Windows 365 通过以 Microsoft Azure 中的客户身份托管云电脑来提供每用户每月许可证模型。 在此模型中,无需考虑存储、计算基础设施体系结构或成本。但是作为企业管理员在进行管理和部署Windows 365云电脑时,需要考虑以下几个因素:
每台云电脑在 Microsoft Azure 中都有一个虚拟网络接口卡 (NIC)。管理员有两个 NIC 管理选项:
-
如果使用 Azure Active Directory (Azure AD) 联接和 Microsoft 托管网络,则无需引入 Azure 订阅或管理 NIC。
-
如果使用自带网络并使用 Azure 网络连接(ANC),则NIC这需要管理员预先在Azure订阅中创建虚拟网络,然后在Microsoft Intune管理中心创建ANC
下表显示了基于所选联接类型的关键功能或要求:
| 功能或要求 | 混合 Azure AD 联接 | Azure AD 联接 |
| Azure 订阅 | 必需 | 可选 |
| 具有到域控制器连接的 Azure 虚拟网络 | 必需 | 可选 |
| 登录时支持的用户标识类型 | 仅混合用户 | 混合用户或仅限云的用户 |
| 策略管理 | 组策略对象 (GPO) 或 Intune MDM | 仅限 Intune MDM |
| 支持 Windows Hello 企业版登录 | 是的,连接的设备必须通过直接网络或 VPN 建立到域控制器的视线 | 是 |
Windows 365 使用 Microsoft Azure AD 和本地 Active Directory 域服务 (AD DS)进行基于身份的用户权限管理。
如果使用Azure AD 为 Windows 365 Web 门户和远程桌面客户端应用提供用户身份验证和授权。 两者都支持新式身份验证,这意味着可以集成 Azure AD 条件访问,并提供以下功能:
-
多重身份验证
-
基于位置的限制
-
登录风险管理
-
会话限制,包括:
-
远程桌面客户端和 Windows 365 Web 门户的登录频率
-
Windows 365 Web 门户的 Cookie 持久性
-
-
设备合规性控制
如果使用Active Directory 域服务进行身份管理时,则可以选择已建立混合 Azure AD 联接或 Azure AD 联接。 使用混合 Azure AD 联接时,云电脑必须域加入到 AD DS 域。 该域必须与 Azure AD 同步。 域的域控制器可以托管在Azure或本地。 如果在本地托管,则必须建立从 Azure 到本地环境的连接。 连接可以采用 Azure Express Route 或站点到站点 VPN 的形式。
在前面的两篇快速部署与体验中,笔者使用的本地Active Directory 域服务进行验证,在本文中,我将使用Microsoft 托管网络和Azure AD身份验证方式进行部署Windows 365 Frontline(一线),以体验Microsoft提供的管理便利性。
在Windows 365中,根据预配策略创建云电脑并将其分配给用户。 这些策略保存关键预配规则和设置,使 Windows 365 服务可以设置和配置适合用户使用的云电脑。 创建预配策略并将其分配给 Azure AD 用户安全组或Microsoft 365 组后,Windows 365 服务:检查每个用户的适当许可和对云端电脑进行相应的配置。以及需要注意以下几点:
-
如果已分配组中的用户未分配有云电脑许可证,Windows 365 将不会预配其云电脑。
-
对于分配给用户的每个云电脑许可证,仅使用一个预配策略来设置和配置云电脑。 Windows 365 服务始终使用分配的第一个策略来预配云电脑。
登录到Microsoft Intune管理中心,选择”设备“,选择”Windows 365“,然后点击”预配策略“,选择”创建策略”
在“常规“页上,输入新策略的“名称“和“说明“(可选)。许可证类型选择”一线“,连接类型选择”Azure AD 联接“,网络选择”Microsoft托管网络”
选择要用于创建Windows 365云电脑的映像,本文选择”库映像”,如果您有自定义镜像,您可以选择自定义
在 “配置 “页上的 “Windows 设置“下,根据企业管理需求以及个人喜好,选择 语言 & 区域。
选择” 应用设备名称模板 “以创建云电脑命名模板,以在命名使用此策略预配的所有云 IP 时使用。
创建模板时,请遵循以下规则:
-
名称必须介于 4 到 15 个字符之间。
-
名称可以包含字母、数字、连字符和下划线。
-
名称不能包含空格。
-
可选。 使用 %USERNAME:X% 宏添加用户名的前 X 个字母。
-
必填。 使用 %RAND:Y% 宏添加随机数字字符串,其中 Y 等于要添加的位数。 Y 必须为 5 或更多。 名称必须包含随机字符串。
自定义命名模板的示例:
-
%RAND:4%
-
ABC-%RAND:5%
-
ABC-%USERNAME:5%-%RAND:6%
关于如何对Windows 365云电脑进行系统更新,我将在后面的文章进行详细的介绍,这里不再做赘述。
在“分配“页上,选择“添加组>”,选择要将此策略分配到组。目前不支持嵌套组。对于Windows 365一线,还必须为策略中的每个组选择云电脑大小。
在“可用大小“”选择“一个大小>。 为每个组选择大小后,选择” 下一步”
在“审阅 + 创建“页面上,选择“创建“。
如果使用混合 Azure AD 联接作为联接类型,则最多可能需要 60 分钟才能完成策略创建过程。
创建并分配预配策略后,Windows 365会自动开始预配云电脑,并将其分配给已分配组中的用户。
如果 Azure AD 用户组中的用户数超过根据) 购买的许可证数 (允许预配的最大云电脑数,Azure AD 组成员将不会接收云电脑。
管理员可以通过查看 预配策略> 来确认接收云电脑的成员列表,选择策略来评审 “分配“下的组中的用户
点击”所有云电脑“,此时后台开始创建云电脑
喝杯咖啡,等待些许片刻
浏览器访问Windows 365 (microsoft.com),使用分配的账户进行登录
此时我们就可以使用云电脑,开启混合安全办公。