Escritorios remotos de sesiones múltiples de Windows 10 o Windows 11 Empresas

Sesiones múltiples de Azure Virtual Desktop con Microsoft Intune

Ahora puede usar Microsoft Intune para administrar escritorios remotos de sesión múltiple de Windows 10 o Windows 11 Enterprise en el Centro de administración de Microsoft Intune, del mismo modo que puede administrar un dispositivo cliente de Windows 10 o Windows 11 compartido. Al administrar dichas máquinas virtuales , podrá usar la configuración basada en dispositivos destinada a dispositivos o la configuración basada en el usuario destinada a los usuarios.

Las sesiones múltiples de Windows 10 o Windows 11 Enterprise son un nuevo host de sesión de Escritorio remoto exclusivo para Azure Virtual Desktop en Azure. Proporciona las ventajas siguientes:

  • Permite varias sesiones de usuario simultáneas.
  • Proporciona a los usuarios una experiencia Windows 10 o Windows 11.
  • Admite el uso de licencias de Microsoft 365 por usuario existentes.

Puede administrar VM de Windows 10 y multisesión de Windows 11 Enterprise creadas en Azure Government Cloud in US Government Community (GCC), GCC High y DoD.

Importante

La compatibilidad de Microsoft Intune con sesiones múltiples de Azure Virtual Desktop no está disponible actualmente para Citrix DaaS y VMware Horizon Cloud.

Información general

La compatibilidad con la configuración de dispositivos en Microsoft Intune para Windows 10 o Windows 11 Enterprise con varias sesiones está disponible con carácter general (GA). Esto significa que las directivas definidas en el ámbito del sistema operativo y las aplicaciones configuradas para instalarse en el contexto del sistema se pueden aplicar a máquinas virtuales de sesión múltiple de Azure Virtual Desktop cuando se asignan a grupos de dispositivos.

Nota:

La configuración basada en dispositivos no se puede asignar a los usuarios y la configuración basada en el usuario no se puede asignar a los dispositivos. Se notificará como Error o No aplicable.

La compatibilidad con la configuración de usuario en Microsoft Intune para máquinas virtuales con varias sesiones de Windows 10 o Windows 11 está disponible con carácter general. Con esto, puede:

  • Configure las directivas de ámbito de usuario mediante el Catálogo de configuraciones y asígnelas a grupos de usuarios. Puede usar la barra de búsqueda para buscar en todas las configuraciones con el ámbito establecido en "usuario".

  • Configure certificados de usuario y asígnelos a los usuarios.

  • Configure scripts de PowerShell para instalarlos en el contexto del usuario y asignarlos a los usuarios.

Requisitos previos

Esta característica admite máquinas virtuales de sesiones múltiples de Windows 10 o Windows 11 Empresas que cumplan estas características:

  • Ejecutan una sesión múltiple de Windows 10, versión 1903 o posterior, o ejecutan una sesión múltiple de Windows 11.
  • Están configuradas como escritorios remotos en grupos de host agrupados que se han implementado a través de Azure Resource Manager.
  • En el mismo inquilino que Intune.
  • Ejecutan la versión 1.0.2944.1400 o una posterior del agente de Azure Virtual Desktop.
  • Microsoft Entra híbrido unido e inscrito en Microsoft Intune mediante uno de los métodos siguientes:
  • Microsoft Entra unido e inscrito en Microsoft Intune habilitando Inscribir la máquina virtual con Intune en Azure Portal.
  • Licencias: se requiere la licencia adecuada de Azure Virtual Desktop y Microsoft Intune si un usuario o dispositivo se beneficia directa o indirectamente del servicio Microsoft Intune, incluido el acceso al servicio Microsoft Intune a través de una API de Microsoft. Para obtener más información, vaya a Licencias de Microsoft Intune.
  • Consulte ¿Qué es Azure Virtual Desktop? para obtener más información acerca de los requisitos de licencias de Azure Virtual Desktop.

