Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Подключение приложений позволяет динамически присоединять приложения из пакета приложения к сеансу пользователя в Виртуальном рабочем столе Azure. Приложения не устанавливаются локально на узлах сеансов или образах, что упрощает создание пользовательских образов для узлов сеансов и снижает эксплуатационные издержки и затраты для организации. Приложения выполняются в контейнерах, которые разделяют пользовательские данные, операционную систему и другие приложения, повышая безопасность и упрощая устранение неполадок.
Ниже приведены некоторые из основных преимуществ App Attach:
- Приложения доставляются с помощью RemoteApp или в рамках сеанса рабочего стола. Разрешения применяются для каждого приложения на пользователя, что дает вам больший контроль над приложениями, к которым пользователи могут получить доступ в удаленном сеансе. Пользователи настольных компьютеров видят только назначенные им приложения App Attach.
- Один и тот же пакет приложения можно использовать в нескольких пулах узлов.
- Приложения могут выполняться на любом узле сеанса под управлением клиентской операционной системы Windows в том же регионе Azure, что и пакет приложения.
- Приложения можно обновить до новой версии приложения с помощью нового образа диска без необходимости в период обслуживания.
- Пользователи могут одновременно запускать несколько версий одного приложения на одном узле сеансов.
- Данные телеметрии для использования и работоспособности доступны через Azure Log Analytics.
Можно использовать следующие типы пакетов приложений и форматы файлов:
| Тип пакета | Форматы файлов |
|---|---|
| Пакет MSIX и MSIX | .msix.msixbundle |
| Пакет Appx и Appx | .appx.appxbundle |
| App-V | .appv |
MSIX и Appx — это форматы пакетов приложений Windows, которые обеспечивают современную упаковку для приложений Windows. Приложения выполняются в контейнерах, которые разделяют пользовательские данные, операционную систему и другие приложения, повышая безопасность и упрощая устранение неполадок. MSIX и Appx похожи, где main разница заключается в том, что MSIX является надмножеством Appx. MSIX поддерживает все функции Appx, а также другие функции, которые делают его более подходящим для корпоративного использования.
Microsoft Application Virtualization (App-V) для Windows предоставляет приложения Win32 пользователям в качестве виртуальных приложений. Виртуальные приложения устанавливаются на централизованно управляемых серверах и доставляются пользователям как услуга в режиме реального времени и по мере необходимости. Пользователи запускают виртуальные приложения из знакомых точек доступа и взаимодействуют с ними, как если бы они были установлены локально.
Вы можете получить пакеты MSIX от поставщиков программного обеспечения или создать пакет MSIX из существующего установщика. Дополнительные сведения о MSIX см. в статье Что такое MSIX?.
Как пользователь получает приложение
Вы можете назначить разные приложения разным пользователям в одном пуле узлов или на одном узле сеансов. Во время входа пользователь должен выполнить все три из следующих требований, чтобы получить нужное приложение в нужное время:
Приложение должно быть назначено пулу узлов. Назначение приложения пулу узлов позволяет выбирать, в каких пулах узлов доступно приложение, чтобы обеспечить доступность нужных аппаратных ресурсов для использования приложением. Например, если приложение интенсивно использует графику, вы можете убедиться, что оно выполняется только в пуле узлов с оптимизированными для GPU узлами сеансов.
Пользователь должен иметь возможность входа на узлы сеансов в пуле узлов, поэтому он должен находиться в группе приложений Desktop или RemoteApp. Для группы приложений RemoteApp приложение App Attach должно быть добавлено в группу приложений, но добавлять приложение в группу классических приложений не требуется.
Приложение должно быть назначено пользователю. Можно использовать группу или учетную запись пользователя.
Если все эти требования выполнены, пользователь получает приложение. Этот процесс позволяет управлять тем, кто получает приложение в том или ином пуле узлов, а также тем, как пользователи в одном пуле узлов или даже вошли в один и тот же узел сеансов с несколькими сеансами, чтобы получить различные сочетания приложений. Пользователи, которые не соответствуют требованиям, не получают приложение.
Образы приложений
Прежде чем использовать пакеты приложений MSIX с Виртуальным рабочим столом Azure, необходимо создать образ MSIX из существующих пакетов приложений. Кроме того, можно использовать пакет App-V. Затем необходимо сохранить каждый образ MSIX или пакет App-V в общей папке, доступной узлам сеансов. Дополнительные сведения о требованиях к общей папке см. в разделе Файловый ресурс.
