Поделиться через

Предварительные требования для Виртуального рабочего стола Azure

Чтобы начать использовать Виртуальный рабочий стол Azure, необходимо выполнить несколько действий. Здесь можно найти необходимые условия для успешного предоставления пользователям рабочих столов и приложений.

На высоком уровне вам потребуется:

  • Учетная запись Azure с активной подпиской
  • Поддерживаемый поставщик удостоверений
  • Поддерживаемая операционная система для виртуальных машин узла сеансов
  • Соответствующие лицензии
  • Сетевое соединение
  • Клиент удаленного рабочего стола

Учетная запись Azure с активной подпиской

Для развертывания Виртуального рабочего стола Azure требуется учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.

Чтобы развернуть Виртуальный рабочий стол Azure, необходимо назначить соответствующие роли управления доступом на основе ролей Azure (RBAC). Конкретные требования к ролям рассматриваются в каждой из связанных статей по развертыванию Виртуального рабочего стола Azure, которые перечислены в разделе Дальнейшие действия .

Кроме того, убедитесь, что вы зарегистрировали поставщик ресурсов Microsoft.DesktopVirtualization для своей подписки. Чтобы проверка состояние поставщика ресурсов и при необходимости зарегистрироваться, выберите соответствующую вкладку для своего сценария и выполните действия.

Важно!

У вас должно быть разрешение на регистрацию поставщика ресурсов, для которого требуется операция */register/action. Это включается, если вашей учетной записи назначена роль участник или владельца в вашей подписке.

  1. Войдите на портал Azure.

  2. Выберите Подписки.

  3. Выберите имя подписки.

  4. Выберите Поставщики ресурсов.

  5. Выполните поиск по запросу Microsoft.DesktopVirtualization.

  6. Если состояние Не зарегистрировано, выберите Microsoft.DesktopVirtualization, а затем нажмите кнопку Зарегистрировать.

  7. Убедитесь, что состояние Microsoft.DesktopVirtualization имеет значение Зарегистрировано.

Удостоверение

Чтобы получить доступ к рабочим столам и приложениям из узлов сеансов, пользователи должны иметь возможность пройти проверку подлинности. Microsoft Entra идентификатор — это централизованная облачная служба удостоверений Майкрософт, которая обеспечивает эту возможность. Microsoft Entra идентификатор всегда используется для проверки подлинности пользователей для Виртуального рабочего стола Azure. Узлы сеансов можно присоединить к одному и тому же Microsoft Entra клиенту или домену Active Directory с помощью доменные службы Active Directory (AD DS) или Доменные службы Microsoft Entra, предоставляя выбор гибких параметров конфигурации.

Узлы сеансов

Необходимо присоединить узлы сеансов, предоставляющие рабочие столы и приложения, к тому же клиенту Microsoft Entra, что и пользователи, или к домену Active Directory (AD DS или Доменные службы Microsoft Entra).

Примечание.

Для Azure Local можно присоединить только узлы сеансов к домену доменные службы Active Directory. Присоединить узлы сеансов можно только на Azure Local к домену доменные службы Active Directory (AD DS). Это включает в себя использование Microsoft Entra гибридного соединения, где можно воспользоваться некоторыми функциями, предоставляемыми идентификатором Microsoft Entra.

Чтобы присоединить узлы сеансов к идентификатору Microsoft Entra или домену Active Directory, требуются следующие разрешения:

Пользователи

Пользователям нужны учетные записи с идентификатором Microsoft Entra. Если вы также используете AD DS или Доменные службы Microsoft Entra в развертывании Виртуального рабочего стола Azure, эти учетные записи должны быть гибридными удостоверениями, что означает, что учетные записи пользователей синхронизируются. В зависимости от используемого поставщика удостоверений необходимо учитывать следующие моменты:

  • Если вы используете идентификатор Microsoft Entra с AD DS, необходимо настроить Microsoft Entra Connect для синхронизации данных удостоверений пользователя между AD DS и идентификатором Microsoft Entra.
  • Если вы используете идентификатор Microsoft Entra с Доменные службы Microsoft Entra, учетные записи пользователей синхронизируются в одну сторону от идентификатора Microsoft Entra к Доменные службы Microsoft Entra. Этот процесс синхронизации выполняется автоматически.

Важно!

Учетная запись пользователя должна существовать в клиенте Microsoft Entra, используемом для Виртуального рабочего стола Azure. Виртуальный рабочий стол Azure не поддерживает B2B, B2C или личные учетные записи Майкрософт.

