Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальный рабочий стол Azure с несколькими сеансами в Microsoft Intune теперь является общедоступным.
Теперь вы можете использовать Microsoft Intune для управления удаленными рабочими столами Windows Enterprise с несколькими сеансами в Центре администрирования Microsoft Intune так же, как и общим клиентским устройством Windows. При управлении такими виртуальными машинами можно использовать конфигурацию на основе устройств или конфигурацию на основе пользователей.
Windows Enterprise с несколькими сеансами — это новый узел сеансов удаленных рабочих столов, эксклюзивный для Виртуального рабочего стола Azure в Azure. Он обеспечивает перечисленные ниже преимущества.
- Разрешает несколько одновременных сеансов пользователей.
- Предоставляет пользователям знакомый интерфейс Windows.
- Поддерживает использование существующего лицензирования Microsoft 365 для каждого пользователя.
Вы можете управлять многосеансовой виртуальной машиной Windows Enterprise, созданной в Azure для государственных организаций Cloud в сообществе государственных организаций США (GCC), GCC High и DoD.
Важно!
Поддержка Нескольких сеансов Виртуального рабочего стола Azure в Microsoft Intune сейчас недоступна для Citrix DaaS и VMware Horizon Cloud. Так как Intune не может предложить поддержку Citrix DaaS, ознакомьтесь с документацией Citrix и ознакомьтесь с вариантами поддержки Citrix для поддержки нескольких сеансов. Все вопросы, проблемы или помощь следует направлять в Citrix для поддержки нескольких сеансов. См. раздел Поддержка Citrix.
Обзор
Поддержка конфигурации устройств в Microsoft Intune для Windows Enterprise с несколькими сеансами является общедоступной. Это означает, что политики, определенные в область ОС, и приложения, настроенные для установки в системном контексте, могут применяться к виртуальным машинам Виртуального рабочего стола Azure с несколькими сеансами при назначении группам устройств.
Примечание.
Конфигурация на основе устройств не может быть назначена пользователям, а конфигурация на основе пользователя не может быть назначена устройствам. Он отображается как Ошибка или Неприменимо.
Поддержка конфигурации пользователей в Microsoft Intune для виртуальных машин Windows Enterprise с несколькими сеансами общедоступна. С помощью этого вы сможете:
Настраивать политики области пользователей с помощью Каталога параметров, а затем назначать их группам пользователей. С помощью панели поиска можно искать во всех конфигурациях с областью "пользователь".
Настраивать сертификаты пользователей и назначать их пользователям.
Настраивать сценарии PowerShell для установки в контексте пользователя и назначения пользователям.
Предварительные условия
Эта функция поддерживает многосеансовые виртуальные машины Windows Enterprise, которые:
- настроены в качестве удаленных рабочих столов в пулах узлов, развернутых с помощью Azure Resource Manager;
- Под тем же клиентом, что и Intune.
- работают с агентом виртуальных рабочих столов Azure версии 1.0.2944.1400 или более поздней;
-
Microsoft Entra гибридное присоединение и регистрация в Microsoft Intune с помощью одного из следующих методов:
- Настроена групповая политика Active Directory, настроена для использования учетных данных устройства и настроена автоматическая регистрация устройств, которые Microsoft Entra гибридным присоединением.
- Совместное управление в Configuration Manager.
- Microsoft Entra присоединены и зарегистрированы в Microsoft Intune, включив регистрацию виртуальной машины в Intune в портал Azure.
- Лицензирование. Соответствующий Виртуальный рабочий стол Azure и лицензия Microsoft Intune требуются, если пользователь или устройство прямо или косвенно получают преимущества от службы Microsoft Intune, включая доступ к службе Microsoft Intune через API Майкрософт. Дополнительные сведения см. в разделе Лицензирование Microsoft Intune.
- Дополнительные сведения о требованиях к лицензированию Виртуального рабочего стола Azure см. в разделе Лицензирование Виртуального рабочего стола Azure.
Ограничения
Intune не поддерживает использование клонированного образа уже зарегистрированного компьютера. Сюда входят как физические, так и виртуальные устройства, такие как Виртуальный рабочий стол Azure (AVD). При репликации маркеров регистрации устройств или удостоверений между устройствами произойдет сбой регистрации или синхронизации устройств Intune.
- Дополнительные сведения см. в разделе Регистрация мобильных устройств. Управление клиентами Windows и регистрация устройств с проверкой подлинности сертификатов . Управление клиентами Windows.
- Сведения об устранении неполадок, связанных с клонированием образов, см. в статье Ошибка hr 0x8007064c: компьютер уже зарегистрирован.
Примечание.
Если вы присоединяете узлы сеансов к Доменные службы Microsoft Entra, вы не можете управлять ими с помощью Intune.
Важно!
- В настоящее время Intune не поддерживает функцию перемещения маркеров между устройствами. Если FSLogix или аналогичная технология используется для управления профилями пользователей и параметрами Windows, необходимо убедиться, что маркеры не будут неожиданно перемещаться или дублироваться на разных устройствах. Чтобы убедиться, что вы используете поддерживаемую версию и конфигурацию FSLogix с отключенным роумингом маркеров, см. справочник по параметрам конфигурации FSLogix RoamIdentity.
Виртуальные машины Windows Enterprise с несколькими сеансами рассматриваются как отдельный выпуск ОС, и некоторые конфигурации Windows Enterprise не будут поддерживаться для этого выпуска. Использование Microsoft Intune не мешает управлению Виртуальным рабочим столом Azure на одной и той же виртуальной машине и не зависит от него.
Создание профиля конфигурации
Чтобы настроить политики конфигурации для многосеансовых виртуальных машин Windows Enterprise, используйте каталог параметров в Центре администрирования Microsoft Intune.
Для многосеансовых виртуальных машин Windows Enterprise поддерживаются только следующие шаблоны профилей конфигурации:
- Доверенный сертификат — устройство (компьютер) при нацеливание на устройства и пользователь при выборе пользователей
- Сертификат SCEP — устройство (компьютер) при нацеливание на устройства и пользователь при выборе пользователей
- Сертификат PKCS — устройство (компьютер) при выборе устройств и пользователь при выборе пользователей
- VPN — только устройства Tunnel.
Microsoft Intune не предоставляет неподдерживаемые шаблоны для устройств с многосеансовым режимом, и эти политики отображаются в отчетах как неприменимые.
Примечание.
Если вы используете совместное управление для Intune и Configuration Manager, в Configuration Manager установите ползунок рабочей нагрузки для параметра "Политики доступа к ресурсам" напротив значения Intune или Пилотная версия Intune. Этот параметр позволяет клиентам Windows начать процесс запроса сертификата.
Настройка политик
- Войдите в Центр администрирования Microsoft Intune и выберите Устройства>по платформе>Windows>Управление устройствами>. Создать>>новую политику.
- В поле Платформа выберите Windows 10 и более поздние версии.
- В поле Тип профиля выберите Каталог параметров или при развертывании параметров с помощью шаблона выберите Шаблоны, а затем — имя поддерживаемого шаблона.
- Нажмите Создать.
- На странице Основные сведения укажите Имя и (необязательно) Описание>Далее.
- В разделе Параметры конфигурации нажмите Добавить параметры.
- В разделе Выбор параметров нажмите Добавить фильтр и выберите следующие параметры:
- Ключ: версия ОС
- Оператор: ==
- Значение: Корпоративная (многосеансовый режим)
- Нажмите Применить. В отфильтрованном списке теперь отображаются все категории профилей конфигурации, которые поддерживают windows Enterprise с несколькими сеансами. Область политики отображается в круглых скобках. Для области пользователя она показывается как (Пользователь), а все остальные — политики с областью устройства.
- В отфильтрованном списке выберите нужные категории.
- Для каждой выбранной категории выберите параметры, которые необходимо применить к новому профилю конфигурации.
- Для каждого параметра выберите нужное значение для этого профиля конфигурации.
- После добавления параметров нажмите кнопку Далее .
- На странице Назначения выберите группы Microsoft Entra, содержащие устройства, которым требуется назначить > этот профиль Далее.
- На странице Теги области при необходимости добавьте теги область, которые вы хотите применить к этому профилю >Далее. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.
- На странице Просмотр и создание выберите Создать, чтобы создать профиль.
Административные шаблоны
Административные шаблоны в каталоге параметров Intune поддерживаются для windows Enterprise с некоторыми ограничениями:
- поддерживаются политики с поддержкой ADMX. Некоторые политики пока недоступны в каталоге параметров.
- Поддерживаются политики приема ADMX. Полный список категорий политики, принятых ADMX, см. в разделе Конфигурация политики приложений Win32 и Desktop Bridge. Некоторые параметры приема ADMX не будут применяться к windows Enterprise с несколькими сеансами.
Соответствие требованиям и условный доступ
Вы можете защитить виртуальные машины Windows Enterprise с несколькими сеансами, настроив политики соответствия требованиям и политики условного доступа в Центре администрирования Microsoft Intune. На виртуальных машинах Windows Enterprise с несколькими сеансами поддерживаются следующие политики соответствия:
- Минимальная версия ОС
- Максимальная версия ОС
- допустимые сборки операционной системы;
- простые пароли
- тип пароля;
- Минимальная длина пароля
- Сложность пароля
- Срок действия пароля (дней)
- число предыдущих паролей для запрета повторного использования;
- Антивредоносная программа в Microsoft Defender
- актуальность механизма обнаружения угроз антивредоносного ПО в Microsoft Defender
- Брандмауэр
- антивирусная программа
- антишпионское ПО;
- защита в режиме реального времени;
- минимальная версия антивредоносной программы в Microsoft Defender;
- оценка риска ATP в Defender.
Все остальные политики отображаются как Неприменимые.
Важно!
Вам потребуется создать новую политику соответствия требованиям и нацелить ее на группу устройств, содержащую виртуальные машины с несколькими сеансами. Конфигурации соответствия, предназначенные для пользователей, не поддерживаются.
Политики условного доступа поддерживают конфигурации на основе пользователей и устройств для windows Enterprise с несколькими сеансами.
Безопасность конечной точки
Вы можете настроить профили в разделе Безопасность конечных точек для многосеансовых виртуальных машин, выбрав Платформа Windows. Если эта платформа недоступна, профиль не поддерживается на виртуальных машинах с несколькими сеансами.
Дополнительные сведения см. в статье Управление безопасностью устройств с помощью политик безопасности конечных точек в Microsoft Intune
Развертывание приложений
Все приложения Для Windows можно развернуть в windows Enterprise с несколькими сеансами со следующими ограничениями:
- Все приложения должны быть настроены для установки в контексте системы или устройства и ориентированные на устройства. Веб-приложения всегда применяются по умолчанию в контексте пользователя, поэтому они не будут применяться к многосеансовым виртуальным машинам.
- Все приложения должны быть настроены с намерением назначения Обязательных или Удаленных приложений. Намерение развертывания Доступных приложений не поддерживается на многосеансовых виртуальных машинах.
- Если приложение Win32, настроенное для установки в контексте системы, имеет зависимости или отношения замены для всех приложений, настроенных для установки в контексте пользователя, приложение не будет установлено. Чтобы применить к многосеансовой виртуальной машине Windows Enterprise, создайте отдельный экземпляр приложения системного контекста или убедитесь, что все зависимости приложений настроены для установки в системном контексте.
- Подключение к Виртуальному столу Azure удаленного приложения RemoteApp и приложения MSIX в настоящее время не поддерживается в Microsoft Intune.
Развертывание сценария
Скрипты, настроенные для выполнения в системном контексте и назначенные устройствам, поддерживаются в Windows Enterprise с несколькими сеансами. Внести эти настройки можно в разделе "Параметры сценария", задав для параметра Запуск сценария с использованием текущих учетных данных значение Нет.
Скрипты, настроенные для выполнения в контексте пользователя и назначенные пользователям, поддерживаются в Windows Enterprise с несколькими сеансами. Внести эти настройки можно в разделе "Параметры сценария", задав для параметра Запуск сценария с использованием текущих учетных данных значение Да.
политики клиента клиентский компонент Центра обновления Windows
Каталог параметров можно использовать для управления параметрами клиентский компонент Центра обновления Windows для обновлений качества (безопасности) для многосеансовых виртуальных машин Windows Enterprise. Чтобы найти в каталоге поддерживаемые параметры, настройте фильтр параметров для версии многосеансового режима версии "Корпоративная", а затем разверните категорию Центр обновления Windows для бизнеса.
В каталоге доступны следующие параметры (ссылки открывают документацию Windows CSP):
- Время окончания периода активности
- Максимальный диапазон периода активности
- Время начала периода активности
- Блокировка возможности приостановки обновлений
- Настройка периода отсрочки наступления крайнего срока
- Период отсрочки исправлений (в днях)
- Приостановка отсчета времени до начала получения исправлений
- Период до наступления крайнего срока установки исправлений (в днях)
Удаленные действия
Следующие удаленные действия на настольных устройствах Windows не поддерживаются и будут неактивными в пользовательском интерфейсе и отключены в Graph для многосеансовых виртуальных машин Windows Enterprise:
- Сброс Windows Autopilot
- Смена ключа BitLocker
- Новый запуск
- Удаленная блокировка
- Сброс пароля
- Очистка
Выход из эксплуатации
При удалении виртуальных машин из Azure в Центре администрирования Microsoft Intune останутся потерянные записи устройств. Компьютеры AVD автоматически удаляются через 30 дней и окончательно удаляются через 60 дней. Дополнительные сведения см. в разделе:
- Использование правил очистки устройств Intune.
- Автоматическое удаление устройств с помощью правил очистки
Базовая конфигурация безопасности
Для Windows Enterprise с несколькими сеансами доступны базовые показатели безопасности. Мы рекомендуем ознакомиться с доступными базовыми конфигурациями безопасности и настроить рекомендуемые политики и значения в каталоге параметров.
Дополнительные конфигурации, которые не поддерживаются на многосеансовых виртуальных машинах Windows Enterprise
Регистрация при первом включении (OOBE) не поддерживается для windows Enterprise с несколькими сеансами. Это ограничение означает что:
- Windows Autopilot и коммерческая версия регистрации при первом включении компьютера не поддерживаются.
- Страница состояния регистрации не поддерживается.
Windows Enterprise с несколькими сеансами, управляемыми Microsoft Intune, в настоящее время не поддерживается для Китая Sovereign Cloud.
Устранение неполадок
В следующих разделах приводится руководство по устранению неполадок при распространенных проблемах.
Проблемы с регистрацией
| Проблема | Сведения |
|---|---|
| Сбой регистрации виртуальной машины с гибридным присоединением Microsoft Entra |
|
| Сбой регистрации виртуальной машины, присоединенной к Microsoft Entra |
|
Проблемы, связанные с конфигурацией
| Проблема | Сведения |
|---|---|
| Сбой настройки политики каталога | Убедитесь в том, что виртуальная машина зарегистрирована с использованием учетных данных устройств. Регистрация с учетными данными пользователя в настоящее время не поддерживается для windows Enterprise с несколькими сеансами. |
| Политика конфигурации не применена | Шаблоны (за исключением сертификатов) не поддерживаются в Windows Enterprise с несколькими сеансами. Все политики должны создаваться с помощью каталога параметров. |
| Политика конфигурации отмечена как неприменимая | Некоторые политики неприменимы к виртуальным машинам Виртуального рабочего стола Azure. |
| Политика ADMX Microsoft Edge и Microsoft Office не отображается при применении фильтра для windows Enterprise с несколькими сеансами | Применимость этих параметров определяется не версией или выпуском Windows, а тем, установлены ли эти приложения на устройстве. Чтобы добавить эти параметры в политику, может потребоваться удалить все фильтры, примененные в разделе выбора параметров. |
| Приложение, настроенное для установки в системном контексте, не было применено | Убедитесь в том, что приложение не находится в отношении зависимости или замены с какими-либо приложениями, настроенными для установки в пользовательском контексте. Пользовательские контекстные приложения в настоящее время не поддерживаются в Windows Enterprise с несколькими сеансами. |
| Круги обновлений для политики Windows не применяются | Политики кругов обновления Windows в настоящее время не поддерживаются. Обновлением качества можно управлять с помощью параметров, доступных в каталоге параметров. |