Azure虚拟桌面专题之四：Azure虚拟桌面先决条件

在开始使用 Azure 虚拟桌面之前需要满足以下先决条件。

• 具有有效订阅的 Azure 帐户
• 一个标识提供者
• 支持的操作系统
• 适当的许可证
• 网络连接
• 一个远程桌面客户端

一、具有有效订阅的 Azure 帐户

需要使用一个具有有效订阅的 Azure 帐户来部署 Azure 虚拟桌面。 如果你没有帐户，可以免费创建一个帐户。 必须在订阅上为帐户分配参与者或所有者角色。

此外，需要确保为订阅注册了 Microsoft.DesktopVirtualization 资源提供程序。 若要检查资源提供程序的状态并根据需要进行注册，请执行以下操作：

1. 登录 Azure 门户 。
2. 在搜索框中输入“订阅，”选择 订阅。

3. 选择你的订阅名称。

4. 选择“资源提供程序”。
5. 搜索“Microsoft.DesktopVirtualization”。

6. 如果状态为“NotRegistered”，请选择“Microsoft.DesktopVirtualization”，然后选择“注册”。

7. 验证 Microsoft.DesktopVirtualization 的状态是否为“Registered”。

注意：必须拥有注册资源提供程序（这需要执行 ​​*/register/action​​ 操作）的权限。 如果你在自己的订阅中为账户分配参与者或所有者角色，则已拥有此权限。

二、标识

若要从会话主机访问虚拟桌面和远程应用，用户需要能够进行身份验证。 Azure Active Directory (Azure AD) 是 Microsoft 的集中式云标识服务，可以实现该功能。 始终使用 Azure AD 对 Azure 虚拟桌面的用户进行身份验证。 可将会话主机加入同一个 Azure AD 租户，或者使用 Active Directory 域服务 (AD DS) 或 Azure Active Directory 域服务 (Azure AD DS) 将其加入 Active Directory 域，这样你就可以获得灵活的配置选项。

（一）会话主机

需要将提供虚拟桌面和远程应用的会话主机加入 AD DS 域、Azure AD DS 域，或用户所在的同一个 Azure AD 租户。

• 如果将会话主机加入 AD DS 域并要使用 Intune 管理它们，需要配置 Azure AD Connect 以启用混合 Azure AD 加入。
• 如果将会话主机加入 Azure AD DS 域，则无法使用 Intune 管理它们。

（二）用户

你的用户需要 Azure AD 中的帐户。 如果你还要在 Azure 虚拟桌面的部署中使用 AD DS 或 Azure AD DS，则这些帐户需是混合标识，这意味着用户帐户将会同步。 根据使用的帐户，需要记住以下几点：

• 如果将 Azure AD 与 AD DS 配合使用，则需要配置 Azure AD Connect 以便在 AD DS 与 Azure AD 之间同步用户标识数据。
• 如果将 Azure AD 与 Azure AD DS 配合使用，用户帐户将从 Azure AD 单向同步到 Azure AD DS。 此同步过程是自动的。

（三）支持的标识方案

下表汇总了 Azure 虚拟桌面目前支持的标识方案：

注意：如果你打算仅将 Azure AD 与 FSLogix 配置文件容器配合使用，则需要将配置文件存储在 Azure 文件存储。 在此方案中，用户帐户必须是混合标识，这意味着还需要 AD DS 和 Azure AD Connect。 必须在 AD DS 中创建这些帐户并将其同步到 Azure AD。 该服务当前不支持通过 Azure AD 管理用户并同步到 Azure AD DS 的环境。用户帐户必须在用于 Azure 虚拟桌面的 Azure AD 租户中。 Azure 虚拟桌面不支持 B2B、B2C 或个人 Microsoft 帐户。使用混合标识时，UPN 或安全标识符 (SID) 必须在 Active Directory 域服务和 Azure Active Directory 之间匹配。 

（四）部署参数

部署会话主机时，需要输入以下标识参数：

• 域名（如果使用 AD DS 或 Azure AD DS）。
• 用于将会话主机加入域的凭据。
• 组织单位 (OU)，这是一个可选参数，让你可以在部署时将会话主机放入所需的 OU 中。

 注意：用于加入域的帐户不能启用多重身份验证 (MFA)。加入 Azure AD DS 域时，使用的帐户必须是 Azure AD DC 管理员组的成员。

三、操作系统和许可证

可以选择操作系统，供会话主机用来提供虚拟桌面和远程应用。 可以使用具有不同主机池的不同操作系统来为用户提供灵活支持 。 支持下表中的这些64位操作系统，其中，支持的版本和日期与 Microsoft 生命周期策略内联在一起。

注意：

• Azure 虚拟桌面不支持上表中未列出的 32 位操作系统或 SKU。
• 对 Windows 7 的支持已于 2023 年 1 月 10 日结束。
• 不支持 Azure VM 的临时 OS 磁盘。

你可以使用 Microsoft 在 Azure 市场中提供的操作系统映像，或者存储在 Azure Compute Gallery 中你自定义的映像，作为托管映像或存储 Blob。可以使用以下任一方法，从这些映像部署用作会话主机的虚拟机 (VM)：

• 在主机池设置过程中自动部署。
• 在 Azure 门户中手动创建 VM，并在创建后将其添加到主机池。
• 使用 Azure CLI、PowerShell 或 REST API 以编程方式部署。

可以根据选择的操作系统和版本使用不同的自动化和部署选项，如下表中所示：

 注意：为了简化初始开发和测试期间的用户访问权限，Azure 虚拟桌面支持 Azure 开发/测试定价。 如果在 Azure 开发/测试订阅中部署 Azure 虚拟桌面，最终用户可以在没有单独的许可证权利的情况下连接到该部署，以便执行验收测试或提供反馈。

四、网络

需要满足几项网络要求才能成功部署 Azure 虚拟桌面。 这样，用户才能连接到他们的虚拟桌面和远程应用，同时获得尽可能最好的用户体验。连接到 Azure 虚拟桌面的用户安全地与服务建立反向连接，这意味着无需打开任何入站端口。 默认情况下使用端口 443 上的传输控制协议 (TCP)，但 RDP 短路径可用于建立基于直接用户数据报协议 (UDP) 的传输的托管网络和公共网络。

若要成功部署 Azure 虚拟桌面，需要满足以下网络要求：

• 需要为会话主机创建虚拟网络。 如果在创建主机池的同时创建会话主机，则必须提前为会话主机创建此虚拟网络，这样，该虚拟网络才会显示在下拉列表中。 虚拟网络必须位于会话主机所在的同一 Azure 区域。
• 如果使用 AD DS 或 Azure AD DS，请确保此虚拟网络可以连接到你的域控制器和相关的 DNS 服务器，因为需要将会话主机加入域。
• 会话主机和用户需要能够连接到 Azure 虚拟桌面服务。 这些连接还在端口 443 上使用 TCP 连接到特定的 URL 列表。 必须确保这些 URL 未被网络筛选或防火墙阻止，这样，部署才能正常进行并受支持。 如果用户需要访问 Microsoft 365，请确保会话主机可以连接到 Microsoft 365 终结点。

还需要考虑以下要求：

• 用户可能需要访问托管在不同网络上的应用程序和数据，因此请确保会话主机可以连接到这些网络。
• 从客户端网络到包含主机池的 Azure 区域的往返时间 (RTT) 延迟应小于 150 毫秒。 使用体验评估器查看连接运行状况和建议的 Azure 区域。 为了优化网络性能，我们建议在离用户最近的 Azure 区域中创建会话主机。
• 使用用于 Azure 虚拟桌面部署的 Azure 防火墙来帮助锁定环境并筛选出站流量。

注意：为了让 Azure 虚拟桌面保持可靠且可缩放，我们会聚合流量模式和使用情况，以检查基础结构控制平面的运行状况和性能。 我们会从存在服务基础结构的所有位置聚合此信息，然后将其发送到美国区域。 发送到美国区域的数据包括清理数据，但不包括客户数据。 

五、远程桌面客户端

用户需要使用一个远程桌面客户端连接到虚拟桌面和远程应用。 以下客户端支持 Azure 虚拟桌面：

• Windows 桌面客户端
• Web 客户端
• macOS 客户端
• iOS 和 iPadOS 客户端
• Android 和 Chrome OS 客户端
• Microsoft Store 客户端

 注意：Azure 虚拟桌面不支持从 RemoteApp 和桌面连接 (RADC) 客户端或远程桌面连接 (MSTSC) 客户端进行连接。