При использовании гибридных удостоверений userPrincipalName (UPN) или идентификатор безопасности (SID) должны совпадать между доменные службы Active Directory и идентификатором Microsoft Entra. Дополнительные сведения см. в разделе Поддерживаемые удостоверения и методы проверки подлинности.

Поддерживаемые сценарии удостоверений

В следующей таблице приведены сценарии идентификации, которые сейчас поддерживаются Виртуальным рабочим столом Azure.

Сценарий удостоверений Узлы сеансов Учетные записи пользователей
идентификатор Microsoft Entra + AD DS Присоединено к AD DS Синхронизировано в Microsoft Entra id и AD DS
идентификатор Microsoft Entra + AD DS Присоединено к идентификатору Microsoft Entra Синхронизировано в Microsoft Entra id и AD DS
идентификатор Microsoft Entra + Доменные службы Microsoft Entra Присоединено к Доменные службы Microsoft Entra Синхронизированные идентификаторы и Доменные службы Microsoft Entra Microsoft Entra
идентификатор Microsoft Entra + Доменные службы Microsoft Entra + AD DS Присоединено к Доменные службы Microsoft Entra Синхронизировано в Microsoft Entra id и AD DS
идентификатор Microsoft Entra + Доменные службы Microsoft Entra Присоединено к идентификатору Microsoft Entra Синхронизированные идентификаторы и Доменные службы Microsoft Entra Microsoft Entra
только Microsoft Entra Присоединено к идентификатору Microsoft Entra Идентификатор Microsoft Entra

Дополнительные сведения о поддерживаемых сценариях идентификации, включая единый вход и многофакторную проверку подлинности, см. в статье Поддерживаемые удостоверения и методы проверки подлинности.

Контейнер профилей FSLogix

Чтобы использовать контейнер профилей FSLogix при присоединении узлов сеансов к идентификатору Microsoft Entra, необходимо хранить профили на Файлы Azure или Azure NetApp Files а учетные записи пользователей должны быть гибридными удостоверениями. Необходимо создать эти учетные записи в AD DS и синхронизировать их с идентификатором Microsoft Entra. Дополнительные сведения о развертывании контейнера профилей FSLogix с различными сценариями идентификации см. в следующих статьях:

Параметры развертывания

При развертывании узлов сеансов необходимо ввести следующие параметры удостоверения:

  • Доменное имя, если используется AD DS или Доменные службы Microsoft Entra.
  • Учетные данные для присоединения узлов сеансов к домену.
  • Подразделение (OU), который является необязательным параметром, который позволяет размещать узлы сеансов в нужном подразделении во время развертывания.

Важно!

Для учетной записи, используемой для присоединения к домену, не может быть включена многофакторная проверка подлинности (MFA).

Операционные системы и лицензии

У вас есть выбор операционных систем (ОС), которые можно использовать для узлов сеансов для предоставления рабочих столов и приложений. Вы можете использовать разные операционные системы с разными пулами узлов, чтобы обеспечить гибкость для пользователей. Мы поддерживаем 64-разрядные операционные системы и номера SKU в следующих списках таблиц (где поддерживаемые версии и даты соответствуют политике жизненного цикла Майкрософт), а также методы лицензирования, применимые для каждой коммерческой цели:

Операционная система
(только 64-разрядная версия)		 Метод лицензирования
(Внутренние коммерческие цели)		 Метод лицензирования
(Внешние коммерческие цели)
  • Microsoft 365 E3, E5, A3, A5, F3, Business Premium, Преимущество использования учащихся
  • Windows Корпоративная E3, E5
  • Windows для образовательных учреждений A3, A5
  • Windows VDA на пользователя
 Цены на доступ для каждого пользователя при регистрации подписки Azure.
  • Клиентская лицензия (CAL) служб удаленных рабочих столов (RDS) с Software Assurance (на пользователя или на устройство)
  • Лицензии на подписку пользователей RDS.
 Не поддерживается. Цены на доступ для пользователей недоступны для Windows Server операционных систем.

Дополнительные сведения о лицензиях, которые можно использовать, включая цены на доступ для каждого пользователя, см. в статье Лицензирование Виртуального рабочего стола Azure.

Важно!

