通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

部署 Azure 虚拟桌面

重要

以下功能目前处于预览阶段:

  • Azure Local上的 Azure 虚拟桌面,适用于Azure 政府和 Azure,由世纪互联运营, (Azure 在中国) 。

  • 具有会话主机配置的主机池。

有关适用于处于 beta 版、预览版或其他尚未正式发布的 Azure 功能的法律条款,请参阅 适用于 Microsoft Azure 预览版的补充使用条款

本文介绍如何使用 Azure 门户、Azure CLI 或 Azure PowerShell在 Azure、Azure Local或 Azure 扩展区域上部署 Azure 虚拟桌面。 若要部署 Azure 虚拟桌面,需要:

  • 创建主机池。
  • 创建工作区。
  • 创建应用程序组。
  • ) (VM 创建会话主机虚拟机。
  • (可选) 启用诊断设置。
  • 将用户或组分配到应用程序组,以便用户获取对桌面和应用程序的访问权限。

使用 Azure 门户 时,可以在单个进程中执行所有这些任务,但也可以单独执行。

创建主机池时,可以选择以下两 种管理方法之一:

  • 会话主机配置 (预览) 适用于 Azure 上具有会话主机的共用主机池。 Azure 虚拟桌面使用本机功能的组合提供集成的动态体验,为你管理共用主机池中的会话主机的生命周期。

  • Standard管理适用于 Azure 或 Azure Local 上具有会话主机的共用主机池和个人主机池。 在主机池中管理会话主机的创建、更新和缩放。 如果要使用现有工具和流程,例如自动化管道、自定义脚本或外部合作伙伴解决方案,则需要使用标准主机池管理类型。

有关本文中使用的术语的详细信息,请参阅 Azure 虚拟桌面术语。 有关 Azure 虚拟桌面服务的详细信息,请参阅 Azure 虚拟桌面服务体系结构和复原能力

提示

本文中介绍的过程是部署 Azure 虚拟桌面的深入且适应性极佳的方法。 如果想要尝试使用更简单的方法部署示例Windows 11桌面的 Azure 虚拟桌面,请参阅教程:使用Windows 11桌面部署示例 Azure 虚拟桌面基础结构或使用快速入门

选择本文顶部的按钮,选择使用标准管理的主机池或使用会话主机配置的主机池来查看相关文档。

先决条件

查看 Azure 虚拟桌面的先决条件 ,大致了解所需和支持的内容,例如作系统 (OS) 、虚拟网络和标识提供者。 它还包括可在其中部署主机池、工作区和应用程序组 的受支持 Azure 区域 的列表。 此区域列表是可以存储主机池的 元数据 的位置。 但是,会话主机可以位于任何 Azure 区域中。 有关数据类型和位置的详细信息,请参阅 Azure 虚拟桌面的数据位置

除了常规先决条件外,还需要:

  • 用于创建主机池的 Azure 帐户必须具有以下内置基于角色的访问控制, (RBAC) 角色或等效角色,或者至少在资源组或订阅上等效,才能创建以下资源类型。 如果要将角色分配给资源组,需要先创建此资源组。

    资源类型 RBAC 角色 范围
    主机池、工作区和应用程序组 桌面虚拟化参与者 资源组或订阅
    Azure) (会话主机 虚拟机参与者 资源组或订阅
    密钥保管库 密钥保管库机密用户 包含本地和/或域凭据的密钥保管库

    若要持续管理主机池、工作区和应用程序组,可以对每种资源类型使用更精细的角色。 有关详细信息,请参阅 适用于 Azure 虚拟桌面的内置 Azure RBAC 角色

  • 如果要将会话主机加入 Active Directory 域或使用Microsoft Entra混合联接,则需要其他权限:

    • 对于Microsoft Entra 域服务域,你需要是 AAD DC 管理员的成员。

    • 对于Active Directory 域服务 (AD DS) 域,需要使用比加入域通常所需的权限更多的帐户,因为新的 OS 映像会重用现有计算机对象。 下表中的权限和属性需要应用于包含会话主机的组织单位 (OU) 的帐户:

      名称 类型 适用对象
      重置密码 允许 后代计算机对象
      已验证写入 DNS 主机名 允许 后代计算机对象
      已验证对服务主体名称的写入 允许 后代计算机对象
      读取帐户限制 允许 后代计算机对象
      写入帐户限制 允许 后代计算机对象

      KB5020276 开始,为在 Active Directory 域中重用计算机帐户引入了进一步的保护。 若要成功重用会话主机的现有计算机对象,请执行以下任一作:

      • 将会话主机加入域的用户帐户是现有计算机帐户的创建者。
      • 计算机帐户由域管理员安全组的成员创建。
      • 将组策略设置Domain controller: Allow computer account re-use during ___domain join应用于计算机帐户的所有者。 有关此设置的范围的详细信息,请参阅 KB5020276

