共用方式為

在 Azure 虛擬桌面中使用工作階段主機更新更新工作階段主機 (預覽)

  • 發行項

重要

Azure 虛擬桌面的會話主機更新目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

當您想要使用會話主機組態更新主機集區中的會話主機時,請使用會話主機更新。 會話主機更新可讓您更新基礎虛擬機 (VM) 映射、大小、磁碟類型和其他組態屬性。 在更新期間,會刪除或解除分配現有的虛擬機,並使用儲存在會話主機設定中的更新組態來建立新的虛擬機。 更新也會使用會話主機管理原則中的值來判斷會話主機應如何更新。

本文說明如何更新主機集區的會話主機組態、更新該集區中的會話主機,以及如何使用 Azure 入口網站 和 Azure PowerShell 監視更新的進度。

若要深入瞭解會話主機更新的運作方式,請參閱 會話主機更新

必要條件

使用工作階段主機更新更新工作階段主機之前,您需要:

  • 具有工作階段主機設定的現有集區主機集區,其會話主機全都位於相同的 Azure 區域和資源群組中。 不支援個人主機集區。

  • Azure 虛擬桌面必須支援新的映像,並符合虛擬機的產生。 如果您使用 受信任的啟動虛擬機機密虛擬機,您的映像必須是第 2 代 VM。 它可以來自:

    • Azure Marketplace。
    • 現有的 Azure Compute Gallery 共用映像。 我們建議您至少有兩個您使用的映像複本。
    • 現有的受控映像。

  • 拿掉工作階段主機或其所在的資源群組上的任何資源鎖定。

  • 將 Azure 虛擬桌面服務主體 指派資源群組或訂用帳戶上的桌面虛擬化虛擬機器參與者 角色型存取控制(RBAC)角色,以及您想要與會話主機更新搭配使用的主機集區和會話主機。 如需詳細資訊,請參閱 將 Azure RBAC 角色或Microsoft Entra 角色指派給 Azure 虛擬桌面服務主體

  • 您用來使用下列 Azure RBAC 角色設定會話主機更新的 Azure 帳戶,以更新下列資源類型。 您也可以使用包含相同許可權的另一個內建角色,或建立自定義角色。

    資源類型 內建 Azure RBAC 角色 範圍
    主機集區 桌面虛擬化主機集區參與者
    桌面虛擬化應用程式群組參與者    		 資源群組或訂用帳戶
    工作階段主機 虛擬機器參與者 資源群組或訂用帳戶

  • 您只能將會話主機加入Active Directory 網域。 不支援將會話主機加入Microsoft Entra ID,但您可以使用 Microsoft Entra 混合式聯結

    • 如果您要將會話主機加入至 Microsoft Entra Domain Services 網域,則必須是 AAD DC Administrators 群組的成員

    • 如果您要將會話主機加入 Active Directory 網域服務 (AD DS) 網域,您必須使用具有比加入網域所需的許可權更多的帳戶,因為新的 OS 映射會重複使用現有的計算機物件。 下表中的權限與屬性必須套用至包含您工作階段主機的組織單位 (OU) 帳戶:

      名稱 類型 適用於
      重設密碼 允許 子系電腦物件
      已驗證寫入 DNS 主機名 允許 子系電腦物件
      已驗證寫入服務主體名稱 允許 子系電腦物件
      讀取帳戶限制 允許 子系電腦物件
      寫入帳戶限制 允許 子系電腦物件

      從KB5020276開始,已針對 Active Directory 網域中的電腦帳戶重複使用引進進一步的保護。 若要成功重複使用工作階段主機的現有電腦物件,請:

      • 將會話主機加入網域的用戶帳戶是現有電腦帳戶的建立者。
      • 計算機帳戶是由網域系統管理員安全組的成員所建立。
      • 將組策略設定 Domain controller: Allow computer account re-use during domain join 套用至電腦帳戶的擁有者。 如需此設定範圍的詳細資訊,請參閱 KB5020276

  • 密鑰保存庫,其中包含您要用於虛擬機本機系統管理員帳戶認證的秘密,而且,如果您要將會話主機加入 Active Directory 網域,您的網域加入帳戶認證。 每個使用者名稱和密碼都需要一個秘密。 建立 VM 時,虛擬機本機系統管理員密碼必須符合密碼需求。

    請參閱 將 Azure RBAC 角色或Microsoft Entra 角色指派給 Azure 虛擬桌面服務主體 ,以確定您使用正確的服務主體。

  • 對於您在會話主機組態中指定要在更新之後執行的任何自定義組態 PowerShell 腳本,必須可從公用因特網解析腳本的 URL。

  • 如果您想要在本機使用 Azure PowerShell,請參閱搭配 Azure 虛擬桌面使用 Azure CLI 和 Azure PowerShell,以確認您已安裝 Az.DesktopVirtualization PowerShell 模組。 或者,也可以使用 Azure Cloud Shell (部分機器翻譯)。

  • 支援會話主機更新的 Azure 虛擬桌面的 Azure PowerShell Cmdlet 目前為預覽狀態。 您必須下載並安裝 Az.DesktopVirtualization 模組 的預覽版本,才能使用這些 Cmdlet,這些 Cmdlet 會在 5.3.0 版中新增。

排程更新並編輯會話主機設定

當您排程更新時,會使用主機集區的會話主機設定。 排程更新時,您需要變更會話主機組態,否則您的會話主機會使用相同的會話主機組態值重新部署。 排程更新時所做的任何變更都會儲存至會話主機組態。

若要排程會話主機的更新,請為您的案例選取相關的索引標籤,並遵循步驟。

重要

  • 在更新期間,會減少使用者會話的可用會話主機數目,並要求任何登入的用戶註銷。 建議您在較不忙碌的期間排程更新,以將終端使用者的中斷降到最低。

  • 如果您針對想要更新的會話主機使用自定義網路安全組 (NSG),則有一個已知問題,您無法使用 Azure 入口網站 來啟動更新。 若要解決此問題,請使用 Azure PowerShell 來啟動更新。

以下說明如何使用 Azure 入口網站 排程會話主機的新更新。

提示

當您使用 Azure 入口網站 排程更新時,會從會話主機組態填入值。 如果這是第一次更新,而且尚未建立會話主機組態,入口網站會顯示預設會話主機組態,直到會話主機設定建立為止。 您在更新期間對會話主機設定所做的任何變更都會儲存。

如果您使用 Azure 入口網站 編輯會話主機組態,則必須排程更新。

  1. 登入 Azure 入口網站

  2. 在搜尋列中輸入「Azure 虛擬桌面」,並選取相符的服務項目。

  3. 選取 [ 主機集區],然後選取具有您要更新之會話主機組態的主機集區。

  4. 選取 [ 工作話主機]。

  5. 如果您想要在排程更新之前檢閱會話主機設定,請選取 [管理會話主機設定],然後選取 [檢視]。 檢閱會話主機設定之後,請選取 [ 取消]。

  6. 若要排程新的更新,請選取 [管理會話主機更新],然後選取 [ 新增更新]。 或者,選取 [管理會話主機設定],然後選取 [編輯]。

  7. 在 [基本] 索引標籤上,輸入下列資訊:

    參數 值/描述
    在更新之後啟用儲存原始虛擬機 在復原案例中很有用,但一般成本適用於儲存原始 VM 的元件。
    目前的主機集區大小 (唯讀 主機集區中的會話主機數目。
    在更新期間授權從主機集區移除的 VM 批次大小 一次更新的會話主機數目上限。

    當更新啟動時,只會先更新一個稱為 初始的會話主機,先確認更新程式,再批次更新其餘的會話主機。 如果初始的更新未成功,更新就會停止。
    更新期間可用的工作階段主機 (唯讀 更新期間可供用戶會話使用的會話主機數目下限。

    完成此索引標籤之後,請選取 [下一步:會話主機]。

  8. 在 [ 工作階段主機] 索引標籤上,您可以選擇性地更新會話主機組態中的下列參數:

    參數 值/描述
    安全性類型 選取 [標準]、[可信啟動虛擬機器] 或 [機密虛擬機器]

    - 如果您選取 [可信啟動虛擬機器],則會自動選取安全開機vTPM 的選項。

    - 如果您選取 [機密虛擬機器],則會自動選取安全開機vTPM,以及完整性監視的選項。 使用機密 VM 時,您無法退出 vTPM。
    映像 從清單中選取您想要使用的OS映像,或選取 [查看所有映射] 來查看更多,包括您建立並儲存為 Azure 計算資源庫共用映像或受控映像的任何自定義映射
    虛擬機器大小 從清單中選取建議的 SKU。 如果您要使用不同的 SKU,請選擇 [ 查看所有大小],然後從清單中選取 。
    OS 磁碟類型 選取要用於工作階段主機的磁碟類型。 建議您針對生產工作負載使用 進階 SSD

    必須在選取的 VM 系列和大小上支援磁碟類型。 請確定您選取 Azure 計算支援的組合。 更新會話主機的OS磁碟名稱具有格式 SessionHostName-DateTime_Hash的新名稱。
    要加入的網域
    選取您要加入的目錄 選取 [Active Directory],然後選取密鑰保存庫,其中包含網域加入帳戶之使用者名稱和密碼的秘密。

    您可以選擇性地指定功能變數名稱和組織單位路徑。
    虛擬機器系統管理員帳戶 為更新的會話主機 VM 的本機系統管理員帳戶選取密鑰保存庫和密碼,以完成相關參數。 用戶名稱和密碼必須符合 Azure 中 Windows VM 的需求。
    自訂組態
    自訂設定指令碼 URL 如果您想要在部署期間執行 PowerShell 指令碼,可以在這裡輸入 URL。

    檢閱或完成會話主機設定的變更之後,請選取 [ 下一步:排程]。

  9. 在 [排程] 索引標籤上,核取 [立即排程更新] 方塊,或選取您要啟動更新的日期、時間和時區,最多從目前時間起兩周。

    設定排程之後,請選取 [ 下一步:通知]。

  10. 在 [ 通知] 索引 標籤上,完成下列資訊:

    參數 值/描述
    用戶註銷前幾分鐘 更新開始時間之後要等候的時間量,讓使用者會收到註銷的通知。此值可在 0 到 60 分鐘之間設定。 經過此時間之後,系統會自動註銷使用者。
    註銷訊息 您可以指定來通知使用者他們所使用的工作階段主機即將開始更新的訊息。

    完成此索引標籤之後,請選取 [ 下一步:檢閱]。

  11. 在 [ 檢閱] 索引標籤上,確定驗證通過,並檢閱更新期間使用的資訊。

  12. 選取 [ 更新] 以排程更新。 當您檢視會話主機清單時,[目前版本] 資料行會顯示會話主機所使用的會話主機組態版本的時間戳。 如果 [目前版本] 資料行有警告圖示,表示 [目標版本] 數據行中的版本時間戳是稍後,而且會話主機需要更新。

注意

第一次排程更新時,您提供的設定會覆寫會話主機管理原則中的預設設定。 後續更新將會預先填入這些參數,並儲存任何變更。

重要

  • 排程更新之後,您無法編輯排程或設定。 如果您需要進行任何變更,您必須取消更新並排程新的更新。

  • 更新進行時,請勿從主機集區移除任何 VM。 這樣做可能會建立進行中更新的問題。

  • 在進行更新時,請勿變更主機集區中任何 VM 的清空模式。 VM 的清空模式會根據 VM 所在的更新階段自動變更。 如果會話主機在更新后無法復原,則會啟用其清空模式設定。 更新完成後,就會重設清空模式。

  • 會話主機需要大約 20 分鐘的時間才能更新。 您在批次大小中指定的會話主機數目將會同時更新,再繼續進行下一個批次。 您應該將整體完成時間納入排程時間。

監視更新的進度

更新開始后,您可以檢查其進度。 請選取適用於您案例的相關索引標籤,並遵循其中的步驟。

以下說明如何使用 Azure 入口網站監視更新的進度。

  1. 從 Azure 虛擬桌面概觀中,選取 [ 主機集區],然後選取您排程更新的主機集區。

  2. 選取 [ 工作話主機]。

  3. 藍色橫幅提供更新的狀態。 它只會顯示時間點,因此您必須選取 [ 重新 整理] 以檢查最新的進度。

如果您選取立即啟動更新,訊息會指出更新會在更新開始時排程,但當您重新整理之後,就會更新此訊息。 在更新期間,您會看到更新期間從主機集區移除的會話主機批次大小數目。

提示

您也可以使用 Azure 監視器活動記錄來查看更新的活動。

暫停、繼續、取消或重試更新

您可以暫停、繼續或取消進行中的更新。 如果您暫停或取消更新,則目前的活動會在暫停更新的其餘部分之前完成。 例如,如果正在更新一批會話主機,這些會話主機的更新會先完成。 顯示更新狀態的藍色橫幅會變更,以顯示更新暫停時所得到的距離。 一旦更新暫停,您就只能繼續更新,這會從暫停的時間點繼續。

如果您未在兩周內繼續更新,則會取消更新。 一旦取消更新,就無法繼續更新。

警告

如果您取消更新部分,主機集區中的會話主機之間將會有差異,例如不同的操作系統版本,或加入不同的 Active Directory 網域。 這可能會為使用者提供不一致的體驗,因此您必須儘快排程另一個更新,以確保所有會話主機都有同位。

以下說明如何使用 Azure 入口網站 暫停、繼續、取消或重試更新。

  1. 從 Azure 虛擬桌面概觀中,選取 [ 主機集區],然後選取您排程更新的主機集區。

  2. 選取 [會話主機],然後選取 [ 管理會話主機更新]。

  3. 根據更新的目前狀態,選取 [暫停]、[繼續]、[取消] 或 [重試]。

  4. 選取 [ 重新整理 ] 以在藍色橫幅中更新狀態消息。 顯示正確狀態可能需要大約 20 秒的時間。

下一步