Для Azure можно использовать образы операционной системы, предоставляемые корпорацией Майкрософт в Azure Marketplace, или создавать собственные пользовательские образы, хранящиеся в коллекции вычислений Azure или в качестве управляемого образа. Использование пользовательских шаблонов образов для Виртуального рабочего стола Azure позволяет легко создать пользовательский образ, который можно использовать при развертывании виртуальных машин узла сеансов. Дополнительные сведения о создании пользовательских образов см. в разделе:

Кроме того, для Azure Local можно использовать образы операционной системы из:

Вы можете развернуть виртуальные машины для использования в качестве узлов сеансов из этих образов с помощью любого из следующих методов:

Если ваша лицензия дает право на использование Виртуального рабочего стола Azure, вам не нужно устанавливать или применять отдельную лицензию, однако если вы используете цены на доступ для каждого пользователя для внешних пользователей, необходимо зарегистрировать подписку Azure. Необходимо убедиться, что лицензия Windows, используемая на узлах сеансов, правильно назначена в Azure и активирована операционная система. Дополнительные сведения см. в разделе Применение лицензии Windows к виртуальным машинам узла сеансов.

Для узлов сеансов на Azure Local необходимо лицензировать и активировать используемые виртуальные машины, прежде чем использовать их с Виртуальным рабочим столом Azure. Для активации Windows 10 и Windows 11 Корпоративная многосеансового режима и Windows Server 2022 Datacenter: Azure Edition используйте проверку Azure для виртуальных машин. Для всех остальных образов ОС (например, Windows 10 и Windows 11 Корпоративная, а также других выпусков Windows Server) следует продолжать использовать существующие методы активации. Дополнительные сведения см. в статье Активация виртуальных машин Windows Server на Azure Local.

Примечание.

Чтобы обеспечить постоянную функциональность с помощью последнего обновления для системы безопасности, обновите виртуальные машины на Azure Local до последнего накопительного обновления до 17 июня 2024 г. Это обновление важно, чтобы виртуальные машины продолжали использовать преимущества Azure. Дополнительные сведения см. в статье Проверка Azure для виртуальных машин.

Совет

Чтобы упростить права доступа пользователей во время начальной разработки и тестирования, Виртуальный рабочий стол Azure поддерживает цены на разработку и тестирование Azure. Если вы развертываете Виртуальный рабочий стол Azure в подписке Azure для разработки и тестирования, конечные пользователи могут подключаться к такому развертыванию без отдельного права лицензии для выполнения приемочных тестов или предоставления отзывов.

Сеть

Существует несколько требований к сети, которые необходимо выполнить для успешного развертывания Виртуального рабочего стола Azure. Это позволяет пользователям подключаться к своим рабочим столам и приложениям, а также предоставляет им наилучший пользовательский интерфейс.

Пользователи, подключающиеся к Виртуальному рабочему столу Azure, безопасно устанавливают обратное подключение к службе, что означает, что вам не нужно открывать входящие порты. Протокол TCP на порту 443 используется по умолчанию, однако RDP Shortpath можно использовать для управляемых сетей и общедоступных сетей , которые устанавливают прямой транспорт на основе протокола UDP.

Чтобы успешно развернуть Виртуальный рабочий стол Azure, необходимо выполнить следующие требования к сети:

  • Для узлов сеансов требуется виртуальная сеть и подсеть. Если узлы сеансов создаются одновременно с пулом узлов, необходимо заранее создать эту виртуальную сеть, чтобы она появилась в раскрывающемся списке. Виртуальная сеть должна находиться в том же регионе Azure, что и узел сеансов.

  • Убедитесь, что эта виртуальная сеть может подключаться к контроллерам домена и соответствующим DNS-серверам, если вы используете AD DS или Доменные службы Microsoft Entra, так как необходимо присоединить узлы сеансов к домену.

  • Узлы сеансов и пользователи должны иметь возможность подключения к службе Виртуального рабочего стола Azure. Эти подключения также используют TCP через порт 443 для определенного списка URL-адресов. Дополнительные сведения см. в разделе Обязательный список URL-адресов. Чтобы обеспечить правильную работу и поддержку развертывания, необходимо убедиться, что эти URL-адреса не заблокированы с помощью фильтрации сети или брандмауэра. Если пользователям требуется доступ к Microsoft 365, убедитесь, что узлы сеансов могут подключаться к конечным точкам Microsoft 365.

Кроме того, учитывайте следующее:

  • Пользователям может потребоваться доступ к приложениям и данным, размещенным в разных сетях, поэтому убедитесь, что узлы сеансов могут подключаться к ним.

  • Задержка времени кругового пути (RTT) из сети клиента в регион Azure, содержащий пулы узлов, должна составлять менее 150 мс. Чтобы узнать, какие расположения имеют лучшую задержку, найдите нужное расположение в статистике задержки кругового пути Azure. Чтобы оптимизировать производительность сети, рекомендуется создавать узлы сеансов в регионе Azure, ближайшем к пользователям.

