Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As várias sessões da Área de Trabalho Virtual do Azure com Microsoft Intune agora estão em disponibilidade geral.
Agora pode utilizar o Microsoft Intune para gerir ambientes de trabalho remotos de várias sessões do Windows Enterprise no centro de administração do Microsoft Intune, tal como pode gerir um dispositivo cliente Windows partilhado. Ao gerir essas máquinas virtuais (VMs), pode utilizar a configuração baseada no dispositivo direcionada para dispositivos ou a configuração baseada no utilizador direcionada para os utilizadores.
A sessão múltipla do Windows Enterprise é um novo Anfitrião de Sessões de Ambiente de Trabalho Remoto exclusivo do Azure Virtual Desktop no Azure. Ele proporciona os seguintes benefícios:
- Permite várias sessões de usuário simultâneas.
- Proporciona aos utilizadores uma experiência familiar do Windows.
- Dá suporte ao uso de licenças do Microsoft 365 por usuário existentes.
Pode gerir VMs de várias sessões do Windows Enterprise criadas no Azure Governamental Cloud na Us Government Community (GCC), GCC High e DoD.
Importante
O suporte do Microsoft Intune para várias sessões do Azure Virtual Desktop não está atualmente disponível para Citrix DaaS e VMware Horizon Cloud. Uma vez que o Intune não pode oferecer suporte para Citrix DaaS, reveja a documentação do Citrix e tenha em atenção as opções de suporte citrix para suporte de várias sessões. Todas as perguntas, preocupações ou ajuda devem ser direcionadas para o Citrix para suporte de várias sessões. Veja Suporte do Citrix.
Visão Geral
O suporte de configuração de dispositivos no Microsoft Intune para várias sessões do Windows Enterprise está geralmente disponível (GA). Isto significa que as políticas definidas no âmbito do SO e as aplicações configuradas para instalação no contexto do sistema podem ser aplicadas a VMs de várias sessões do Azure Virtual Desktop quando atribuídas a grupos de dispositivos.
Observação
Não é possível atribuir a configuração baseada no dispositivo aos utilizadores e a configuração baseada no utilizador não pode ser atribuída a dispositivos. É reportado como Erro ou Não aplicável.
O suporte de configuração de utilizadores no Microsoft Intune para VMs de várias sessões do Windows Enterprise está geralmente disponível. Com isto, pode:
Configurar as políticas de escopo do usuário usando o Catálogo de configurações e atribuir a grupos de usuários. Você pode usar a barra de pesquisa para pesquisar todas as configurações com escopo definidas como "usuário".
Configurar certificados de usuário e atribuir aos usuários.
Configurar scripts do PowerShell para instalar no contexto do usuário e atribuir aos usuários.
Pré-requisitos
Esta funcionalidade suporta VMs de várias sessões do Windows Enterprise, que são:
- Configuradas como áreas de trabalho remotas em pools de host agrupados e implantados por meio do Azure Resource Manager.
- No mesmo inquilino que o Intune.
- Executando uma versão do agente da Área de Trabalho Virtual do Azure de 1.0.2944.1400 ou posterior.
-
Microsoft Entra associados e inscritos híbridos no Microsoft Intune através de um dos seguintes métodos:
- Configurado com a política de grupo do Active Directory, definido para utilizar credenciais de Dispositivo e definido para inscrever automaticamente dispositivos Microsoft Entra associados híbridos.
- Cogerenciamento no Configuration Manager.
- Microsoft Entra aderido e inscrito no Microsoft Intune ao ativar Inscrever a VM com o Intune no portal do Azure.
- Licenciamento: a licença adequada do Azure Virtual Desktop e do Microsoft Intune é necessária se um utilizador ou dispositivo beneficiar direta ou indiretamente do serviço Microsoft Intune, incluindo o acesso ao serviço Do Microsoft Intune através de uma API da Microsoft. Para obter mais informações, aceda a Licenciamento do Microsoft Intune.
- Veja Licenciamento do Azure Virtual Desktop para obter mais informações sobre os requisitos de licenciamento do Azure Virtual Desktop.