  • 一个密钥保管库,其中包含要用于虚拟机本地管理员帐户凭据的机密,如果要将会话主机加入 Active Directory 域,则包含域加入帐户凭据。 每个用户名和密码都需要一个机密。 创建 VM 时,虚拟机本地管理员密码必须满足密码要求。

  • 对于在会话主机配置中指定在更新后运行的任何自定义配置 PowerShell 脚本,必须可从公共 Internet 解析脚本的 URL。

  • 使用 Azure 门户 创建会话主机时,请勿禁用 Windows 远程管理 (WinRM) ,因为 PowerShell DSC 需要它。

  • 如果想要在本地使用 Azure PowerShell,请参阅使用 Azure CLI 并将Azure PowerShell与 Azure 虚拟桌面配合使用,以确保已安装 Az.DesktopVirtualization PowerShell 模块。 或者,使用 Azure Cloud Shell

  • 支持具有会话主机配置的主机池的 Azure 虚拟桌面Azure PowerShell cmdlet 目前为预览版。 需要下载并安装 Az.DesktopVirtualization 模块的预览版 才能使用这些 cmdlet,这些 cmdlet 已在版本 5.3.0 中添加。

若要大致了解所需和支持的内容(例如作系统 (OS) 、虚拟网络和标识提供者),请参阅 Azure 虚拟桌面的先决条件。 该文章还包括可在其中部署主机池、工作区和应用程序组 的受支持 Azure 区域 的列表。 此区域列表是可以存储主机池的 元数据 的位置。 但是,会话主机可以位于任何 Azure 区域和本地,Azure Local。 有关数据类型和位置的详细信息,请参阅 Azure 虚拟桌面的数据位置

有关更多先决条件(包括基于角色的访问控制 (RBAC) 角色),请选择方案的相关选项卡。

使用会话主机配置创建主机池

若要创建具有会话主机配置的主机池,请选择方案的相关选项卡,并按照步骤作。

下面介绍如何使用 Azure 门户 创建具有会话主机配置的主机池,该池还会创建默认会话主机管理策略和默认会话主机配置。 部署后,可以更改默认会话主机管理策略和会话主机配置。

  1. 登录 Azure 门户

  2. 在搜索栏中,输入 Azure 虚拟桌面 并选择匹配的服务条目。

  3. 选择“ 主机池”,然后选择“ 创建”。

  4. 在“ 基本信息 ”选项卡上,完成以下信息:

    参数 值/说明
    订阅 从下拉列表中选择要在其中创建主机池的订阅。
    资源组 选择现有资源组或选择“ 新建 ”并输入名称。
    主机池名称 输入主机池的名称(例如 hp01),长度最多为 64 个字符。
    位置 选择要在其中创建主机池的 Azure 区域。
    验证环境 选择“ ”以创建用作 验证环境的主机池。

    预览期间需要验证环境。
    首选应用组类型 桌面RemoteApp 选择此主机池的首选应用程序组类型。 使用 Azure 门户时,会自动创建桌面应用程序组,无论哪种应用程序组类型都设置为首选。
    主机池类型
    主机池类型 池化 是自动选择的,并且是会话主机配置支持的唯一主机池类型。
    使用会话主机配置 选择“是”

    完成此选项卡后,选择“ 下一步:会话主机”。

  5. 在“ 会话主机 ”选项卡上,完成以下信息,这些信息在会话主机配置中捕获并用于创建会话主机。

    参数 值/说明
    会话主机数 输入创建主机池时要创建的会话主机数。 此时,可以输入 0 以不创建任何会话主机,但仍使用创建会话主机时指定的值创建会话主机配置。

    如果希望根据 订阅配额) (,此时最多可以部署 500 个会话主机 VM,也可以稍后添加更多 VM。

    有关详细信息,请参阅 Azure 虚拟桌面服务限制虚拟机限制
    会话主机配置
    资源组 自动默认为在“ 基本信息 ”选项卡上选择主机池的资源组,但也可以从下拉列表中选择替代项。
    名称前缀 输入会话主机的名称,例如 hp01-sh

    此值用作会话主机 VM 的前缀。 每个会话主机都有一个连字符后缀,然后在末尾添加一个序号,例如 hp01-sh-0

    它最多可以包含 10 个字符,用于作系统中的计算机名称。 前缀和后缀组合最多可以包含 15 个字符。 会话主机名必须唯一。
    虚拟机位置 选择要在其中部署会话主机 VM 的 Azure 区域。 此区域必须与虚拟网络所在的区域相同。
    可用性区域 选择要在其中部署虚拟机的一个或多个 可用性区域
    安全类型 Standard受信任的启动虚拟机机密虚拟机中进行选择。

    - 如果选择 “受信任的启动虚拟机”,则会自动选择 安全启动vTPM 选项。

    - 如果选择“ 机密虚拟机”,则会自动选择 安全启动vTPM完整性监视 选项。 使用机密 VM 时,无法选择退出 vTPM。

    受信任的启动虚拟机 是默认的。
    图像 从列表中选择要使用的 OS 映像,或选择“ 查看所有映像 ”以查看详细信息,包括创建并存储为 Azure Compute Gallery 共享映像托管映像的任何自定义映像。
    虚拟机大小 选择 SKU。 如果要使用不同的 SKU,请选择“ 更改大小”,然后从列表中选择。
    操作系统磁盘类型 选择要用于会话主机的磁盘类型。 建议将 高级 SSD 用于生产工作负荷。
    OS 磁盘大小 选择 OS 磁盘的大小。

    如果启用休眠,请确保 OS 磁盘足够大,除了 OS 和其他应用程序之外,还存储内存内容。
    启动诊断 选择是否要启用启动诊断
    网络和安全性
    虚拟网络 选择虚拟网络。 此时会显示用于选择子网的选项。
    子网 从虚拟网络中选择子网。
    网络安全组类型 选择是否要使用网络安全组 (NSG) 。

    - Basic 会创建新的 NSG,你可以指定公共入站端口。

    - “高级 ”使你能够选择现有的 NSG。

    无需打开入站端口就可以连接到 Azure 虚拟桌面。 有关详细信息,请参阅 了解 Azure 虚拟桌面网络连接
    要加入的域
    选择要加入的目录 选择“ Active Directory”,然后选择包含域加入帐户用户名和密码的机密的密钥保管库。

    可以选择指定域名和组织单位路径。
    虚拟机管理员帐户 为新会话主机 VM 的本地管理员帐户的用户名和密码选择密钥保管库和机密。 用户名和密码必须满足 Azure 中 Windows VM 的要求
    自定义配置
    自定义配置脚本 URL 如果要在部署期间运行 PowerShell 脚本,可以在此处输入 URL。

    提示

    完成此选项卡后,可以继续选择为此主机池中的新工作区或预先存在的工作区注册默认桌面应用程序组,并通过选择“下一步:工作区”启用诊断设置。 或者,如果要单独创建和配置它们,请选择“ 下一步:查看 + 创建 ”,然后转到步骤 9。

  6. 可选:在“ 工作区 ”选项卡上,如果要创建工作区并从此主机池注册默认桌面应用程序组,请完成以下信息:

    参数 值/说明
    注册桌面应用组 选择“是”。 这会将默认桌面应用程序组注册到所选工作区。
    到此工作区 从列表中选择现有工作区,或选择“ 新建 ”并输入名称,例如 ws01

    完成此选项卡后,选择“ 下一步:高级”。

  7. 可选:在“高级”选项卡上,如果要启用诊断设置,请完成以下信息:

    参数 值/说明
    启用诊断设置 选中该框。
    选择要将日志发送到的目标详细信息 选择以下目标之一:

    - 发送到 Log Analytics 工作区

    - 存档到存储帐户

    - Stream事件中心

    完成此选项卡后,选择“ 下一步:标记”。

  8. 可选:在“ 标记 ”选项卡上,可以输入所需的任何名称/值对,然后选择“ 下一步:查看 + 创建”。

  9. 在“ 查看 + 创建 ”选项卡上,确保验证通过并查看部署期间的信息。

  10. 选择“ 创建 ”以创建主机池。

  11. 创建主机池后,选择“ 转到资源 ”以转到新主机池的概述,然后选择“ 属性” 以查看其属性。

部署后

如果还向主机池添加了会话主机,则可能需要执行一些额外的配置,这在以下部分中进行了介绍。

授权

若要确保会话主机已正确应用许可证,需要执行以下任务:

  • 如果拥有运行 Azure 虚拟桌面工作负载的正确许可证,则可以将 Windows 或 Windows Server 许可证作为 Azure 虚拟桌面的一部分应用到会话主机,并运行它们,而无需支付单独的许可证费用。 使用 Azure 虚拟桌面服务创建会话主机时,会自动应用此许可证,但如果在 Azure 虚拟桌面外部创建会话主机,则可能需要单独应用许可证。 有关详细信息,请参阅 将 Windows 许可证应用于会话主机虚拟机

  • 如果会话主机运行的是Windows Server OS,则还需要从 RDS 许可证服务器向它们颁发远程桌面服务 (RDS) 客户端访问许可证 (CAL) 。 有关详细信息,请参阅 使用客户端访问许可证授予 RDS 部署的许可

