App Attach e MSIX App Attach in Desktop virtuale Azure
In Desktop virtuale Azure sono disponibili due funzionalità che consentono di allegare in modo dinamico le applicazioni da un pacchetto applicativo a una sessione utente in Desktop virtuale Azure: App Attach e MSIX App Attach. Le applicazioni App Attach e MSIX App Attach non vengono installate in locale negli host di sessione o nelle immagini, semplificando così la creazione di immagini personalizzate per gli host di sessione e riducendo il sovraccarico operativo e i costi per l'organizzazione. Le applicazioni vengono eseguite all'interno di contenitori, che separano i dati utente, il sistema operativo e altre applicazioni, aumentando la sicurezza e semplificando la risoluzione dei problemi.
La tabella seguente confronta MSIX App Attach con App Attach:
| Connessione all'app MSIX | Montaggio app |
|---|---|
| Le applicazioni vengono distribuite tramite RemoteApp o come parte di una sessione desktop. Le autorizzazioni sono controllate dall'assegnazione ai gruppi di applicazioni; tuttavia, tutti gli utenti desktop vedono tutte le applicazioni MSIX App Attach nel gruppo di applicazioni desktop. | Le applicazioni vengono distribuite tramite RemoteApp o come parte di una sessione desktop. Le autorizzazioni vengono applicate per ogni applicazione per utente, consentendo un maggiore controllo sulle applicazioni a cui gli utenti possono accedere in una sessione remota. Gli utenti desktop visualizzano solo le applicazioni App Attach loro assegnate. |
| Le applicazioni possono essere eseguite solo in un pool di host. Se si desidera eseguirlo in un altro pool di host, è necessario creare un altro pacchetto. | Lo stesso pacchetto dell'applicazione può essere usato in più pool di host. |
| Le applicazioni possono essere eseguite solo nel pool di host in cui vengono aggiunte. | Le applicazioni possono essere eseguite in qualsiasi host di sessione che esegue un sistema operativo client Windows nella stessa area di Azure del pacchetto dell'applicazione. |
| Per aggiornare l'applicazione, è necessario eliminare e ricreare l'applicazione con un'altra versione del pacchetto. È consigliabile aggiornare l'applicazione in una finestra di manutenzione. | Le applicazioni possono essere aggiornate a una nuova versione dell'applicazione con una nuova immagine disco senza la necessità di una finestra di manutenzione. |
| Gli utenti non possono eseguire due versioni della stessa applicazione nello stesso host di sessione. | Gli utenti possono eseguire due versioni della stessa applicazione contemporaneamente nello stesso host di sessione. |
| I dati di telemetria per l'utilizzo e l'integrità non sono disponibili tramite Azure Log Analytics. | I dati di telemetria per l'utilizzo e l'integrità sono disponibili tramite Azure Log Analytics. |
È possibile usare i tipi di pacchetto e i formati di file dell'applicazione seguenti:
| Tipo di pacchetto | Formati di file | Disponibilità di funzionalità |
|---|---|---|
| Bundle MSIX e MSIX | .msix.msixbundle |
Connessione all'app MSIX Montaggio app |
| Bundle Appx e Appx | .appx.appxbundle |
Solo App Attach |
MSIX e Appx sono formati di pacchetti di applicazioni Windows che offrono un'esperienza di creazione di pacchetti moderna alle applicazioni Windows. Le applicazioni vengono eseguite all'interno di contenitori, che separano i dati utente, il sistema operativo e altre applicazioni, aumentando la sicurezza e semplificando la risoluzione dei problemi. MSIX e Appx sono simili, dove la differenza principale è che MSIX è un superset di Appx. MSIX supporta tutte le funzionalità di Appx, oltre ad altre funzionalità che lo rendono più adatto per l'uso aziendale.
Suggerimento
Selezionare un pulsante nella parte superiore di questo articolo per scegliere tra montaggio app e montaggio app MSIX e visualizzare la documentazione pertinente.
È possibile ottenere pacchetti MSIX dai fornitori di software oppure creare un pacchetto MSIX da un programma di installazione esistente. Per altre informazioni su MSIX, vedere Che cos'è MSIX?
Modalità di ottenimento di un'applicazione
È possibile assegnare applicazioni diverse a utenti diversi nello stesso pool di host o nello stesso host di sessione. Durante l'accesso, tutti e tre i requisiti seguenti devono essere soddisfatti affinché l'utente ottenga l'applicazione corretta al momento giusto:
L'applicazione deve essere assegnata al pool di host. L'assegnazione dell'applicazione al pool di host consente di essere selettivi sui pool di host su cui è disponibile l'applicazione per assicurarsi che le risorse hardware corrette siano disponibili per l'uso da parte dell'applicazione. Ad esempio, se un'applicazione richiede un utilizzo intensivo della grafica, è possibile assicurarsi che venga eseguita solo in un pool di host con host di sessione ottimizzati per GPU.
L'utente deve essere in grado di accedere agli host sessione nel pool di host, per cui deve trovarsi in un gruppo di applicazioni Desktop o RemoteApp. Per un gruppo di applicazioni RemoteApp, l'applicazione App Attach deve essere aggiunta al gruppo di applicazioni; tuttavia, non è necessario aggiungere l'applicazione a un gruppo di applicazioni desktop.
L'applicazione deve essere assegnata all'utente. È possibile usare un gruppo o un account utente.
Se tutti questi requisiti sono soddisfatti, l'utente ottiene l'applicazione. Questo processo fornisce il controllo su chi ottiene un'applicazione su quale pool di host e come è possibile consentire agli utenti all'interno di un singolo pool di host o persino di accedere allo stesso host di sessione multisessione per ottenere combinazioni di applicazioni diverse. Gli utenti che non soddisfano i requisiti non ottengono l'applicazione.
Modalità di ottenimento di un'applicazione
È possibile assegnare applicazioni diverse a utenti diversi nello stesso pool di host. Con MSIX App Attach, si aggiungono pacchetti MSIX a un pool di host e si controlla l'assegnazione di applicazioni usando gruppi di applicazioni desktop o RemoteApp. Durante l'accesso, è necessario soddisfare i requisiti seguenti per consentire all'utente di ottenere l'applicazione corretta al momento giusto:
L'utente deve essere in grado di accedere agli host sessione nel pool di host, per cui deve trovarsi in un gruppo di applicazioni Desktop o RemoteApp.
L'immagine MSIX deve essere aggiunta al pool di host.
Se questi requisiti sono soddisfatti, l'utente ottiene l'applicazione. L'assegnazione di applicazioni tramite un gruppo di applicazioni desktop li aggiunge al menu Start dell'utente. Gli utenti che non soddisfano i requisiti non ottengono l'applicazione.
Immagini dell'applicazione
Prima di poter usare i pacchetti applicativi con Desktop virtuale Azure, è necessario creare un'immagine MSIX dai pacchetti di applicazioni esistenti usando lo strumento MSIXMGR. È quindi necessario archiviare ogni immagine del disco in una condivisione file accessibile dagli host di sessione. Per altre informazioni sui requisiti per la condivisione file, vedere Condivisione file.
Tipi di immagine del disco
È possibile usare Composite Image File System (CimFS), VHDX o VHD per le immagini del disco, ma non è consigliabile usare il disco rigido virtuale. Il montaggio e lo smontaggio delle immagini CimFS sono più veloci rispetto ai file VHD e VHDX e utilizzano anche meno CPU e memoria. È consigliabile usare CimFS solo per le immagini dell'applicazione se gli host di sessione eseguono Windows 11.
Un'immagine CimFS è una combinazione di diversi file: un file ha l'estensione .cim e contiene metadati, insieme ad almeno due altri file, uno che inizia con objectid_ e l'altro che inizia con region_ e contiene i dati effettivi dell'applicazione. I file che accompagnano il file .cim non hanno un'estensione di file. La tabella seguente è un elenco di file di esempio disponibili per un'immagine CimFS:
| File name | Dimensione |
|---|---|
MyApp.cim |
1 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
27 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
20 KB |
objectid_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
42 kB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_0 |
428 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_1 |
217 KB |
region_b5742e0b-1b98-40b3-94a6-9cb96f497e56_2 |
264,132 KB |
La tabella seguente è un confronto delle prestazioni tra VHDX e CimFS. Questi numeri sono stati il risultato di un'esecuzione di test con 500 file di 300 MB per formato e i test sono stati eseguiti in una macchina virtuale DSv4 Azure.
| Metric | VHD | CimFS |
|---|---|---|
| Tempo medio di montaggio | 356 ms | 255 ms |
| Tempo medio di smontaggio | 1615 ms | 36 ms |
| Utilizzo della memoria | 6% (di 8 GB) | 2% (di 8 GB) |
| CPU (picco di conteggio) | Numero massimo di volte | Nessun effetto |
Registrazione dell'applicazione
App Attach monta immagini disco contenenti le applicazioni da una condivisione file alla sessione di un utente durante l'accesso, dopodiché un processo di registrazione rende le applicazioni disponibili per l'utente. Esistono due tipi di registrazione:
MSIX App Attach monta immagini disco contenenti le applicazioni da una condivisione file alla sessione di un utente durante l'accesso, dopodiché un processo di registrazione rende le applicazioni disponibili per l'utente. Esistono due tipi di registrazione:
Su richiesta: le applicazioni vengono registrate solo parzialmente all'accesso e la registrazione completa di un'applicazione viene posticipata fino all'avvio dell'applicazione da parte dell'utente. Su richiesta è il tipo di registrazione che è consigliabile usare perché non influisce sul tempo necessario per accedere a Desktop virtuale Azure. Su richiesta è il metodo di registrazione predefinito.
Blocco dell'accesso: ogni applicazione assegnata a un utente è pienamente registrata. La registrazione avviene durante l'accesso dell'utente alla sessione, che potrebbe influire sul tempo di accesso a Desktop virtuale Azure.
Importante
Tutti i pacchetti di applicazioni MSIX e Appx includono un certificato. L'utente è responsabile di assicurarsi che i certificati siano attendibili nell'ambiente. I certificati autofirmati sono supportati con la catena di certificati appropriata.
App Attach non limita il numero di applicazioni che gli utenti possono usare. È consigliabile prendere in considerazione la velocità effettiva di rete disponibile e il numero di handle aperti per ogni file (singola immagine) supportati dalla condivisione file, in quanto potrebbe limitare il numero di utenti o applicazioni che è possibile supportare. Per altre informazioni, vedere Condivisione file.
Importante
Tutti i pacchetti dell'applicazione MSIX includono un certificato. L'utente è responsabile di assicurarsi che i certificati siano attendibili nell'ambiente. I certificati autofirmati sono supportati.
MSIX App Attach non limita il numero di applicazioni che gli utenti possono usare. È consigliabile prendere in considerazione la velocità effettiva di rete disponibile e il numero di handle aperti per ogni file (singola immagine) supportati dalla condivisione file, in quanto potrebbe limitare il numero di utenti o applicazioni che è possibile supportare. Per altre informazioni, vedere Condivisione file.
Stato dell'applicazione
Un pacchetto MSIX e Appx è impostato come attivo o inattivo. I pacchetti impostati su attivo rendono l'applicazione disponibile agli utenti. I pacchetti impostati su inattivi vengono ignorati da Desktop virtuale Azure e non aggiunti quando un utente accede.
Un pacchetto MSIX è impostato come attivo o inattivo. I pacchetti MSIX impostati su attivo rendono l'applicazione disponibile agli utenti. I pacchetti MSIX impostati su inattivi vengono ignorati da Desktop virtuale Azure e non aggiunti quando un utente accede.
Nuove versioni delle applicazioni
È possibile aggiungere una nuova versione di un'applicazione specificando una nuova immagine contenente l'applicazione aggiornata. È possibile usare questa nuova immagine in due modi:
Affiancato: creare una nuova applicazione usando la nuova immagine del disco e assegnarla agli stessi pool di host e utenti dell'applicazione esistente.
Sul posto: creare una nuova immagine in cui viene modificato il numero di versione dell'applicazione, quindi aggiornare l'applicazione esistente per usare la nuova immagine. Il numero di versione può essere superiore o inferiore, ma non è possibile aggiornare un'applicazione con lo stesso numero di versione. Non eliminare l'immagine esistente fino al termine dell'uso di tutti gli utenti.
Dopo l'aggiornamento, gli utenti riceveranno la versione aggiornata dell'applicazione al successivo accesso. Gli utenti non devono smettere di usare la versione precedente per aggiungere una nuova versione.
Nuove versioni delle applicazioni
Con MSIX App Attach è necessario eliminare il pacchetto dell'applicazione, quindi creare una nuova applicazione usando la nuova immagine del disco e assegnarla agli stessi pool di host. Non è possibile eseguire l'aggiornamento sul posto come si fa con App Attach. Gli utenti riceveranno la nuova immagine con l'applicazione aggiornata al successivo accesso. È consigliabile eseguire queste attività durante una finestra di manutenzione.
Provider di identità
Ecco i provider di identità che è possibile usare con App Attach:
| Provider di identità | Status |
|---|---|
| Microsoft Entra ID | Supportata |
| Active Directory Domain Services (AD DS) | Supportata |
| Microsoft Entra Domain Services | Non supportato |
Ecco i provider di identità che è possibile usare con MSIX App Attach:
| Provider di identità | Status |
|---|---|
| Microsoft Entra ID | Non supportato |
| Active Directory Domain Services (AD DS) | Supportata |
| Microsoft Entra Domain Services (Azure AD DS) | Non supportato |
Condivisione file
App Attach richiede che le immagini dell'applicazione vengano archiviate in una condivisione file SMB, che viene quindi montata in ogni host di sessione durante l'accesso. App Attach non ha dipendenze dal tipo di infrastruttura di archiviazione usato dalla condivisione file. È consigliabile usare File di Azure perché è compatibile con Microsoft Entra ID o Active Directory Domain Services e offre un ottimo valore tra costi e overhead di gestione.
È anche possibile usare Azure NetApp Files, ma richiede che gli host di sessione siano aggiunti a Active Directory Domain Services.
MSIX App Attach richiede che le immagini dell'applicazione vengano archiviate in una condivisione file SMB versione 3, che viene quindi montata in ogni host di sessione durante l'accesso. MSIX App Attach non ha dipendenze dal tipo di infrastruttura di archiviazione usato dalla condivisione file. È consigliabile usare File di Azure perché è compatibile con i provider di identità supportati che è possibile usare per MSIX App Attach e offre un ottimo valore tra costi e overhead di gestione. È anche possibile usare Azure NetApp Files, ma è necessario che gli host di sessione siano aggiunti a Active Directory Domain Services.
Le sezioni seguenti forniscono alcune indicazioni sulle autorizzazioni, le prestazioni e la disponibilità necessarie per la condivisione file.
Autorizzazioni
Ogni host di sessione monta le immagini dell'applicazione dalla condivisione file. È necessario configurare le autorizzazioni NTFS e condividere per consentire a ogni oggetto computer host sessione l'accesso in lettura ai file e alla condivisione file. La configurazione dell'autorizzazione corretta dipende dal provider di archiviazione e dal provider di identità in uso per la condivisione file e gli host di sessione.
Per usare File di Azure dopo aver aggiunto gli host di sessione a Microsoft Entra ID, è necessario assegnare il ruolo di controllo degli accessi in base al ruolo (RBAC) di Azure di Lettore e accesso ai dati all'entità servizio di Desktop virtuale Azure a quella del provider ARM di Desktop virtuale Azure. Questa assegnazione di ruolo controllo degli accessi in base al ruolo (RBAC) consente agli host di sessione di accedere all'account di archiviazione usando le chiavi di accesso. L'account di archiviazione deve trovarsi nella stessa sottoscrizione di Azure degli host di sessione. Per informazioni su come assegnare un ruolo di controllo degli accessi in base al ruolo di Azure alle entità servizio di Desktop virtuale Azure, vedere Assegnare ruoli di controllo degli accessi in base al ruolo alle entità servizio di Desktop virtuale Azure.
Per altre informazioni sull'uso di File di Azure con host di sessione aggiunti a Microsoft Entra ID, Active Directory Domain Services o Microsoft Entra Domain Services, vedere Panoramica delle opzioni di autenticazione basate sull'identità di File di Azure per l'accesso SMB.
Avviso
L'assegnazione dell'entità servizio del provider ARM di Desktop virtuale Azure all'account di archiviazione concede il servizio Desktop virtuale Azure a tutti i dati all'interno dell'account di archiviazione. È consigliabile archiviare solo le app da usare con App in questo account di archiviazione e ruotare regolarmente le chiavi di accesso.
Per File di Azure con Active Directory Domain Services, è necessario assegnare il ruolo Controllo degli accessi in base al ruolo (RBAC) di Azure Lettore condivisione SMB dei dati del file di archiviazione come autorizzazione predefinita a livello di condivisione e configurare le autorizzazioni NTFS per concedere l'accesso in lettura all'oggetto computer di ogni host sessione.
Per altre informazioni sull'uso di File di Azure con host di sessione aggiunti a Microsoft Entra ID, Active Directory Domain Services o Microsoft Entra Domain Services, vedere Panoramica delle opzioni di autenticazione basate sull'identità di File di Azure per l'accesso SMB.
Per File di Azure con Active Directory Domain Services, è necessario assegnare il ruolo Controllo degli accessi in base al ruolo (RBAC) di Azure Lettore condivisione SMB dei dati del file di archiviazione come autorizzazione predefinita a livello di condivisione e configurare le autorizzazioni NTFS per concedere l'accesso in lettura all'oggetto computer di ogni host sessione.
Per altre informazioni sull'uso di File di Azure con host di sessione aggiunti a Active Directory Domain Services o Microsoft Entra Domain Services, vedere Panoramica delle opzioni di autenticazione basate sull'identità di File di Azure per l'accesso SMB.
- Per Azure NetApp Files, è possibile creare un volume SMB e configurare le autorizzazioni NTFS per concedere l'accesso in lettura all'oggetto computer di ogni host sessione. Gli host di sessione devono essere aggiunti a Active Directory Domain Services o Microsoft Entra Domain Services.
È possibile verificare che le autorizzazioni siano corrette usando PsExec. Per altre informazioni, vedere Controllare l'accesso alla condivisione file.
Prestazioni
I requisiti possono variare notevolmente a seconda del numero di applicazioni in pacchetto archiviate in un'immagine ed è necessario testare le applicazioni per comprendere i requisiti. Per le immagini di dimensioni maggiori, è necessario allocare più larghezza di banda. La tabella seguente fornisce un esempio dei requisiti di una singola immagine MSIX da 1 GB contenente un'applicazione necessaria per ogni host di sessione:
| Conto risorse | Requisiti |
|---|---|
| Operazioni di I/O al secondo con stato stabile | Un IOP |
| Accesso all'avvio del computer | 10 operazioni di I/O al secondo |
| Latenza | 400 ms |
Per ottimizzare le prestazioni delle applicazioni, è consigliabile:
La condivisione file deve trovarsi nella stessa area di Azure degli host di sessione. Se si usa File di Azure, l'account di archiviazione deve trovarsi nella stessa area di Azure degli host di sessione.
Escludere le immagini del disco contenenti le applicazioni dalle analisi antivirus perché sono di sola lettura.
Assicurarsi che l'archiviazione e l'infrastruttura di rete possano offrire prestazioni adeguate. È consigliabile evitare di usare la stessa condivisione file con i contenitori del profilo FSLogix.
Disponibilità
Tutti i piani di ripristino di emergenza per Desktop virtuale Azure devono includere la replica della condivisione file di MSIX App Attach nel percorso di failover secondario. È anche necessario assicurarsi che il percorso della condivisione file sia accessibile nel percorso secondario. Ad esempio, è possibile usare spazi dei nomi File system distribuito (DFS) con File di Azure per fornire un singolo nome di condivisione tra condivisioni file differenti. Per altre informazioni sul ripristino di emergenza per Desktop virtuale Azure, vedere Configurare un piano di continuità aziendale e ripristino di emergenza.
File di Azure
File di Azure prevede limiti per il numero di handle aperti per directory radice, directory e file. Quando si usano App Attach o MSIX App Attach, le immagini del disco VHDX o CimFS vengono montate usando l'account computer dell'host sessione, per cui viene aperto un handle per ogni host di sessione per singola immagine del disco, anziché per utente. Per altre informazioni sui limiti e le linee guida sul ridimensionamento, vedere Obiettivi di scalabilità e prestazioni di File di Azure e Linee guida per il dimensionamento di File di Azure per Desktop virtuale Azure.
Certificati del pacchetto MSIX e Appx
Tutti i pacchetti MSIX e Appx richiedono un certificato di firma del codice valido. Per usare questi pacchetti con App Attach, è necessario assicurarsi che l'intera catena di certificati sia considerata attendibile negli host di sessione. Un certificato di firma del codice ha l'identificatore dell'oggetto 1.3.6.1.5.5.7.3.3. È possibile ottenere un certificato di firma del codice per i pacchetti da:
Un'autorità di certificazione pubblica (CA).
Un'autorità di certificazione interna o autonoma, ad esempio Servizi certificati Active Directory. È necessario esportare il certificato di firma del codice, inclusa la relativa chiave privata.
Uno strumento come il cmdlet di PowerShell New-SelfSignedCertificate che genera un certificato autofirmato. È consigliabile usare solo i certificati autofirmato in un ambiente di test. Per altre informazioni sulla creazione di un certificato autofirmato per i pacchetti MSIX e Appx, vedere Creare un certificato per la firma del pacchetto.
Dopo aver ottenuto un certificato, è necessario firmare digitalmente i pacchetti MSIX o Appx con il certificato. È possibile usare lo Strumento MSIX Packaging per firmare i pacchetti quando si crea un pacchetto MSIX. Per altre informazioni, vedere Creare un pacchetto MSIX da qualsiasi programma di installazione desktop.
Per assicurarsi che il certificato sia attendibile negli host di sessione, è necessario che gli host di sessione considerino attendibile l'intera catena di certificati. Il modo in cui si esegue questa operazione dipende dalla posizione da cui è stato ottenuto il certificato e dal modo in cui si gestiscono gli host di sessione e il provider di identità usato. La tabella seguente fornisce alcune indicazioni su come assicurarsi che il certificato sia attendibile negli host di sessione:
CA pubblica: per impostazione predefinita i certificati di una CA pubblica sono considerati attendibili in Windows e Windows Server.
Autorità di certificazione globale Enterprise interna:
Per gli host di sessione aggiunti ad Active Directory, con Servizi certificati Active Directory configurati come CA aziendale interna, sono considerati attendibili per impostazione predefinita e archiviati nel contesto di denominazione della configurazione di Active Directory Domain Services. Quando Servizi certificati Active Directory è configurato come CA autonoma, è necessario configurare Criteri di gruppo per distribuire i certificati radice e intermedi agli host sessione. Per altre informazioni, vedere Distribuire i certificati ai dispositivi Windows tramite Criteri di gruppo.
Per gli host di sessione aggiunti all'ID Microsoft Entra, è possibile usare Microsoft Intune per distribuire i certificati radice e intermedi agli host di sessione. Per altre informazioni, vedere Profili certificato radice trusted per Microsoft Intune.
Per gli host di sessione che usano l'aggiunta ibrida Microsoft Entra, è possibile usare uno dei metodi precedenti, a seconda dei requisiti.
Autofirmato: installare la radice attendibile nell'archivio Autorità di certificazione radice disponibile nell'elenco locale in ogni sessione host. Non è consigliabile distribuire questo certificato usando Criteri di gruppo o Intune perché deve essere usato solo per i test.
Importante
È necessario eseguire il timestamp del pacchetto in modo che la sua validità possa durare fino alla data di scadenza del certificato. In caso contrario, una volta scaduto il certificato, è necessario aggiornare il pacchetto con un nuovo certificato valido e verificare che sia attendibile negli host di sessione.
Passaggi successivi
Informazioni su come Aggiungere e gestire le applicazioni App Attach in Desktop virtuale Azure.