Limitações
O Intune não suporta a utilização de uma imagem clonada de um computador que já esteja inscrito. Isto inclui dispositivos físicos e virtuais, como o Azure Virtual Desktop (AVD). Quando a inscrição de dispositivos ou tokens de identidade são replicados entre dispositivos, ocorrerão falhas de inscrição ou sincronização de dispositivos do Intune.
- Para obter mais informações, veja Inscrição de dispositivos móveis – Gestão de Clientes do Windows e Inscrição de dispositivos de autenticação de certificados – Gestão de Clientes do Windows.
- Para obter informações sobre a resolução de problemas relacionados com a clonagem de imagens, veja Erro hr 0x8007064c: A máquina já está inscrita.
Observação
Se estiver a participar em anfitriões de sessão para Microsoft Entra Domain Services, não poderá geri-los com o Intune.
Importante
- Atualmente, o Intune não suporta a funcionalidade de roaming de tokens entre dispositivos. Se o FSLogix, ou uma tecnologia semelhante, for utilizado para gerir perfis de utilizador e definições do Windows, tem de garantir que os tokens não são transmitidos inesperadamente ou duplicados entre dispositivos. Para confirmar que está a executar uma versão e configuração suportadas do FSLogix com o roaming de tokens desativado, consulte a Referência das Definições de Configuração do FSLogix RoamIdentity.
As VMs de várias sessões do Windows Enterprise são tratadas como uma edição de SO separada e algumas configurações do Windows Enterprise não serão suportadas para esta edição. O uso do Microsoft Intune não depende nem interfere no gerenciamento da Área de Trabalho Virtual do Azure da mesma VM.
Criar o perfil de configuração
Para configurar políticas de configuração para VMs de várias sessões do Windows Enterprise, utilize o catálogo Definições no centro de administração do Microsoft Intune.
Apenas os seguintes modelos de perfil de configuração são suportados para VMs de várias sessões do Windows Enterprise:
- Certificado fidedigno – Dispositivo (computador) ao filtrar dispositivos e Utilizador ao direcionar os utilizadores
- Certificado SCEP – Dispositivo (computador) ao filtrar dispositivos e Utilizador ao direcionar os utilizadores
- Certificado PKCS – Dispositivo (computador) ao filtrar dispositivos e Utilizador ao direcionar utilizadores
- VPN – somente dispositivo Tunnel
O Microsoft Intune não fornecerá modelos sem suporte para dispositivos multissessão e essas políticas aparecerão como Não aplicável nos relatórios.
Observação
Se você usar o cogerenciamento do Intune e do Configuration Manager, em Configuration Manager, defina o controle deslizante da carga de trabalho das Políticas de Acesso ao Recurso como Intune ou Piloto do Intune. Esta definição permite que os clientes do Windows iniciem o processo de pedido do certificado.
Para configurar políticas
- Inicie sessão no centro de administração do Microsoft Intune e selecioneDispositivos>Por plataforma>Windows>Gerir dispositivos>Configuração>Criar>Nova Política.
- Em Plataforma, selecione Windows 10 e posteriores.
- Em Tipo de perfil, selecione Catálogo de configurações ou, ao implantar configurações usando um Modelo, selecione Modelos e o nome do Modelo com suporte.
- Selecionar Criar.
- Na página Básico, forneça um Nome e (opcionalmente) uma Descrição>Avançar.
- Na página Definições da configuração, selecione Adicionar configurações.
- Em Seletor de configurações, selecione Adicionar filtro e selecione as seguintes opções:
- Chave: edição do sistema operacional
- Operador: ==
- Valor: Multisessão do Enterprise
- Selecione Aplicar. A lista filtrada mostra agora todas as categorias de perfis de configuração que suportam várias sessões do Windows Enterprise. O âmbito de uma política é apresentado entre parênteses. Quanto ao escopo do usuário, ele é mostrado como (Usuário) e todos os demais são políticas com escopo de dispositivo.
- Na lista filtrada, escolha as categorias que você deseja.
- Para cada categoria que você escolher, selecione as configurações que deseja aplicar ao seu novo perfil de configuração.
- Para cada configuração, selecione o valor desejado para o perfil de configuração.
- Selecione Seguinte quando terminar de adicionar as definições.
- Na página Atribuições, selecione os grupos de Microsoft Entra que contêm os dispositivos aos quais pretende atribuir este perfil >Seguinte.
- Na página Etiquetas de âmbito , adicione opcionalmente as etiquetas de âmbito que pretende aplicar a este perfil >Seguinte. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.
- Na página Revisar + criar, escolha Criar para criar o perfil.
Modelos administrativos
Os Modelos Administrativos no catálogo de definições do Intune são suportados para várias sessões do Windows Enterprise com algumas limitações:
- Há suporte para políticas com ADMX. Algumas políticas ainda não estão disponíveis no catálogo definições.
- As políticas ingeridas por ADMX são suportadas. Para ver uma lista completa das categorias de política ingerida pelo ADMX, confira Configuração da política de aplicativo do Win32 e Ponte de Desktop. Algumas definições ingeridas pelo ADMX não serão aplicáveis a várias sessões do Windows Enterprise.
Conformidade e Acesso Condicional
Pode proteger as VMs de várias sessões do Windows Enterprise ao configurar políticas de conformidade e políticas de Acesso Condicional no centro de administração do Microsoft Intune. As seguintes políticas de conformidade são suportadas em VMs de várias sessões do Windows Enterprise:
- Versão mínima do sistema operacional
- Versão máxima do sistema operacional
- Builds do sistema operacional válidos
- Senhas simples
- Tipo de senha
- Tamanho mínimo da senha
- Complexidade da senha
- Vencimento da senha (dias)
- Número de senhas anteriores para evitar a reutilização
- Microsoft Defender Antimalware
- Inteligência de segurança do Microsoft Defender Antimalware atualizada
- Firewall
- Antivírus
- Antispyware
- Proteção em tempo real
- Versão mínima do Microsoft Defender Antimalware
- Pontuação de risco do Defender ATP
Todas as outras políticas são relatadas como Não aplicável.
Importante
Terá de criar uma nova política de conformidade e direcioná-la para o grupo de dispositivos que contém as VMs de várias sessões. As configurações de conformidade direcionadas para o utilizador não são suportadas.
As políticas de Acesso Condicional suportam configurações baseadas em utilizadores e dispositivos para várias sessões do Windows Enterprise.
Segurança do ponto de extremidade
Pode configurar perfis em Segurança de ponto final para VMs de várias sessões ao selecionar Windows de Plataforma. Se essa Plataforma não estiver disponível, o perfil não é suportado em VMs de várias sessões.
Para obter mais informações, consulte Gerenciar a segurança do dispositivo com políticas de segurança de ponto de extremidade no Microsoft Intune
Implantação do aplicativo
Todas as aplicações do Windows podem ser implementadas em várias sessões do Windows Enterprise com as seguintes restrições:
- Todos os aplicativos devem ser configurados para instalar no contexto do sistema/dispositivo e ser direcionado para dispositivos. Os aplicativos da Web são sempre aplicados no contexto do usuário por padrão, portanto, não serão aplicados às VMs com várias sessões.
- Todos os aplicativos devem ser configurados com a intenção de atribuição de aplicativo Obrigatório ou Desinstalar. A intenção de implantação de Aplicativos Disponíveis não é suportada em VMs com várias sessões.
- Se um aplicativo Win32 configurado para instalar no contexto do sistema tiver dependências ou relação de substituição em qualquer aplicativo configurado para instalar no contexto do usuário, o aplicativo não será instalado. Para aplicar a uma VM de várias sessões do Windows Enterprise, crie uma instância separada da aplicação de contexto do sistema ou certifique-se de que todas as dependências de aplicações estão configuradas para serem instaladas no contexto do sistema.
- O RemoteApp da Área de Trabalho Virtual do Azure e a anexação de aplicativo MSIX não são atualmente suportados no Microsoft Intune.
Implantação de script
Os scripts configurados para serem executados no contexto do sistema e atribuídos a dispositivos são suportados em várias sessões do Windows Enterprise. Isso pode ser configurado em Configurações de script definindo Executar este script usando as credenciais registradas para Não.
Os scripts configurados para serem executados no contexto de utilizador e atribuídos aos utilizadores são suportados em várias sessões do Windows Enterprise. Isso pode ser configurado em Configurações de script definindo Executar este script usando as credenciais registradas para Sim.
