Configurar inquilinos para Windows 365 Administração Pública

A forma mais rápida de utilizar Windows 365 é utilizar o AADJ, as imagens da galeria e a opção Rede Alojada da Microsoft. As instruções nesta página são apenas se tiver de utilizar um ou ambos:

Apenas para clientes da Cloud da Comunidade Governamental (GCC), as instruções seguintes permitem que Intune em execução no Azure para gerir PCs na Cloud em execução em regiões Azure Governamental.

Observação

  • Não precisa de uma subscrição Azure Governamental para utilizar o Windows 365 Administração Pública. Estas instruções destinam-se especificamente ao GCC e apenas se forem necessárias Imagens Personalizadas e/ou Connections de Rede do Azure. As instruções nesta página não se aplicam ao GCC High.
  • Para clientes governamentais que não tenham uma subscrição Azure Governamental ou que necessitem de integração com o Azure, considere utilizar Windows 365 Enterprise. Certifique-se de que cumpre os seus requisitos de conformidade. Windows 365 Enterprise está em conformidade com o FedRAMP. Veja Descrição do Serviço Windows 365

Antes de começar

Para mapear e conceder permissões de inquilinos para imagens personalizadas e/ou ligar às suas próprias redes, precisa de:

  • Uma subscrição Azure Governamental.
  • Credenciais de um utilizador que tem:
    • Função de Administrador Global no inquilino do Azure (terminando em onmicrosoft.com).
  • Credenciais de um utilizador que tem:
    • Função de proprietário na subscrição do Azure Governamental, AND
    • Função de Administrador Global no inquilino do Azure Governamental (terminando em onmicrosoft.us).
  • Para cumprir os requisitos de Licenciamento.
  • (Se aplicável) As seguintes informações para aplicar permissões para configurar a ligação de rede do Azure. A rede virtual e a sub-rede já têm de existir.
    • ID da Subscrição.
    • Grupo de Recursos.
    • Rede Virtual.
    • Sub-rede.

Observação

Embora os PCs na Cloud dos utilizadores do GCC estejam alojados e protegidos na cloud Azure Governamental, os pontos finais para administradores e utilizadores finais estão no domínio comercial do Azure. Os utilizadores iniciarão sessão nos PCs na Cloud com credenciais sincronizadas com Microsoft Entra ID.

opções de Microsoft Entra

Se quiser utilizar Microsoft Entra associação ou Microsoft Entra associação híbrida, considere estes preparativos:

Microsoft Entra PCs na Cloud associados: se quiser utilizar uma infraestrutura de associação Microsoft Entra e a sua própria rede, precisa de um inquilino e de uma subscrição do Azure na cloud Azure Governamental. O inquilino no domínio .com do Azure tem de ser mapeado para o inquilino no domínio Azure Governamental (.us).

PCs cloud associados a Microsoft Entra híbridos: se quiser utilizar uma infraestrutura de associação híbrida Microsoft Entra, tem de configurar o inquilino comercial (.com) e os inquilinos da administração pública (.us) antes de criar as suas Redes Virtuais do Azure.

Preparar para Windows 365 Ferramenta de Configuração GCC

Para que o Windows 365 Ferramenta de Configuração GCC conclua o mapeamento de inquilinos, a aplicação Windows 365 Microsoft Entra tem de ter permissão para aceder ao inquilino do Azure Governamental AD através de um principal de serviço. O objeto do principal de serviço define o que a aplicação pode fazer no inquilino, quem pode aceder à aplicação e a que recursos a aplicação pode aceder. Antes de executar o Windows 365 Ferramenta de Configuração GCC pela primeira vez, tem de fazer o seguinte:

  1. Se ainda não estiver concluída, instale a CLI do Azure no computador onde irá criar o principal de serviço. Para obter mais informações, veja Como instalar a CLI do Azure.
  2. Inicie sessão no inquilino Azure Governamental AD com os passos da CLI do Azure definidos em Iniciar sessão com a CLI do Azure. São necessárias permissões de Administrador Global para criar o principal de serviço para a Aplicação do Windows.
  3. Para obter mais informações sobre como trabalhar com principais de serviço no Azure, veja Trabalhar com o principal de serviço do Azure com a CLI do Azure. Conceda as permissões da aplicação Windows 365 Microsoft Entra ao seu inquilino ao executar o seguinte comando do PowerShell: az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
  4. Depois de o comando ser concluído com êxito, deverá conseguir ver detalhes sobre o principal de serviço ao executar o seguinte comando do PowerShell: az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. Deverá ver a Aplicação do Windows listada na vista Todas as Aplicações no painel Aplicação empresarial no portal do Azure.

O principal do Serviço de Aplicações do Windows só pode aceder aos recursos do Azure necessários para configurar a imagem personalizada e o suporte da Ligação de Rede do Azure (ANC) no Windows 365. Depois de criado, o principal de serviço só pode ser eliminado quando as imagens personalizadas, os objetos ANC e os PCs na Cloud correspondentes que os utilizam foram desaprovisionados. Caso contrário, as tarefas de aprovisionamento do CLOUD PC podem falhar e os PCs na Cloud existentes podem ficar inacessíveis.

Introdução à Ferramenta de Configuração do Windows 365 GCC

Siga estes passos para configurar o mapeamento de inquilinos com o Windows 365 Ferramenta de Configuração GCC.

  1. Inicie o GCCSetupTool.exe. Esta ferramenta está disponível em https://aka.ms/gccsetuptool.
  2. Na página Vamos começar , selecione Seguinte.
  3. Inicie sessão com a sua conta do Azure. Esta conta tem de ter permissões de Administrador Global.
  4. Confirme que pretende continuar com a sua conta > comercial Seguinte.
  5. Inicie sessão com a sua conta > Azure Governamental Seguinte escreva> as suas credenciais.
  6. Confirme que pretende continuar com a sua conta governamental> Seguinte.
  7. Na funcionalidade Selecionar para ativar o ecrã , certifique-se de que a opção Imagens Personalizadas está selecionada. Esta opção está selecionada por predefinição porque não há razão para executar o Windows 365 Ferramenta de Configuração GCC, a menos que precise de, pelo menos, uma destas funcionalidades abaixo.

    Observação

    O ANC inclui as permissões para imagens personalizadas.

  8. Selecione Ligações de rede do Azure e, em seguida, selecione a Subscrição, a Rede virtual e a Sub-rede que pretende configurar. Selecione Avançar.
  9. Na página Rever definições , reveja as seleções que efetuou e selecione Conceder.
  10. Após a conclusão da configuração, pode fechar a ferramenta.

Solução de problemas

Se tiver problemas ao executar o Windows 365 Ferramenta de Configuração GCC:

  1. Na mesma pasta onde o GCCSetupTool.exe é executado, navegue para a pasta Registo e reveja o GCCAdminTool.log ficheiro.
  2. Se continuar a ter problemas, contacte o suporte e forneça o ficheiro GCCADminTool.log.

Utilização subsequente da Ferramenta de Configuração GCC

A Ferramenta de Configuração do Windows 365 GCC pode ser executada novamente após a configuração inicial. Poderá querer utilizar a Ferramenta de Configuração GCC novamente se:

  • Não configurou ancs antes ou
  • Quer expandir a utilização de ANCs para outras redes.

Alternativa de script

Como alternativa à utilização da Ferramenta de Configuração GCC para configurar o ANC, também pode utilizar o seguinte script para configurar permissões para mais ANCs.

Observação

O mapeamento de inquilinos tem de ser bem-sucedido antes de prosseguir com o script para configurar os ANCs.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
  1. Se não tiver Cloud Shell configurado (é necessária uma conta de Armazenamento do Azure), tem duas opções para executar o script:
    • Selecione Copiar no script e execute o script do PowerShell localmente no seu computador.
    • Selecione Abrir Cloudshell> colar o script na sessão > de Cloud Shell da subscrição Azure Governamental executar o script.
  2. Depois de executar o script, na linha de comandos, selecione a opção 2. Esta opção configura permissões para o ANC.
  3. Na lista de subscrições Azure Governamental, selecione a subscrição à qual pretende conceder permissões.
  4. Na lista de grupos de recursos, selecione o grupo de recursos que pretende utilizar.
  5. Selecione a sua vNET.
  6. O script concede permissões e lista o que foi configurado.

Próximas etapas

Saiba mais sobre Windows 365 Administração Pública.