  • 对于Azure Local上的会话主机,必须先对虚拟机进行许可并激活,然后再将其与 Azure 虚拟桌面一起使用。 若要激活使用Windows 10 企业版多会话的 VM,Windows 11 企业版多会话,Windows Server 2022 Datacenter:Azure 版本,请使用 VM 的 Azure 验证。 对于所有其他 OS 映像 ((例如Windows 10 企业版、Windows 11 企业版和其他版本的Windows Server) ),应继续使用现有的激活方法。 有关详细信息,请参阅在Azure Local上激活Windows Server VM

Microsoft Entra已加入的会话主机

对于加入Microsoft Entra ID的 Azure 上的会话主机,还需要启用单一登录或更早的身份验证协议,向用户分配 RBAC 角色,并查看多重身份验证策略,以便用户可以登录到 VM。 有关详细信息,请参阅已加入Microsoft Entra会话主机

注意

  • 如果在同一过程中创建了主机池、工作区并从此主机池注册了默认桌面应用程序组,请转到 将用户分配到应用程序组 部分并完成本文的其余部分。 使用 Azure 门户时,将自动创建桌面应用程序组,以你设置为首选的应用程序组类型为准。

  • 如果在同一进程中创建了主机池和工作区,但未从此主机池注册默认桌面应用程序组,请转到 创建应用程序组 部分并完成本文的其余部分。

  • 如果未创建工作区,请继续下一部分并完成本文的其余部分。

使用标准管理创建主机池

若要创建主机池,请选择方案的相关选项卡,然后按照步骤作。

下面介绍如何使用 Azure 门户创建主机池:

  1. 登录 Azure 门户

  2. 在搜索栏上,输入 Azure 虚拟桌面 并选择匹配的服务条目。

  3. 选择“ 主机池”,然后选择“ 创建”。

  4. 在“ 基本信息 ”选项卡上,完成以下信息:

    参数 值/说明
    订阅 在下拉列表中,选择要在其中创建主机池的订阅。
    资源组 选择现有资源组,或选择“ 新建 ”并输入名称。
    主机池名称 输入主机池的名称,例如 hp01
    Location 选择要在其中创建主机池的 Azure 区域。
    验证环境 选择“ ”以创建用作 验证环境的主机池。

    选择“ (默认) ”以创建不用作验证环境的主机池。
    首选应用组类型 为此主机池选择 首选应用程序组类型桌面RemoteApp。 使用 Azure 门户时,会自动创建桌面应用程序组。
    主机池类型 选择希望主机池是 “池” 还是 “个人”。

    如果选择“ 共用”,则会为 “负载均衡算法 ”和“ 最大会话限制”显示两个新选项。

    展开共用选项的此部分。
    - 对于 负载均衡算法,请根据使用模式选择 “广度优先 ”或 “深度优先”。

    - 对于 “最大会话限制”,请输入要负载均衡到单个会话主机的最大用户数。 有关详细信息,请参阅 主机池负载均衡算法

    如果选择“ 个人”,则会为 “分配类型” 和“ 将多个桌面分配给单个用户”显示两个新选项。

    展开此部分以获取个人选项。
    对于 “分配类型”,选择“ 自动 ”为服务分配尚未分配给用户的任何个人桌面,或选择“ 直接 ”将特定个人桌面分配给用户。 使用“直接分配类型”,还可以检查“将多个桌面分配给单个用户”框。 有关详细信息,请参阅 将多个个人桌面分配给单个用户

    提示

    完成此选项卡后,可以继续选择创建会话主机、创建工作区、从此主机池注册默认桌面应用程序组,并通过选择“下一步:虚拟机”启用诊断设置。 或者,如果要单独创建和配置这些资源,请选择“ 下一步:查看 + 创建 ”,然后转到步骤 9。

  5. 可选:在“虚拟机”选项卡上,如果要添加会话主机,请展开以下部分之一并完成信息,具体取决于是要在 Azure 上还是在Azure Local上创建会话主机。 有关调整会话主机虚拟机大小的指南,请参阅 会话主机虚拟机大小调整指南

    若要在 Azure 上添加会话主机,请展开此部分。
    参数 值/说明
    添加虚拟机 选择“是”。 此作显示了几个新选项。
    资源组 此值默认为选择在“ 基本信息 ”选项卡上包含主机池的资源组,但可以选择替代项。
    Name prefix 输入会话主机的名称前缀,例如 hp01-sh

    每个会话主机都有一个连字符后缀,然后是添加到末尾的序号,例如 hp01-sh-0

    此名称前缀最多可包含 11 个字符,用于作系统中的计算机名称。 前缀和后缀组合最多可以包含 15 个字符。 会话主机名必须唯一。
    虚拟机类型 选择“ Azure 虚拟机”。
    虚拟机位置 选择要在其中部署会话主机的 Azure 区域。 此值必须是包含虚拟网络的同一区域。
    状态选项 可用性区域可用性集不需要基础结构冗余中进行选择。 如果选择 可用性区域可用性集,请完成显示的额外参数。
    安全类型 Standard受信任的启动虚拟机机密虚拟机中进行选择。

    - 如果选择 “受信任的启动虚拟机”,则会自动选择 安全启动vTPM 选项。

    - 如果选择“ 机密虚拟机”,则会自动选择 安全启动vTPM完整性监视 选项。 使用机密 VM 时,无法选择退出 vTPM。
    图像 从列表中选择要使用的 OS 映像,或选择“ 查看所有映像 ”以了解更多信息。 完整列表包括创建并存储为 Azure Compute Gallery 共享映像托管映像的任何映像
    虚拟机大小 选择大小。 如果要使用不同的大小,请选择“ 更改大小”,然后从列表中选择。
    冬眠 选中该框以启用休眠。 休眠仅适用于个人主机池。 有关详细信息,请参阅 虚拟机中的休眠。 如果使用 Microsoft Teams 媒体优化,则应将 WebRTC 重定向程序服务更新为 1.45.2310.13001

    FSLogix 和应用附加目前不支持休眠。 如果对个人主机池使用 FSLogix 或应用附加,请不要启用休眠。
    VM 数 输入要部署的虚拟机数。 如果希望根据 订阅配额) (,此时最多可以部署 400 个会话主机,也可以稍后添加更多会话主机。

    有关详细信息,请参阅 Azure 虚拟桌面服务限制虚拟机限制
    操作系统磁盘类型 选择要用于会话主机的磁盘类型。 建议仅将 高级 SSD 用于生产工作负荷。
    OS 磁盘大小 选择 OS 磁盘的大小。

    如果启用休眠,请确保 OS 磁盘足够大,除了 OS 和其他应用程序之外,还存储内存内容。
    机密计算加密 如果使用机密 VM,则必须选中“ 机密计算加密 ”复选框才能启用 OS 磁盘加密。

    仅当选择 “机密虚拟机” 作为安全类型时,才会显示此复选框。
    启动诊断 选择是否要启用启动诊断
    网络和安全性
    虚拟网络 选择虚拟网络。 此时会显示用于选择子网的选项。
    Subnet 从虚拟网络中选择子网。
    网络安全组 选择是否要使用网络安全组 (NSG) 。

    - “无” 不会创建新的 NSG。

    - 基本 版为 VM 网络适配器创建新的 NSG。

    - “高级 ”使你能够选择现有的 NSG。

    建议不要在此处创建 NSG,而是 在子网上创建 NSG
    公共入站端口 可以从列表中选择允许的端口。 Azure 虚拟桌面不需要公共入站端口,因此建议选择“ ”。
    要加入的域
    选择要加入的目录 Microsoft Entra IDActive Directory 中进行选择,并完成所选选项的相关参数。
    虚拟机管理员帐户
    Username 输入要用作新会话主机的本地管理员帐户的名称。 有关详细信息,请参阅 创建 VM 时的用户名要求是什么?
    Password 输入本地管理员帐户的密码。 有关详细信息,请参阅 创建 VM 时的密码要求是什么?
    确认密码 重新输入密码。
    自定义配置
    自定义配置脚本 URL 如果要在部署期间运行 PowerShell 脚本,可以在此处输入 URL。
    若要在 Azure Local 上添加会话主机,请展开此部分。
    参数 值/说明
    添加虚拟机 选择“是”。 此作显示了几个新选项。
    资源组 此值默认为选择在“ 基本信息 ”选项卡上包含主机池的资源组,但可以选择替代项。
    Name prefix 输入会话主机的名称前缀,例如 hp01-sh