Типы образов дисков
Для образов дисков MSIX и Appx можно использовать файловую систему составных образов (CimFS),VHDX или VHD, но мы не рекомендуем использовать VHD. Подключение и отключение образов CimFS выполняется быстрее, чем образы VHD и VHDX, а также потребляет меньше ресурсов ЦП и памяти. Мы рекомендуем использовать CimFS только для образов приложений, если узлы сеансов работают Windows 11.
Образ CimFS представляет собой сочетание нескольких файлов: один файл имеет .cim расширение файла и содержит метаданные, а также по крайней мере два других файла, один из них начинается с objectid_ , а другой начинается с region_ , который содержит фактические данные приложения. Файлы, сопровождающие .cim файл, не имеют расширения. В следующей таблице приведен список примеров файлов, которые можно найти для образа CimFS:
| Имя файла | Размер |
|---|---|
MyApp.cim |
1 КБ |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
27 КБ |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
20 КБ |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
42 КБ |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
428 КБ |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
217 КБ |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
264 132 КБ |
В следующей таблице приведено сравнение производительности VHDX и CimFS. Эти цифры были результатом тестового запуска с 500 файлами по 300 МБ на каждый формат, и тесты были выполнены на виртуальной машине DSv4 Azure.
| Метрика | VHD | CimFS |
|---|---|---|
| Среднее время подключения | 356 мс | 255 мс |
| Среднее время отключения | 1615 мс | 36 мс |
| Потребление памяти | 6% (из 8 ГБ) | 2% (из 8 ГБ) |
| ЦП (пиковое число) | Максимальное число раз | Нет эффекта |
Предостережение
Проблема в настоящее время влияет на образы CimFS с Windows 11 версии 24H2, которая предотвращает подключение образов. Мы активно работаем над исправлением, которое, по оценкам, будет доступно в июне 2025 года. Обходные решения — использовать образы VHDX или версию Windows 11 до 24H2.
Регистрация приложения
Подключение приложения подключает образы дисков или пакеты App-V, содержащие приложения из общей папки, к сеансу пользователя во время входа, а затем процесс регистрации делает приложения доступными для пользователя. Существует два типа регистрации:
По запросу: приложения регистрируются только частично при входе, а полная регистрация приложения откладывается, пока пользователь не запустит приложение. Рекомендуем использовать тип регистрации по запросу, так как он не влияет на время входа в Виртуальный рабочий стол Azure. По запросу является методом регистрации по умолчанию.
Блокировка входа: каждое приложение, назначаемое пользователю, полностью зарегистрировано. Регистрация происходит во время входа пользователя в сеанс, что может повлиять на время входа в Виртуальный рабочий стол Azure.
Важно!
Все пакеты приложений MSIX и Appx включают сертификат. Вы несете ответственность за обеспечение доверия сертификатов в вашей среде. Самозаверяемые сертификаты поддерживаются с соответствующей цепочкой доверия.
Подключение приложений не ограничивает количество приложений, которые могут использовать пользователи. Следует учитывать доступную пропускную способность сети и количество открытых дескрипторов на каждый файл (каждый образ), поддерживаемый общей папкой, так как это может ограничить количество пользователей или приложений, которые вы можете поддерживать. Дополнительные сведения см. в разделе Файловый ресурс.
Состояние приложения
Пакеты приложений задаются как активные или неактивные. Пакеты, имеющие значение активные, делают приложение доступным для пользователей. Виртуальный рабочий стол Azure игнорирует пакеты, для которых задано значение неактивно , и не добавляются при входе пользователя.
Новые версии приложений
Вы можете добавить новую версию приложения, предоставив новый образ, содержащий обновленное приложение. Этот новый образ можно использовать двумя способами:
Параллельно: создайте новое приложение с помощью нового образа диска и назначьте его тем же пулам узлов и пользователям, что и существующее приложение.
На месте: создайте новый образ, в котором изменяется номер версии приложения, а затем обновите существующее приложение, чтобы использовать новый образ. Номер версии может быть выше или ниже, но вы не можете обновить приложение с тем же номером версии. Не удаляйте существующий образ, пока все пользователи не закончат его использование.
После обновления пользователи получают обновленную версию приложения при следующем входе. Пользователям не нужно прекращать использовать предыдущую версию для добавления новой версии.
Поставщики удостоверений
Ниже приведены поставщики удостоверений, которые можно использовать с подключением приложений:
| Поставщик удостоверений | Состояние |
|---|---|
| Microsoft Entra ID | Поддерживается |
| доменные службы Active Directory; | Поддерживается |
| Доменные службы Microsoft Entra | Не поддерживается |
Файловый ресурс
Подключение приложения требует, чтобы образы приложений хранились в общей папке SMB, которая затем подключается к каждому узлу сеанса во время входа. Подключение приложения не имеет зависимостей от типа структуры хранилища, используемой в общей папке. Мы рекомендуем использовать Файлы Azure, так как он совместим с Microsoft Entra ID или доменные службы Active Directory и обеспечивает большую ценность между затратами и затратами на управление.
Вы также можете использовать Azure NetApp Files, но для этого требуется присоединение узлов сеансов к доменные службы Active Directory.
В следующих разделах содержатся некоторые рекомендации по разрешениям, производительности и доступности, необходимых для общей папки.
Разрешения
Каждый узел сеанса подключает образы приложений из общей папки. Необходимо настроить NTFS и разрешения общего доступа, чтобы разрешить каждому объекту компьютера узла сеанса доступ на чтение к файлам и общей папке. Настройка правильного разрешения зависит от того, какой поставщик хранилища и поставщик удостоверений вы используете для общей папки и узлов сеансов.
Чтобы использовать Файлы Azure, когда узлы сеансов присоединены к Microsoft Entra ID, необходимо назначить роль "Читатель" и "Доступ к данным Azure" на основе управления доступом на основе ролей (RBAC) субъектам-службам "Виртуальный рабочий стол Azure" и "Поставщик arm" Виртуального рабочего стола Azure. Это назначение роли RBAC позволяет узлам сеансов получать доступ к учетной записи хранения с помощью ключей доступа или Microsoft Entra.
Сведения о назначении роли Azure RBAC субъектам-службам Виртуального рабочего стола Azure см. в статье Назначение ролей RBAC субъектам-службам Виртуального рабочего стола Azure. В будущем обновлении вам не нужно будет назначать субъект-службу поставщика ARM виртуального рабочего стола Azure .
Дополнительные сведения об использовании Файлы Azure с узлами сеансов, присоединенными к Microsoft Entra ID, доменные службы Active Directory или Доменные службы Microsoft Entra, см. в статье Обзор Файлы Azure Параметры проверки подлинности на основе удостоверений для доступа по протоколу SMB.
Предупреждение
При назначении субъекта-службы поставщика ARM виртуального рабочего стола Azure учетной записи хранения служба Виртуального рабочего стола Azure предоставляется для всех данных в учетной записи хранения. Мы рекомендуем хранить только приложения для использования с App Attach в этой учетной записи хранения и регулярно менять ключи доступа.
Для Файлы Azure с доменные службы Active Directory необходимо назначить роль Средства чтения общих папок Azure (RBAC) хранилища файловых данных SMB в качестве разрешения на уровне общего ресурса по умолчанию и настроить разрешения NTFS, чтобы предоставить доступ на чтение для каждого объекта компьютера узла сеанса.
Дополнительные сведения об использовании Файлы Azure с узлами сеансов, присоединенными к Microsoft Entra ID, доменные службы Active Directory или Доменные службы Microsoft Entra, см. в статье Обзор Файлы Azure Параметры проверки подлинности на основе удостоверений для доступа по протоколу SMB.
Для Azure NetApp Files можно создать том SMB и настроить разрешения NTFS, чтобы предоставить доступ на чтение к каждому объекту компьютера узла сеанса. Узлы сеансов должны быть присоединены к доменные службы Active Directory или Доменные службы Microsoft Entra.
Проверить правильность разрешений можно с помощью PsExec. Дополнительные сведения см. в разделе Проверка доступа к общей папке.
Производительность
Требования могут сильно отличаться в зависимости от количества упакованных приложений, хранящихся в образе, и необходимо протестировать приложения, чтобы понять свои требования. Для больших изображений необходимо выделить большую пропускную способность. В следующей таблице приведен пример требований к одному образу размером 1 ГБ или пакету App-V, содержащему одно приложение, для каждого узла сеанса.
| Ресурс | Требования |
|---|---|
| Устойчивое состояние операций ввода-вывода | Один IOP |
| Вход при загрузке компьютера | 10 операций ввода-вывода в секунду |
| Задержка | 400 мс |
Чтобы оптимизировать производительность приложений, мы рекомендуем:
Общая папка должна находиться в том же регионе Azure, что и узлы сеансов. Если вы используете Файлы Azure, учетная запись хранения должна находиться в том же регионе Azure, что и узлы сеансов.
Исключите образы дисков, содержащие приложения, из проверок антивирусной программы, так как они доступны только для чтения.
Убедитесь, что структура хранилища и сети может обеспечить достаточную производительность. Не следует использовать одну и ту же общую папку с контейнерами профилей FSLogix.
Доступность
Все планы аварийного восстановления для Виртуального рабочего стола Azure должны включать репликацию общей папки в дополнительное расположение отработки отказа. Кроме того, необходимо убедиться, что путь к общей папке доступен в дополнительном расположении. Например, можно использовать пространства имен распределенной файловой системы (DFS) с Файлы Azure для предоставления одного имени общей папки в разных общих папках. Дополнительные сведения о аварийном восстановлении для Виртуального рабочего стола Azure см. в статье Настройка плана непрерывности бизнес-процессов и аварийного восстановления.
Файлы Azure
Файлы Azure имеет ограничения на количество открытых дескрипторов в корневом каталоге, каталоге и файле. Образы дисков VHDX или CimFS подключаются с помощью учетной записи компьютера узла сеансов, то есть один дескриптор открывается для каждого узла сеанса на образ диска, а не для каждого пользователя. Дополнительные сведения об ограничениях и рекомендациях по выбору размера см. в разделе Файлы Azure целевых показателей масштабируемости и производительности и Файлы Azure рекомендации по выбору размера для Виртуального рабочего стола Azure.
Сертификаты пакетов MSIX и Appx
Для всех пакетов MSIX и Appx требуется действительный сертификат подписи кода. Чтобы использовать эти пакеты с подключением приложений, необходимо убедиться, что вся цепочка сертификатов является доверенной на узлах сеансов. Сертификат подписи кода имеет идентификатор 1.3.6.1.5.5.7.3.3объекта . Сертификат подписи кода для пакетов можно получить из следующего:
Общедоступный центр сертификации (ЦС).
Внутренний корпоративный или автономный центр сертификации, например службы сертификатов Active Directory. Необходимо экспортировать сертификат подписи кода, включая его закрытый ключ.
Средство, например командлет PowerShell New-SelfSignedCertificate , создающее самозаверяющий сертификат. В тестовой среде следует использовать только самозаверяемые сертификаты. Дополнительные сведения о создании самозаверяющего сертификата для пакетов MSIX и Appx см. в статье Создание сертификата для подписи пакетов.
После получения сертификата необходимо цифровой подписью пакетов MSIX или Appx с помощью сертификата. Вы можете использовать средство упаковки MSIX для подписи пакетов при создании пакета MSIX. Дополнительные сведения см. в статье Создание пакета MSIX из любого классического установщика.
Чтобы убедиться, что сертификат является доверенным на узлах сеансов, необходимо, чтобы узлы сеансов доверяли всей цепочке сертификатов. То, как узлы сеансов доверяют цепочке сертификатов, зависит от того, откуда вы получили сертификат, а также от того, как вы управляете узлами сеансов и используемым поставщиком удостоверений. В следующей таблице приведены некоторые рекомендации по обеспечению доверия сертификата на узлах сеансов.
Общедоступный ЦС: сертификаты из общедоступного ЦС по умолчанию являются доверенными в Windows и Windows Server.
Внутренний ЦС предприятия:
Для узлов сеансов, присоединенных к Active Directory, с AD CS, настроенным в качестве внутреннего корпоративного ЦС, по умолчанию являются доверенными и хранятся в контексте именования конфигурации доменные службы Active Directory. Если AD CS настроен как автономный ЦС, необходимо настроить групповая политика для распространения корневого и промежуточного сертификатов на узлы сеансов. Дополнительные сведения см. в статье Распространение сертификатов на устройства Windows с помощью групповая политика.
Для узлов сеансов, присоединенных к Microsoft Entra ID, можно использовать Microsoft Intune для распространения корневого и промежуточного сертификатов между узлами сеансов. Дополнительные сведения см. в разделе Доверенные корневые профили сертификатов для Microsoft Intune.
Для узлов сеансов, использующих Microsoft Entra гибридное соединение, можно использовать любой из предыдущих методов в зависимости от ваших требований.
Самозаверяющий: установите доверенный корень в хранилище доверенных корневых центров сертификации на каждом узле сеанса. Мы не рекомендуем распространять этот сертификат с помощью групповая политика или Intune, так как он должен использоваться только для тестирования.
Важно!
Необходимо установить метку времени пакета, чтобы срок действия сертификата истек. В противном случае по истечении срока действия сертификата необходимо обновить пакет новым действительным сертификатом и еще раз убедиться, что узлы сеансов доверяют цепочке сертификатов.
Дальнейшие действия
Узнайте, как добавлять приложения для подключения приложений и управлять ими в Виртуальном рабочем столе Azure.