Azure 虛擬桌面 是在 Azure 中執行的桌面和應用程式虛擬化服務。 本文旨在協助桌面基礎結構架構設計人員、雲端架構設計人員、桌面系統管理員和系統管理員探索 Azure 虛擬桌面,並在企業級建置虛擬化桌面基礎結構(虛擬桌面基礎結構 (VDI)) 解決方案。 企業級解決方案通常涵蓋1,000個以上的虛擬桌面。
架構
下圖說明 Azure 虛擬桌面的典型架構設定:
資料流程
圖表的數據流元素如下所述:
應用程式端點位於客戶的內部部署網路中。 Azure ExpressRoute 會將內部部署網路延伸至 Azure,Microsoft Entra Connect 會將客戶的 Active Directory 網域服務 (AD DS) 與 Microsoft Entra ID 整合。
Azure 虛擬桌面控制平面會處理 Web 存取、閘道、訊息代理程式、診斷和擴充性元件,例如 REST API。
客戶會管理 AD DS 和 Microsoft Entra ID、Azure 訂用帳戶、虛擬網路、Azure 檔案儲存體 或 Azure NetApp Files,以及 Azure 虛擬桌面主機集區和工作區。
為了增加容量,客戶會在中樞輪輻架構中使用兩個 Azure 訂用帳戶,並透過虛擬網路對等互連加以連線。
如需 FSLogix 配置檔容器 - Azure 檔案儲存體 和 Azure NetApp Files 最佳做法的詳細資訊,請參閱 FSLogix 組態範例。
元件
Azure 虛擬桌面服務架構類似於 Windows Server 遠端桌面服務(RDS)。 雖然Microsoft管理基礎結構和代理元件,但企業客戶會管理自己的桌面主機虛擬機(VM)、數據和用戶端。
Microsoft管理的元件
Microsoft管理下列 Azure 虛擬桌面服務,作為 Azure 的一部分:
Web 存取:藉由使用 Azure 虛擬桌面內的 Web 存取服務,您可以透過 HTML5 相容的網頁瀏覽器存取虛擬桌面和遠端應用程式,就像從任何地方和在任何裝置上使用本機電腦一樣。 您可以在 entra ID Microsoft 中使用多重要素驗證來保護 Web 存取。
閘道:遠端連線閘道服務會從任何可執行 Azure 虛擬桌面用戶端的網際網路連線裝置,將遠端使用者連線到 Azure 虛擬桌面應用程式和桌面。 用戶端會連線到閘道,然後協調來自 VM 的連線回到相同的閘道。
連線代理人:連線代理人服務會管理使用者對虛擬桌面和遠端應用程式的連線。 線上代理人提供負載平衡和重新連線到現有的會話。
診斷:遠端桌面診斷是事件型匯總工具,其會將 Azure 虛擬桌面部署上的每個使用者或管理員動作標示為成功或失敗。 管理員可以查詢事件彙總,以識別失敗的元件。
擴充性元件:Azure 虛擬桌面包含數個擴充性元件。 您可以使用 Windows PowerShell 或隨附的 REST API 來管理 Azure 虛擬桌面,這也可啟用第三方工具的支援。
您管理的元件
您可以管理 Azure 虛擬桌面解決方案的下列元件:
Azure 虛擬網絡:使用 Azure 虛擬網絡,VM 等 Azure 資源可以彼此和因特網私下通訊。 藉由將 Azure 虛擬桌面主機集區連線到 Active Directory 網域,您可以根據組織原則定義網路拓撲,以從內部網路或網際網路存取虛擬桌面和虛擬應用程式。 您可以使用虛擬專用網將 Azure 虛擬桌面實例連線到內部部署網路,或使用 Azure ExpressRoute 透過私人連線將內部部署網路延伸至 Azure。
Microsoft Entra ID:Azure 虛擬桌面會使用 Microsoft Entra ID 進行身分識別和存取管理。 Microsoft Entra 整合會套用Microsoft Entra 安全性功能,例如條件式存取、多重要素驗證和 Intelligent Security Graph,並可協助維護已加入網域的 VM 中的應用程式相容性。
Active Directory 網域服務(選擇性):Azure 虛擬桌面 VM 可以加入 AD DS 服務,或使用在 Azure 虛擬桌面中部署已加入Microsoft的虛擬機
- 使用 AD DS 網域時,網域必須與 Microsoft Entra ID 同步,才能讓兩個服務之間的使用者產生關聯。 您可以使用 Microsoft Entra Connect 將 AD DS 與 Microsoft Entra ID 產生關聯。
- 使用 Microsoft Entra 聯結時,請檢閱 支援的組態 ,以確保您的案例受到支援。
Azure 虛擬桌面會話主機:會話主機是使用者為其桌面和應用程式連線的 VM。 支持數個版本的 Windows,而且您可以使用應用程式和自定義來建立映像。 您可以選擇 VM 大小,包括已啟用 GPU 的 VM。 每個工作階段主機都有一個 Azure 虛擬桌面主機代理程式,可在 Azure 虛擬桌面工作區或租用戶中註冊 VM。 每個主機集區可以有一或多個應用程式群組,這些群組是您可以存取的遠端應用程式或桌面會話集合。 若要查看支援的 Windows 版本,請參閱 作業系統和授權。
Azure 虛擬桌面工作區:Azure 虛擬桌面工作區或租使用者是管理及發佈主機集區資源的管理建構。
案例詳細資料
潛在使用案例
企業虛擬桌面解決方案的最大需求來自:
安全性與法規應用程式,例如金融服務、醫療保健和政府。
彈性員工需求,例如遠端工作、合併和收購、短期員工、承包商和合作夥伴存取權。
特定員工,例如攜帶您自己的裝置(BYOD)和行動使用者、客服中心和分支工作者。
特殊的工作負載,例如設計和工程、舊版應用程式和軟體開發測試。
個人和集區式桌面
藉由使用個人桌面解決方案,有時稱為 持續性桌面,使用者一律可以連線到相同的特定會話主機。 使用者通常會修改其桌面體驗以符合個人喜好設定,而且可以在桌面環境中儲存盤案。 個人桌面解決方案:
- 讓使用者自定義其桌面環境,包括使用者安裝的應用程式,用戶可以在桌面環境中儲存盤案。
- 允許將專用資源指派給特定使用者,這對某些製造或開發使用案例很有説明。
集區桌面解決方案,也稱為 非持續性桌面,根據負載平衡演算法,將使用者指派給目前可用的會話主機。 因為使用者每次連線時不一定會回到相同的會話主機,所以他們有有限的能力來自定義桌面環境,而且通常沒有系統管理員存取權。
注意
在此情況下,持續性和非持續性術語指的是使用者配置文件的持續性。 這並不表示操作系統磁碟會還原為黃金映像,或捨棄重新啟動時所做的變更。
Windows 服務
有數個選項可用來更新 Azure 虛擬桌面實例。 每月部署更新的映像可保證合規性和狀態。
- Microsoft Endpoint Configuration Manager (MECM) 會 更新伺服器和桌面操作系統。
- 商務 用 Windows Update 會更新桌面作業系統,例如 Windows 10 多會話。
- Azure 更新管理 更新伺服器作業系統。
- Azure Log Analytics 會檢查合規性。
- 每月將新的 (自訂) 映像部署至工作階段以取得最新的 Windows 和應用程式更新。 您可以從 Azure Marketplace 或 自定義的 Azure 受控映射使用映像。
主要邏輯元件之間的關聯性
主機集區、工作區和其他主要邏輯元件之間的關聯性會有所不同。 下圖摘要說明:
下列描述中的數字會對應至上圖中的數位。
- (1) 包含已發佈桌面的應用程式群組只能包含掛接至主機集區的 MSIX 套件(會話主機的 [開始] 功能表中會提供套件),它不能包含任何其他已發佈的資源,而且稱為桌面應用程式群組。
- (2) 指派給相同主機集區的應用程式群組必須是相同工作區的成員。
- (3) 使用者帳戶可以直接或透過 Microsoft Entra 群組指派給應用程式群組。 您可以將任何使用者指派給應用程式群組,但無法提供服務。
- (4) 可以有空的工作區,但無法為使用者提供服務。
- (5) 可以有空的主機集區,但無法為使用者提供服務。
- (6) 主機集區可能沒有指派任何應用程式群組,但無法服務使用者。
- (7) Azure 虛擬桌面需要Microsoft Entra 標識碼。 這是因為Microsoft Entra用戶帳戶和群組必須一律用來將使用者指派給 Azure 虛擬桌面應用程式群組。 Microsoft Entra 識別碼也可用來向 Azure 虛擬桌面服務驗證使用者。 Azure 虛擬桌面會話主機也可以是Microsoft Entra 網域的成員,在此情況下,也會使用 Microsoft Entra 帳戶啟動並執行 Azure 虛擬桌面發行的應用程式和桌面會話。
- (7) 或者,Azure 虛擬桌面會話主機可以是 AD DS 網域的成員,在此情況下,Azure 虛擬桌面發佈的應用程式和桌面工作階段將會使用 AD DS 帳戶來啟動並執行(但未指派)。 若要減少使用者和管理額外負荷,AD DS 可以透過 Microsoft Entra Connect 與 Microsoft Entra ID 同步處理。
- (7) 最後,Azure 虛擬桌面會話主機可以改為成為 Microsoft Entra Domain Services 網域的成員,在此情況下,Azure 虛擬桌面發佈的應用程式和桌面會話將會使用 Microsoft Entra Domain Services 帳戶來啟動並執行(但未指派)。 Microsoft Entra ID 會自動與 Microsoft Entra Domain Services 同步處理,單向從 Microsoft Entra ID 到僅Microsoft Entra Domain Services。
| 資源 | 用途 | 邏輯關聯性 |
|---|---|---|
| 已發佈桌面 | 在 Azure 虛擬桌面會話主機上執行的 Windows 桌面環境,並透過網路傳遞給使用者 | 應用程式群組 成員 (1) |
| 發佈的應用程式 | 在 Azure 虛擬桌面會話主機上執行的 Windows 應用程式,並透過網路傳遞給使用者 | 一個和一個應用程式群組的成員 |
| 應用程式群組 | 已發行應用程式的邏輯群組或已發佈的桌面 | - 包含已發佈的桌面 (1) 或一或多個已發佈的應用程式 - 指派給一個主機集區,且只指派一個主機集區 (2) - 一個工作區和一個工作區 的成員 (2) - 將一或多個Microsoft Entra 使用者帳戶或群組指派給它 (3) |
| Microsoft Entra 用戶帳戶/群組 | 識別允許啟動已發佈桌面或應用程式的使用者 | - 一個且只有一個Microsoft Entra 標識符的成員 - 指派給一或多個應用程式群組 (3) |
| Microsoft項目識別符 (7) | 識別提供者 | - 包含一或多個使用者帳戶或群組,必須用來將使用者指派給應用程式群組,而且也可用來登入會話主機 - 可以保存會話主機的成員資格 - 可以與 AD DS 或 Microsoft Entra Domain Services 同步處理 |
| AD DS (7) | 身分識別和目錄服務提供者 | - 包含一或多個使用者帳戶或群組,可用來登入會話主機 - 可以保存會話主機的成員資格 - 可以與Microsoft Entra 標識符同步 |
| Microsoft Entra Domain Services (7) | 平臺即服務 (PaaS) 型身分識別和目錄服務提供者 | - 包含一或多個使用者帳戶或群組,可用來登入會話主機 - 可以保存會話主機的成員資格 - 與Microsoft Entra 標識符同步 |
| 工作區 | 應用程式群組的邏輯群組 | 包含一或多個應用程式群組 (4) |
| 主機集區 | 一組相同會話主機,其用途為一般用途 | - 包含一或多個工作階段主機 (5) - 將一或多個應用程式群組指派給它 (6) |
| 工作階段主機 | 裝載已發佈桌面或應用程式的虛擬機 | 一個和只有一個主機集區的成員 |
考量
這些考量能實作 Azure Well-Architected Framework 的要素,其為一組指導原則,可以用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework (部分機器翻譯)。
下列各節中的數位是近似值。 它們是以各種大型客戶部署為基礎,而且可能會隨著時間而變更。
另請注意:
- 每個單一Microsoft Entra 租使用者*,您都無法建立超過 500 個應用程式群組。
- 建議您不要每個應用程式群組發佈超過50個應用程式。
Azure 虛擬桌面限制
Azure 虛擬桌面很類似 Azure,有許多您需要注意的特定服務限制。 若要避免在縮放階段進行變更,最好在設計階段解決其中一些限制。
| Azure 虛擬桌面物件 | 每個父容器物件 | 服務限制 |
|---|---|---|
| 工作區 | Microsoft Entra 租使用者 | 1300 |
| HostPool | 工作區 | 400 |
| 應用程式群組 | Microsoft Entra 租使用者 | 500* |
| RemoteApp | 應用程式群組 | 500 |
| 角色指派 | 任何 Azure 虛擬桌面物件 | 200 |
| 工作階段主機 | HostPool | 10,000 |
*如果您需要超過 500 個應用程式群組,請透過 Azure 入口網站 提交支援票證。
- 建議您在每個區域的每個 Azure 訂用帳戶部署不超過 5,000 部 VM。 此建議適用於以 Windows 企業版單一和多重工作階段為基礎的個人和集區式主機集區。 大部分的客戶都會使用 Windows 企業版多會話,這可讓多個使用者登入每個 VM。 您可以增加個別工作階段主機 VM 的資源,以容納更多的使用者工作階段。
- 針對自動化工作階段主機縮放工具,每個區域每個 Azure 訂用帳戶的限制大約是 2,500 個 VM,因為 VM 狀態互動會耗用更多資源。
- 若要管理在相同區域中,每個 Azure 訂用帳戶超過 5,000 個 VM 的企業環境,您可以在中樞輪輻架構中建立多個 Azure 訂用帳戶,並透過虛擬網路對等互連來連線這些訂用帳戶 (每個輪輻使用一個訂用帳戶)。 您也可以將 VM 部署在相同訂用帳戶中的不同區域,以增加 VM 的數目。
- Azure Resource Manager 訂用帳戶 API 節流限制不允許透過 Azure 入口網站 每小時超過 600 部 Azure VM 重新啟動。 您可以透過作業系統一次將所有電腦重新開機,這不會耗用任何 Azure Resource Manager 訂用帳戶 API 呼叫。 如需根據 Azure 訂用帳戶計算和疑難解答節流限制的詳細資訊,請參閱 針對 API 節流錯誤進行疑難解答。
- 您目前可以在 Azure 虛擬桌面入口網站的單一 ARM 範本部署中部署最多 132 部 VM。 若要建立超過 132 部 VM,請在 Azure 虛擬桌面入口網站中多次執行 ARM 範本部署。
- Azure VM 工作階段主機名稱前置詞不能超過 11 個字元,因為自動指派執行個體名稱和 NetBIOS 時限制每個電腦帳戶為 15 個字元。
- 根據預設,您可以在資源群組中部署最多 800 個資源類型的執行個體。 Azure 計算沒有此限制。
如需 Azure 訂用帳戶限制的詳細資訊,請參閱 Azure 訂用帳戶和服務限制、配額與條件約束。
VM 大小調整
虛擬機大小調整指導方針 會列出每個虛擬中央處理單位 (vCPU) 和不同工作負載的最小 VM 組態建議的最大用戶數目。 此數據可協助您預估主機集區中所需的 VM。
使用模擬工具來測試具有壓力測試和實際使用模擬部署。 請確定系統具有回應性和彈性,以符合使用者需求,並記得在測試時變更負載大小。
成本最佳化
成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化要素的概觀。
您可以建構 Azure 虛擬桌面解決方案,以節省成本。 以下是五個不同的選項,可協助您管理企業的成本:
- Windows 10 多會話:藉由為具有相同計算需求的使用者提供多會話桌面體驗,您可以讓更多使用者一次登入單一 VM,這種方法可節省相當大的成本。
- Azure Hybrid Benefit:若擁有軟體保證,您可以使用 Azure Hybrid Benefit for Windows Server,以節省 Azure 基礎結構的成本。
- Azure 保留的 VM 實例:您可以預付 VM 使用量並節省成本。 將 Azure 保留的 VM 實例與 Azure Hybrid Benefit 結合在一起,可節省高達 80% 的清單價格。
- 會話主機負載平衡:當您設定會話主機時, 將使用者隨機分散到會話主機的廣度優先 模式是標準預設模式。 或者,您可以使用 深度優先 模式來填滿會話主機伺服器,並在使用者移至下一個會話主機之前,將用戶數目上限填滿。 您可以調整此設定,以獲得最大的成本效益。
部署此案例
使用ARM範本將 Azure 虛擬桌面環境的部署自動化。 這些 ARM 範本僅支援 Azure Resource Manager Azure 虛擬桌面物件。 這些 ARM 範本不支援 Azure 虛擬桌面(傳統版)。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主體作者:
- 湯姆·希克林 |資深產品經理、Azure 虛擬桌面工程
其他參與者:
- 納爾遜·德爾維拉爾 |雲端解決方案架構師、Azure Core 基礎結構
下一步
- Azure 虛擬桌面合作夥伴整合 會列出已核准的 Azure 虛擬桌面合作夥伴提供者和獨立軟體廠商。
- 使用虛擬桌面優化工具,協助將 Windows 10 企業版 VDI(虛擬桌面基礎結構)環境中的效能優化。
- 請參閱 在 Azure 虛擬桌面中部署Microsoft已加入 Entra 的虛擬機。
- 深入瞭解 Active Directory 網域服務。
- 什麼是 Microsoft Entra Connect?(機器翻譯)
相關資源
- 如需多個 Active Directory 樹系架構的詳細資訊,請參閱 Azure 虛擬桌面中的多個 Active Directory 樹系架構。