Подключение приложений и подключение приложения MSIX в виртуальном рабочем столе Azure
В виртуальном рабочем столе Azure есть две функции, которые позволяют динамически присоединять приложения из пакета приложения к сеансу пользователя в виртуальном рабочем столе Azure — присоединение приложений и подключение приложения MSIX. При подключении приложений и подключении приложений MSIX приложения приложения не устанавливаются локально на узлах сеансов или образах, что упрощает создание пользовательских образов для узлов сеансов, а также снижает операционные затраты и затраты на вашу организацию. Приложения выполняются в контейнерах, которые разделяют данные пользователя, операционную систему и другие приложения, повышая безопасность и упрощая их устранение неполадок.
В следующей таблице сравнивается подключение приложения MSIX с подключением приложения:
Подключение приложений MSIX | Подключение приложения |
---|---|
Приложения предоставляются с помощью RemoteApp или в рамках сеанса рабочего стола. Разрешения управляются назначением группам приложений, однако все классические пользователи видят все приложения, присоединенные к приложениям MSIX, в группе классических приложений. | Приложения предоставляются с помощью RemoteApp или в рамках сеанса рабочего стола. Разрешения применяются для каждого пользователя, что дает более широкий контроль над тем, к каким приложениям пользователи могут обращаться в удаленном сеансе. Классические пользователи видят только приложения, назначенные им. |
Приложения могут выполняться только в одном пуле узлов. Если вы хотите запустить его в другом пуле узлов, необходимо создать другой пакет. | Один и тот же пакет приложения можно использовать в нескольких пулах узлов. |
Приложения могут выполняться только в пуле узлов, в котором они добавлены. | Приложения могут выполняться на любом узле сеансов под управлением клиентской операционной системы Windows в том же регионе Azure, что и пакет приложения. |
Чтобы обновить приложение, необходимо удалить и повторно создать приложение с другой версией пакета. Приложение следует обновить в окне обслуживания. | Приложения можно обновить до новой версии приложения с новым образом диска без необходимости в период обслуживания. |
Пользователи не могут запускать две версии одного приложения на одном узле сеанса. | Пользователи могут одновременно запускать две версии одного приложения на одном узле сеанса. |
Данные телеметрии для использования и работоспособности недоступны через Azure Log Analytics. | Данные телеметрии для использования и работоспособности доступны через Azure Log Analytics. |
Можно использовать следующие типы пакетов приложения и форматы файлов:
Тип пакета | Форматы файлов | Доступность функций |
---|---|---|
Пакет MSIX и MSIX | .msix .msixbundle |
Подключение приложений MSIX Подключение приложения |
Пакет Appx и Appx | .appx .appxbundle |
Только присоединение приложения |
MSIX и Appx — это форматы пакетов приложений Windows, которые обеспечивают современный интерфейс упаковки для приложений Windows. Приложения выполняются в контейнерах, которые разделяют данные пользователя, операционную систему и другие приложения, повышая безопасность и упрощая их устранение неполадок. MSIX и Appx похожи, где основное различие заключается в том, что MSIX является супермножеством Appx. MSIX поддерживает все функции Appx, а также другие функции, которые делают его более подходящим для корпоративного использования.
Совет
Нажмите кнопку в верхней части этой статьи, чтобы выбрать между присоединением приложений и подключением приложения MSIX, чтобы просмотреть соответствующую документацию.
Пакеты MSIX можно получить от поставщиков программного обеспечения или создать пакет MSIX из существующего установщика. Дополнительные сведения о MSIX см. в статье "Что такое MSIX?"
Как пользователь получает приложение
Вы можете назначить разные приложения разным пользователям в одном пуле узлов или на одном узле сеанса. Во время входа все три из следующих требований должны быть выполнены для того, чтобы пользователь получил правильное приложение в нужное время:
Приложение должно быть назначено пулу узлов. Назначение приложения пулу узлов позволяет быть выборочным в отношении пулов узлов, доступных приложению, чтобы убедиться, что нужные аппаратные ресурсы доступны для использования приложением. Например, если приложение является графическим, вы можете убедиться, что он работает только в пуле узлов с узлами, оптимизированными для GPU.
Пользователь должен иметь возможность входа в узлы сеансов в пуле узлов, поэтому они должны находиться в группе приложений Desktop или RemoteApp. Для группы приложений RemoteApp приложение присоединения приложения необходимо добавить в группу приложений, но не нужно добавлять приложение в группу классических приложений.