Limitaciones

Intune no admite el uso de una imagen clonada de un equipo que ya está inscrito. Esto incluye dispositivos físicos y virtuales, como Azure Virtual Desktop (AVD). Cuando la inscripción de dispositivos o los tokens de identidad se replican entre dispositivos, se producirán errores de sincronización o inscripción de dispositivos de Intune.

Nota:

Si va a unir hosts de sesión a Microsoft Entra Domain Services, no puede administrarlos mediante Intune.

Importante

  • Si usas compilaciones de Windows 10, versiones 2004, 20H2 o 21H1, asegúrate de instalar windows Update de julio de 2021 o una actualización posterior de Windows. De lo contrario, las acciones remotas en el Centro de administración de Microsoft Intune, como la sincronización remota, no funcionarán correctamente. Como resultado, las directivas pendientes asignadas a los dispositivos pueden tardar hasta 8 horas en aplicarse.
  • Actualmente, Intune no admite la funcionalidad de itinerancia de tokens entre dispositivos. Si FSLogix, o una tecnología similar, se usa para administrar los perfiles de usuario y la configuración de Windows, debe asegurarse de que los tokens no se mueven o duplican inesperadamente entre dispositivos. Para confirmar que está ejecutando una versión y una configuración compatibles de FSLogix con la itinerancia de tokens deshabilitada, consulte la Referencia de configuración de RoamIdentity de FSLogix.

Las máquinas virtuales de sesión múltiple de Windows 10 o Windows 11 Enterprise se tratan como una edición de sistema operativo independiente y algunas configuraciones de Windows 10 o Windows 11 Enterprise no se admitirán para esta edición. El uso de Microsoft Intune no depende ni interfiere con la administración de Azure Virtual Desktop de la misma máquina virtual.

Crear el perfil de configuración

Para configurar directivas de configuración para máquinas virtuales de sesión múltiple de Windows 10 o Windows 11 Enterprise, deberá usar el catálogo Configuración en el Centro de administración de Microsoft Intune.

Las plantillas de perfil de configuración de dispositivo existentes no se admiten para máquinas virtuales de sesiones múltiples de Windows 10 o Windows 11Enterprise, a excepción de las plantillas siguientes:

  • Certificado de confianza : dispositivo (máquina) al dirigirse a dispositivos y usuario al dirigirse a usuarios
  • Certificado SCEP : dispositivo (máquina) al dirigirse a dispositivos y usuario al dirigirse a usuarios
  • Certificado PKCS : dispositivo (máquina) al dirigirse a dispositivos y usuario al dirigirse a usuarios
  • VPN: solo dispositivo Tunnel

Microsoft Intune no entregará plantillas no admitidas a los dispositivos de sesiones múltiples, y esas directivas aparecen como No aplicables en los informes.

Nota:

Si usa la administración conjunta para Intune y Configuration Manager, en Configuration Manager, establezca el control deslizante de la carga de trabajo de las directivas de acceso a los recursos en Intune o Intune piloto. Esta configuración permite a los clientes de Windows 10 y Windows 11 iniciar el proceso de solicitud del certificado.

