Azure 虛擬桌面與 Microsoft Intune 的多重會話現已正式推出。
您現在可以使用 Microsoft Intune 在 Microsoft Intune 系統管理中心管理 Microsoft Enterprise 多工作階段遠端桌面平台,就像管理共用的 Windows 用戶端裝置一樣。 管理此類虛擬機器 (虛擬機器) 時,您可以使用以裝置為目標的裝置型組態,或以使用者為目標的以使用者為基礎的組態。
Windows 企業版多會話是 Azure 上 Azure 虛擬桌面 獨有的新遠端桌面會話主機。 它提供以下好處:
- 允許多個並發使用者工作階段。
- 為使用者提供熟悉的 Windows 體驗。
- 支援使用現有的每使用者 Microsoft 365 授權。
您可以在 GCC) 、GCC High 和 DoD (美國政府社群的 Azure Government Cloud 中管理在 Windows Enterprise 多工作階段 VM 中建立。
重要事項
Microsoft Intune 對 Azure 虛擬桌面多工作階段的支援目前不適用於 Citrix DaaS 和 VMware Horizon Cloud。 由於 Intune 無法提供 Citrix DaaS 的支援,因此請檢閱 Citrix 檔,並注意多會話支援的 Citrix 支援選項。 所有問題、疑慮或幫助都應直接聯繫 Citrix 以獲得多會話支持。 請參閱 Citrix 支援。
概觀
適用於 Windows 企業版多會話的 Microsoft Intune 中的裝置設定支援已正式推出 (GA) 。 這表示在 OS 範圍中定義的原則 ,以及設定為在系統內容中安裝的應用程式,在指派給裝置群組時,可以套用至 Azure 虛擬桌面多工作階段 VM。
注意事項
無法將裝置型組態指派給使用者,也無法將使用者型組態指派給裝置。 它會報告為 錯誤 或 不適用。
Microsoft Intune 中適用於 Windows 企業版多會話 VM 的使用者設定支援已正式推出。 有了這個,您可以:
使用 設定目錄 設定使用者範圍原則,並指派給使用者群組。 您可以使用搜尋列來搜尋範圍設定為「使用者」的所有組態。
設定使用者憑證並指派給使用者。
設定 PowerShell 腳本以安裝在使用者內容中,並指派給使用者。
必要條件
此功能支援 Windows 企業版多會話 VM,這些 VM 是:
- 在已透過 Azure Resource Manager 部署的集區主機集區中設定為遠端桌面。
- 在與 Intune 相同的租用戶下。
- 執行 1.0.2944.1400 或更新版本的 Azure 虛擬桌面代理程式。
-
Microsoft Entra 混合式使用下列其中一種方法加入並註冊 Microsoft Intune:
- 設定 Active Directory 群組原則,設定為使用裝置認證,並設定為自動註冊已加入 Microsoft Entra 的裝置。
- Configuration Manager 共同管理。
- Microsoft Entra 已加入並註冊 Microsoft Intune,方法是在 Azure 入口網站 中啟用 [使用 Intune 註冊 VM]。
- 授權:如果使用者或裝置直接或間接受益於 Microsoft Intune 服務,包括透過 Microsoft API 存取 Microsoft Intune 服務,則需要適當的 Azure 虛擬桌面和 Microsoft Intune 授權。 如需詳細資訊,請移至 Microsoft Intune 授權。
- 如需 Azure 虛擬桌面授權需求的詳細資訊,請參閱授權 Azure 虛擬桌面 。
限制
Intune 不支援使用已註冊之電腦的複製映像。 這包括實體和虛擬裝置,例如 Azure 虛擬桌面 (AVD) 。 在裝置之間複寫裝置註冊或身分識別權杖時,將會發生 Intune 裝置註冊或同步處理失敗。
- 如需詳細資訊,請參閱 行動裝置註冊 - Windows 用戶端管理 和 憑證驗證裝置註冊 - Windows 用戶端管理。
- 如需疑難排解與映像複製相關的問題的資訊,請參閱錯誤 hr 0x8007064c:電腦已註冊。
注意事項
如果您要將會話主機加入 Microsoft Entra Domain Services,則無法使用 Intune 來管理它們。
重要事項
- Intune 目前不支援裝置之間的權杖漫遊功能。 如果使用 FSLogix 或類似技術來管理 Windows 使用者配置檔和設定,您必須確保權杖不會意外漫遊或跨裝置重複。 若要確認您正在執行已停用權杖漫遊的支援版本和設定 FSLogix,請參閱 FSLogix RoamIdentity 組態設定參考。
Windows 企業版多會話 VM 會被視為個別的 OS 版本,且此版本不支援某些 Windows 企業版設定。 使用 Microsoft Intune 不會相依或干擾相同 VM 的 Azure 虛擬桌面管理。
建立組態設定檔
若要設定 Windows 企業版多工作階段 VM 的組態原則,請使用 Microsoft Intune 系統管理中心中的 [設定] 目錄 。
Windows 企業版多工作階段 VM 僅支援下列組態配置檔範本:
- 信任憑證 - 裝置 (機器在目標裝置時) ,使用者在目標使用者時
- SCEP 憑證 - 裝置 (電腦在以裝置為目標時) ,使用者在以使用者為目標時
- PKCS 憑證 - 裝置 (電腦在目標裝置時) ,使用者在目標使用者時
- VPN - 僅限裝置通道
Microsoft Intune 不會將不支援的範本傳遞至多會話裝置,而這些原則會在報表中顯示為 [ 不適用 ]。
注意事項
如果您使用 Intune 和 Configuration Manager 的共同管理,請在 Configuration Manager 中,將 [資源存取原則] 的工作負載滑桿設定為 [Intune] 或 [試驗 Intune]。 此設定可讓 Windows 用戶端啟動要求憑證的程式。
設定原則
- 登入 Microsoft Intune 系統管理中心,然後選擇 [依>平臺依裝置>] [Windows>] [管理裝置>設定>] [建立>新原則]。
- 針對 [平臺],選取 [Windows 10 和更新版本]。
- 針對 [設定檔類型],選取 [ 設定目錄],或在使用範本部署設定時,選取 [範本] ,然後選取支援的範本名稱。
- 選取 [建立]。
- 在 基本 頁面上,提供 名稱 和 ((選擇性地) 下一個描述>)。
- 在 [ 組態設定 ] 頁面上,選取 [ 新增設定]。
- 在 [設定選擇器] 底下,選取 [ 新增篩選條件 ],然後選取下列選項:
- 關鍵:作業系統版本
- 運營商: ==
- 價值: 企業多會話
- 選取 [套用]。 篩選的清單現在會顯示支援 Windows 企業版多重工作階段的所有組態配置檔類別。 原則的範圍會顯示在括弧中。 針對使用者範圍 (它會顯示為使用者) ,其餘都是具有裝置範圍的原則。
- 從篩選的清單中,挑選您想要的類別。
- 針對您選擇的每個類別,選取您要套用至新組態描述檔的設定。
- 針對每個設定,選取您想要用於此組態配置檔的值。
- 當您完成新增設定時,選取 [下一步 ]。
- 在 [ 指派 ] 頁面上,選擇包含您要指派>此設定檔的裝置的 Microsoft Entra 群組 [下一步]。
- 在 [範圍標籤] 頁面上,選擇性地新增您要套用至此設定檔>的範圍標籤 下一步。 如需範圍標籤的詳細資訊,請參閱針對 分散式 IT 使用角色型存取控制和範圍標籤。
- 在 [檢閱 + 建立 ] 頁面上,選擇 [建立] 以建立設定檔。
系統管理範本
Windows 企業版多會話支援 Intune 設定目錄 中的系統管理範本,但有一些限制:
- 支援 ADMX 支援的原則。 某些原則尚未在 [設定] 目錄中使用。
- 支援 ADMX 擷取的原則。 如需 ADMX 擷取原則類別的完整清單,請參閱 Win32 和傳統型橋接器應用程式原則設定。 某些 ADMX 擷取的設定不適用於 Windows 企業版多會話。
合規性與條件式存取
您可以在 Microsoft Intune 系統管理中心設定合規性原則和條件式存取原則,以保護 Windows 企業版多會話 VM。 Windows 企業版多工作階段 VM 支援下列合規性原則:
- 最低作業系統版本
- 作業系統版本上限
- 有效的作業系統組建
- 簡單密碼
- 密碼類型
- 密碼最小長度
- 密碼複雜性
- 密碼到期 (天)
- 防止重複使用的先前密碼數量
- Microsoft Defender 反惡意代碼
- Microsoft Defender 反惡意代碼安全性情報最新
- 防火牆
- 防毒軟體
- 反間諜軟體
- 即時保護
- Microsoft Defender 反惡意代碼最低版本
- Defender ATP 風險分數
所有其他原則都會報告為「不適用」。
重要事項
您必須建立新的合規性原則,並將其目標鎖定包含多工作階段 VM 的裝置群組。 不支援以使用者為目標的合規性設定。
條件式存取原則 支援 Windows 企業版多重工作階段的使用者和裝置型設定。
端點安全性
您可以選取 [平臺 Windows],在 [端點安全性] 下設定多工作階段 VM 的設定檔。 如果該平台無法使用,則多工作階段虛擬機器不支援該設定檔。
如需詳細資訊,請參閱 使用 Microsoft Intune 中的端點安全性原則管理裝置安全性
應用程式部署
所有 Windows 應用程式都可以部署至 Windows 企業版多會話,但有下列限制:
- 所有應用程式都必須設定為安裝在系統/裝置內容中,並以裝置為目標。 根據預設,Web 應用程式一律會套用在使用者內容中,因此不會套用至多工作階段 VM。
- 所有應用程式都必須設定 [必要] 或 [解除安裝 應用程式指派意圖]。 多工作階段 VM 不支援 [可用的應用程式 ] 部署意圖。
- 如果設定為在系統內容中安裝的 Win32 應用程式在設定為在使用者內容中安裝的任何應用程式上具有相依性或取代關聯性,則不會安裝應用程式。 若要套用至 Windows 企業版多工作階段 VM,請建立系統內容應用程式的個別實例,或確定所有應用程式相依性都設定為在系統內容中安裝。
- Microsoft Intune 目前不支援 Azure 虛擬桌面 RemoteApp 和 MSIX 應用程式附加。
指令碼部署
Windows 企業版多會話支援設定為在系統內容中執行並指派給裝置的腳本。 您可以在 [指令碼設定] 下設定 [使用登入認證執行此指令碼 ] 設定為 [否]。
Windows 企業版多工作階段支援設定為在使用者內容中執行並指派給使用者的指令碼。 您可以在 [指令碼設定] 下設定 [使用登入認證執行此指令碼 ] 設定為 [是]。
Windows Update 用戶端原則
您可以使用設定目錄來管理 Windows 企業版多工作階段 VM 的品質 (安全性) 更新的Windows Update設定。 若要在目錄中尋找支援的設定,請設定企業多會話的設定篩選,然後展開 [商務用 Windows Update] 類別。
目錄中提供下列設定,連結會開啟 Windows CSP 檔:
遠端動作
不支援下列 Windows 傳統型裝置遠端動作,而且會在 UI 中呈現灰色,並在適用於 Windows Enterprise 多工作階段 VM 的 Graph 中停用:
- Windows Autopilot 重設
- BitLocker 金鑰輪替
- 從頭開始
- 遠端鎖定
- 重設密碼
- 擦去
退休
從 Azure 刪除 VM 會在 Microsoft Intune 系統管理中心保留孤立的裝置記錄。 AVD 機器會在 30 天後自動刪除,並在 60 天後永久移除。 如需詳細資訊,請參閱:
安全性基準
安全性基準適用於 Windows 企業版多會話。 建議您檢閱 可用的安全性基準 ,並在 [設定] 目錄中設定建議的原則和值。
Windows 企業版多工作階段 VM 不支援的其他設定
Windows 企業版多會話不支援現成體驗 (OOBE) 註冊。 此限制意味著:
- 不支援 Windows Autopilot 和商業 OOBE。
- 不支援註冊狀態頁面。
China Sovereign Cloud 目前不支援由 Microsoft Intune 管理的 Windows Enterprise 多會話。
疑難排解
下列各節提供常見問題的疑難排解指引。
註冊問題
| 問題 | 詳細資料 |
|---|---|
| 註冊 Microsoft Entra 混合式聯結虛擬機器失敗 |
|
| 註冊 Microsoft Entra 已加入的虛擬機器失敗 |
|
設定問題
| 問題 | 詳細資料 |
|---|---|
| 設定目錄原則失敗 | 確認已使用裝置認證註冊虛擬機器。 Windows 企業版多會話目前不支援使用使用者認證進行註冊。 |
| 組態原則未套用 | Windows 企業版多會話不支援憑證以外的範本 () 。 所有原則都必須透過設定目錄建立。 |
| 組態原則報告為 [不適用] | 某些原則不適用於 Azure 虛擬桌面 VM。 |
| 當我套用 Windows 企業版多會話版本的篩選時,不會顯示 Microsoft Edge/Microsoft Office ADMX 原則 | 這些設定的適用性不是基於 Windows 版本或版本,而是取決於裝置上是否已安裝這些應用程式。 若要將這些設定新增至您的原則,您可能必須移除設定選擇器中套用的任何篩選條件。 |
| 設定為在系統內容中安裝的應用程式未套用 | 確認應用程式對任何設定為在使用者內容中安裝的應用程式沒有相依性或取代關聯性。 Windows 企業版多重工作階段目前不支援使用者內容應用程式。 |
| 未套用 Windows 原則的更新通道 | 目前不支援 Windows 更新通道原則。 品質更新可以透過 設定目錄中可用的設定進行管理。 |