Приложение должно быть назначено пользователю. Вы можете использовать группу или учетную запись пользователя.
Если выполнены все эти требования, пользователь получает приложение. Этот процесс обеспечивает контроль над тем, кто получает приложение, в каком пуле узлов, а также как это возможно для пользователей в одном пуле узлов или даже вошедшего в один узел сеансов с несколькими сеансами, чтобы получить различные сочетания приложений. Пользователи, которые не соответствуют требованиям, не получают приложение.
Как пользователь получает приложение
Вы можете назначить разные приложения разным пользователям в одном пуле узлов. При присоединении приложения MSIX к пулу узлов и назначению приложений с помощью групп приложений desktop или RemoteApp вы добавляете пакеты MSIX в пул узлов и управление назначением приложений. Во время входа необходимо выполнить следующие требования, чтобы пользователь получил правильное приложение в нужное время:
Пользователь должен иметь возможность входа в узлы сеансов в пуле узлов, поэтому они должны находиться в группе приложений Desktop или RemoteApp.
Образ MSIX должен быть добавлен в пул узлов.
Если эти требования выполнены, пользователь получает приложение. Назначение приложений с помощью группы классических приложений добавляет их в меню запуска пользователя. Пользователи, которые не соответствуют требованиям, не получают приложение.
Образы приложений
Прежде чем использовать пакеты приложений с виртуальным рабочим столом Azure, необходимо создать образ MSIX из существующих пакетов приложений с помощью средства MSIXMGR. Затем необходимо сохранить каждый образ диска в общей папке, доступной узлами сеансов. Дополнительные сведения о требованиях к общей папке см. в разделе "Общая папка".
Типы образов диска
Вы можете использовать составную файловую систему образов (CimFS), VHDX или VHD для образов дисков, но мы не рекомендуем использовать VHD. Подключение и отключение образов CimFS быстрее, чем VHD и VHDX-файлы, а также потребляет меньше ЦП и памяти. Мы рекомендуем использовать CimFS только для образов приложений, если узлы сеансов работают под управлением Windows 11.
Изображение CimFS — это сочетание нескольких файлов: один файл имеет .cim
расширение файла и содержит метаданные, а также по крайней мере два других файла, начиная с и другого, начиная с objectid_
region_
того, что содержат фактические данные приложения. Файлы, сопровождающие .cim
файл, не имеют расширения. В следующей таблице приведен список примеров файлов, которые можно найти для образа CimFS:
Имя файла | Размер |
---|---|
MyApp.cim |
1 КБ |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
27 КБ |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
20 КБ |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
42 КБ |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
428 КБ |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
217 КБ |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
264,132 КБ |
В следующей таблице приведено сравнение производительности между VHDX и CimFS. Эти числа были результатом тестового выполнения с 500 файлами в 300 МБ в каждом формате, и тесты были выполнены на виртуальной машине Azure DSv4.
Metric | VHD | CimFS |
---|---|---|
Среднее время подключения | 356 мс | 255 мс |
Среднее время отключения | 1615 мс | 36 мс |
потребление памяти; | 6% (из 8 ГБ) | 2% (из 8 ГБ) |
ЦП (количество импульсов) | Максимально задействована несколько раз | Не влияет |
Регистрация приложения
Приложение подключает образы дисков, содержащие приложения из общей папки, к сеансу пользователя во время входа, а затем процесс регистрации делает приложения доступными для пользователя. Существует два типа регистрации:
Приложение MSIX подключает образы дисков, содержащие приложения из общей папки, к сеансу пользователя во время входа, а затем процесс регистрации делает приложения доступными для пользователя. Существует два типа регистрации:
По запросу: приложения регистрируются только частично при входе и полная регистрация приложения откладывается до тех пор, пока пользователь не запустит приложение. По запросу — это тип регистрации, который рекомендуется использовать, так как он не влияет на время входа в виртуальный рабочий стол Azure. По запросу используется метод регистрации по умолчанию.
Вход в систему: каждое приложение, назначаемое пользователю, полностью зарегистрировано. Регистрация происходит во время входа пользователя в сеанс, что может повлиять на время входа в Виртуальный рабочий стол Azure.
Внимание
Все пакеты приложений MSIX и Appx включают сертификат. Вы несете ответственность за обеспечение доверия сертификатов в вашей среде. Самозаверяющий сертификат поддерживается с соответствующей цепочкой доверия.
