Áreas de trabalho remota de multissessão do Windows 10 ou Windows 11 Enterprise
As várias sessões da Área de Trabalho Virtual do Azure com Microsoft Intune agora estão em disponibilidade geral.
Agora, pode utilizar o Microsoft Intune para gerir ambientes de trabalho remotos com várias sessões do Windows 10 ou Windows 11 Enterprise no centro de administração do Microsoft Intune, tal como pode gerir um dispositivo cliente Windows 10 ou Windows 11 partilhado. Ao gerir essas máquinas virtuais (VMs), poderá utilizar a configuração baseada no dispositivo direcionada para dispositivos ou a configuração baseada no utilizador direcionada para os utilizadores.
A multissessão do Windows 10 ou Windows 11 Enterprise é um novo Host de Sessão da Área de Trabalho exclusivo da Área de Trabalho Virtual do Azure no Azure. Ele proporciona os seguintes benefícios:
- Permite várias sessões de usuário simultâneas.
- Fornece aos usuários uma experiência clássica do Windows 10 ou Windows 11.
- Dá suporte ao uso de licenças do Microsoft 365 por usuário existentes.
Você pode gerenciar as VMs de várias sessões do Windows 10 e Windows 11 Enterprise criadas na Nuvem do Azure Governamental no GCC (Nuvem da Comunidade Governamental), GCC High e DoD.
Importante
O suporte do Microsoft Intune para várias sessões do Azure Virtual Desktop não está atualmente disponível para Citrix DaaS e VMware Horizon Cloud.
Visão Geral
O suporte de configuração de dispositivos no Microsoft Intune para windows 10 ou windows 11 Enterprise multi-sessão está geralmente disponível (GA). Isto significa que as políticas definidas no âmbito do SO e as aplicações configuradas para instalação no contexto do sistema podem ser aplicadas a VMs de várias sessões do Azure Virtual Desktop quando atribuídas a grupos de dispositivos.
Observação
Não é possível atribuir a configuração baseada no dispositivo aos utilizadores e a configuração baseada no utilizador não pode ser atribuída a dispositivos. Será comunicado como Erro ou Não aplicável.
O suporte de configuração de utilizadores no Microsoft Intune para VMs com várias sessões do Windows 10 ou Windows 11 está geralmente disponível. Com isto, pode:
Configurar as políticas de escopo do usuário usando o Catálogo de configurações e atribuir a grupos de usuários. Você pode usar a barra de pesquisa para pesquisar todas as configurações com escopo definidas como "usuário".
Configurar certificados de usuário e atribuir aos usuários.
Configurar scripts do PowerShell para instalar no contexto do usuário e atribuir aos usuários.
Pré-requisitos
Esse recurso suporta VMs do Windows 10 ou Windows 11 Enterprise com várias sessões, que são:
- Executando multissessão do Windows 10, versão 1903 ou posterior; ou executando multissessão do Windows 11.
- Configuradas como áreas de trabalho remotas em pools de host agrupados e implantados por meio do Azure Resource Manager.
- No mesmo inquilino que o Intune.
- Executando uma versão do agente da Área de Trabalho Virtual do Azure de 1.0.2944.1400 ou posterior.
-
O Microsoft Entra híbrido associou-se e inscreveu-se no Microsoft Intune através de um dos seguintes métodos:
- Configurado com a política de grupo do Active Directory, definido para utilizar as Credenciais do dispositivo e definido para inscrever automaticamente dispositivos associados ao Microsoft Entra híbrido.
- Cogerenciamento no Configuration Manager.
- O Microsoft Entra juntou-se e inscreveu-se no Microsoft Intune ao ativar a opção Inscrever a VM com o Intune no portal do Azure.
- Licenciamento: a licença adequada do Azure Virtual Desktop e do Microsoft Intune é necessária se um utilizador ou dispositivo beneficiar direta ou indiretamente do serviço Microsoft Intune, incluindo o acesso ao serviço Do Microsoft Intune através de uma API da Microsoft. Para obter mais informações, aceda a Licenciamento do Microsoft Intune.
- Para obter mais informações sobre os requisitos de licenciamento da Área de Trabalho Virtual do Azure, confira O que é a Área de Trabalho Virtual do Azure?.
Limitações
O Intune não suporta a utilização de uma imagem clonada de um computador que já esteja inscrito. Isto inclui dispositivos físicos e virtuais, como o Azure Virtual Desktop (AVD). Quando a inscrição de dispositivos ou tokens de identidade são replicados entre dispositivos, ocorrerão falhas de inscrição ou sincronização de dispositivos do Intune.
- Para obter mais informações, veja Inscrição de dispositivos móveis – Gestão de Clientes do Windows e Inscrição de dispositivos de autenticação de certificados – Gestão de Clientes do Windows.
- Para obter informações sobre a resolução de problemas relacionados com a clonagem de imagens, veja Erro hr 0x8007064c: A máquina já está inscrita.
Observação
Se estiver a associar anfitriões de sessão ao Microsoft Entra Domain Services, não poderá geri-los com o Intune.
Importante
- Se estiver a utilizar compilações do Windows 10, versões 2004, 20H2 ou 21H1, certifique-se de que instala o Windows Update de julho de 2021 ou uma atualização posterior do Windows. Caso contrário, as ações remotas no centro de administração do Microsoft Intune, como a sincronização remota, não funcionarão corretamente. Como resultado, políticas pendentes atribuídas aos dispositivos poderão levar até 8 horas para serem aplicadas.
- Atualmente, o Intune não suporta a funcionalidade de roaming de tokens entre dispositivos. Se o FSLogix, ou uma tecnologia semelhante, for utilizado para gerir perfis de utilizador e definições do Windows, tem de garantir que os tokens não são transmitidos inesperadamente ou duplicados entre dispositivos. Para confirmar que está a executar uma versão e configuração suportadas do FSLogix com o roaming de tokens desativado, consulte a Referência das Definições de Configuração do FSLogix RoamIdentity.
As VMs com várias sessões do Windows 10 ou Windows 11 Enterprise são tratadas como uma edição de SO separada e algumas configurações do Windows 10 ou Windows 11 Enterprise não serão suportadas para esta edição. O uso do Microsoft Intune não depende nem interfere no gerenciamento da Área de Trabalho Virtual do Azure da mesma VM.
Criar o perfil de configuração
Para configurar políticas de configuração para VMs com várias sessões do Windows 10 ou Windows 11 Enterprise, terá de utilizar o catálogo de Definições no centro de administração do Microsoft Intune.
Os modelos de perfil de configuração de dispositivo existentes não são suportados para VMs do Windows 10 ou Windows 11 Enterprise com várias sessões, exceto para os modelos a seguir:
- Certificado fidedigno – Dispositivo (computador) ao filtrar dispositivos e Utilizador ao direcionar os utilizadores
- Certificado SCEP – Dispositivo (computador) ao filtrar dispositivos e Utilizador ao direcionar os utilizadores
- Certificado PKCS – Dispositivo (computador) ao filtrar dispositivos e Utilizador ao direcionar utilizadores
- VPN – somente dispositivo Tunnel
O Microsoft Intune não fornecerá modelos sem suporte para dispositivos multissessão e essas políticas aparecerão como Não aplicável nos relatórios.
Observação
Se você usar o cogerenciamento do Intune e do Configuration Manager, em Configuration Manager, defina o controle deslizante da carga de trabalho das Políticas de Acesso ao Recurso como Intune ou Piloto do Intune. Essa configuração permite que os clientes do Windows 10 e Windows 11 iniciem o processo de solicitação do certificado.
Para configurar políticas
- Inicie sessão no centro de administração do Microsoft Intune e selecioneDispositivos>Por plataforma>Windows>Gerir dispositivos>Configuração>Criar>Nova Política.
- Em Plataforma, selecione Windows 10 e posteriores.
- Em Tipo de perfil, selecione Catálogo de configurações ou, ao implantar configurações usando um Modelo, selecione Modelos e o nome do Modelo com suporte.
- Selecionar Criar.
- Na página Básico, forneça um Nome e (opcionalmente) uma Descrição>Avançar.
- Na página Definições da configuração, selecione Adicionar configurações.
- Em Seletor de configurações, selecione Adicionar filtro e selecione as seguintes opções:
- Chave: edição do sistema operacional
- Operador: ==
- Valor: Multisessão do Enterprise
- Selecione Aplicar. A lista filtrada agora mostra todas as categorias do perfil de configuração que dão suporte ao multissessão Windows 10 ou Windows 11 Enterprise. O âmbito de uma política é apresentado entre parênteses. Quanto ao escopo do usuário, ele é mostrado como (Usuário) e todos os demais são políticas com escopo de dispositivo.
- Na lista filtrada, escolha as categorias que você deseja.
- Para cada categoria que você escolher, selecione as configurações que deseja aplicar ao seu novo perfil de configuração.
- Para cada configuração, selecione o valor desejado para o perfil de configuração.
- Selecione Seguinte quando terminar de adicionar as definições.
- Na página Atribuições , selecione os grupos do Microsoft Entra que contêm os dispositivos aos quais pretende atribuir este perfil >Seguinte.
- Na página Etiquetas de âmbito , adicione opcionalmente as etiquetas de âmbito que pretende aplicar a este perfil >Seguinte. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.
- Na página Revisar + criar, escolha Criar para criar o perfil.
Modelos administrativos
Modelos Administrativos do Windows 10 ou Windows 11 têm suporte para multissessão do Windows 10 ou Windows 11 Enterprise por meio do Catálogo de configurações com algumas limitações:
- Há suporte para políticas com ADMX. Algumas políticas ainda não estão disponíveis no catálogo definições.
- As políticas ingeridas do ADMX têm suporte, incluindo as configurações do Office e Microsoft Edge disponíveis em arquivos de modelos administrativos do Office e arquivos de modelo administrativo do Microsoft Edge. Para ver uma lista completa das categorias de política ingerida pelo ADMX, confira Configuração da política de aplicativo do Win32 e Ponte de Desktop. Algumas configurações ingeridas pelo ADMX não serão aplicáveis ao Windows 10 ou Windows 11 Enterprise com várias sessões.
Para listar os Modelos Administrativos suportados, terá de utilizar o filtro no catálogo de Definições.
Conformidade e acesso condicional
Pode proteger as VMs com várias sessões do Windows 10 ou Windows 11 Enterprise ao configurar políticas de conformidade e políticas de Acesso Condicional no centro de administração do Microsoft Intune. As seguintes políticas de conformidade têm suporte nas VMs de multissessão do Windows 10 ou Windows 11 Enterprise:
- Versão mínima do sistema operacional
- Versão máxima do sistema operacional
- Builds do sistema operacional válidos
- Senhas simples
- Tipo de senha
- Tamanho mínimo da senha
- Complexidade da senha
- Vencimento da senha (dias)
- Número de senhas anteriores para evitar a reutilização
- Microsoft Defender Antimalware
- Inteligência de segurança do Microsoft Defender Antimalware atualizada
- Firewall
- Antivírus
- Antispyware
- Proteção em tempo real
- Versão mínima do Microsoft Defender Antimalware
- Pontuação de risco do Defender ATP
Todas as outras políticas são relatadas como Não aplicável.
Importante
Terá de criar uma nova política de conformidade e direcioná-la para o grupo de dispositivos que contém as VMs de várias sessões. As configurações de conformidade direcionadas para o utilizador não são suportadas.
As políticas de acesso condicional dão suporte às configurações baseadas em usuário e dispositivo para multissessão do Windows 10 ou Windows 11 Enterprise.
Observação
O Acesso Condicional para o Exchange no local não é compatível com VMs multissessão do Windows 10 ou Windows 11 Enterprise.
Observação
De momento, as políticas de configuração e conformidade para o BitLocker, o Arranque Seguro e as funcionalidades que tiram partido do vTPM (Virtual Trusted Platform Module) não são suportadas para VMs do Azure Virtual Desktop.
Segurança do ponto de extremidade
Você pode configurar perfis em Segurança de ponto de extremidade para VMs de multissessão selecionando Platform Windows 10, Windows 11 e Windows Server. Se essa Plataforma não estiver disponível, o perfil não é suportado em VMs de várias sessões.
Para obter mais informações, consulte Gerenciar a segurança do dispositivo com políticas de segurança de ponto de extremidade no Microsoft Intune
Implantação do aplicativo
Todos os aplicativos do Windows 10 ou Windows 11 podem ser implantados na multissessão do Windows 10 ou Windows 11 Enterprise com as seguintes restrições:
- Todos os aplicativos devem ser configurados para instalar no contexto do sistema/dispositivo e ser direcionado para dispositivos. Os aplicativos da Web são sempre aplicados no contexto do usuário por padrão, portanto, não serão aplicados às VMs com várias sessões.
- Todos os aplicativos devem ser configurados com a intenção de atribuição de aplicativo Obrigatório ou Desinstalar. A intenção de implantação de Aplicativos Disponíveis não é suportada em VMs com várias sessões.
- Se um aplicativo Win32 configurado para instalar no contexto do sistema tiver dependências ou relação de substituição em qualquer aplicativo configurado para instalar no contexto do usuário, o aplicativo não será instalado. Para aplicar a uma VM de multissessão do Windows 10 ou Windows 11 Enterprise, crie uma instância separada do aplicativo de contexto do sistema ou garanta que todas as dependências do aplicativo estejam configuradas para instalação no contexto do sistema.
- O RemoteApp da Área de Trabalho Virtual do Azure e a anexação de aplicativo MSIX não são atualmente suportados no Microsoft Intune.
Implantação de script
Há suporte para scripts configurados para serem executados no contexto do sistema e atribuídos a dispositivos em multissessões do Windows 10 ou Windows 11 Enterprise. Isso pode ser configurado em Configurações de script definindo Executar este script usando as credenciais registradas para Não.
Os scripts configurados para serem executados no contexto de utilizador e atribuídos aos utilizadores são suportados em várias sessões do Windows 10 e Windows 11 Enterprise. Isso pode ser configurado em Configurações de script definindo Executar este script usando as credenciais registradas para Sim.
Windows Update para Empresas
Você pode usar o catálogo de configurações para gerenciar as configurações do Windows Update de modo a obter atualizações de qualidade (segurança) para as VMs de multissessão do Windows 10 ou Windows 11 Enterprise. Para encontrar as configurações com suporte no catálogo, configure um filtro de configurações para multissessão Enterprise e expanda a categoria Windows Update para Empresas.
As configurações a seguir estão disponíveis no catálogo, com os links que abrem a documentação do CSP do Windows:
- Final das horas ativas
- Intervalo máximo de horas ativas
- Início das horas ativas
- Bloquear a capacidade de "Pausar Atualizações"
- Configurar o período de carência do prazo
- Adiar período de atualizações de qualidade (dias)
- Pausar hora de início de atualizações de qualidade
- Período do prazo de atualização de qualidade (dias)
Ações remotas
As seguintes ações remotas do dispositivo de área de trabalho do Windows 10 ou Windows 11 não são suportadas e serão esmaecidas na interface do usuário e desabilitadas no Graph para VMs do Windows 10 ou Windows 11 Enterprise com várias sessões:
- Redefinição do Autopilot
- Rodízio de chaves do BitLocker
- Início novo
- Bloqueio remoto
- Redefinir senha
- Revelar
Desativação
A eliminação de VMs do Azure deixará registos de dispositivos órfãos no centro de administração do Microsoft Intune. Serão automaticamente limpas de acordo com as regras de limpeza configuradas para o inquilino.
Linhas de base de segurança
As linhas de base de segurança não estão disponíveis para o Windows 10 ou Windows 11 Enterprise com várias sessões neste momento. Recomendamos revisar as Linhas de base de segurança disponíveis e configurar as políticas e valores recomendados no Catálogo de configurações.
Configurações adicionais que não são suportadas em VMs do Windows 10 ou Windows 11 Enterprise com várias sessões
Não há suporte para o registro de OOBE (Out of Box Experience) na multissessão do Windows 10 ou Windows 11 Enterprise. Essa restrição significa que:
- Não há suporte para o Azure Autopilot e o OOBE Comercial.
- A página de estado da inscrição não é suportada.
O Windows 10 ou Windows 11 Enterprise com várias sessões gerenciadas pelo Microsoft Intune não é atualmente suportado pela Nuvem Soberana da China.
Solução de problemas
As seções a seguir fornecem orientações de solução de problemas para problemas comuns.
Problemas de inscrição
Problema | Detalhe |
---|---|
Falha na inscrição da máquina virtual associada híbrida do Microsoft Entra |
|
Falha na inscrição da máquina virtual associada ao Microsoft Entra |
|
Problemas de configuração
Problema | Detalhe |
---|---|
Falha da política do catálogo de configurações | Confirme se a VM está inscrita usando credenciais de dispositivo. O registro com credenciais de usuário não é atualmente suportado para o Windows 10 ou Windows 11 Enterprise com várias sessões. |
A política de configuração não se aplicava | Os modelos (exceto os Certificados) não são suportados no Windows 10 ou Windows 11 Enterprise com várias sessões. Todas as políticas devem ser criadas por meio do catálogo de configurações. |
Relatórios de política de configuração como Não aplicáveis | Algumas políticas não são aplicáveis às VMs da Área de Trabalho Virtual do Azure. |
A política do Microsoft Edge/Microsoft Office ADMX não aparece quando eu aplico o filtro para a edição do Windows 10 ou Windows 11 Enterprise com várias sessões | A aplicabilidade para essas configurações não é baseada na versão ou edição do Windows, mas se esses aplicativos foram instalados no dispositivo. Para adicionar essas configurações à sua política, talvez seja necessário remover todos os filtros aplicados no seletor de configurações. |
O aplicativo configurado para instalar no contexto do sistema não se aplicava | Confirme se o aplicativo não tem uma relação de dependência ou substituição em nenhum aplicativo configurado para ser instalado no contexto do usuário. Os aplicativos de contexto de usuário não são suportados atualmente no Windows 10 ou Windows 11 Enterprise com várias sessões. |
A política de anéis de atualização para o Windows 10 e posterior não se aplicava | Atualmente, as políticas de anéis de atualização do Windows não são suportadas. As atualizações de qualidade podem ser geridas através de definições disponíveis no catálogo de definições. |