Passaggi di provisioning automatizzato

  • Articolo

Gli amministratori creano criteri di provisioning e connessioni di rete di Azure per configurare Windows 365 per il provisioning dei PC cloud. Usando queste informazioni, Windows 365 effettua il provisioning dei PC cloud per gli utenti con licenza. Questo articolo illustra tutti i passaggi completati automaticamente da Windows 365 nel processo di provisioning.

Per il provisioning cloud di PC, Windows 365 completa automaticamente tre fasi:

  1. Provisioning di base: il provisioning di base esegue tutte le attività necessarie per mantenere in piedi una macchina virtuale e portarla al punto di accesso utente riuscito.
  2. Configurazione post-provisioning: Windows 365 apporta modifiche alla configurazione per ottimizzare l'esperienza utente finale di Cloud PC.
  3. Assegnazione: Windows 365 assegna l'utente al PC cloud e l'utente può ora accedere.

Provisioning di base

Windows 365 ottimizza il provisioning di base per eseguire solo i passaggi necessari per assicurarsi che il provisioning di un PC cloud venga eseguito correttamente.

  1. Allocare capacità di Azure: al primo avvio del provisioning, Windows 365 alloca la capacità di Azure nell'area di scelta supportata dal cliente. I clienti non devono gestire manualmente capacità e allocazione.

  2. Creare una macchina virtuale: Windows 365 crea una macchina virtuale basata sulla licenza di Windows 365 assegnata all'utente. Ogni licenza di Windows 365 include informazioni sulla capacità hardware. La macchina virtuale viene creata con queste specifiche.

  3. Collegare la macchina virtuale alla rete appropriata: quando Windows 365 crea la macchina virtuale, viene creata anche una scheda di interfaccia di rete virtuale. Se i criteri di provisioning specificano una rete ospitata da Microsoft, la scheda di interfaccia di rete viene collegata a una rete virtuale esistente o nuova nell'area selezionata in modo specifico per il cliente. Se i criteri di provisioning specificano una connessione di rete di Azure, la scheda di interfaccia di rete viene inserita nella rete virtuale fornita dai clienti. Questo passaggio consente al Cloud PC di connettersi alla rete locale dei clienti.

  4. Aggiungere a Microsoft Entra ID: dopo l'esecuzione della macchina virtuale, il dispositivo aggiunge Microsoft Entra ID in uno dei due modi seguenti:

    • Tramite l'aggiunta a Microsoft Entra: il dispositivo esegue l'operazione di aggiunta a Microsoft Entra e non ha alcuna dipendenza di Windows Server Active Directory.
    • Tramite l'aggiunta ibrida di Microsoft Entra: il dispositivo esegue l'operazione di aggiunta al dominio nel dominio del cliente e viene quindi registrato in Microsoft Entra ID tramite sincronizzazione o federazione. In questo passaggio si attende che l'oggetto computer venga visualizzato nell'ID Microsoft Entra prima di procedere.

  5. Registrazione MDM di Intune: dopo che l'oggetto Microsoft Entra ID è disponibile, cloud PC si registra in Intune. Per la registrazione del dispositivo non sono necessarie credenziali utente.

  6. Assegnazione utente primaria: il servizio Windows 365 assegna l'utente di Cloud PC all'utente primario di Intune per assicurarsi che gli scenari self-service e di creazione di report funzionino senza problemi.

Configurazione post provisioning

Al termine del provisioning di base, Windows 365 ottimizza la configurazione per garantire la migliore esperienza cloud pc per l'utente finale.

  1. Nascondi icone di alimentazione del menu Start: nascondi il pulsante di arresto nel menu Start (HKLM:\Software\Microsoft\PolicyManager\default\Start\HideShutDown\value) e Nascondi il pulsante di arresto nella schermata di accesso (HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutDownWithoutLogon).

  2. Disabilitare l'azione di reimpostazione di Windows: reagentc.exe /disable

  3. Assegnare l'utente come amministratore (se applicabile):Assign user as administrator (when applicable): $Member = 'user@contoso.com' # use OnPremisesUserPrincipalNameAdd-LocalGroupMember -Group "Administrators" -Member $Member

  4. Impostare Teams per la modalità VDI: ottimizzazione desktop ospitato (HKLM:\Software\Microsoft\Teams\IsWVDEnvironment).

  5. Abilita reindirizzamento fuso orario: abilitare l'impostazione (HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services\fEnabletimezoneRedirection).

  6. Ridimensionare la partizione del disco del sistema operativo in modo che corrisponda alla licenza: ridimensionare il disco del sistema operativo in modo che corrisponda alle dimensioni del disco gestito di Azure.

    $MaxSize = (Get-PartitionSupportedSize -DriveLetter $DriveLetter -ErrorAction Stop).SizeMax
if((Get-Partition -DriveLetter $DriveLetter).Size -lt $MaxSize){
Resize-Partition -DriveLetter $DriveLetter -Size $MaxSize
}```

  7. Disabilitare la porta 3389 per impostazione predefinita: disabilitare la porta in ingresso 3389 per impedire l'esfiltrazione dei dati nel computer principale di un utente.

A differenza del provisioning di base, se una o più di queste ottimizzazioni hanno esito negativo per qualche motivo, il provisioning avrà comunque esito positivo. Il Cloud PC verrà contrassegnato come Operazione riuscita con avvisi e il processo passerà alla fase di assegnazione.

Se un'ottimizzazione non riesce, è possibile attivare manualmente un nuovo provisioning se si preferisce che la configurazione post-provisioning abbia esito positivo.

Porta disabilitata 3389

Per proteggere l'ambiente Windows 365, per impostazione predefinita Windows 365 disabilita la porta in ingresso aperta 3389 nei PC cloud. Windows 365 non richiede una porta in ingresso aperta. Se è necessario aprire la porta 3389 a scopo di risoluzione dei problemi, è consigliabile usare l'accesso ji-in-time.

Incarico

Dopo aver completato i flussi di lavoro di configurazione del provisioning principale e post provisioning, Windows 365 assegna l'utente pertinente al PC cloud.

A questo punto, l'utente può accedere a windows365.microsoft.com e accedere al PC cloud.

Passaggi successivi

Creare un gruppo di dispositivi dinamico.