    每个会话主机都有一个连字符后缀,然后是添加到末尾的序号,例如 hp01-sh-0

    此名称前缀最多可包含 11 个字符,用于作系统中的计算机名称。 前缀和后缀组合最多可以包含 15 个字符。 会话主机名必须唯一。
    虚拟机类型 选择“Azure Local”。
    自定义位置 在下拉列表中,选择要在其中部署会话主机的 Azure Local 实例。
    Images 从列表中选择要使用的 OS 映像,或选择“ 管理 VM 映像 ”以管理所选实例上的可用映像。
    VM 数 输入要部署的虚拟机数。 稍后可以添加更多内容。
    虚拟处理器计数 输入要分配给每个会话主机的虚拟处理器数。 此值不会针对实例中的可用资源进行验证。
    内存类型 对于固定内存分配,请选择“ 静态 ”,或者选择“ 动态 ”作为动态内存分配。
    内存 (GB) 输入要分配给每个会话主机的内存量(以 GB 为单位)的数字。 此值不会针对实例中的可用资源进行验证。
    最大内存 如果选择了动态内存分配,请输入希望会话主机能够使用的最大内存量(以 GB 为单位)的数字。
    最小内存 如果选择了动态内存分配,请输入希望会话主机能够使用的最小内存量(以 GB 为单位)的数字。
    网络和安全性
    网络下拉列表 选择要将每个会话连接到的现有网络。
    要加入的域
    选择要加入的目录 Active Directory 是唯一可用的选项。 这包括使用Microsoft Entra混合联接
    AD 域加入 UPN 输入有权将会话主机加入域的 Active Directory 用户的用户主体名称 (UPN) 。
    Password 输入 Active Directory 用户的密码。
    指定域或单位 如果要将会话主机加入特定域或放置在特定组织单位 (OU) ,请选择 “是 ”。 如果选择 “否”,则 UPN 的后缀将用作域。
    虚拟机管理员帐户
    Username 输入要用作新会话主机的本地管理员帐户的名称。 有关详细信息,请参阅 创建 VM 时的用户名要求是什么?
    Password 输入本地管理员帐户的密码。 有关详细信息,请参阅 创建 VM 时的密码要求是什么?
    确认密码 重新输入密码。
    若要在 Azure 扩展区域中添加会话主机,请展开此部分。
    参数 值/说明
    添加虚拟机 选择“是”。 此作显示了几个新选项。
    资源组 此值默认为选择在“ 基本信息 ”选项卡上包含主机池的资源组,但可以选择替代项。
    Name prefix 输入会话主机的名称前缀,例如 hp01-sh

    每个会话主机都有一个连字符后缀,然后是添加到末尾的序号,例如 hp01-sh-0

    此名称前缀最多可包含 11 个字符,用于作系统中的计算机名称。 前缀和后缀组合最多可以包含 15 个字符。 会话主机名必须唯一。
    虚拟机类型 选择“ Azure 虚拟机”。
    虚拟机位置 选择“ 部署到 Azure 扩展区域”。
    Azure 扩展区域 选择所需的扩展区域。
    网络和安全性
    选择负载均衡器 选择要用于会话主机的同一虚拟网络上的现有 Azure 负载均衡器,或选择“ 创建负载均衡器 ”以创建新的负载均衡器。
    选择后端池 在要用于会话主机的负载均衡器上选择要使用的后端池。 如果要创建新的负载均衡器,请选择“ 新建 ”,为新的负载均衡器创建新的后端池。
    添加出站规则 如果要创建新的负载均衡器,请选择“ 新建 ”,为其创建新的出站规则。

    完成此选项卡后,选择“ 下一步:工作区”。

  6. 可选:在“ 工作区 ”选项卡上,如果要创建工作区并从此主机池注册默认桌面应用程序组,请完成以下信息:

    参数 值/说明
    注册桌面应用组 选择“是”。 此作会将默认桌面应用程序组注册到所选工作区。
    到此工作区 从列表中选择现有工作区,或选择“ 新建 ”并输入名称,例如 ws01

    完成此选项卡后,选择“ 下一步:高级”。

  7. 可选:在“ 高级 ”选项卡上,如果要启用诊断设置,请完成以下信息:

    参数 值/说明
    启用诊断设置 选中该框。
    选择要将日志发送到的目标详细信息 选择以下目标之一:

    - 发送到 Log Analytics 工作区

    - 存档存储帐户

    - Stream事件中心

    完成此选项卡后,选择“ 下一步:标记”。

  8. 可选:在“ 标记 ”选项卡上,可以输入所需的任何名称/值对,然后选择“ 下一步:查看 + 创建”。

  9. 在“ 查看 + 创建 ”选项卡上,确保验证通过并查看部署期间将使用的信息。

  10. 选择“ 创建 ”以创建主机池。

  11. 部署成功完成后,选择“ 转到资源 ”以转到新主机池的概述,然后选择“ 属性” 以查看其属性。

部署后任务

如果还向主机池添加了会话主机,则需要执行一些额外的配置,如以下部分所述。

授权

若要确保会话主机已正确应用许可证,需要执行以下任务:

  • 如果拥有运行 Azure 虚拟桌面工作负载的正确许可证,则可以将 Windows 或 Windows Server 许可证作为 Azure 虚拟桌面的一部分应用到会话主机,并运行它们,而无需支付单独的许可证费用。 使用 Azure 虚拟桌面服务创建会话主机时,会自动应用此许可证,但如果在 Azure 虚拟桌面外部创建会话主机,则可能需要单独应用许可证。 有关详细信息,请参阅 将 Windows 许可证应用于会话主机虚拟机

  • 如果会话主机运行的是Windows Server OS,则还需要从 RDS 许可证服务器向它们颁发远程桌面服务 (RDS) 客户端访问许可证 (CAL) 。 有关详细信息,请参阅 使用客户端访问许可证授予 RDS 部署的许可

  • 对于Azure Local上的会话主机,必须先对虚拟机进行许可并激活,然后再将其与 Azure 虚拟桌面一起使用。 若要激活使用Windows 10 企业版多会话的 VM,Windows 11 企业版多会话,Windows Server 2022 Datacenter:Azure 版本,请使用 VM 的 Azure 验证。 对于所有其他 OS 映像 ((例如Windows 10 企业版、Windows 11 企业版和其他版本的Windows Server) ),应继续使用现有的激活方法。 有关详细信息,请参阅在Azure Local上激活Windows Server VM

Microsoft Entra已加入的会话主机

对于加入Microsoft Entra ID的 Azure 上的会话主机,还需要启用单一登录或更早的身份验证协议,向用户分配 RBAC 角色,并查看多重身份验证策略,以便用户可以登录到 VM。 有关详细信息,请参阅已加入Microsoft Entra会话主机

注意

  • 如果创建了主机池和工作区,并且在同一过程中从此主机池注册了默认桌面应用程序组,请转到 将用户分配到应用程序组 部分并完成本文的其余部分。 使用 Azure 门户 时,将自动创建一个桌面应用程序组 (你设置为首选) 的应用程序组类型。

  • 如果在同一过程中创建了主机池和工作区,但未从此主机池注册默认桌面应用程序组,请转到 创建应用程序组 部分并完成本文的其余部分。

  • 如果未创建工作区,请继续下一部分并完成本文的其余部分。

创建工作区

接下来,若要创建工作区,请选择方案的相关选项卡,然后按照步骤作。

下面介绍如何使用 Azure 门户创建工作区:

  1. 在“Azure 虚拟桌面概述”中,选择“ 工作区”,然后选择“ 创建”。

  2. 在“ 基本信息 ”选项卡上,完成以下信息:

    参数 值/说明
    订阅 在下拉列表中,选择要在其中创建工作区的订阅。
    资源组 选择现有资源组,或选择“ 新建 ”并输入名称。
    工作区名称 输入工作区的名称,例如 workspace01
    友好名称 可选:输入工作区的显示名称。
    说明 可选:输入工作区的说明。
    Location 选择要在其中部署工作区的 Azure 区域。

    提示

    完成此选项卡后,可以选择性地将现有应用程序组注册到此工作区(如果有),并通过选择“ 下一步:应用程序组”启用诊断设置。 或者,如果要单独创建和配置这些资源,请选择“ 查看 + 创建 ”,然后转到步骤 9。

  3. 可选:在“ 应用程序组 ”选项卡上,如果要将现有应用程序组注册到此工作区,请完成以下信息:

    参数 值/说明
    注册应用程序组 选择“ ”,然后选择“ + 注册应用程序组”。 在打开的新窗格中,为要添加的应用程序组选择“ 添加 ”图标,然后选择“ 选择”。

    完成此选项卡后,选择“ 下一步:高级”。

  4. 可选:在“ 高级 ”选项卡上,如果要启用诊断设置,请完成以下信息:

    参数 值/说明
    启用诊断设置 选中该框。
    选择要将日志发送到的目标详细信息 选择以下目标之一:

    - 发送到 Log Analytics 工作区

    - 存档存储帐户

    - Stream事件中心

    完成此选项卡后,选择“ 下一步:标记”。

  5. 可选:在“ 标记 ”选项卡上,可以输入所需的任何名称/值对,然后选择“ 下一步:查看 + 创建”。

  6. 在“ 查看 + 创建 ”选项卡上,确保验证通过并查看部署期间将使用的信息。

  7. 选择“ 创建 ”以创建工作区。

  8. 选择“ 转到资源 ”转到新工作区的概述,然后选择“ 属性” 以查看其属性。

注意

  • 如果将应用程序组添加到此工作区,请转到将 用户分配到应用程序组 部分并完成本文的其余部分。

  • 如果未将应用程序组添加到此工作区,请继续学习下一部分并完成本文的其余部分。

创建应用程序组

若要创建应用程序组,请选择方案的相关选项卡,并按照步骤作。

下面介绍如何使用 Azure 门户创建应用程序组:

  1. 在“Azure 虚拟桌面概述”中,选择“ 应用程序组”,然后选择“ 创建”。

  2. 在“ 基本信息 ”选项卡上,完成以下信息:

    参数 值/说明
    订阅 在下拉列表中,选择要在其中创建应用程序组的订阅。
    资源组 选择现有资源组,或选择“ 新建 ”并输入名称。
    主机池 选择应用程序组的主机池。
    Location 元数据与主机池存储在同一位置。
    应用程序组类型 选择主机池 的应用程序组类型DesktopRemoteApp
    应用程序组名称 输入应用程序组的名称,例如 会话桌面

    提示

    完成此选项卡后,选择“ 下一步:查看 + 创建”。 无需完成其他选项卡即可创建应用程序组,但需要 先创建工作区将应用程序组添加到工作区,然后将 用户分配到应用程序组 ,然后用户才能访问资源。

    如果为 RemoteApp 创建了应用程序组,则还需要向其添加应用程序。 有关详细信息,请参阅 发布应用程序

  3. 可选:如果选择创建 RemoteApp 应用程序组,则可以将应用程序添加到此组。 在“ 应用程序组 ”选项卡上,选择“ + 添加应用程序”,然后选择一个应用程序。 有关应用程序参数的详细信息,请参阅 使用 RemoteApp 发布应用程序。 必须打开主机池中的至少一个会话主机,并在 Azure 虚拟桌面中可用。

    完成此选项卡后,或者如果要创建桌面应用程序组,请选择“ 下一步:分配”。

  4. 可选:在“分配”选项卡上,如果要将用户或组分配到此应用程序组,请选择“+ 添加Microsoft Entra用户或用户组”。 在打开的新窗格中,选择要添加的用户或组旁边的框,然后选择 “选择”。

    完成此选项卡后,选择“ 下一步:工作区”。

  5. 可选:在“ 工作区 ”选项卡上,如果要创建桌面应用程序组,可以通过完成以下信息,从所选主机池注册默认桌面应用程序组:

    参数 值/说明
    注册应用程序组 选择“是”。 此作会将默认桌面应用程序组注册到所选工作区。
    注册应用程序组 从列表中选择现有工作区。

    完成此选项卡后,选择“ 下一步:高级”。

  6. 可选:如果要启用诊断设置,请在“ 高级 ”选项卡上完成以下信息:

    参数 值/说明
    启用诊断设置 选中该框。
    选择要将日志发送到的目标详细信息 选择以下目标之一:

    - 发送到 Log Analytics 工作区

    - 存档存储帐户

    - Stream事件中心

    完成此选项卡后,选择“ 下一步:标记”。

  7. 可选:在“ 标记 ”选项卡上,可以输入所需的任何名称/值对,然后选择“ 下一步:查看 + 创建”。

  8. 在“ 查看 + 创建 ”选项卡上,确保验证通过并查看部署期间将使用的信息。

  9. 选择“ 创建 ”以创建应用程序组。

  10. 选择“ 转到资源 ”转到新应用程序组的概述,然后选择“ 属性” 以查看其属性。

注意

  • 如果创建了桌面应用程序组、分配的用户或组,并将默认桌面应用程序组注册到工作区,则分配的用户可以连接到桌面,并且无需完成本文的其余部分。

  • 如果创建了 RemoteApp 应用程序组、添加了应用程序并分配了用户或组,请转到将 应用程序组添加到工作区 部分并完成本文的其余部分。

  • 如果未添加应用程序、分配用户或组或将应用程序组注册到工作区,请继续学习下一部分并完成本文的其余部分。

将应用程序组添加到工作区

接下来,若要将应用程序组添加到工作区,请选择方案的相关选项卡,然后执行步骤。

下面介绍如何使用 Azure 门户将应用程序组添加到工作区:

  1. 在“Azure 虚拟桌面概述”中,选择“ 工作区”,然后选择要向其分配应用程序组的工作区的名称。

  2. 在工作区概述中,选择“ 应用程序组”,然后选择“ + 添加”。

  3. 在列表中,选择应用程序组旁边的加号图标 (+) 。 仅列出尚未分配给工作区的应用程序组。

  4. 选择“选择”。 应用程序组将添加到工作区。

分配用户到应用程序组

最后,若要将用户或用户组分配到应用程序组,请选择方案的相关选项卡,然后按照步骤作。 建议将用户组分配到应用程序组,以便简化日常管理。

创建应用程序组后,所使用的帐户需要具有在 Azure RBAC 中分配角色的权限。 权限为 Microsoft.Authorization/roleAssignments/write,它包含在某些内置角色中,例如 用户访问管理员所有者

下面介绍如何使用 Azure 门户将用户或用户组分配给应用程序组:

  1. 在“Azure 虚拟桌面概述”中,选择“ 应用程序组”。

  2. 从列表中选择应用程序组。

  3. 在应用程序组概述中,选择“ 分配”。

  4. 选择“ + 添加”,然后搜索并选择要分配给此应用程序组的用户帐户或用户组。

  5. 选择“ 选择”完成。

相关内容

部署 Azure 虚拟桌面后,用户可以从多个平台(包括 Web 浏览器)进行连接。 有关详细信息,请参阅 Azure 虚拟桌面的远程桌面客户端 和使用 远程桌面 Web 客户端连接到 Azure 虚拟桌面

下面是你可能想要执行的一些额外任务: