Azure 虚拟桌面的先决条件
在开始使用 Azure 虚拟桌面之前需要满足的条件。 在此处可以找到成功为用户提供桌面和应用所要满足的先决条件。
概括而言,你需要:
- 具有活动订阅的 Azure 帐户
- 支持的标识提供者
- 会话主机虚拟机支持的操作系统
- 适当的许可证
- 网络连接
- 一个远程桌面客户端
具有有效订阅的 Azure 帐户
需要使用一个具有有效订阅的 Azure 帐户来部署 Azure 虚拟桌面。 如果你没有帐户,可以免费创建一个帐户。
若要部署 Azure 虚拟桌面,需要分配相关的 Azure 基于角色的访问控制 (RBAC) 角色。 后续步骤部分中列出的有关部署 Azure 虚拟桌面的每篇文章介绍了具体的角色要求。
此外,请确保为订阅注册了 Microsoft.DesktopVirtualization 资源提供程序。 若要检查资源提供程序的状态并根据需要注册,请选择适用于你的场景的相关选项卡,然后按照以下步骤操作。
重要
必须拥有注册资源提供程序(这需要执行 */register/action
操作)的权限。 如果你在自己的订阅中为账户分配参与者或所有者角色,则已拥有此权限。
登录 Azure 门户。
选择 订阅。
选择你的订阅名称。
选择“资源提供程序”。
搜索“Microsoft.DesktopVirtualization”。
如果状态为“NotRegistered”,请选择“Microsoft.DesktopVirtualization”,然后选择“注册”。
验证 Microsoft.DesktopVirtualization 的状态是否为“Registered”。
标识
若要从会话主机访问桌面和应用程序,用户需要能够进行身份验证。 Microsoft Entra ID 是 Microsoft 的集中式云标识服务,可以实现此功能。 始终使用 Microsoft Entra ID 对 Azure 虚拟桌面的用户进行身份验证。 可将会话主机加入同一个 Microsoft Entra 租户,或者使用 Active Directory 域服务 (AD DS) 或 Microsoft Entra 域服务将其加入 Active Directory 域,这样你就可以获得灵活的配置选项。
会话主机
你需要将提供桌面和应用程序的会话主机加入与你的用户相同的 Microsoft Entra 租户,或加入 Active Directory 域(AD DS 或 Microsoft Entra 域服务)。
注意
对于 Azure Local,只能将会话主机加入 Active Directory 域服务域。 只能将 Azure Local 上的会话主机加入 Active Directory 域服务 (AD DS) 域。 这包括使用 Microsoft Entra 混合联接,借此方法可以从 Microsoft Entra ID 提供的一些功能中受益。
若要将会话主机加入 Microsoft Entra ID 或 Active Directory 域,需要以下权限:
对于 Microsoft Entra ID,需要一个可将计算机加入你租户的帐户。 有关详细信息,请参阅管理设备标识。 若要了解有关将会话主机加入 Microsoft Entra ID 的详细信息,请参阅 已加入 Microsoft Entra 的会话主机。
对于 Active Directory 域,你需要一个可以将计算机加入域的域帐户。 对于 Microsoft Entra 域服务,你需要是 AAD DC 管理员组的成员。
用户
你的用户需要 Microsoft Entra ID 中的帐户。 如果你还要在 Azure 虚拟桌面的部署中使用 AD DS 或 Microsoft Entra 域服务,则这些帐户需为混合标识,这意味着用户帐户会同步。 根据你使用的标识提供者,需要记住以下几点:
- 如果将 Microsoft Entra ID 与 AD DS 配合使用,则需要配置 Microsoft Entra Connect,以便在 AD DS 和 Microsoft Entra ID 之间同步用户标识数据。
- 如果将 Microsoft Entra ID 与 Microsoft Entra 域服务配合使用,则用户帐户将从 Microsoft Entra ID 单向同步到 Microsoft Entra 域服务。 此同步过程是自动的。
重要
用户帐户必须存在于用于 Azure 虚拟桌面的 Microsoft Entra 租户中。 Azure 虚拟桌面不支持 B2B、B2C 或个人 Microsoft 帐户。
使用混合标识时,UserPrincipalName (UPN) 或安全标识符 (SID) 必须在 Active Directory 域服务和 Microsoft Extra ID 之间匹配。 有关详细信息,请参阅支持的标识和身份验证方法。
支持的标识方案
下表汇总了 Azure 虚拟桌面目前支持的标识方案:
标识方案 | 会话主机 | 用户帐户 |
---|---|---|
Microsoft Entra ID + AD DS | 加入 AD DS | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
Microsoft Entra ID + AD DS | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
Microsoft Entra ID + Microsoft Entra 域服务 | 已加入 Microsoft Entra 域服务 | 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步 |
Microsoft Entra ID + Microsoft Entra 域服务 + AD DS | 已加入 Microsoft Entra 域服务 | 在 Microsoft Entra ID 和 AD DS 中,已同步 |
Microsoft Entra ID + Microsoft Entra 域服务 | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 和 Microsoft Entra 域服务中,已同步 |
仅限 Microsoft Entra | 已加入 Microsoft Entra ID | 在 Microsoft Entra ID 中 |
有关支持的标识方案(包括单一登录和多重身份验证)的更多详细信息,请参阅支持的标识和身份验证方法。
FSLogix 配置文件容器
要在将会话主机加入 Microsoft Entra ID 时使用 FSLogix 配置文件容器,需要将配置文件存储在 Azure 文件存储中,并且用户帐户必须为混合标识。 必须在 AD DS 中创建这些帐户并将其同步到 Microsoft Entra ID。 若要详细了解如何使用不同的标识方案部署 FSLogix 配置文件容器,请参阅以下文章:
- 使用 Azure 文件和 Active Directory 域服务或 Microsoft Entra 域服务设置 FSLogix 配置文件容器。
- 使用 Azure 文件存储和 Microsoft Entra ID创建 FSLogix 配置文件容器。
部署参数
部署会话主机时,需要输入以下标识参数:
- 域名(如果使用 AD DS 或 Microsoft Entra 域服务)。
- 用于将会话主机加入域的凭据。
- 组织单位 (OU),这是一个可选参数,让你可以在部署时将会话主机放入所需的 OU 中。
重要
用于加入域的帐户不能启用多重身份验证 (MFA)。
操作系统和许可证
你可以选择操作系统 (OS),便于会话主机用来提供桌面和应用程序。 可以使用具有不同主机池的不同操作系统来为用户提供灵活性。 我们支持以下表列表中的 64 位操作系统和 SKU(其中支持的版本和日期符合 Microsoft 生命周期策略),以及适用于每项商业用途的许可方法:
操作系统 (仅 64 位) |
许可方法 (内部商业用途) |
许可方法 (外部商业用途) |
---|---|---|
|
|
|
|
按用户访问定价不适用于 Windows Server 操作系统。 |
若要详细了解可以使用的许可证(包括按用户访问定价),请参阅对 Azure 虚拟桌面进行许可。
重要
- 会话主机不支持以下项:
- 32 位操作系统。
- N、KN、LTSC 和其他版本的 Windows 操作系统未在上表中列出。
- 超级磁盘 - OS 磁盘类型。
- 用于 Azure VM 的临时 OS 磁盘。
- 虚拟机规模集。
- 基于 Arm64 的 Azure VM。
你可以使用 Microsoft 在 Azure 市场中提供的操作系统映像,或者创建存储在 Azure Compute Gallery 中或存储为托管映像的自有自定义映像。 使用 Azure 虚拟桌面的自定义映像模板,可以轻松创建可在部署会话主机虚拟机 (VM) 时使用的自定义映像。 若要详细了解如何创建自定义映像,请参阅:
可以使用以下任一方法从这些映像部署要用作会话主机的虚拟机 (VM):
- 在 Azure 门户中作为主机池设置过程的一部分自动部署。
- 在 Azure 门户中通过将会话主机添加到Azure 门户中的现有主机池手动部署。
- 使用 Azure CLI 或 PowerShell 以编程方式部署。
如果你的许可证使你可以使用 Azure 虚拟桌面,则无需安装或应用单独的许可证,但如果对外部用户使用按用户访问定价,则需要注册 Azure 订阅。 需要确保在 Azure 中正确分配会话主机上使用的 Windows 许可证,并激活操作系统。 有关详细信息,请参阅将 Windows 许可证应用于会话主机虚拟机。
网络
需要满足几项网络要求才能成功部署 Azure 虚拟桌面。 这样,用户才能连接到他们的桌面和应用程序,同时获得最佳用户体验。
连接到 Azure 虚拟桌面的用户安全地与服务建立反向连接,这意味着无需打开任何入站端口。 默认情况下使用端口 443 上的传输控制协议 (TCP),但 RDP 短路径可用于建立基于直接用户数据报协议 (UDP) 的传输的托管网络和公共网络。
要成功部署 Azure 虚拟桌面,需要满足以下网络要求:
需要为会话主机创建虚拟网络和子网。 如果在创建主机池的同时创建会话主机,则必须提前为会话主机创建此虚拟网络,这样,该虚拟网络才会显示在下拉列表中。 虚拟网络必须位于会话主机所在的同一 Azure 区域。
如果使用 AD DS 或 Microsoft Entra 域服务,请确保此虚拟网络可以连接到你的域控制器和相关的 DNS 服务器,因为需要将会话主机加入域。
会话主机和用户需要能够连接到 Azure 虚拟桌面服务。 这些连接还在端口 443 上使用 TCP 连接到特定的 URL 列表。 有关详细信息,请参阅所需 URL 的列表。 必须确保这些 URL 未被网络筛选或防火墙阻止,这样,部署才能正常进行并受支持。 如果用户需要访问 Microsoft 365,请确保会话主机可以连接到 Microsoft 365 终结点。
也请考虑以下要求:
你的用户可能需要访问托管在不同网络上的应用程序和数据,因此请确保会话主机可以连接到这些网络。
从客户端网络到包含主机池的 Azure 区域的往返时间 (RTT) 延迟应小于 150 毫秒。 为了优化网络性能,我们建议在离用户最近的 Azure 区域中创建会话主机。
使用用于 Azure 虚拟桌面部署的 Azure 防火墙来帮助锁定环境并筛选出站流量。
为了帮助保护 Azure 中的 Azure 虚拟桌面环境,建议不要在会话主机上打开入站端口 3389。 Azure 虚拟桌面不需要打开入站端口。 如果必须打开端口 3389 以进行故障排除,我们建议你使用实时 VM 访问。 另外建议不要向会话主机分配公共 IP 地址。
有关详细信息,请参阅了解 Azure 虚拟桌面网络连接。
注意
为了让 Azure 虚拟桌面保持可靠且可缩放,我们会聚合流量模式和使用情况,以检查基础结构控制平面的运行状况和性能。 我们会从存在服务基础结构的所有位置聚合此信息,然后将其发送到美国区域。 发送到美国区域的数据包括清理数据,但不包括客户数据。 有关详细信息,请参阅 Azure 虚拟桌面的数据位置。
会话主机管理
管理会话主机时,请考虑以下要点:
- 不要启用任何禁用 Windows Installer 的策略或配置。 如果禁用 Windows Installer,则该服务将无法在你的会话主机上安装代理更新,并且会话主机将无法正常运行。
要详细了解 Azure 虚拟桌面服务的体系结构和复原能力,请参阅 Azure 虚拟桌面服务体系结构和复原能力。
远程桌面客户端
你的用户需要远程桌面客户端来连接到桌面和应用程序。 以下客户端支持 Azure 虚拟桌面:
重要
Azure 虚拟桌面不支持从 RemoteApp 和桌面连接 (RADC) 客户端或远程桌面连接 (MSTSC) 客户端进行连接。
若要了解客户端用于连接的 URL 以及必须允许哪些 URL 通过防火墙和 Internet 筛选器,请参阅所需 URL 的列表。
后续步骤
有关创建示例基础结构这一开始使用 Azure 虚拟桌面的简单方法,请参阅教程:在 Windows 11 桌面中部署示例 Azure 虚拟桌面基础结构。
有关部署 Azure 虚拟桌面的更深入且可适应的方法,请参阅部署 Azure 虚拟桌面。