  • Используйте Брандмауэр Azure для развертываний Виртуального рабочего стола Azure, чтобы заблокировать среду и отфильтровать исходящий трафик.

  • Чтобы защитить среду Виртуального рабочего стола Azure в Azure, не рекомендуется открывать входящий порт 3389 на узлах сеансов. Для виртуального рабочего стола Azure не требуется открытый входящий порт. Если для устранения неполадок необходимо открыть порт 3389, рекомендуется использовать JIT-доступ к виртуальной машине. Мы также не рекомендуем назначать общедоступный IP-адрес узлам сеансов.

Дополнительные сведения см. в статье Общие сведения о сетевом подключении Виртуального рабочего стола Azure.

Примечание.

Чтобы обеспечить надежность и масштабируемость Виртуального рабочего стола Azure, мы объединяем шаблоны трафика и использование для проверка работоспособности и производительности уровня управления инфраструктурой. Мы объединяем эту информацию из всех расположений, где находится инфраструктура службы, а затем отправим ее в регион США. Данные, отправляемые в регион США, включают в себя стираемые данные, но не данные клиентов. Дополнительные сведения см. в разделе Расположения данных для Виртуального рабочего стола Azure.

Управление узлом сеансов

При управлении узлами сеансов учитывайте следующие моменты:

  • Не включайте политики или конфигурации, которые отключают установщик Windows. Если отключить установщик Windows, служба не сможет установить обновления агента на узлах сеансов, а узлы сеансов будут работать неправильно.

  • Если вы присоединяете узлы сеансов к домену AD DS и хотите управлять ими с помощью Intune, необходимо настроить Microsoft Entra Connect, чтобы включить гибридное присоединение Microsoft Entra.

  • Если вы присоединяете узлы сеансов к Доменные службы Microsoft Entra домену, вы не можете управлять ими с помощью Intune.

  • Если вы используете Microsoft Entra присоединения к Windows Server для узлов сеансов, вы не сможете зарегистрировать их в Intune, так как Windows Server не поддерживается в Intune. Необходимо использовать Microsoft Entra гибридного присоединения и групповая политика из домена Active Directory или локального групповая политика на каждом узле сеанса.

Регионы Azure

Пулы узлов, рабочие области и группы приложений можно развернуть в следующих регионах Azure. В этом списке регионов можно хранить метаданные для пула узлов. Однако узлы сеансов для сеансов пользователей могут находиться в любом регионе Azure и локально при использовании Виртуального рабочего стола Azure на Azure Local, что позволяет развертывать вычислительные ресурсы рядом с пользователями. Дополнительные сведения о типах данных и расположениях см. в разделе Расположения данных для Виртуального рабочего стола Azure.

  • Восток Австралии
  • Центральная Канада
  • Восточная Канада
  • Центральная Индия
  • Центральная часть США
  • Восточная часть США
  • Восточная часть США 2
  • Восточная Япония
  • Западная Япония
  • Центрально-северная часть США
  • Северная Европа
  • Северная часть Южной Африки
  • Центрально-южная часть США
  • Южная часть Соединенного Королевства
  • Западная часть Соединенного Королевства
  • Центрально-западная часть США
  • Западная Европа
  • Западная часть США
  • Западная часть США 2
  • Западная часть США 3

Виртуальный рабочий стол Azure также доступен в национальных облаках, таких как Azure для государственных организаций США и Azure, управляемый компанией 21Vianet в Китае.

Дополнительные сведения об архитектуре и устойчивости службы Виртуального рабочего стола Azure см. в статье Архитектура и устойчивость службы Виртуального рабочего стола Azure.

Подключение к удаленному сеансу

Пользователям необходимо использовать Windows App или клиент удаленного рабочего стола для подключения к рабочим столам и приложениям. Вы можете подключиться из:

  • Windows
  • macOS
  • iOS/iPadOS
  • Android/Chrome OS
  • Веб-браузер

Дополнительные сведения см. в статье Начало работы с Windows App для подключения к устройствам и приложениям.

Важно!

Виртуальный рабочий стол Azure не поддерживает подключения из клиента CONNECTIONS RemoteApp и рабочего стола (RADC) или клиента подключения к удаленному рабочему столу (MSTSC).

Сведения о том, какие URL-адреса клиенты используют для подключения и что необходимо разрешить через брандмауэры и интернет-фильтры, см. в списке Обязательные URL-адреса.

Дальнейшие действия

  • Last updated on