Dela via

Fjärrskrivbord med flera sessioner i Windows Enterprise

Azure Virtual Desktop med flera sessioner med Microsoft Intune är nu allmänt tillgängligt.

Nu kan du använda Microsoft Intune för att hantera fjärrskrivbord med flera sessioner i Windows Enterprise i administrationscentret för Microsoft Intune på samma sätt som du kan hantera en delad Windows-klientenhet. När du hanterar sådana virtuella datorer kan du använda enhetsbaserad konfiguration riktad till enheter eller användarbaserad konfiguration som riktas till användarna.

Windows Enterprise multi-session är en ny värd för fjärrskrivbordssession som är exklusiv för Azure Virtual Desktop i Azure. Det ger följande fördelar:

  • Tillåter flera samtidiga användarsessioner.
  • Ger användarna en välbekant Windows-upplevelse.
  • Stöder användning av befintlig Microsoft 365-licensiering per användare.

Du kan hantera virtuella Windows Enterprise-datorer med flera sessioner som skapats i Azure Government Cloud i US Government Community (GCC), GCC High och DoD.

Viktigt

Microsoft Intune-stöd för Flera sessioner i Azure Virtual Desktop är för närvarande inte tillgängligt för Citrix DaaS och VMware Horizon Cloud. Eftersom Intune inte kan erbjuda stöd för Citrix DaaS kan du läsa Citrix-dokumentationen och vara medveten om Citrix supportalternativ för stöd för flera sessioner. Alla frågor, problem eller hjälp bör dirigeras till Citrix för stöd för flera sessioner. Se Citrix-stöd.

Översikt

Stöd för enhetskonfiguration i Microsoft Intune för windows enterprise-multisessioner är allmänt tillgängligt (GA). Det innebär att principer som definierats i OS-omfånget och appar som konfigurerats för att installeras i systemkontexten kan tillämpas på virtuella Azure Virtual Desktop-datorer med flera sessioner när de tilldelas till enhetsgrupper.

Obs!

Enhetsbaserad konfiguration kan inte tilldelas till användare och användarbaserad konfiguration kan inte tilldelas till enheter. Det rapporteras som fel eller inte tillämpligt.

Stöd för användarkonfiguration i Microsoft Intune för virtuella Windows Enterprise-datorer med flera sessioner är allmänt tillgängligt. Med detta kan du:

  • Konfigurera principer för användaromfång med hjälp av inställningskatalogen och tilldela till grupper av användare. Du kan använda sökfältet för att söka i alla konfigurationer med omfånget inställt på "användare".

  • Konfigurera användarcertifikat och tilldela till användare.

  • Konfigurera PowerShell-skript för att installera i användarkontexten och tilldela till användare.

Förhandskrav

Den här funktionen stöder virtuella Windows Enterprise-datorer med flera sessioner, som är:

  • Konfigurera som fjärrskrivbord i poolbaserade värdpooler som har distribuerats via Azure Resource Manager.
  • Under samma klientorganisation som Intune.
  • Köra en Azure Virtual Desktop-agentversion av 1.0.2944.1400 eller senare.
  • Microsoft Entra hybridkopplad och registrerad i Microsoft Intune med någon av följande metoder:
  • Microsoft Entra ansluten och registrerad i Microsoft Intune genom att aktivera Registrera den virtuella datorn med Intune i Azure Portal.
  • Licensiering: Lämplig Azure Virtual Desktop- och Microsoft Intune-licens krävs om en användare eller enhet direkt eller indirekt drar nytta av Microsoft Intune-tjänsten, inklusive åtkomst till Microsoft Intune-tjänsten via ett Microsoft API. Mer information finns i Microsoft Intune-licensiering.
  • Mer information om licensieringskrav för Azure Virtual Desktop finns i Licensiering av Azure Virtual Desktop .

Begränsningar

Intune stöder inte användning av en klonad avbildning av en dator som redan har registrerats. Detta omfattar både fysiska och virtuella enheter som Azure Virtual Desktop (AVD). När enhetsregistrering eller identitetstoken replikeras mellan enheter uppstår intune-enhetsregistrering eller synkroniseringsfel.

Obs!

Om du ansluter sessionsvärdar till Microsoft Entra Domain Services kan du inte hantera dem med hjälp av Intune.

Viktigt

  • Intune stöder för närvarande inte funktioner för tokenroaming mellan enheter. Om FSLogix, eller en liknande teknik, används för att hantera Windows-användarprofiler och -inställningar måste du se till att token inte oväntat flyttas eller dupliceras mellan enheter. Information om hur du bekräftar att du kör en version som stöds och konfiguration av FSLogix med tokenroaming inaktiverad finns i referensen för konfigurationsinställningar för FSLogix RoamIdentity.

Virtuella Windows Enterprise-datorer med flera sessioner behandlas som en separat utgåva av operativsystemet och vissa Windows Enterprise-konfigurationer stöds inte för den här utgåvan. Användning av Microsoft Intune är inte beroende av eller stör Azure Virtual Desktop-hanteringen av samma virtuella dator.

Skapa konfigurationsprofilen

Om du vill konfigurera konfigurationsprinciper för virtuella Windows Enterprise-datorer med flera sessioner använder du katalogen Inställningar i administrationscentret för Microsoft Intune.

Endast följande konfigurationsprofilmallar stöds för virtuella Windows Enterprise-datorer med flera sessioner:

  • Betrott certifikat – Enhet (dator) när enheter och användare riktas mot användare
  • SCEP-certifikat – Enhet (dator) när enheter och användare riktas mot användare
  • PKCS-certifikat – Enhet (dator) när enheter och användare riktas mot användare
  • VPN – endast enhetstunnel

Microsoft Intune levererar inte mallar som inte stöds till enheter med flera sessioner och dessa principer visas som Ej tillämpliga i rapporter.

Obs!

Om du använder samhantering för Intune och Configuration Manager i Configuration Manager anger du arbetsbelastningsreglaget för resursåtkomstprinciper till Intune eller Pilot Intune. Med den här inställningen kan Windows-klienter starta processen med att begära certifikatet.

Så här konfigurerar du principer

  1. Logga in på administrationscentret för Microsoft Intune och välj Enheter>Efter plattform>Windows>Hantera enheter>Konfiguration>Skapa>ny princip.
  2. För Plattform väljer du Windows 10 och senare.
  3. För Profiltyp väljer du Inställningskatalog, eller när du distribuerar inställningar med hjälp av en mall väljer du Mallar och sedan namnet på den mall som stöds.
  4. Välj Skapa.
  5. På sidan Grundläggande anger du ett Namn och (valfritt) Beskrivning>nästa.
  6. På sidan Konfigurationsinställningar väljer du Lägg till inställningar.
  7. Under Inställningsväljaren väljer du Lägg till filter och väljer följande alternativ:
    • Nyckel: OS-utgåva
    • Operator: ==
    • Värde: Flera sessioner för företag
    • Välj Använd. Den filtrerade listan visar nu alla konfigurationsprofilkategorier som stöder Windows Enterprise-flera sessioner. Omfånget för en princip visas inom parenteser. För användaromfånget visas det som (Användare) och resten är principer med enhetsomfång.
  8. I den filtrerade listan väljer du de kategorier som du vill använda.
    • För varje kategori du väljer väljer du de inställningar som du vill använda för den nya konfigurationsprofilen.
    • För varje inställning väljer du önskat värde för den här konfigurationsprofilen.
  9. Välj Nästa när du är klar med att lägga till inställningar.
  10. På sidan Tilldelningar väljer du de Microsoft Entra grupper som innehåller de enheter som du vill att profilen ska tilldelas >till Nästa.
  11. På sidan Omfångstaggar kan du också lägga till de omfångstaggar som du vill använda för den här profilen >Nästa. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll och omfångstaggar för distribuerad IT.
  12. På sidan Granska + skapa väljer du Skapa för att skapa profilen.

Administrativa mallar

Administrativa mallar i Intune-inställningskatalogen stöds för Windows Enterprise-flera sessioner med vissa begränsningar:

  • ADMX-säkerhetskopierade principer stöds. Vissa principer är ännu inte tillgängliga i inställningskatalogen.
  • ADMX-inmatade principer stöds. En fullständig lista över ADMX-inmatade principkategorier finns i Win32 och Brygga för skrivbordsversion appprincipkonfiguration. Vissa ADMX-inmatade inställningar gäller inte för flera sessioner i Windows Enterprise.

Efterlevnad och villkorsstyrd åtkomst

Du kan skydda dina virtuella Windows Enterprise-datorer med flera sessioner genom att konfigurera efterlevnadsprinciper och principer för villkorsstyrd åtkomst i administrationscentret för Microsoft Intune. Följande efterlevnadsprinciper stöds på virtuella Windows Enterprise-datorer med flera sessioner:

  • Lägsta operativsystemversion
  • Högsta operativsystemversion
  • Giltiga operativsystemversioner
  • Enkla lösenord
  • Lösenordstyp
  • Minsta längd på lösenord
  • Lösenordskomplexitet
  • Lösenordets giltighetstid (dagar)
  • Antal tidigare lösenord för att förhindra återanvändning
  • Microsoft Defender program mot skadlig kod
  • Microsoft Defender Säkerhetsinformation för program mot skadlig kod uppdaterad
  • Brandvägg
  • Antivirus
  • Antispionprogram
  • Realtidsskydd
  • Microsoft Defender Lägsta version av program mot skadlig kod
  • Defender ATP-riskpoäng

Alla andra principer rapporterar som Ej tillämpligt.

Viktigt

Du måste skapa en ny efterlevnadsprincip och rikta den mot den enhetsgrupp som innehåller dina virtuella datorer med flera sessioner. Användarriktade efterlevnadskonfigurationer stöds inte.

Principer för villkorsstyrd åtkomst stöder både användar- och enhetsbaserade konfigurationer för flera sessioner i Windows Enterprise.

Slutpunktssäkerhet

Du kan konfigurera profiler under Slutpunktssäkerhet för virtuella datorer med flera sessioner genom att välja Plattformsfönster. Om plattformen inte är tillgänglig stöds inte profilen på virtuella datorer med flera sessioner.

Mer information finns i Hantera enhetssäkerhet med principer för slutpunktssäkerhet i Microsoft Intune

Programdistribution

Alla Windows-appar kan distribueras till Windows Enterprise multi-session med följande begränsningar:

  • Alla appar måste konfigureras för att installeras i system-/enhetskontexten och vara riktade till enheter. Webbappar tillämpas alltid i användarkontexten som standard, så de gäller inte för virtuella datorer med flera sessioner.
  • Alla appar måste konfigureras med avsikten Obligatorisk eller Avinstallera apptilldelning. Distributions avsikten Tillgängliga appar stöds inte på virtuella datorer med flera sessioner.
  • Om en Win32-app som har konfigurerats för att installeras i systemkontexten har beroenden eller ersättningsrelation för appar som har konfigurerats för att installeras i användarkontexten installeras inte appen. Om du vill tillämpa på en virtuell Windows Enterprise-dator med flera sessioner skapar du en separat instans av systemkontextappen eller kontrollerar att alla appberoenden är konfigurerade att installeras i systemkontexten.
  • Azure Virtual Desktop RemoteApp och MSIX-appanslutning stöds för närvarande inte i Microsoft Intune.

Skriptdistribution

Skript som konfigurerats för att köras i systemkontexten och som tilldelats till enheter stöds i windows enterprise-multisessioner. Detta kan konfigureras under Skriptinställningar genom att ange Kör det här skriptet med de inloggade autentiseringsuppgifterna till Nej.

Skript som konfigurerats för att köras i användarkontexten och som tilldelats till användare stöds i Windows Enterprise-multisessioner. Detta kan konfigureras under Skriptinställningar genom att ange Kör det här skriptet med de inloggade autentiseringsuppgifterna till Ja.

Windows Update klientprinciper

Du kan använda inställningskatalogen för att hantera Windows Update inställningar för kvalitetsuppdateringar (säkerhet) för virtuella Windows Enterprise-datorer med flera sessioner. Om du vill hitta de inställningar som stöds i katalogen konfigurerar du ett inställningsfilter för enterprise-flera sessioner och expanderar sedan kategorin Windows Update för företag.

Följande inställningar är tillgängliga i katalogen, med länkarna som öppnar Windows CSP-dokumentationen:

Fjärråtgärder

Följande fjärråtgärder för Windows-skrivbordsenheter stöds inte och kommer att vara nedtonade i användargränssnittet och inaktiverade i Graph för virtuella datorer med flera sessioner i Windows Enterprise:

  • Windows Autopilot-återställning
  • BitLocker-nyckelrotation
  • Nystart
  • Fjärrlås
  • Återställa lösenord
  • Rensa

Pension

Om du tar bort virtuella datorer från Azure lämnar du överblivna enhetsposter i administrationscentret för Microsoft Intune. AVD-datorer tas bort automatiskt efter 30 dagar och tas bort permanent efter 60 dagar. Mer information finns i:

Säkerhetsbaslinjer

Säkerhetsbaslinjer är tillgängliga för flera sessioner i Windows Enterprise. Vi rekommenderar att du granskar tillgängliga säkerhetsbaslinjer och konfigurerar de rekommenderade principerna och värdena i inställningskatalogen.

Ytterligare konfigurationer som inte stöds på virtuella Windows Enterprise-datorer med flera sessioner

OOBE-registrering (Out of Box Experience) stöds inte för Flera sessioner i Windows Enterprise. Den här begränsningen innebär att:

  • Windows Autopilot och kommersiell OOBE stöds inte.
  • Sidan Registreringsstatus stöds inte.

Windows Enterprise multi-session som hanteras av Microsoft Intune stöds för närvarande inte för Kina Sovereign Cloud.

Felsökning

Följande avsnitt innehåller felsökningsvägledning för vanliga problem.

Registreringsproblem

Fråga Beskrivning
Registrering av Microsoft Entra hybridanslutning till virtuell dator misslyckas
  • Automatisk registrering har konfigurerats för att använda användarautentiseringsuppgifter. Virtuella Windows Enterprise-datorer med flera sessioner måste registreras med enhetsautentiseringsuppgifter.
  • Azure Virtual Desktop-agenten som du använder måste vara version 1.0.2944.1400 eller senare.
  • Du har fler än en MDM-provider, vilket inte stöds.
  • Virtuella Windows Enterprise-datorer med flera sessioner konfigureras utanför en värdpool. Microsoft Intune stöder endast virtuella datorer som etablerats som en del av en värdpool.
  • Azure Virtual Desktop-värdpoolen skapades inte via Azure Resource Manager-mallen.
Registreringen av Microsoft Entra anslutna virtuella datorn misslyckas
  • Azure Virtual Desktop-agenten som du använder uppdateras inte. Agenten måste vara version 1.0.2944.1400 eller senare.
  • Azure Virtual Desktop-värdpoolen skapades inte via Azure Resource Manager-mallen.

Konfigurationsproblem

Fråga Beskrivning
Det går inte att ändra katalogprincipen för inställningar Bekräfta att den virtuella datorn har registrerats med enhetsautentiseringsuppgifter. Registrering med användarautentiseringsuppgifter stöds för närvarande inte för flera sessioner i Windows Enterprise.
Konfigurationsprincipen tillämpades inte Mallar (med undantag för certifikat) stöds inte i Flera sessioner i Windows Enterprise. Alla principer måste skapas via inställningskatalogen.
Konfigurationsprinciprapporter som Ej tillämpligt Vissa principer gäller inte för virtuella Azure Virtual Desktop-datorer.
Microsoft Edge/Microsoft Office ADMX-principen visas inte när jag använder filtret för Windows Enterprise multi-session edition Tillämpligheten för de här inställningarna baseras inte på Windows-versionen eller versionen utan på om apparna har installerats på enheten. Om du vill lägga till de här inställningarna i principen kan du behöva ta bort eventuella filter som tillämpas i inställningsväljaren.
Appen som konfigurerats för att installeras i systemkontexten tillämpades inte Kontrollera att appen inte har någon beroende- eller ersättningsrelation för appar som har konfigurerats för att installeras i användarkontext. Användarkontextappar stöds för närvarande inte i Flera sessioner i Windows Enterprise.
Uppdateringsringar för Windows-principen tillämpades inte Principer för Windows-uppdateringsringar stöds inte för närvarande. Kvalitetsuppdateringar kan hanteras via inställningar som är tillgängliga i inställningskatalogen.

Nästa steg

Läs mer om Azure Virtual Desktops.