通过

部署 Azure 虚拟桌面

  • 项目

重要

对于由世纪互联运营的 Microsoft Azure,适用于 Azure Stack HCI 的 Azure 虚拟桌面目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款

本文介绍如何通过使用 Azure 门户、Azure CLI 或 Azure PowerShell 在 Azure 上部署 Azure 虚拟桌面。 要部署 Azure 虚拟桌面:

  • 创建主机池。
  • 创建工作区。
  • 创建应用程序组
  • 创建会话主机虚拟机 (VM)。
  • 启用诊断设置(可选)
  • 将用户或组分配给应用程序组,以便用户可以访问桌面和应用程序。

使用 Azure 门户时,可以在单个进程中执行所有这些任务,但也可以单独执行这些任务。

有关本文中使用的术语的更多信息,请参阅 Azure 虚拟桌面术语。 有关 Azure 虚拟桌面服务的详细信息,请参阅 Azure 虚拟桌面服务体系结构和复原能力

提示

本文中介绍的过程是部署 Azure 虚拟桌面的一种深入且适应性强的方法。 若要使用更简单的方法部署示例 Windows 11 桌面来尝试 Azure 虚拟桌面,请参阅教程:使用 Windows 11 桌面部署示例 Azure 虚拟桌面基础结构或使用快速入门

先决条件

有关所需条件及支持内容的一般概念,例如操作系统 (OS)、虚拟网络和标识提供者,请查看 Azure 虚拟桌面的先决条件。 本文还包括一个支持的 Azure 区域列表,你可在这些区域中部署主机池、工作区和应用程序组。 在这一系列区域中,可以存储主机池的元数据。 不过,会话主机可以位于任何 Azure 区域,使用 Azure Stack HCI 时,它们可以位于本地。 有关数据和位置类型的详细信息,请参阅 Azure 虚拟桌面的数据位置

有关更多先决条件,包括基于角色的访问控制 (RBAC) 角色,请选择你的情况对应的相关选项卡。

  • 所用 Azure 帐户必须在资源组或订阅上至少具有以下内置基于 RBAC 角色,才能创建以下资源类型。 如果要将角色分配给资源组,需要先创建资源组。

    资源类型 RBAC 角色
    主机池、工作区和应用程序组 桌面虚拟化参与者
    会话主机 (Azure) 虚拟机参与者

    或者,可以分配参与者 RBAC 角色来创建所有这些资源类型。

    为了持续管理主机池、工作区和应用程序组,可以对每种资源类型使用更精细的角色。 有关详细信息,请参阅 Azure 虚拟桌面的内置 Azure RBAC 角色

  • 若要将用户分配到应用程序组,还需要应用程序组的 Microsoft.Authorization/roleAssignments/write 权限。 包含此权限的内置 RBAC 角色是“用户访问管理员”和“所有者”。

  • 使用 Azure 门户创建会话主机时,请勿禁用 Windows 远程管理,因为 PowerShell DSC 需要它。

创建主机池

要创建主机池,请选择方案的相关选项卡,然后执行以下步骤。

下面介绍如何使用 Azure 门户创建主机池:

  1. 登录到 Azure 门户

  2. 在搜索栏上,输入“Azure 虚拟桌面”,然后选择匹配的服务条目

  3. 选择“主机池”,然后选择“创建”

  4. 在“基本信息”选项卡上,完成以下信息:

    参数 值/说明
    订阅 在下拉列表中,选择要在其中创建主机池的订阅。
    资源组 选择现有资源组,或选择“新建”并输入名称
    主机池名称 输入主机池的名称,例如“hp01”
    位置 选择要在其中创建主机池的 Azure 区域。
    验证环境 选择“是”,创建用作验证环境的主机池

    选择“”(默认)以创建不用作验证环境的主机池。
    首选应用组类型 为此主机池选择首选应用程序组类型:桌面或 RemoteApp。 使用 Azure 门户时会自动创建桌面应用程序组。
    主机池类型 选择希望主机池是“个人”还是“共用”

    如果选择“个人”,会为“分配类型”显示新选项。 选择“自动”或“直接”。

    如果选择“共用”,将针对“负载均衡算法”和“会话数上限”显示两个新选项。

    - 对于“负载均衡算法”,请根据使用模式选择“广度优先”或“深度优先”。

    - 对于最大会话限制,请输入要在单个会话主机中进行负载均衡的最大用户数。 有关详细信息,请参阅主机池负载均衡算法

    提示

    完成此选项卡后,可以继续选择创建会话主机、创建工作区、从此主机池注册默认桌面应用程序组,并选择“下一步: 虚拟机”来启用诊断设置。 或者,如果想要单独创建和配置这些资源,请选择“下一步: 查看 + 创建”并转到步骤 9