Подключение приложений не ограничивает количество пользователей приложений, которые могут использовать. Следует учитывать доступную пропускную способность сети и количество открытых дескрипторов на каждый файл (каждый образ), поддерживаемый общей папкой, так как это может ограничить количество пользователей или приложений, которые можно поддерживать. Дополнительные сведения см. в разделе "Общая папка".
Внимание
Все пакеты приложений MSIX включают сертификат. Вы несете ответственность за обеспечение доверия сертификатов в вашей среде. Поддерживаются самозаверяемые сертификаты.
Подключение приложений MSIX не ограничивает количество пользователей приложений, которые могут использовать. Следует учитывать доступную пропускную способность сети и количество открытых дескрипторов на каждый файл (каждый образ), поддерживаемый общей папкой, так как это может ограничить количество пользователей или приложений, которые можно поддерживать. Дополнительные сведения см. в разделе "Общая папка".
Состояние приложения
Пакет MSIX и Appx устанавливается как активный или неактивный. Пакеты, заданные для активного, делают приложение доступным для пользователей. Пакеты, заданные как неактивные, игнорируются виртуальным рабочим столом Azure и не добавляются при входе пользователя.
Пакет MSIX устанавливается как активный или неактивный. Пакеты MSIX, установленные для активного, делают приложение доступным для пользователей. Пакеты MSIX, заданные как неактивные, игнорируются виртуальным рабочим столом Azure и не добавляются при входе пользователя.
Новые версии приложений
Вы можете добавить новую версию приложения, предоставив новый образ, содержащий обновленное приложение. Этот новый образ можно использовать двумя способами:
Параллельно: создайте приложение с помощью нового образа диска и назначьте его тем же пулам узлов и пользователям, что и существующее приложение.
На месте создайте новый образ, в котором изменяется номер версии приложения, а затем обновите существующее приложение, чтобы использовать новый образ. Номер версии может быть выше или ниже, но вы не можете обновить приложение с одинаковым номером версии. Не удаляйте существующий образ, пока все пользователи не завершают его использование.
После обновления пользователи получат обновленную версию приложения при следующем входе. Пользователям не нужно останавливать использование предыдущей версии, чтобы добавить новую версию.
Новые версии приложений
При подключении приложения MSIX необходимо удалить пакет приложения, а затем создать приложение с помощью нового образа диска и назначить его тем же пулам узлов. Вы не можете обновить его на месте, так как вы можете подключить приложение. Пользователи получат новый образ с обновленным приложением при следующем входе. Эти задачи следует выполнять во время периода обслуживания.
Поставщики удостоверений
Ниже приведены поставщики удостоверений, которые можно использовать с присоединением приложения:
Поставщик удостоверений | Состояние |
---|---|
Microsoft Entra ID | Поддерживается |
Доменные службы Active Directory (AD DS) | Поддерживается |
Доменные службы Microsoft Entra | Не поддерживается |
Ниже приведены поставщики удостоверений, которые можно использовать с присоединением приложения MSIX:
Поставщик удостоверений | Состояние |
---|---|
Microsoft Entra ID | Не поддерживается |
Доменные службы Active Directory (AD DS) | Поддерживается |
Доменные службы Microsoft Entra (Azure AD DS) | Не поддерживается |
Общая папка
Присоединение приложений требует, чтобы образы приложений хранились в общей папке SMB, которая затем подключается к каждому узлу сеанса во время входа. Подключение приложений не имеет зависимостей от типа структуры хранилища, используемой общей папкой. Мы рекомендуем использовать Файлы Azure, так как он совместим с идентификатором Microsoft Entra id или домен Active Directory Services, и обеспечивает большую ценность между затратами и затратами на управление.
Вы также можете использовать Azure NetApp Files, но для этого требуется, чтобы узлы сеансов были присоединены к службам домен Active Directory.
Подключение приложений MSIX требует, чтобы образы приложений хранились в общей папке SMB версии 3, которая затем подключается к каждому узлу сеанса во время входа. Подключение приложения MSIX не имеет зависимостей от типа структуры хранилища, используемой общей папкой. Мы рекомендуем использовать Файлы Azure, так как она совместима с поддерживаемыми поставщиками удостоверений, которые можно использовать для подключения приложений MSIX, и обеспечивает большую ценность между затратами и затратами на управление. Вы также можете использовать Azure NetApp Files, но для этого требуются узлы сеансов, присоединенные к службам домен Active Directory.
В следующих разделах приведены некоторые рекомендации по разрешениям, производительности и доступности, необходимых для общей папки.
Разрешения
Каждый узел сеанса подключает образы приложений из общей папки. Необходимо настроить NTFS и разрешения общего доступа, чтобы разрешить каждому объекту компьютера узла сеанса доступ к файлам и общей папке. Настройка правильного разрешения зависит от того, какой поставщик хранилища и поставщик удостоверений используется для узлов общей папки и сеансов.
Чтобы использовать Файлы Azure при присоединении узлов сеансов к идентификатору Microsoft Entra ID, необходимо назначить роль управления доступом на основе ролей Azure на основе ролей (RBAC) виртуальному рабочему столу Azure и субъекту-службе поставщика ARM виртуального рабочего стола Azure. Это назначение роли RBAC позволяет узлам сеансов получить доступ к учетной записи хранения с помощью ключей доступа. Учетная запись хранения должна находиться в той же подписке Azure, что и узлы сеансов. Чтобы узнать, как назначить роль Azure RBAC субъекту-службе Виртуальных рабочих столов Azure, см. статью "Назначение ролей RBAC субъекту-службе Виртуального рабочего стола Azure".
Дополнительные сведения об использовании Файлы Azure с узлами сеансов, присоединенными к идентификатору Microsoft Entra ID, домен Active Directory Services или доменным службам Microsoft Entra, см. в разделе Файлы Azure "Обзор параметров проверки подлинности на основе удостоверений" для доступа SMB.
Предупреждение
Назначение субъекта-службы поставщика ARM виртуального рабочего стола Azure учетной записи хранения предоставляет службе Виртуального рабочего стола Azure все данные в учетной записи хранения. Мы рекомендуем хранить только приложения, которые будут использоваться с присоединением приложений в этой учетной записи хранения, и регулярно поворачивать ключи доступа.
Для Файлы Azure со службами домен Active Directory необходимо назначить роль управления доступом на основе ролей (RBAC) хранилища файловых данных хранилища SMB Share Reader (RBAC) в качестве разрешения на уровне общего ресурса по умолчанию и настроить разрешения NTFS для предоставления доступа на чтение к объекту компьютера узла сеанса.
Дополнительные сведения об использовании Файлы Azure с узлами сеансов, присоединенными к идентификатору Microsoft Entra ID, домен Active Directory Services или доменным службам Microsoft Entra, см. в разделе Файлы Azure "Обзор параметров проверки подлинности на основе удостоверений" для доступа SMB.
Для Файлы Azure со службами домен Active Directory необходимо назначить роль управления доступом на основе ролей (RBAC) хранилища файловых данных хранилища SMB Share Reader (RBAC) в качестве разрешения на уровне общего ресурса по умолчанию и настроить разрешения NTFS для предоставления доступа на чтение к объекту компьютера узла сеанса.
Дополнительные сведения об использовании Файлы Azure с узлами сеансов, присоединенными к службам домен Active Directory или доменным службам Microsoft Entra, см. в разделе Файлы Azure "Общие сведения о параметрах проверки подлинности на основе удостоверений" для доступа SMB.
- Для Azure NetApp Files можно создать том SMB и настроить разрешения NTFS для предоставления доступа на чтение к объекту компьютера каждого узла сеанса. Узлы сеансов должны быть присоединены к службам домен Active Directory или доменным службам Microsoft Entra.
Вы можете проверить правильность разрешений с помощью PsExec. Дополнительные сведения см. в разделе "Проверка доступа к общей папке".
Производительность
Требования могут значительно отличаться в зависимости от количества упакованных приложений, хранящихся в образе, и необходимо протестировать приложения для понимания ваших требований. Для больших образов необходимо выделить больше пропускной способности. В следующей таблице приведен пример требований к одному образу MSIX с одним ГБ, содержащему одно приложение для каждого узла сеанса:
Ресурс | Требования |
---|---|
Число операций ввода-вывода в секунду в устойчивом состоянии | Один IOP |
Вход в систему с загрузочного компьютера | 10 операций ввода-вывода в секунду |
Задержка | 400 мс |
Чтобы оптимизировать производительность приложений, рекомендуется:
Общая папка должна находиться в том же регионе Azure, что и узлы сеансов. Если вы используете Файлы Azure, учетная запись хранения должна находиться в том же регионе Azure, что и узлы сеансов.
Исключите образы дисков, содержащие приложения, из антивирусной программы проверки, так как они доступны только для чтения.
Убедитесь, что хранилище и сетевая структура могут обеспечить достаточную производительность. Следует избегать использования одной общей папки с контейнерами профилей FSLogix.
Availability
Все планы аварийного восстановления для виртуального рабочего стола Azure должны включать репликацию общей папки подключения приложения MSIX к дополнительному расположению отработки отказа. Кроме того, необходимо убедиться, что путь к общей папке доступен в дополнительном расположении. Например, можно использовать пространства имен распределенной файловой системы (DFS) с Файлы Azure для предоставления одного имени общего ресурса в разных общих папках. Дополнительные сведения о аварийном восстановлении для виртуального рабочего стола Azure см. в статье "Настройка плана непрерывности бизнес-процессов и аварийного восстановления".
Файлы Azure
Файлы Azure имеет ограничения на количество открытых дескрипторов на корневой каталог, каталог и файл. При использовании подключения приложения или подключения приложений MSIX образы дисков VHDX или CimFS устанавливаются с помощью учетной записи компьютера узла сеанса, то есть один дескриптор открывается на узел сеанса на образ диска, а не на пользователя. Дополнительные сведения об ограничениях и рекомендациях по размеру см. в разделе Файлы Azure целевых показателей масштабируемости и производительности и Файлы Azure рекомендации по размеру виртуального рабочего стола Azure.
Сертификаты пакетов MSIX и Appx
Для всех пакетов MSIX и Appx требуется действительный сертификат подписи кода. Чтобы использовать эти пакеты с подключением приложений, необходимо убедиться, что вся цепочка сертификатов является доверенной на узлах сеансов. Сертификат подписи кода имеет идентификатор 1.3.6.1.5.5.7.3.3
объекта. Вы можете получить сертификат подписи кода для пакетов:
Общедоступный центр сертификации (ЦС).
Внутренний корпоративный или автономный центр сертификации, например службы сертификатов Active Directory. Необходимо экспортировать сертификат подписи кода, включая его закрытый ключ.
Средство, например командлет PowerShell New-SelfSignedCertificate , создающее самозаверяющий сертификат. В тестовой среде следует использовать только самозаверяемые сертификаты. Дополнительные сведения о создании самозаверяющего сертификата для пакетов MSIX и Appx см. в статье "Создание сертификата для подписывания пакета".
Получив сертификат, необходимо подписать пакеты MSIX или Appx с помощью сертификата. Средство упаковки MSIX можно использовать для подписывания пакетов при создании пакета MSIX. Дополнительные сведения см. в разделе "Создание пакета MSIX" из любого классического установщика.
Чтобы убедиться, что сертификат является доверенным на узлах сеансов, необходимо, чтобы узлы сеансов доверяли всей цепочке сертификатов. Как это сделать, зависит от того, откуда вы получили сертификат и как управлять узлами сеансов и используемым поставщиком удостоверений. В следующей таблице приведены некоторые рекомендации по обеспечению доверия сертификата на узлах сеансов:
Общедоступный ЦС: сертификаты из общедоступного ЦС по умолчанию являются доверенными в Windows и Windows Server.
Внутренний корпоративный ЦС:
Для узлов сеансов, присоединенных к Active Directory, с AD CS, настроенным как внутренний корпоративный ЦС, по умолчанию доверяются и хранятся в контексте именования конфигурации служб домен Active Directory. Если служба AD CS настроена как автономный ЦС, необходимо настроить групповую политику для распространения корневых и промежуточных сертификатов на узлы сеансов. Дополнительные сведения см. в статье "Распространение сертификатов на устройствах Windows с помощью групповой политики".
Для узлов сеансов, присоединенных к идентификатору Microsoft Entra, можно использовать Microsoft Intune для распространения корневых и промежуточных сертификатов на узлы сеансов. Дополнительные сведения см. в профилях доверенных корневых сертификатов для Microsoft Intune.
Для узлов сеансов с помощью гибридного соединения Microsoft Entra можно использовать любой из предыдущих методов в зависимости от ваших требований.
Самозаверяющий: установите доверенный корневой каталог в хранилище доверенных корневых центров сертификации на каждом узле сеанса. Мы не рекомендуем распространять этот сертификат с помощью групповой политики или Intune, так как его следует использовать только для тестирования.
Внимание
Метка времени пакета должна быть отметкой времени, чтобы его срок действия может вывести срок действия сертификата. В противном случае после истечения срока действия сертификата необходимо обновить пакет с новым действительным сертификатом и еще раз убедиться, что он является доверенным на узлах сеансов.
Следующие шаги
Узнайте, как добавлять приложения для подключения приложений и управлять ими в виртуальном рабочем столе Azure.