Windows Update políticas de cliente
Pode utilizar o catálogo de definições para gerir Windows Update definições de atualizações de qualidade (segurança) para VMs de várias sessões do Windows Enterprise. Para encontrar as configurações com suporte no catálogo, configure um filtro de configurações para multissessão Enterprise e expanda a categoria Windows Update para Empresas.
As configurações a seguir estão disponíveis no catálogo, com os links que abrem a documentação do CSP do Windows:
- Final das horas ativas
- Intervalo máximo de horas ativas
- Início das horas ativas
- Bloquear a capacidade de "Pausar Atualizações"
- Configurar o período de carência do prazo
- Adiar período de atualizações de qualidade (dias)
- Pausar hora de início de atualizações de qualidade
- Período do prazo de atualização de qualidade (dias)
Ações remotas
As seguintes ações remotas do dispositivo de ambiente de trabalho do Windows não são suportadas e ficarão desativadas na IU e desativadas no Graph para VMs de várias sessões do Windows Enterprise:
- Reposição do Windows Autopilot
- Rodízio de chaves do BitLocker
- Início novo
- Bloqueio remoto
- Redefinir senha
- Revelar
Desativação
A eliminação de VMs do Azure deixará registos de dispositivos órfãos no centro de administração do Microsoft Intune. Os computadores AVD são eliminados automaticamente após 30 dias e removidos permanentemente após 60 dias. Para saber mais, confira:
- Utilizar regras de limpeza de dispositivos do Intune.
- Remover automaticamente dispositivos com regras de limpeza
Linhas de base de segurança
As linhas de base de segurança estão disponíveis para várias sessões do Windows Enterprise. Recomendamos revisar as Linhas de base de segurança disponíveis e configurar as políticas e valores recomendados no Catálogo de configurações.
Configurações adicionais que não são suportadas em VMs de várias sessões do Windows Enterprise
A inscrição do OOBE (Out of Box Experience) não é suportada para várias sessões do Windows Enterprise. Essa restrição significa que:
- Não há suporte para o Azure Autopilot e o OOBE Comercial.
- A página de status de inscrição não é suportada.
Atualmente, as várias sessões do Windows Enterprise geridas pelo Microsoft Intune não são suportadas para Sovereign Cloud da China.
Solução de problemas
As seções a seguir fornecem orientações de solução de problemas para problemas comuns.
Problemas de inscrição
| Problema | Detalhe |
|---|---|
| Falha na inscrição de Microsoft Entra máquina virtual associada híbrida |
|
| Falha na inscrição de Microsoft Entra máquina virtual associada |
|
Problemas de configuração
| Problema | Detalhe |
|---|---|
| Falha da política do catálogo de configurações | Confirme se a VM está inscrita usando credenciais de dispositivo. A inscrição com credenciais de utilizador não é atualmente suportada para várias sessões do Windows Enterprise. |
| A política de configuração não se aplicava | Os modelos (exceto os Certificados) não são suportados em várias sessões do Windows Enterprise. Todas as políticas devem ser criadas por meio do catálogo de configurações. |
| Relatórios de política de configuração como Não aplicáveis | Algumas políticas não são aplicáveis às VMs da Área de Trabalho Virtual do Azure. |
| A política microsoft Edge/Microsoft Office ADMX não aparece quando aplico o filtro para a edição de várias sessões do Windows Enterprise | A aplicabilidade para essas configurações não é baseada na versão ou edição do Windows, mas se esses aplicativos foram instalados no dispositivo. Para adicionar essas configurações à sua política, talvez seja necessário remover todos os filtros aplicados no seletor de configurações. |
| O aplicativo configurado para instalar no contexto do sistema não se aplicava | Confirme se o aplicativo não tem uma relação de dependência ou substituição em nenhum aplicativo configurado para ser instalado no contexto do usuário. As aplicações de contexto de utilizador não são atualmente suportadas em várias sessões do Windows Enterprise. |
| As caderias de atualização da política do Windows não foram aplicadas | Atualmente, as políticas de anéis de atualização do Windows não são suportadas. As atualizações de qualidade podem ser geridas através de definições disponíveis no catálogo de definições. |