Požadavky pro Azure Virtual Desktop
Je potřeba začít používat Azure Virtual Desktop. Tady najdete předpoklady, které potřebujete k úspěšnému poskytování desktopů a aplikací uživatelům.
Na vysoké úrovni potřebujete:
- Účet Azure s aktivním předplatným
- Podporovaný zprostředkovatel identity
- Podporovaný operační systém pro hostitelské virtuální počítače relace
- Příslušné licence
- Připojení k síti
- Klient vzdálené plochy
Účet Azure s aktivním předplatným
K nasazení služby Azure Virtual Desktop potřebujete účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
Pokud chcete nasadit Azure Virtual Desktop, musíte přiřadit příslušné role řízení přístupu na základě role v Azure (RBAC). Konkrétní požadavky na role jsou popsané v jednotlivých souvisejících článcích o nasazení služby Azure Virtual Desktop, které jsou uvedené v části Další kroky .
Ujistěte se také, že jste pro své předplatné zaregistrovali poskytovatele prostředků Microsoft.DesktopVirtualization . Pokud chcete zkontrolovat stav poskytovatele prostředků a v případě potřeby zaregistrovat, vyberte příslušnou kartu pro váš scénář a postupujte podle pokynů.
Důležité
Musíte mít oprávnění k registraci poskytovatele prostředků, který vyžaduje */register/action
operaci. To je zahrnuté v případě, že je vašemu účtu přiřazena role přispěvatele nebo vlastníka vašeho předplatného.
Přihlaste se k portálu Azure.
Vyberte Předplatná.
Vyberte název předplatného.
Vyberte Poskytovatelé prostředků.
Vyhledejte Microsoft.DesktopVirtualization.
Pokud je stav NotRegistered, vyberte Microsoft.DesktopVirtualization a pak vyberte Zaregistrovat.
Ověřte, že je stav Microsoft.DesktopVirtualization zaregistrovaný.
Identita
Aby uživatelé mohli přistupovat k desktopům a aplikacím z hostitelů relací, musí být schopni provést ověření. Microsoft Entra ID je centralizovaná cloudová služba identit od Microsoftu, která tuto funkci umožňuje. ID Microsoft Entra se vždy používá k ověřování uživatelů pro Azure Virtual Desktop. Hostitelé relací se můžou připojit ke stejnému tenantovi Microsoft Entra nebo k doméně služby Active Directory pomocí služby Doména služby Active Directory Services (AD DS) nebo služby Microsoft Entra Domain Services a poskytnout vám možnost volby flexibilní konfigurace.
Hostitelé relací
Musíte se připojit k hostitelům relací, kteří poskytují desktopy a aplikace stejnému tenantovi Microsoft Entra jako vaši uživatelé, nebo k doméně služby Active Directory (AD DS nebo Microsoft Entra Domain Services).
Poznámka:
V případě Azure Stack HCI se můžete připojit pouze k hostitelům relací k doméně Doména služby Active Directory Services. K doméně služby Doména služby Active Directory Services (AD DS) můžete připojit pouze hostitele relací ve službě Azure Stack HCI. To zahrnuje použití hybridního připojení Microsoft Entra, kde můžete využít některé z funkcí poskytovaných Microsoft Entra ID.
Pokud chcete připojit hostitele relací k Microsoft Entra ID nebo doméně služby Active Directory, potřebujete následující oprávnění:
V případě ID Microsoft Entra potřebujete účet, který může připojit počítače k vašemu tenantovi. Další informace najdete v tématu Správa identit zařízení. Další informace o připojování hostitelů relací k ID Microsoft Entra najdete v tématu Hostitelé relací připojených k Microsoft Entra.
Pro doménu služby Active Directory potřebujete účet domény, který může připojit počítače k vaší doméně. Pro službu Microsoft Entra Domain Services byste museli být členem skupiny AAD DC Administrators.
Uživatelé
Vaši uživatelé potřebují účty, které jsou v Microsoft Entra ID. Pokud ve svém nasazení služby Azure Virtual Desktop používáte také službu AD DS nebo Microsoft Entra Domain Services, musí být tyto účty hybridními identitami, což znamená, že uživatelské účty se synchronizují. Na základě toho, kterého zprostředkovatele identity používáte, musíte mít na paměti následující věci:
- Pokud používáte Microsoft Entra ID se službou AD DS, musíte nakonfigurovat Microsoft Entra Connect tak, aby synchronizoval data identit uživatelů mezi AD DS a Microsoft Entra ID.
- Pokud používáte MICROSOFT Entra ID se službou Microsoft Entra Domain Services, uživatelské účty se synchronizují jedním ze způsobů, jak se z ID Microsoft Entra do služby Microsoft Entra Domain Services. Tento proces synchronizace je automatický.
Důležité
Uživatelský účet musí existovat v tenantovi Microsoft Entra, který používáte pro Azure Virtual Desktop. Azure Virtual Desktop nepodporuje účty B2B, B2C ani osobní účty Microsoft.
Při použití hybridních identit se musí identifikátor UPN (UserPrincipalName) nebo IDENTIFIKÁTOR zabezpečení (SID) shodovat mezi službami Doména služby Active Directory a ID Microsoft Entra. Další informace najdete v tématu Podporované identity a metody ověřování.
Podporované scénáře identit
Následující tabulka shrnuje scénáře identit, které Azure Virtual Desktop aktuálně podporuje:
Scénář identity | Hostitelé relací | Uživatelské účty |
---|---|---|
Microsoft Entra ID + AD DS | Připojeno ke službě AD DS | V Microsoft Entra ID a AD DS, synchronizované |
Microsoft Entra ID + AD DS | Připojeno k Microsoft Entra ID | V Microsoft Entra ID a AD DS, synchronizované |
Microsoft Entra ID + Microsoft Entra Domain Services | Připojeno ke službě Microsoft Entra Domain Services | V Microsoft Entra ID a Microsoft Entra Domain Services synchronizované |
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Připojeno ke službě Microsoft Entra Domain Services | V Microsoft Entra ID a AD DS, synchronizované |
Microsoft Entra ID + Microsoft Entra Domain Services | Připojeno k Microsoft Entra ID | V Microsoft Entra ID a Microsoft Entra Domain Services synchronizované |
Pouze Microsoft Entra | Připojeno k Microsoft Entra ID | V Microsoft Entra ID |
Podrobnější informace o podporovaných scénářích identit, včetně jednotného přihlašování a vícefaktorového ověřování, najdete v tématu Podporované identity a metody ověřování.
Kontejner profilu FSLogix
Pokud chcete při připojování hostitelů relací k ID Microsoft Entra použít kontejner profilů FSLogix, musíte profily ukládat do služby Azure Files nebo Azure NetApp Files a uživatelské účty musí být hybridní identity. Tyto účty musíte vytvořit ve službě AD DS a synchronizovat je s ID Microsoft Entra. Další informace o nasazení kontejneru profilů FSLogix s různými scénáři identit najdete v následujících článcích:
- Nastavte kontejner profilů FSLogix se službami Azure Files a Doména služby Active Directory Services nebo Microsoft Entra Domain Services.
- Nastavte kontejner profilu FSLogix se službou Azure Files a ID Microsoft Entra.
- Nastavení kontejneru profilu FSLogix pomocí služby Azure NetApp Files
Parametry nasazení
Při nasazování hostitelů relací musíte zadat následující parametry identity:
- Název domény, pokud používáte službu AD DS nebo Microsoft Entra Domain Services.
- Přihlašovací údaje pro připojení hostitelů relací k doméně.
- Organizační jednotka (OU), což je volitelný parametr, který umožňuje umístit hostitele relací do požadované organizační jednotky v době nasazení.
Důležité
Účet, který používáte pro připojení k doméně, nemůže mít povolené vícefaktorové ověřování (MFA).
Operační systémy a licence
Máte možnost výběru operačních systémů (OS), které můžete použít pro hostitele relací k poskytování desktopů a aplikací. K zajištění flexibility uživatelů můžete použít různé operační systémy s různými fondy hostitelů. 64bitové operační systémy a skladové položky podporujeme v následujících tabulkách (kde jsou podporované verze a kalendářní data vložené se zásadami životního cyklu Společnosti Microsoft) spolu s licenčními metodami platnými pro každý komerční účel:
Operační systém (pouze 64bitová verze) |
Metoda licencování (Interní komerční účely) |
Metoda licencování (Externí komerční účely) |
---|---|---|
|
|
|
|
Ceny přístupu pro jednotlivé uživatele nejsou dostupné pro operační systémy Windows Server. |
Další informace o licencích, které můžete použít, včetně cen přístupu pro jednotlivé uživatele, najdete v tématu Licencování služby Azure Virtual Desktop.
Důležité
- Hostitelé relací nepodporují následující položky:
- 32bitové operační systémy.
- N, KN, LTSC a další edice operačních systémů Windows, které nejsou uvedené v předchozí tabulce.
- Disky Úrovně Ultra pro typ disku s operačním systémem
- Dočasné disky s operačním systémem pro virtuální počítače Azure
- Škálovací sady virtuálních počítačů
- Virtuální počítače Azure založené na Arm64
Pro Azure můžete použít image operačního systému poskytované Microsoftem na Azure Marketplace nebo vytvořit vlastní image uložené v Galerii výpočetních prostředků Azure nebo jako spravovaná image. Použití vlastních šablon imagí pro Azure Virtual Desktop umožňuje snadno vytvořit vlastní image, kterou můžete použít při nasazování virtuálních počítačů hostitele relace. Další informace o vytváření vlastních imagí najdete tady:
- Vlastní šablony imagí ve službě Azure Virtual Desktop
- Ukládání a sdílení imagí v Galerii výpočetních prostředků Azure
- Vytvoření spravované image generalizovaného virtuálního počítače v Azure
Alternativně můžete pro Azure Stack HCI použít image operačního systému z:
- Na webu Azure Marketplace Další informace najdete v tématu Vytvoření image virtuálního počítače Azure Stack HCI pomocí imagí Azure Marketplace.
- Účet služby Azure Storage. Další informace najdete v tématu Vytvoření image virtuálního počítače Azure Stack HCI pomocí image v účtu Azure Storage.
- Místní sdílená složka. Další informace najdete v tématu Vytvoření image virtuálního počítače Azure Stack HCI pomocí imagí v místní sdílené složce.
Virtuální počítače, které se mají používat jako hostitelé relací z těchto imagí, můžete nasadit pomocí některé z následujících metod:
- Automaticky v rámci procesu nastavení fondu hostitelů na webu Azure Portal.
- Ručně přidáním hostitelů relací do existujícího fondu hostitelů na webu Azure Portal.
- Programově pomocí Azure CLI nebo Azure PowerShellu
Pokud vám vaše licence umožňuje používat Azure Virtual Desktop, nemusíte instalovat ani používat samostatnou licenci, ale pokud pro externí uživatele používáte ceny přístupu pro jednotlivé uživatele, musíte zaregistrovat předplatné Azure. Musíte se ujistit, že licence Windows používaná na hostitelích relací je správně přiřazená v Azure a že je aktivovaný operační systém. Další informace najdete v tématu Použití licence systému Windows na hostitelské virtuální počítače relace.
U hostitelů relací v Azure Stack HCI musíte před použitím s Azure Virtual Desktopem licencovat a aktivovat virtuální počítače, které používáte. K aktivaci více relací Windows 10 a Windows 11 Enterprise a Windows Serveru 2022 Datacenter: Azure Edition použijte ověřování Azure pro virtuální počítače. U všech ostatních imagí operačního systému (například Windows 10 a Windows 11 Enterprise a dalších edicí Windows Serveru) byste měli dál používat stávající metody aktivace. Další informace najdete v tématu Aktivace virtuálních počítačů s Windows Serverem v Azure Stack HCI.
Poznámka:
Pokud chcete zajistit nepřetržitou funkčnost s nejnovější aktualizací zabezpečení, aktualizujte virtuální počítače ve službě Azure Stack HCI na nejnovější kumulativní aktualizaci do 17. června 2024. Tato aktualizace je nezbytná pro virtuální počítače, aby dál používaly výhody Azure. Další informace najdete v tématu Ověřování Azure pro virtuální počítače.
Tip
Kvůli zjednodušení uživatelských přístupových práv během počátečního vývoje a testování podporuje Azure Virtual Desktop ceny azure pro vývoj/testování. Pokud nasadíte Azure Virtual Desktop v předplatném Azure pro vývoj/testování, můžou se koncoví uživatelé připojit k danému nasazení bez samostatného nároku na licence, aby mohli provádět akceptační testy nebo poskytovat zpětnou vazbu.
Síť
K úspěšnému nasazení služby Azure Virtual Desktop je potřeba splnit několik požadavků na síť. Díky tomu se uživatelé připojují ke svým plochám a aplikacím a zároveň jim poskytují co nejlepší uživatelské prostředí.
Uživatelé, kteří se připojují k Azure Virtual Desktopu, bezpečně navazují zpětné připojení ke službě, což znamená, že nemusíte otevírat žádné příchozí porty. Protokol TCP (Transmission Control Protocol) na portu 443 se ve výchozím nastavení používá, ale pro spravované sítě a veřejné sítě, které vytváří přímý přenos založený na protokolu UDP (User Datagram Protocol).
Pokud chcete úspěšně nasadit Azure Virtual Desktop, musíte splnit následující požadavky na síť:
Potřebujete virtuální síť a podsíť pro hostitele relací. Pokud vytváříte hostitele relací současně s fondem hostitelů, musíte tuto virtuální síť vytvořit předem, aby se zobrazila v rozevíracím seznamu. Vaše virtuální síť musí být ve stejné oblasti Azure jako hostitel relace.
Ujistěte se, že se tato virtuální síť může připojit k řadičům domény a relevantním serverům DNS, pokud používáte službu AD DS nebo Microsoft Entra Domain Services, protože potřebujete připojit hostitele relací k doméně.
Hostitelé a uživatelé relace se musí připojit ke službě Azure Virtual Desktop. Tato připojení také používají protokol TCP na portu 443 ke konkrétnímu seznamu adres URL. Další informace najdete v tématu Seznam požadovaných adres URL. Abyste mohli správně fungovat a podporovat nasazení, musíte se ujistit, že tyto adresy URL nejsou zablokované filtrováním sítě nebo bránou firewall. Pokud vaši uživatelé potřebují přístup k Microsoftu 365, ujistěte se, že se hostitelé relací můžou připojit ke koncovým bodům Microsoftu 365.
Zvažte také následující body:
Vaši uživatelé můžou potřebovat přístup k aplikacím a datům hostovaným v různých sítích, aby se k nim hostitelé relací mohli připojit.
Latence doby odezvy (RTT) ze sítě klienta do oblasti Azure, která obsahuje fondy hostitelů, by měla být menší než 150 ms. Pokud chcete zjistit, která umístění mají nejlepší latenci, vyhledejte požadované umístění ve statistikách latence odezvy sítě Azure. Pokud chcete optimalizovat výkon sítě, doporučujeme vytvořit hostitele relací v oblasti Azure, která je nejblíže vašim uživatelům.
Pomocí služby Azure Firewall pro nasazení služby Azure Virtual Desktop můžete zamknout prostředí a filtrovat odchozí provoz.
Pokud chcete zajistit zabezpečení prostředí Služby Azure Virtual Desktop v Azure, doporučujeme neotevřet příchozí port 3389 na hostitelích relací. Azure Virtual Desktop nevyžaduje otevření otevřeného příchozího portu. Pokud musíte otevřít port 3389 pro účely řešení potíží, doporučujeme použít přístup k virtuálním počítačům za běhu. Doporučujeme také nepřiřazovat veřejnou IP adresu hostitelům relací.
Další informace najdete v tématu Principy připojení k síti služby Azure Virtual Desktop.
Poznámka:
Kvůli zajištění spolehlivé a škálovatelné služby Azure Virtual Desktop agregujeme vzorce a využití provozu, abychom zkontrolovali stav a výkon řídicí roviny infrastruktury. Tyto informace agregujeme ze všech umístění, kde je infrastruktura služby, a pak je pošleme do oblasti USA. Data odeslaná do oblasti USA zahrnují vyčistá data, ale ne zákaznická data. Další informace najdete v tématu Umístění dat pro Azure Virtual Desktop.
Správa hostitelů relací
Při správě hostitelů relací zvažte následující body:
Nepovolujte žádné zásady ani konfigurace, které zakazují Instalační službu systému Windows. Pokud instalační službu systému Windows zakážete, nemůže služba instalovat aktualizace agenta na hostitele relací a hostitelé relací nebudou správně fungovat.
Pokud se připojujete k doméně služby AD DS a chcete je spravovat pomocí Intune, musíte nakonfigurovat Microsoft Entra Connect tak, aby povoloval hybridní připojení Microsoft Entra.
Pokud se připojujete k hostitelům relací k doméně služby Microsoft Entra Domain Services, nemůžete je spravovat pomocí Intune.
Pokud pro hostitele relací používáte připojení Microsoft Entra k Windows Serveru, nemůžete je zaregistrovat v Intune, protože Intune nepodporuje Windows Server. Potřebujete použít hybridní připojení Microsoft Entra a zásady skupiny z domény služby Active Directory nebo místní zásady skupiny na každém hostiteli relace.
Oblasti Azure
Fondy hostitelů, pracovní prostory a skupiny aplikací můžete nasadit v následujících oblastech Azure. Tento seznam oblastí je místo, kde se dají ukládat metadata fondu hostitelů. Hostitelé relací pro relace uživatelů se ale můžou nacházet v libovolné oblasti Azure a místně při použití Služby Azure Virtual Desktop v Azure Stack HCI, což vám umožní nasadit výpočetní prostředky blízko uživatelům. Další informace o typech dat a umístění najdete v tématu Umístění dat pro Azure Virtual Desktop.
- Austrálie – východ
- Střední Kanada
- Kanada – východ
- Indie – střed
- USA – střed
- East US
- USA – východ 2
- Japonsko – východ
- USA – středosever
- Severní Evropa
- Středojižní USA
- Spojené království – jih
- Spojené království – západ
- USA – středozápad
- West Europe
- USA – západ
- Západní USA 2
- USA – západ 3
Azure Virtual Desktop je k dispozici také v suverénních cloudech, jako je Azure for US Government a Azure provozovaný společností 21Vianet v Číně.
Další informace o architektuře a odolnosti služby Azure Virtual Desktop najdete v tématu Architektura služby Azure Virtual Desktop a odolnost.
Klienti služby Vzdálená plocha
Vaši uživatelé potřebují klienta vzdálené plochy pro připojení k desktopům a aplikacím. Azure Virtual Desktop podporují následující klienti:
- Desktopový klient Windows
- Aplikace Azure Virtual Desktop Store pro Windows
- Webový klient
- Klient macOS
- Klient pro iOS a iPadOS
- Klient Android a Chrome OS
- Aplikace Vzdálená plocha pro Windows
Důležité
Azure Virtual Desktop nepodporuje připojení z klienta RemoteApp and Desktop Connections (RADC) ani z klienta MSTSC (Remote Desktop Connection).
Informace o tom, které adresy URL klienti používají pro připojení a které musíte povolit prostřednictvím bran firewall a internetových filtrů, najdete v seznamu požadovaných adres URL.
Další kroky
Jednoduchý způsob, jak začít s Azure Virtual Desktopem vytvořením ukázkové infrastruktury, najdete v tématu Kurz: Nasazení ukázkové infrastruktury služby Azure Virtual Desktop s desktopovou plochou s Windows 11.
Podrobnější a přizpůsobitelný přístup k nasazení služby Azure Virtual Desktop najdete v tématu Nasazení služby Azure Virtual Desktop.