  5. 可选:如果要添加会话主机,请在虚拟机选项卡上填写信息。 有关调整会话主机虚拟机大小的指导,请参阅会话主机虚拟机大小调整指导原则

    参数 值/说明
    添加虚拟机 选择。 此操作会显示几个新选项。
    资源组 此值默认为在“基本信息”选项卡上选择以包含主机池的资源组,但可以选择替代项
    名称前缀 输入会话主机的名称前缀,例如 hp01-sh。

    每个会话主机都带有一个连字符后缀,然后在末尾添加序列号,例如 hp01-sh-0。

    此名称前缀最多可以包含 11 个字符,并用于操作系统中的计算机名。 前缀和后缀加起来最多可以包含 15 个字符。 会话主机名必须唯一。
    虚拟机位置 选择要在其中部署会话主机的 Azure 区域。 此值必须与包含虚拟网络的区域相同。
    可用性选项 从“可用性区域”、“可用性集”或“无需基础结构冗余”中进行选择。 如果选择“可用性区域”或“可用性集”,请填写显示的额外参数
    安全类型 从“标准”受信任启动虚拟机中进行选择。

    - 如果选择“受信任启动虚拟机”,则系统会自动选择“安全启动”和“vTPM”选项。
    图像 从列表中选择要使用的 OS 映像,或选择“查看所有映像”以了解详细信息。 完整列表包括已创建并存储为 Azure Compute Gallery 共享映像托管映像的所有映像。
    虚拟机大小 选择一个大小。 如果要使用不同的大小,请选择“更改大小”,然后从列表中选择
    VM 数量 输入要部署的虚拟机数。 如果需要,此时最多可以部署 400 台会话主机(具体取决于你的订阅配额),也可以稍后再添加更多主机。

    有关详细信息,请参阅 Azure 虚拟桌面服务限制虚拟机限制
    OS 磁盘类型 选择要用于会话主机的磁盘类型。 建议仅将高级 SSD 用于生产工作负载
    启动诊断 选择是否要启用启动诊断
    网络和安全性
    虚拟网络 选择你的虚拟网络。 这会显示用于选择子网的选项。
    子网 从虚拟网络中选择子网。
    网络安全组 选择是否要使用网络安全组 (NSG)。

    如果选择“无”,则不会创建新的 NSG。-

    - “基本”会为 VM 网络适配器创建新的 NSG

    - 选择“高级”可以选择现有 NSG。

    建议不要在此处创建 NSG,而是在子网上创建 NSG
    公共入站端口 可以从列表中选择要允许的端口。 Azure 虚拟桌面不需要公共入站端口,因此建议选择“否”
    要加入的域
    选择要联接的目录 从 Microsoft Entra ID 或 Active Directory 中进行选择,并填写所选选项的相关参数
    虚拟机管理员帐户
    用户名 输入要用作新会话主机的本地管理员帐户的名称。
    密码 输入本地管理员帐户的密码。
    确认密码 重新输入密码。
    自定义配置
    自定义配置脚本 URL 如果要在部署期间运行 PowerShell 脚本,则可以在此处输入 URL。

    完成此选项卡后,选择“下一步: 工作区”

  6. 可选:如果要创建工作区并从此主机池注册默认桌面应用程序组,请在“工作区”选项卡上填写以下信息:

    参数 值/说明
    注册桌面应用组 选择。 此操作会将默认桌面应用程序组注册到选定的工作区。
    到此工作区 从列表中选择现有工作区,或者选择“新建”并输入名称,例如“ws01”

    完成此选项卡后,选择“下一步: 高级”

  7. 可选:如果要启用诊断设置,请在“高级”选项卡上填写以下信息:

    参数 值/说明
    启用诊断设置 选择相应的框。
    选择要向其发送日志的目标详细信息 选择以下目标之一:

    - 发送到 Log Analytics 工作区

    - 存档到存储帐户

    - 流式传输到事件中心

    完成此选项卡后,选择“下一步: 标记”

  8. 可选:在“标记”选项卡上,可以输入所需的任何名称/值对,然后选择“下一步: 查看 + 创建”

  9. 在“查看 + 创建”选项卡上,确保验证通过并查看部署期间将使用的信息

  10. 选择“创建”以创建主机池。

  11. 选择“转到资源”以转到新主机池的概述,然后选择“属性”以查看其属性

部署后任务

如果还将会话主机添加到了主机池中,则需要进行一些额外的配置,这将在以下部分介绍。

许可

要确保会话主机已正确应用许可证,需要执行以下任务:

  • 如果拥有运行 Azure 虚拟桌面工作负载所需的正确许可证,则可以将 Windows 或 Windows Server 许可证作为 Azure 虚拟桌面的一部分应用到会话主机,无需支付单独的许可证费用即可运行。 此许可证是在使用 Azure 虚拟桌面服务创建会话主机时自动应用的,但如果在 Azure 虚拟桌面外部创建了会话主机,则可能需要单独应用该许可证。 有关详细信息,请参阅将 Windows 许可证应用于会话主机虚拟机

  • 如果会话主机运行的是 Windows Server OS,则还需要从 RDS 许可证服务器向它们颁发远程桌面服务 (RDS) 客户端访问许可证 (CAL)。 有关详细信息,请参阅使用客户端访问许可证许可 RDS 部署

  • 对于 Azure Stack HCI 上的会话主机,必须先许可并激活虚拟机,然后才能将其与 Azure 虚拟桌面配合使用。 要激活使用 Windows 10 企业版多会话、Windows 11 企业版多会话和 Windows Server 2022 Datacenter:Azure Edition 的 VM,请使用适用于 VM 的 Azure 验证。 对于其他所有 OS 映像(例如 Windows 10 企业版、Windows 11 企业版,以及其他版本的 Windows Server),应继续使用现有的激活方法。 有关详细信息,请参阅在 Azure Stack HCI 上激活 Windows Server VM

已建立 Microsoft Entra 联接的会话主机

对于 Azure 上已加入 Microsoft Entra ID 的会话主机,还需要启用单一登录或更早的身份验证协议、向用户分配 RBAC 角色,并查看多重身份验证策略,以便用户可以登录到 VM。

注意

  • 如果创建了主机池和工作区,并且在此进程中还从此主机池注册了默认桌面应用程序组,请转到将用户分配到应用程序组部分并完成本文的其余部分。 使用 Azure 门户时会自动创建桌面应用程序组(无论将哪种应用程序组类型设置为首选类型)。

  • 如果在同一进程中创建了主机池和工作区,但未从此主机池注册默认桌面应用程序组,请转到创建应用程序组部分并完成本文的其余部分。

  • 如果未创建工作区,请转到下一部分并完成本文的其余部分。

创建工作区

接下来,要创建工作区,请选择方案的相关选项卡,然后执行以下步骤。

下面介绍如何使用 Azure 门户创建工作区:

  1. 在 Azure 虚拟桌面概述中,选择“工作区”,然后选择“创建”

  2. 在“基本信息”选项卡上,完成以下信息:

    参数 值/说明
    订阅 在下拉列表中,选择要在其中创建工作区的订阅。
    资源组 选择现有资源组,或选择“新建”并输入名称
    工作区名称 输入工作区的名称,例如“workspace01”
    易记名称 可选:输入工作区的显示名称。
    描述 可选:输入工作区的说明。
    位置 选择要在其中部署工作区的 Azure 区域。

    提示

    完成此选项卡后,可以选择将现有应用程序组注册到此工作区(如果有),并选择“下一步: 应用程序组”来启用诊断设置。 或者,如果想要单独创建和配置这些资源,请选择“查看 + 创建”并转到步骤 9

  3. 可选:如果要将现有应用程序组注册到此工作区,请在“应用程序组”选项卡上填写以下信息:

    参数 值/说明
    注册应用程序组 选择“是”,然后选择“+ 注册应用程序组”。 在打开的新窗格中,选择要添加的应用程序组的“添加”图标,然后选择“选择”

    完成此选项卡后,选择“下一步: 高级”

  4. 可选:如果要启用诊断设置,请在“高级”选项卡上填写以下信息:

    参数 值/说明
    启用诊断设置 选择相应的框。
    选择要向其发送日志的目标详细信息 选择以下目标之一:

    - 发送到 Log Analytics 工作区

    - 存档到存储帐户

    - 流式传输到事件中心

    完成此选项卡后,选择“下一步: 标记”

  5. 可选:在“标记”选项卡上,可以输入所需的任何名称/值对,然后选择“下一步: 查看 + 创建”

  6. 在“查看 + 创建”选项卡上,确保验证通过并查看部署期间将使用的信息

  7. 选择“创建”以创建工作区。

  8. 选择“转到资源”以转到新工作区的概述,然后选择“属性”以查看其属性

注意

  • 如果将应用程序组添加到了此工作区,请转到将用户分配到应用程序组部分并完成本文的其余部分。

  • 如果未将应用程序组添加到此工作区,请转到下一部分并完成本文的其余部分。

创建应用程序组

要创建应用程序组,请选择方案的相关选项卡,然后执行以下步骤。

下面介绍如何使用 Azure 门户创建应用程序组:

  1. 在 Azure 虚拟桌面概述中,选择“应用程序组”,然后选择“创建”

  2. 在“基本信息”选项卡上,完成以下信息:

    参数 值/说明
    订阅 在下拉列表中,选择要在其中创建应用程序组的订阅。
    资源组 选择现有资源组,或选择“新建”并输入名称
    主机池 选择应用程序组的主机池。
    位置 元数据存储在与主机池相同的位置。
    应用程序组类型 为此主机池选择应用程序组类型:桌面或 RemoteApp
    应用程序组名称 输入应用程序组的名称,例如“会话桌面”

    提示

    完成此选项卡后,选择“下一步: 查看 + 创建”。 不需要完成其他选项卡就可以创建应用程序组,但需要创建工作区将应用程序组添加到工作区,并将用户分配到应用程序组后,用户才能访问资源。

    如果为 RemoteApp 创建了应用程序组,则还需要向其中添加应用程序。 有关详细信息,请参阅发布应用程序

  3. 可选:如果选择创建 RemoteApp 应用程序组,可以将应用程序添加到该组。 在“应用程序组”选项卡上,选择“+ 添加应用程序”,然后选择一个应用程序。 有关应用程序参数的详细信息,请参阅使用 RemoteApp 发布应用程序。 主机池中必须至少有一个会话主机已打开并可在 Azure 虚拟桌面中使用。

    完成此选项卡后,或者在创建桌面应用程序组的情况下,请选择“下一步: 分配”

  4. 可选:如果要将用户或组分配到此应用程序组,请在“分配”选项卡上,选择“+ 添加 Microsoft Entra 用户或用户组”。 在打开的新窗格中,选中要添加的用户或组旁边的框,然后选择“选择”

    完成此选项卡后,选择“下一步: 工作区”

  5. 可选:如果要创建桌面应用程序组,可在“工作区”选项卡上填写以下信息,从所选主机池注册默认桌面应用程序组

    参数 值/说明
    注册应用程序组 选择。 此操作会将默认桌面应用程序组注册到选定的工作区。
    注册应用程序组 从列表中选择现有工作区。

    完成此选项卡后,选择“下一步: 高级”

  6. 可选:若要启用诊断设置,请在“高级”选项卡上填写以下信息

    参数 值/说明
    启用诊断设置 选择相应的框。
    选择要向其发送日志的目标详细信息 选择以下目标之一:

    - 发送到 Log Analytics 工作区

    - 存档到存储帐户

    - 流式传输到事件中心

    完成此选项卡后,选择“下一步: 标记”

  7. 可选:在“标记”选项卡上,可以输入所需的任何名称/值对,然后选择“下一步: 查看 + 创建”

  8. 在“查看 + 创建”选项卡上,确保验证通过并查看部署期间将使用的信息

  9. 选择“创建”以创建应用程序组。

  10. 选择“转到资源”以转到新应用程序组的概述,然后选择“属性”以查看其属性

注意

  • 如果创建了桌面应用程序组、分配了用户或组,并将默认桌面应用程序组注册到工作区,那么分配的用户可以连接到桌面,并且你不需要完成本文的其余部分。

  • 如果创建了 RemoteApp 应用程序组、添加了应用程序,并且分配了用户或组,请转到将应用程序组添加到工作区部分并完成本文的其余部分。

  • 如果未添加应用程序、未分配用户或组,或者未将应用程序组注册到工作区,请转到下一部分并完成本文的其余部分。

将应用程序组添加到工作区

接下来,要将应用程序组添加到工作区,请选择方案的相关选项卡并执行以下步骤。

下面介绍如何使用 Azure 门户将应用程序组添加到工作区:

  1. 在 Azure 虚拟桌面概述中,选择“工作区”,然后选择要将应用程序组分配到的工作区的名称

  2. 在工作区概述中,选择“应用程序组”,然后选择“+ 添加”

  3. 在列表中,选择应用程序组旁边的加号图标 (+)。 仅列出尚未分配给工作区的应用程序组。

  4. 选择“选择”。 应用程序组会添加到该工作区。

将用户分配给应用程序组

最后,要将用户或用户组分配给应用程序组,请选择方案的相关选项卡,然后执行以下步骤。 我们建议将用户组分配给应用程序组,以简化正在进行的管理。

下面介绍如何使用 Azure 门户将用户或用户组分配给应用程序组:

  1. 在 Azure 虚拟桌面概述中,选择“应用程序组”

  2. 从列表中选择应用程序组。

  3. 在应用程序组概述中,选择“分配”

  4. 选择“+ 添加”,然后搜索并选择要分配给此应用程序组的用户帐户或用户组

  5. 最后选择“选择”

相关内容

部署 Azure 虚拟桌面后,用户可以从多个平台(包括 Web 浏览器)进行连接。 有关详细信息,请参阅 Azure 虚拟桌面的远程桌面客户端使用远程桌面 Web 客户端连接到 Azure 虚拟桌面

下面是可能需要执行的一些额外任务: