Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Desktop virtuale Azure multisessione con Microsoft Intune è ora disponibile a livello generale.
È ora possibile usare Microsoft Intune per gestire i desktop remoti a più sessioni di Windows Enterprise nell'interfaccia di amministrazione di Microsoft Intune, così come è possibile gestire un dispositivo client Windows condiviso. Quando si gestiscono tali macchine virtuali, è possibile usare la configurazione basata su dispositivo destinata ai dispositivi o la configurazione basata su utente destinata agli utenti.
Windows Enterprise multisessione è un nuovo host sessione Desktop remoto esclusivo di Desktop virtuale Azure in Azure. Offre i vantaggi seguenti:
- Consente più sessioni utente simultanee.
- Offre agli utenti un'esperienza Windows familiare.
- Supporta l'uso di licenze di Microsoft 365 esistenti per utente.
È possibile gestire le macchine virtuali multisessione di Windows Enterprise create in Azure per enti pubblici Cloud in US Government Community (GCC), GCC High e DoD.
Importante
Il supporto di Microsoft Intune per la multisessione di Desktop virtuale Azure non è attualmente disponibile per Citrix DaaS e VMware Horizon Cloud. Poiché Intune non può offrire supporto per Citrix DaaS, esaminare la documentazione di Citrix ed essere a conoscenza delle opzioni di supporto di Citrix per il supporto multisessione. Tutte le domande, le domande o la guida devono essere indirizzate a Citrix per il supporto multisessione. Vedere Supporto di Citrix.
Panoramica
Il supporto per la configurazione dei dispositivi in Microsoft Intune per più sessioni di Windows Enterprise è disponibile a livello generale. Ciò significa che i criteri definiti nell'ambito del sistema operativo e le app configurate per l'installazione nel contesto di sistema possono essere applicati alle macchine virtuali a più sessioni di Desktop virtuale Azure quando vengono assegnate ai gruppi di dispositivi.
Nota
La configurazione basata su dispositivo non può essere assegnata agli utenti e la configurazione basata su utente non può essere assegnata ai dispositivi. Viene segnalato come Errore o Non applicabile.
Il supporto della configurazione utente in Microsoft Intune per macchine virtuali multisessione di Windows Enterprise è disponibile a livello generale. Con questo si è in grado di:
Configurare i criteri di ambito utente usando il catalogo impostazioni e assegnarlo a gruppi di utenti. È possibile usare la barra di ricerca per cercare tutte le configurazioni con ambito impostato su "utente".
Configurare i certificati utente e assegnarlo agli utenti.
Configurare gli script di PowerShell per l'installazione nel contesto utente e l'assegnazione agli utenti.
Prerequisiti
Questa funzionalità supporta le macchine virtuali multisessione di Windows Enterprise, ovvero:
- Configurare come desktop remoti nei pool di host in pool distribuiti tramite Azure Resource Manager.
- Nello stesso tenant di Intune.
- Esecuzione di una versione agente di Desktop virtuale Azure della versione 1.0.2944.1400 o successiva.
-
Microsoft Entra ibrido aggiunto e registrato in Microsoft Intune usando uno dei metodi seguenti:
- Configurato con criteri di gruppo di Active Directory, impostato per l'uso delle credenziali del dispositivo e impostato su registra automaticamente i dispositivi Microsoft Entra aggiunti ibridi.
- Configuration Manager la co-gestione.
- Microsoft Entra aggiunto e registrato in Microsoft Intune abilitando Registrare la macchina virtuale con Intune nel portale di Azure.
- Licenze: la licenza appropriata di Desktop virtuale Azure e Microsoft Intune è necessaria se un utente o un dispositivo trae vantaggio direttamente o indirettamente dal servizio Microsoft Intune, incluso l'accesso al servizio Microsoft Intune tramite un'API Microsoft. Per altre informazioni, vedere Licenze di Microsoft Intune.
- Per altre informazioni sui requisiti di licenza di Desktop virtuale Azure, vedere Licenze di Desktop virtuale Azure .
Limitazioni
Intune non supporta l'uso di un'immagine clonata di un computer già registrato. Sono inclusi i dispositivi fisici e virtuali, ad esempio Desktop virtuale Azure (AVD). Quando la registrazione del dispositivo o i token di identità vengono replicati tra i dispositivi, si verificheranno errori di sincronizzazione o registrazione del dispositivo in Intune.
- Per altre informazioni, vedere Registrazione di dispositivi mobili - Gestione client Windows e Registrazione del dispositivo di autenticazione del certificato - Gestione client Windows.
- Per informazioni sulla risoluzione dei problemi relativi alla clonazione di immagini, vedere Errore hr 0x8007064c: Il computer è già registrato.
Nota
Se si aggiunge host di sessione a Microsoft Entra Domain Services, non è possibile gestirli usando Intune.
Importante
- Intune attualmente non supporta la funzionalità di roaming dei token tra dispositivi. Se FSLogix, o una tecnologia simile, viene usato per gestire i profili utente e le impostazioni di Windows, è necessario assicurarsi che i token non vengano sottoposti a roaming imprevisto o duplicati tra dispositivi. Per verificare che sia in esecuzione una versione e una configurazione supportate di FSLogix con il roaming dei token disabilitato, vedere informazioni di riferimento sulle impostazioni di configurazione di RoamIdentity di FSLogix.
Le macchine virtuali multisessione di Windows Enterprise vengono considerate come un'edizione separata del sistema operativo e alcune configurazioni di Windows Enterprise non saranno supportate per questa edizione. L'uso di Microsoft Intune non dipende o interferisce con la gestione di Desktop virtuale Azure della stessa macchina virtuale.
Creare il profilo di configurazione
Per configurare i criteri di configurazione per le macchine virtuali multisessione di Windows Enterprise, usare il catalogo Impostazioni nell'interfaccia di amministrazione di Microsoft Intune.
Solo i modelli di profilo di configurazione seguenti sono supportati per le macchine virtuali a più sessioni di Windows Enterprise:
- Certificato attendibile - Dispositivo (computer) quando si selezionano i dispositivi e l'utente quando si indirizzano gli utenti
- Certificato SCEP - Dispositivo (computer) quando si indirizzano i dispositivi e l'utente quando si ha come destinazione gli utenti
- Certificato PKCS - Dispositivo (computer) quando si indirizzano i dispositivi e l'utente quando si ha come destinazione gli utenti
- VPN - Solo tunnel del dispositivo
Microsoft Intune non recapiterà modelli non supportati a dispositivi a più sessioni e tali criteri vengono visualizzati come Non applicabili nei report.
Nota
Se si usa la co-gestione per Intune e Configuration Manager, in Configuration Manager impostare il dispositivo di scorrimento del carico di lavoro per Criteri di accesso alle risorse su Intune o Intune pilota. Questa impostazione consente ai client Windows di avviare il processo di richiesta del certificato.
Per configurare i criteri
- Accedere all'interfaccia di amministrazione di Microsoft Intune e scegliere Dispositivi>per piattaforma>Windows>Gestisci dispositivi>Configurazione>Crea>nuovi criteri.
- In Piattaforma selezionare Windows 10 e versioni successive.
- Per Tipo di profilo selezionare Catalogo impostazioni oppure, quando si distribuiscono le impostazioni usando un modello, selezionare Modelli e quindi il nome del modello supportato.
- Selezionare Crea.
- Nella pagina Informazioni di base specificare un nome e (facoltativamente) una descrizione>avanti.
- Nella pagina Impostazioni di configurazione selezionare Aggiungi impostazioni.
- In Selezione impostazioni selezionare Aggiungi filtro e selezionare le opzioni seguenti:
- Chiave: edizione del sistema operativo
- Operatore: ==
- Valore: multisessione aziendale
- Selezionare Applica. L'elenco filtrato mostra ora tutte le categorie di profili di configurazione che supportano la multisessione di Windows Enterprise. L'ambito di un criterio viene visualizzato tra parentesi. Per l'ambito utente viene visualizzato come (utente) e tutti gli altri sono criteri con ambito dispositivo.
- Nell'elenco filtrato selezionare le categorie desiderate.
- Per ogni categoria selezionata, selezionare le impostazioni da applicare al nuovo profilo di configurazione.
- Per ogni impostazione, selezionare il valore desiderato per questo profilo di configurazione.
- Al termine dell'aggiunta delle impostazioni, selezionare Avanti .
- Nella pagina Assegnazioni scegliere i gruppi Microsoft Entra contenenti i dispositivi a cui si vuole assegnare > il profilo Avanti.
- Nella pagina Tag ambito aggiungere facoltativamente i tag di ambito da applicare a questo profilo >Avanti. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
- Nella pagina Rivedi e crea scegliere Crea per creare il profilo.
Modelli amministrativi
I modelli amministrativi nel catalogo delle impostazioni di Intune sono supportati per la multisessione di Windows Enterprise con alcune limitazioni:
- Sono supportati i criteri supportati da ADMX. Alcuni criteri non sono ancora disponibili nel catalogo impostazioni.
- Sono supportati i criteri inseriti da ADMX. Per un elenco completo delle categorie di criteri inseriti da ADMX, vedi Configurazione dei criteri dell'app Win32 e Desktop Bridge. Alcune impostazioni di inserimento di ADMX non saranno applicabili a più sessioni di Windows Enterprise.
Conformità e accesso condizionale
È possibile proteggere le macchine virtuali multisessione di Windows Enterprise configurando criteri di conformità e criteri di accesso condizionale nell'interfaccia di amministrazione di Microsoft Intune. I criteri di conformità seguenti sono supportati nelle macchine virtuali multisessione di Windows Enterprise:
- Versione minima del sistema operativo
- Versione massima del sistema operativo
- Compilazioni valide del sistema operativo
- Password semplici
- Tipo di password
- Lunghezza minima password
- Complessità della password
- Scadenza password (giorni)
- Numero di password precedenti per impedire il riutilizzo
- Microsoft Defender Antimalware
- Microsoft Defender l'intelligence di sicurezza antimalware aggiornata
- Firewall
- Antivirus
- Antispyware
- Protezione in tempo reale
- Microsoft Defender versione minima di Antimalware
- Punteggio di rischio di Defender ATP
Tutti gli altri criteri segnalano come Non applicabile.
Importante
Sarà necessario creare un nuovo criterio di conformità e indirizzarlo al gruppo di dispositivi contenente le macchine virtuali a più sessioni. Le configurazioni di conformità destinate all'utente non sono supportate.
I criteri di accesso condizionale supportano configurazioni basate su utenti e dispositivi per più sessioni di Windows Enterprise.
Sicurezza endpoint
È possibile configurare i profili in Sicurezza degli endpoint per le macchine virtuali a più sessioni selezionando Windows piattaforma. Se tale piattaforma non è disponibile, il profilo non è supportato nelle macchine virtuali multisessione.
Per altre informazioni, vedere Gestire la sicurezza dei dispositivi con i criteri di sicurezza degli endpoint in Microsoft Intune
Distribuzione dell'applicazione
Tutte le app di Windows possono essere distribuite in più sessioni di Windows Enterprise con le restrizioni seguenti:
- Tutte le app devono essere configurate per l'installazione nel contesto di sistema/dispositivo ed essere destinate ai dispositivi. Le app Web vengono sempre applicate nel contesto utente per impostazione predefinita, in modo che non si applichino alle macchine virtuali a più sessioni.
- Tutte le app devono essere configurate con la finalità di assegnazione delle app Obbligatoria o Disinstalla . La finalità di distribuzione Delle app disponibili non è supportata nelle macchine virtuali a più sessioni.
- Se un'app Win32 configurata per l'installazione nel contesto di sistema ha dipendenze o relazioni di sostituzione in qualsiasi app configurata per l'installazione nel contesto utente, l'app non verrà installata. Per applicare a una macchina virtuale a più sessioni di Windows Enterprise, creare un'istanza separata dell'app di contesto di sistema o verificare che tutte le dipendenze dell'app siano configurate per l'installazione nel contesto di sistema.
- Desktop virtuale Azure RemoteApp e il collegamento all'app MSIX non sono attualmente supportati in Microsoft Intune.
Distribuzione di script
Gli script configurati per l'esecuzione nel contesto di sistema e assegnati ai dispositivi sono supportati in più sessioni di Windows Enterprise. Questa opzione può essere configurata in Impostazioni script impostando Esegui questo script usando le credenziali di accesso suNo.
Gli script configurati per l'esecuzione nel contesto utente e assegnati agli utenti sono supportati in più sessioni di Windows Enterprise. Questa opzione può essere configurata in Impostazioni script impostando Esegui questo script usando le credenziali di accesso suSì.
criteri client Windows Update
È possibile usare il catalogo delle impostazioni per gestire le impostazioni di Windows Update per gli aggiornamenti qualitativi (sicurezza) per le macchine virtuali multisessione di Windows Enterprise. Per trovare le impostazioni supportate nel catalogo, configurare un filtro delle impostazioni per più sessioni aziendali e quindi espandere la categoria Windows Update for Business.
Nel catalogo sono disponibili le impostazioni seguenti, con i collegamenti che aprono la documentazione di Windows CSP:
- Fine dell'orario di attività
- Intervallo massimo ore di attività
- Inizio orario di attività
- Blocca la funzionalità "Sospendi Aggiornamenti"
- Configurare il periodo di tolleranza di scadenza
- Posticipare il periodo di Aggiornamenti qualità (giorni)
- Sospendi qualità Aggiornamenti ora di inizio
- Periodo di scadenza degli aggiornamenti qualitativi (giorni)
Azioni remote
Le azioni remote dei dispositivi desktop Windows seguenti non sono supportate e verranno disattivate nell'interfaccia utente e disabilitate in Graph per le macchine virtuali a più sessioni di Windows Enterprise:
- Reimpostazione di Windows Autopilot
- Rotazione della chiave di BitLocker
- Fresh Start
- Impostare il blocco remoto
- Reimpostare la password
- Cancellazione
Ritiro
L'eliminazione di macchine virtuali da Azure lascerà i record dei dispositivi orfani nell'interfaccia di amministrazione di Microsoft Intune. I computer AVD vengono eliminati automaticamente dopo 30 giorni e rimossi definitivamente dopo 60 giorni. Per altre informazioni, vedere:
- Uso delle regole di pulizia dei dispositivi di Intune.
- Rimuovere automaticamente i dispositivi con regole di pulizia
Baseline di sicurezza
Le baseline di sicurezza sono disponibili per più sessioni di Windows Enterprise. È consigliabile esaminare le baseline di sicurezza disponibili e configurare i criteri e i valori consigliati nel catalogo Impostazioni.
Configurazioni aggiuntive non supportate nelle macchine virtuali a più sessioni di Windows Enterprise
La registrazione out of box experience (Configurazione guidata) non è supportata per la multisessione di Windows Enterprise. Questa restrizione significa che:
- Windows Autopilot e la Configurazione guidata commerciale non sono supportati.
- La pagina dello stato della registrazione non è supportata.
Windows Enterprise multisessione gestito da Microsoft Intune non è attualmente supportato per la cina Sovereign Cloud.
Risoluzione dei problemi
Le sezioni seguenti forniscono indicazioni per la risoluzione dei problemi comuni.
Problemi di registrazione
| Problema | Dettagli |
|---|---|
| La registrazione di Microsoft Entra macchina virtuale aggiunta ibrida non riesce |
|
| La registrazione di Microsoft Entra macchina virtuale aggiunta non riesce |
|
Problemi di configurazione
| Problema | Dettagli |
|---|---|
| I criteri del catalogo delle impostazioni hanno esito negativo | Verificare che la macchina virtuale sia registrata usando le credenziali del dispositivo. La registrazione con credenziali utente non è attualmente supportata per più sessioni di Windows Enterprise. |
| Criteri di configurazione non applicati | I modelli (ad eccezione dei certificati) non sono supportati in più sessioni di Windows Enterprise. Tutti i criteri devono essere creati tramite il catalogo delle impostazioni. |
| Report dei criteri di configurazione non applicabili | Alcuni criteri non sono applicabili alle macchine virtuali di Desktop virtuale Azure. |
| I criteri ADMX di Microsoft Edge/Microsoft Office non vengono visualizzati quando si applica il filtro per l'edizione multisessione di Windows Enterprise | L'applicabilità per queste impostazioni non è basata sulla versione o sull'edizione di Windows, ma sul fatto che tali app siano state installate nel dispositivo. Per aggiungere queste impostazioni ai criteri, potrebbe essere necessario rimuovere eventuali filtri applicati nella selezione impostazioni. |
| L'app configurata per l'installazione nel contesto di sistema non è stata applicata | Verificare che l'app non abbia una relazione di dipendenza o sostituzione in alcuna app configurata per l'installazione nel contesto utente. Le app di contesto utente non sono attualmente supportate in più sessioni di Windows Enterprise. |
| Gli anelli di aggiornamento per i criteri di Windows non sono stati applicati | I criteri degli anelli di Windows Update non sono attualmente supportati. Gli aggiornamenti qualitativi possono essere gestiti tramite le impostazioni disponibili nel catalogo delle impostazioni. |