Para configurar directivas

  1. Inicie sesión en el Centro de administración de Microsoft Intune y elija Dispositivos>por plataforma>Windows>Administrar dispositivos>Configuración>Crear>nueva directiva.
  2. En Plataforma, seleccione Windows 10 y versiones posteriores.
  3. En Tipo de perfil, seleccione Catálogo de configuración o, al implementar la configuración mediante una plantilla, seleccione Plantillas y, a continuación, el nombre de la plantilla admitida.
  4. Seleccione Crear.
  5. En la página Aspectos básicos, proporcione un Nombre y (opcionalmente) Descripción> Siguiente.
  6. En la página Opciones de configuración, seleccione Agregar configuración.
  7. En Selector de configuración, elija Agregar filtro y seleccione las siguientes opciones:
    • Clave:edición del sistema operativo
    • Operator: ==
    • Valor:sesiones múltiples de Enterprise
    • Seleccione Aplicar. La lista filtrada ahora muestra todas las categorías de perfil de configuración que admiten las sesiones múltiples de Windows 10 o Windows 11 Enterprise. El ámbito de una directiva se muestra entre paréntesis. Para el ámbito de usuario, se muestra como (Usuario) y el resto son directivas con ámbito de dispositivo.
  8. En la lista filtrada, elija las categorías que desee.
    • Para cada categoría que elija, seleccione la configuración que desea aplicar al nuevo perfil de configuración.
    • Para cada opción de configuración, seleccione el valor que desea para este perfil de configuración.
  9. Seleccione Siguiente cuando haya terminado de agregar la configuración.
  10. En la página Asignaciones, elija los grupos de Microsoft Entra que contienen los dispositivos a los que desea asignar > este perfil Siguiente.
  11. En la página Etiquetas de ámbito , agregue opcionalmente las etiquetas de ámbito que desea aplicar a este perfil >Siguiente. Para obtener más información sobre las etiquetas de ámbito, consulte Usar el control de acceso basado en roles y las etiquetas de ámbito para TI distribuida.
  12. En la página Revisión y creación, elija Crear para crear un perfil.

Plantillas administrativas

Las plantillas administrativas de Windows 10 o Windows 11 se admiten en las sesiones múltiples de Windows 10 o Windows 11 Enterprise a través del catálogo de configuración, con algunas limitaciones:

  • Se admiten directivas respaldadas por ADMX. Algunas directivas aún no están disponibles en el catálogo Configuración.
  • Se admiten directivas ingeridas por ADMX, incluida la configuración de Office y Microsoft Edge disponible en los archivos de plantilla administrativa de Office y Microsoft Edge. Para obtener una lista completa de las categorías de directivas ingeridas por ADMX, consulte Configuración de directiva de aplicaciones de Win32 y Puente de escritorio. Algunas configuraciones ingeridas de ADMX no se aplicarán a las sesiones múltiples de Windows 10 o Windows 11 Enterprise.

Para enumerar las plantillas administrativas admitidas, deberá usar el filtro en el catálogo Configuración.

Cumplimiento y acceso condicional

Puede proteger las máquinas virtuales de sesión múltiple de Windows 10 o Windows 11 Enterprise mediante la configuración de directivas de cumplimiento y directivas de acceso condicional en el Centro de administración de Microsoft Intune. Las siguientes directivas de cumplimiento se admiten en máquinas virtuales de sesiones múltiples de Windows 10 o Windows 11 Enterprise:

  • Versión de SO mínima
  • Versión de SO máxima
  • Compilaciones válidas del sistema operativo
  • Contraseñas sencillas
  • Tipo de contraseña
  • Longitud mínima de la contraseña
  • Complejidad de contraseña
  • Expiración de contraseña (días)
  • Número de contraseñas anteriores que no se pueden reutilizar
  • Antimalware de Microsoft Defender
  • Actualización de la inteligencia de seguridad de Antimalware de Microsoft Defender
  • Firewall
  • Antivirus
  • Antiespía
  • Protección en tiempo real
  • Versión mínima de Antimalware de Microsoft Defender
  • Puntuación de riesgo de ATP de Defender

Todas las demás directivas se notifican como No aplicable.

Importante

Tendrá que crear una nueva directiva de cumplimiento y dirigirla al grupo de dispositivos que contiene las máquinas virtuales de varias sesiones. No se admiten las configuraciones de cumplimiento de destino del usuario.

Las directivas de acceso condicional admiten configuraciones basadas en usuarios y dispositivos para las sesiones múltiples de Windows 10 o Windows 11 Enterprise.

Nota:

Las sesiones múltiples de máquinas virtuales de Windows 10 o Windows 11 Enterprise no admiten elAcceso condicional a Exchange local.

Nota:

Las directivas de configuración y cumplimiento de BitLocker, arranque seguro y características que aprovechan vTPM (módulo de plataforma de confianza virtual) no se admiten en este momento para las máquinas virtuales de Azure Virtual Desktop.

Seguridad de punto de conexión

Puede configurar perfiles en Seguridad de puntos de conexión para máquinas virtuales de varias sesiones si selecciona Plataforma de Windows 10, Windows 11 y Windows Server. Si esa plataforma no está disponible, el perfil no se admite en máquinas virtuales de varias sesiones.

Para obtener más información, consulte Administrar la seguridad de los dispositivos con directivas de seguridad de punto de conexión en Microsoft Intune

Implementación de aplicaciones

Todas las aplicaciones de Windows 10 o Windows 11 se pueden implementar en sesiones múltiples de Windows 10 o Windows 11 Enterprise con las restricciones siguientes:

  • Todas las aplicaciones deben configurarse para instalarse en el contexto del sistema o dispositivo y estar destinadas a dispositivos. Las aplicaciones web siempre se aplican en el contexto del usuario de forma predeterminada, por lo que no se aplicarán a las máquinas virtuales de sesiones múltiples.
  • Todas las aplicaciones deben configurarse con la intención de asignación de aplicaciones Requerido o Desinstalar. La intención de implementación Aplicaciones disponibles no se admite en máquinas virtuales de sesiones múltiples.
  • Si una aplicación Win32 configurada para instalarse en el contexto del sistema tiene dependencias o relación de sustitución en las aplicaciones configuradas para instalarse en el contexto de usuario, la aplicación no se instalará. Para aplicar a una máquina virtual de Windows 10 o Windows 11 Enterprise sesión múltiple, cree una instancia independiente de la aplicación de contexto del sistema o asegúrese de que todas las dependencias de la aplicación estén configuradas para instalarse en el contexto del sistema.
  • RemoteApp de Azure Virtual Desktop y la conexión de aplicaciones MSIX no se admiten actualmente en Microsoft Intune.

Implementación de scripts

Los scripts configurados para ejecutarse en el contexto del sistema y asignados a dispositivos se admiten en sesiones múltiples de Windows 10 o Windows 11 Enterprise. Esto puede configurarse en la configuración de scripts estableciendo Ejecutar este script con las credenciales de inicio de sesión en No.

Los scripts configurados para ejecutarse en el contexto de usuario y asignados a los usuarios se admiten en sesiones múltiples de Windows 10 y Windows 11 Enterprise. Esto se puede configurar en Configuración de script estableciendo Ejecutar este script con las credenciales iniciadas en .

Windows Update para empresas

Puede usar el catálogo de configuración para configurar Windows Update y obtener actualizaciones de calidad (seguridad) para las máquinas virtuales de sesiones múltiples de Windows 10 o Windows 11 Enterprise. Para buscar la configuración con soporte en el catálogo, configure un filtro de configuración para sesiones múltiples de Enterprise y, a continuación, expanda la categoría Windows Update para empresas.

La siguientes configuraciones están disponibles en el catálogo, con los vínculos que abren la documentación de Windows CSP:

Acciones remotas

Las siguientes acciones remotas de dispositivos de escritorio de Windows 10 o Windows 11 no son compatibles y aparecerán en gris en la interfaz de usuario y desactivadas en Graph para las máquinas virtuales de sesiones múltiples de Windows 10 o Windows 11 Enterprise:

  • Restablecimiento de Autopilot
  • Rotación de clave de BitLocker
  • Comienzo de cero
  • Bloqueo remoto
  • Restablecer contraseña
  • Barrido

Retiradas

La eliminación de máquinas virtuales de Azure dejará registros de dispositivos huérfanos en el Centro de administración de Microsoft Intune. Se limpiarán automáticamente según las reglas de limpieza configuradas para el inquilino.

Líneas base de seguridad

En este momento, no hay líneas base de seguridad disponibles para la sesión múltiple en Windows 10 o Windows 11 Enterprise. Se recomienda revisar las líneas base de seguridad disponibles y configurar las directivas y los valores recomendados en el catálogo de configuración.

Configuraciones adicionales que no se admiten en máquinas virtuales de sesiones múltiples de Windows 10 o Windows 11 Enterprise

No se admite la inscripción de la configuración rápida (OOBE) para las sesiones múltiples de Windows 10 o Windows 11 Enterprise. Esta restricción significa que:

  • No se admiten Windows Autopilot y la OOBE comercial.
  • No se admite la página de estado de inscripción.

Actualmente las sesiones múltiples de Windows 10 o Windows 11 Enterprise administrado por Microsoft Intune no se admiten para la nube soberana de China.

Solución de problemas

En las secciones siguientes se proporcionan instrucciones para solucionar problemas comunes.

Problemas de inscripción

Problema Detalles
Se produce un error en la inscripción de una máquina virtual combinada híbrida de Microsoft Entra
  • La inscripción automática está configurada para que use las credenciales de usuario. Las máquinas virtuales de sesiones múltiples de Windows 10 o Windows 11 Enterprise deben inscribirse con las credenciales del dispositivo.
  • El agente de Azure Virtual Desktop que usa debe ser la versión 1.0.2944.1400 o posterior.
  • Tienes más de un proveedor de MDM, que no es compatible.
  • La máquina virtual de sesiones múltiples de Windows 10 o Windows 11 Enterprise está configurada fuera de un grupo de servidores host. Microsoft Intune solo admite máquinas virtuales aprovisionadas como parte de un grupo de host.
  • El grupo de host de Azure Virtual Desktop no se creó a través de la plantilla de Azure Resource Manager.
Se produce un error en la inscripción de la máquina virtual unida a Microsoft Entra
  • El agente de Azure Virtual Desktop que usa no se actualiza. El agente debe ser la versión 1.0.2944.1400 o posterior.
  • El grupo de host de Azure Virtual Desktop no se creó a través de la plantilla administrador de recursos de Azure.

Problemas de configuración

Problema Detalles
Error en la directiva del catálogo de configuración Confirme que la máquina virtual está inscrita con credenciales de dispositivo. Actualmente, no se admite la inscripción con credenciales de usuario para las sesiones múltiples de Windows 10 o Windows 11 Enterprise.
No se aplica la directiva de configuración Las plantillas (a excepción de los certificados) no se admiten en las sesiones múltiples de Windows 10 o Windows 11 Enterprise. Todas las directivas deben crearse a través del catálogo de configuración.
Informes de directivas de configuración como No aplicables Algunas directivas no se aplican a las máquinas virtuales de Azure Virtual Desktop.
La directiva ADMX de Microsoft Edge/Microsoft Office no aparece cuando se aplica el filtro para la edición de sesiones múltiples de Windows 10 o Windows 11 Enterprise La aplicabilidad de esta configuración no depende de la versión o de la edición de Windows, sino de que dichas aplicaciones se hayan instalado en el dispositivo. Para agregar esta configuración a la directiva, es posible que tenga que quitar los filtros aplicados en el selector de configuración.
La aplicación configurada para instalarse en el contexto del sistema no se aplicó Confirma que la aplicación no tiene una relación de dependencia o sustitución en ninguna aplicación configurada para instalarse en el contexto del usuario. Las aplicaciones de contexto de usuario no se admiten actualmente en las sesiones múltiples de Windows 10 o Windows 11 Enterprise.
No se aplicaron anillos de actualización para la directiva de Windows 10 y versiones posteriores Las directivas de anillos de Windows Update no se admiten actualmente. Las actualizaciones de calidad se pueden administrar a través de la configuración disponible en el catálogo de configuración.

Siguientes pasos

Obtenga más información sobre Azure Virtual Desktop.