本文解答了 Azure 虚拟桌面的常见问题,并说明了相应的最佳做法。
管理对象最少需要哪些管理员权限?
如果要创建主机池和其他对象,则必须在正在使用的订阅或资源组上分配有“参与者”角色。
你必须在应用程序组上分配有“用户访问管理员”角色,才能向用户或用户组发布应用程序组。
若要将管理员限制为仅管理用户会话(如向用户发送消息、注销用户等),你可以创建自定义角色。 例如:
{
"actions": [
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/tags/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*",
"Microsoft.DesktopVirtualization/hostpools/sessionhosts/read",
"Microsoft.DesktopVirtualization/hostpools/sessionhosts/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
是否可以跨多个 Microsoft Entra 租户部署 Azure 虚拟桌面?
用户必须位于其分配的工作区、主机池和应用组所在的 Microsoft Entra 租户中。 将所有内容放在同一租户中,可以将用户分配到适当的基于角色的访问控制 (RBAC) 角色,以便他们可以访问其资源。
但如果将虚拟机 (VM) 加入用户所在的同一 AD 或与用户的 AD 具有信任关系的 AD,则可以将它们部署在其他 Microsoft Entra 租户中。
什么是位置限制?
所有服务资源都具有与之关联的位置。 主机池的位置确定存储主机池的服务元数据的地理位置。 如果没有主机池,则应用程序组无法存在。 如果将应用添加到 RemoteApp 应用程序组,你还需要一个会话主机来确定“开始”菜单应用。 对于任何应用程序组操作,你还需要对主机池具有相关的数据访问权限。 若要确保数据不会在多个位置之间传输,应用程序组的位置应与主机池的位置相同。
工作区也必须位于其应用程序组所在的位置。 工作区更新时,相关应用程序组将随之更新。 与应用程序组类似,服务要求所有工作区都与在同一位置创建的应用程序组相关联。
如何在 PowerShell 中展开对象属性?
运行 PowerShell cmdlet 时,你只会看到资源名称和位置。
例如:
Get-AzWvdHostPool -Name 0224hp -ResourceGroupName 0224rg
Location Name Type
-------- ---- ----
chinaeast2 0224hp Microsoft.DesktopVirtualization/hostpools
若要查看资源的所有属性,请将 format-list
或 fl
添加到 cmdlet 的末尾。
例如:
Get-AzWvdHostPool -Name 0224hp -ResourceGroupName 0224rg |fl
若要查看特定属性,请在 format-list
或 fl
后面添加特定属性名称。
例如:
Get-AzWvdHostPool -Name demohp -ResourceGroupName 0414rg |fl CustomRdpProperty
CustomRdpProperty : audiocapturemode:i:0;audiomode:i:0;drivestoredirect:s:;redirectclipboard:i:1;redirectcomports:i:0;redirectprinters:i:1;redirectsmartcards:i:1;screen modeid:i:2;
Azure 虚拟桌面是否支持来宾用户?
Azure 虚拟桌面不支持 Microsoft Entra 来宾用户帐户。 例如,假设一组来宾用户在自己的公司中拥有 Microsoft 365 E3 Per-user、Windows E3 Per-user 或 WIN VDA 许可证,但却是其他公司 Microsoft Entra ID 中的来宾用户。 另一家公司可以像本地帐户一样在 Microsoft Entra ID 和 Active Directory 中管理来宾用户的用户对象。
对于第三方权益,你不能使用自己的许可证。 此外,Azure 虚拟桌面目前不支持 Microsoft 帐户 (MSA)。
为什么我看不到 WVDConnections 表中的客户端 IP 地址?
目前尚没有可靠的方法来收集 Web 客户端的 IP 地址,因此,我们未在表中包括该值。
Azure 虚拟桌面如何处理备份?
Azure 虚拟桌面中有多个选项可用于处理备份。 在计算级别,建议仅通过 Azure 备份为个人主机池备份。 在存储级别,建议的备份解决方案因用于存储用户配置文件的后端存储而异。 如果使用 Azure 文件存储共享,建议使用用于文件共享的 Azure 备份。
Azure 虚拟桌面是否支持第三方协作应用?
Azure 虚拟桌面当前针对 Teams 进行了优化。 Azure 目前不支持 Zoom 等第三方协作应用。 第三方组织负责向其客户提供兼容性指南。 Azure 虚拟桌面也不支持 Skype for Business。
是否可以从共用池更改为个人主机池?
创建主机池后,无法更改其类型。 但是,你可以将注册到主机池的所有 VM 移到其他类型的主机池。
在 Azure 门户中创建的主机池是否存在规模限制?
这些因素可能会影响主机池的规模限制:
Azure 模板限制为 800 个对象。 有关详细信息,请参阅 Azure 订阅和服务限制、配额和约束。 每个 VM 还会创建约 6 个对象,因此,每次运行该模板时,都可以创建约 132 个 VM。
每个区域和每个订阅可以创建的 vCPU 数有限制。 例如,如果具有企业协议订阅,则默认可以创建 350 个 vCPU。 你需要将 350 除以每个 VM 的默认 vCPU 数或你自己的 vCPU 限制,以确定每次运行模板时可以创建多少个 VM。 请在虚拟机限制 - Azure 资源管理器和检查 vCPU 配额中了解详细信息。
VM 前缀名称不能超过 11 个字符,因此在添加序列号时,总名称最多为 15 个字符。 若要了解详细信息,请参阅 Azure 资源的命名规则和限制。
能否通过 Azure Lighthouse 管理 Azure 虚拟桌面环境?
Azure Lighthouse 不完全支持管理 Azure 虚拟桌面环境。 由于 Lighthouse 目前不支持跨 Microsoft Entra ID 租户用户管理,Lighthouse 客户仍需登录到客户用于管理用户的 Microsoft Entra ID。
应以什么频率启动 VM 以防止注册问题?
将 VM 注册到 Azure 虚拟桌面服务中的主机池后,每当 VM 处于活动状态时,代理会定期刷新 VM 令牌。 注册令牌证书有效期为 90 天。 由于此 90 天的限制,我们建议 VM 每隔 90 天便联机 20 分钟,以便计算机可以刷新其令牌并更新代理和并行堆栈组件。 在此时间段内启动 VM 可防止注册令牌过期或无效。 如果在 90 天后启动 VM 并遇到了注册问题,请按照 Azure 虚拟桌面代理故障排除指南中的说明从主机池中删除 VM,重新安装代理,然后将其重新注册到池中。
是否可以在创建主机池时设置可用性选项?
是的。 创建 VM 时,Azure 虚拟桌面主机池具有选择可用性集或可用性区域的选项。 这些可用性选项与 Azure 计算使用的选项相同。 如果为在主机池中创建的 VM 选择区域,则该设置将自动应用于在该区域中创建的所有 VM。 如果希望将主机池 VM 分散到多个区域,则需要按照使用 Azure 门户添加虚拟机中的说明,为创建的每个新 VM 手动选择一个新区域。
请确保 Azure 可用性区域在 VM 所在区域中可用。
哪个可用性选项最适合我?
VM 应使用的可用性选项取决于映像位置。 下表说明了每个设置与这些变量的关系,以帮助你确定最适合你的部署的选项。
可用性选项 | 映像位置 |
---|---|
无 | 库 |
无 | Blob 存储 |
可用性区域 | 库(blob 存储选项已禁用) |
具有托管 SKU(托管磁盘)的可用性集 | 库 |
具有托管 SKU(托管磁盘)的可用性集 | Blob 存储 |
具有托管 SKU(托管磁盘)的可用性集 | Blob 存储(已禁用库选项) |
可用性集(用户新建) | 库 |
可用性集(用户新建) | Blob 存储 |
应该使用 Windows Defender 应用程序控制还是 AppLocker 来控制哪些应用程序和驱动程序能够在我的 Windows 10 设备上运行?
建议使用 Windows Defender 应用程序控件,而不是 AppLocker。
测试迁移时,同一个租户中是否可以存在两个不同的 Azure 虚拟桌面环境?
是的。 可以在同一个 Microsoft Entra 租户中拥有两个部署。
Azure 虚拟桌面是否支持 Azure VM 的临时 OS 磁盘?
否。 Azure 虚拟桌面不支持 Azure VM 的临时 OS 磁盘。
如果将主机池和 VM 存储在不同的区域,那么在主机池区域停机但 VM 区域保持联机的灾难情况下会发生什么情况?
主机池的元数据在地理位置内进行复制,以便复原。 如果主机池所在的区域出现故障,则会故障转移到其副本。 在此故障转移期间,Azure 虚拟桌面不接受与该主机池中的会话主机 VM 的新用户连接,直到故障转移完成。 该主机池中的会话主机 VM 上的任何现有会话将保持连接且不受影响。 要详细了解如何为 Azure 虚拟桌面实现服务复原能力,请参阅 Azure 虚拟桌面服务体系结构和复原能力。
尝试将 200 多个 VM 添加到 Azure 虚拟桌面中的可用性集时会发生什么情况?
如果尝试让 Azure 虚拟桌面的可用性集中的 VM 超出 200 个,则会收到一条错误消息,指出“无法创建 VM,因为已达到 200 个 VM 的限制”。有关详细信息,请参阅可用性集概述。
是否可以就地升级会话主机的操作系统?
共用主机池中的会话主机不支持就地升级。 个人主机池中的会话主机支持就地升级。 有关详细信息,请参阅Azure 中运行 Windows Server 的支持的 VM 的就地升级以及 Azure 中运行 Windows Server 的 VM 的就地升级。