramètre permet aux clients Windows de démarrer le processus de demande du certificat.

Pour configurer des stratégies

  1. Connectez-vous au Centre d’administration Microsoft Intune et choisissez Appareils>par plateforme>Windows>Gérer les appareils>Configuration>Créer une>stratégie.
  2. Pour Plateforme, sélectionnez Windows 10 et ultérieur.
  3. Pour Type de profil, sélectionnez Catalogue de paramètres ou, lorsque vous déployez des paramètres à l’aide d’un modèle, sélectionnez Modèles, puis le nom du modèle pris en charge.
  4. Sélectionnez Créer.
  5. Dans la page Informations de base, entrez un Nom et une Description (facultative)>Suivant.
  6. Sur la page Paramètres de configuration, sélectionnez Ajouter des paramètres.
  7. Sous Sélecteur de paramètres, sélectionnez Ajouter un filtre et sélectionnez les options suivantes :
    • Clé : Édition du système d’exploitation
    • Opérateur : ==
    • Valeur : Enterprise multisession
    • Sélectionnez Appliquer. La liste filtrée affiche désormais toutes les catégories de profils de configuration qui prennent en charge Windows Entreprise multisession. L’étendue d’une stratégie est indiquée entre parenthèses. Pour l’étendue de l’utilisateur, il s’affiche sous la forme (Utilisateur) et tous les autres sont des stratégies avec étendue de l’appareil.
  8. Dans la liste filtrée, sélectionnez les catégories que vous souhaitez.
    • Pour chaque catégorie que vous choisissez, sélectionnez les paramètres que vous souhaitez appliquer à votre nouveau profil de configuration.
    • Pour chaque paramètre, sélectionnez la valeur souhaitée pour ce profil de configuration.
  9. Sélectionnez Suivant lorsque vous avez terminé d’ajouter des paramètres.
  10. Dans la page Affectations, choisissez les groupes Microsoft Entra contenant les appareils auxquels vous souhaitez attribuer ce profil >Suivant.
  11. Dans la page Balises d’étendue , ajoutez éventuellement les balises d’étendue que vous souhaitez appliquer à ce profil >Suivant. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.
  12. Sur la page Vérifier + créer, choisissez Créer pour créer le profil.

Modèles d’administration

Les modèles d’administration du catalogue de paramètres Intune sont pris en charge pour Windows Entreprise multisession avec certaines limitations :

  • Les stratégies reposant sur ADMX sont prises en charge. Certaines stratégies ne sont pas encore disponibles dans le catalogue Paramètres.
  • Les stratégies ingérées par ADMX sont prises en charge. Pour obtenir la liste complète des catégories de stratégie ingérées par ADMX, consultez Configuration des stratégies d’application Win32 et Desktop Bridge. Certains paramètres ingérés par ADMX ne s’appliquent pas à Windows Entreprise multisession.

Conformité et accès conditionnel

Vous pouvez sécuriser vos machines virtuelles Windows Entreprise multisession en configurant des stratégies de conformité et des stratégies d’accès conditionnel dans le Centre d’administration Microsoft Intune. Les stratégies de conformité suivantes sont prises en charge sur les machines virtuelles Windows Entreprise multisession :

  • Version minimale du système d’exploitation
  • Version maximale du système d’exploitation
  • Builds de système d’exploitation valides
  • Mots de passe simples
  • Type de mot de passe
  • Longueur minimale du mot de passe
  • complexité du mot de passe ;
  • Expiration du mot de passe (jours)
  • Nombre de mots de passe précédents avant d’autoriser leur réutilisation
  • Logiciel anti-programme malveillant Microsoft Defender
  • Veille de sécurité du logiciel anti-programme malveillant Microsoft Defender à jour
  • Pare-feu
  • Antivirus
  • Logiciel anti-espion
  • Protection en temps réel
  • Version minimale du logiciel anti-programme malveillant Microsoft Defender
  • Score de risque Defender ATP

Toutes les autres stratégies sont signalées comme Non applicables.

Importante

Vous devez créer une stratégie de conformité et la cibler sur le groupe d’appareils contenant vos machines virtuelles multisession. Les configurations de conformité ciblées par l’utilisateur ne sont pas prises en charge.

Les stratégies d’accès conditionnel prennent en charge les configurations basées sur l’utilisateur et sur l’appareil pour Windows Entreprise multisession.

Sécurité de point de terminaison

Vous pouvez configurer des profils sous Sécurité du point de terminaison pour les machines virtuelles multisession en sélectionnant Plateforme Windows. Si cette plateforme n’est pas disponible, le profil n’est pas pris en charge sur les machines virtuelles multisession.

Pour plus d’informations, consultez Gérer la sécurité des appareils avec des stratégies de sécurité de point de terminaison dans Microsoft Intune

Déploiement d’applications

Toutes les applications Windows peuvent être déployées sur Windows Entreprise multisession avec les restrictions suivantes :

  • Toutes les applications doivent être configurées pour s’installer dans le contexte du système/appareil et être destinées aux appareils. Les applications web sont toujours appliquées dans le contexte utilisateur par défaut afin de ne pas s’appliquer aux machines virtuelles multisession.
  • Toutes les applications doivent être configurées avec l’intention d’affectation d’application Obligatoire ou Désinstaller. L’intention de déploiement des Applications disponibles ne sont pas prises en charge sur les machines virtuelles multisession.
  • Si une application Win32 configurée pour s’installer dans le contexte système a des dépendances ou une relation de remplacement sur toutes les applications configurées pour l’installation dans le contexte utilisateur, l’application n’est pas installée. Pour appliquer à une machine virtuelle Windows Entreprise multisession, créez un instance distinct de l’application de contexte système ou assurez-vous que toutes les dépendances d’application sont configurées pour s’installer dans le contexte système.
  • L’attachement d’application RemoteApp et MSIX Azure Virtual Desktop n’est actuellement pas pris en charge dans Microsoft Intune.

Déploiement de script

Les scripts configurés pour s’exécuter dans le contexte système et affectés aux appareils sont pris en charge sur Windows Entreprise multisession. Vous pouvez configurer ce paramètre sous Paramètres de script en définissant Exécuter ce script en utilisant les informations d’identification de connexion sur Non.

Les scripts configurés pour s’exécuter dans le contexte utilisateur et affectés aux utilisateurs sont pris en charge sur Windows Entreprise multisession. Ceci peut être configuré sous Paramètres du script en définissant Exécuter ce script en utilisant les informations d'identification de la session sur Oui.

Windows Update stratégies clientes

Vous pouvez utiliser le catalogue de paramètres pour gérer les paramètres Windows Update des mises à jour de qualité (de sécurité) pour les machines virtuelles Windows Entreprise multisession. Pour rechercher les paramètres pris en charge dans le catalogue, configurez un filtre de paramètres pour multisession Entreprise, puis développez la catégorie Windows Update pour Entreprise .

Les paramètres suivants sont disponibles dans le catalogue, avec les liens ouvrant la documentation du fournisseur de solutions cloud Windows :

Actions à distance.

Les actions à distance de l’appareil de bureau Windows suivantes ne sont pas prises en charge et sont grisées dans l’interface utilisateur et désactivées dans Graph pour les machines virtuelles multisession Windows Entreprise :

  • Réinitialisation de Windows Autopilot
  • Rotation de clés BitLocker
  • Redémarrage à zéro
  • Verrouiller à distance
  • Réinitialiser le mot de passe
  • Réinitialisation

Retraites

La suppression de machines virtuelles d’Azure laisse les enregistrements d’appareils orphelins dans le Centre d’administration Microsoft Intune. Les machines AVD sont supprimées automatiquement après 30 jours et définitivement supprimées après 60 jours. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Bases de référence de sécurité

Les bases de référence de sécurité sont disponibles pour Windows Entreprise multisession. Nous vous recommandons de consulter les sections Bases de référence de la sécurité disponibles et de configurer les stratégies et valeurs recommandées dans le catalogue des paramètres.

Configurations supplémentaires qui ne sont pas prises en charge sur les machines virtuelles Windows Entreprise multisession

L’inscription OOBE (Out of Box Experience) n’est pas prise en charge pour Windows Entreprise multisession. Cette restriction signifie ce qui suit :

  • Windows Autopilot et les OOBE commerciales ne sont pas pris en charge.
  • La page d’status d’inscription n’est pas prise en charge.

Windows Entreprise multisession géré par Microsoft Intune n’est actuellement pas pris en charge pour la Chine Sovereign Cloud.

Résolution des problèmes

Les sections suivantes fournissent des conseils de résolution des problèmes pour les problèmes courants.

Problèmes d’inscription

Problème Détails
Échec de l’inscription de Microsoft Entra machine virtuelle jointe hybride
  • L’inscription automatique est configurée pour utiliser les informations d’identification de l’utilisateur. Les machines virtuelles Windows Entreprise multisession doivent être inscrites à l’aide des informations d’identification de l’appareil.
  • L’agent Azure Virtual Desktop que vous utilisez doit être version 1.0.2944.1400 ou ultérieure.
  • Vous avez plusieurs fournisseurs GPM, ce qui n’est pas pris en charge.
  • La machine virtuelle multisession Windows Entreprise est configurée en dehors d’un pool d’hôtes. Microsoft Intune ne prend en charge que les VM provisionnées dans le cadre d'un pool d'hôtes.
  • Le pool d’hôtes Azure Virtual Desktop n’a pas été créé via le modèle Azure Resource Manager.
Échec de l’inscription de Microsoft Entra machine virtuelle jointe
  • L’agent Azure Virtual Desktop que vous utilisez n’est pas mis à jour. L’agent doit être version 1.0.2944.1400 ou ultérieure.
  • Le pool d’hôtes Azure Virtual Desktop n’a pas été créé via le modèle Azure Resource Manager.

Problèmes de configuration

Problème Détails
Échec de la stratégie de catalogue des paramètres Vérifiez que la machine virtuelle est inscrite à l’aide des informations d’identification de l’appareil. L’inscription avec les informations d’identification de l’utilisateur n’est actuellement pas prise en charge pour Windows Entreprise multisession.
La stratégie de configuration ne s’est pas appliquée Les modèles (à l’exception des certificats) ne sont pas pris en charge sur Windows Entreprise multisession. Toutes les stratégies doivent être créées via le catalogue de paramètres.
Rapports de stratégie de configuration comme non applicables Certaines stratégies ne s’appliquent pas aux machines virtuelles Azure Virtual Desktop.
La stratégie ADMX Microsoft Edge/Microsoft Office ne s’affiche pas lorsque j’applique le filtre pour l’édition multisession De Windows Entreprise L’applicabilité de ces paramètres n’est pas basée sur la version ou l’édition de Windows, mais sur le fait que ces applications ont été installées sur l’appareil. Pour ajouter ces paramètres à votre stratégie, vous devrez peut-être supprimer tous les filtres appliqués dans le sélecteur de paramètres.
L’application configurée pour l’installation dans le contexte système ne s’est pas appliquée Vérifiez que l’application n’a pas de relation de dépendance ou de remplacement sur les applications configurées pour être installées dans le contexte utilisateur. Les applications de contexte utilisateur ne sont actuellement pas prises en charge sur Windows Entreprise multisession.
Les anneaux de mise à jour pour la stratégie Windows ne s’appliquent pas Les stratégies d’anneaux de mise à jour Windows ne sont pas prises en charge actuellement. Les mises à jour qualité peuvent être gérées via les paramètres disponibles dans le catalogue de paramètres.

Prochaines étapes

En savoir plus sur Azure Virtual Desktop.

  • Last updated on