Identidad del dispositivo y virtualización del escritorio
Por lo general, los administradores implementan plataformas de infraestructura de escritorio virtual (VDI) que hospedan los sistemas operativos Windows en sus organizaciones. Los administradores implementan VDI para:
- Simplificar la administración.
- Reducir los costos a través de la consolidación y la centralización de los recursos.
- Ofrecer a los usuarios finales movilidad y libertad para acceder a los escritorios virtuales en cualquier momento, desde cualquier lugar y en cualquier dispositivo.
Hay dos tipos principales de escritorios virtuales:
- Persistente
- No persistente
Las versiones persistentes usan una imagen de escritorio única para cada usuario o grupo de usuarios. Estos escritorios únicos se pueden personalizar y guardar para su uso futuro.
Las versiones no persistentes usan una colección de equipos de escritorio a los que los usuarios pueden tener acceso según sea necesario. Estos escritorios no persistentes se revierten al estado original; en los dispositivos actuales de Windows1, este cambio se produce cuando una máquina virtual pasa por un proceso de apagado, reinicio o restablecimiento del sistema operativo; y en el caso de dispositivos Windows de nivel inferior2 este cambio tiene lugar cuando un usuario cierra la sesión.
Es importante asegurarse de que las organizaciones administran los dispositivos obsoletos que se crean debido al registro frecuente de dispositivos sin tener una estrategia adecuada para la administración de su ciclo de vida.
Importante
Si los dispositivos obsoletos no se administran debidamente, podría provocar una mayor presión en el consumo de cuota por parte de los inquilinos, además de un riesgo potencial de interrupción del servicio si la cuota de los inquilinos se agota. Para evitar esta situación, siga las directrices que se incluyen a continuación cuando implemente entornos VDI no persistentes.
Para obtener una ejecución correcta de algunos escenarios, es importante tener nombres de dispositivo únicos en el directorio. Esto se puede lograr mediante la administración adecuada de dispositivos obsoletos, o puede garantizar la exclusividad del nombre del dispositivo mediante algún patrón en la nomenclatura de dispositivos.
En este artículo se tratan las guías de Microsoft para los administradores sobre la compatibilidad con la identidad del dispositivo y VDI. Para más información sobre la identidad del dispositivo, consulte el artículo ¿Qué es una identidad de dispositivo?
Escenarios admitidos
Antes de configurar las identidades de dispositivo en Microsoft Entra ID para el entorno de VDI, familiarícese con los escenarios admitidos. En la tabla siguiente se muestran los escenarios de aprovisionamiento que se admiten. El aprovisionamiento en este contexto implica que un administrador puede configurar identidades de dispositivo a escala sin requerir ninguna interacción del usuario final.
Tipo de identidad del dispositivo | Infraestructura de identidad | Dispositivos Windows | Versión de la plataforma de VDI | Compatible |
---|---|---|---|---|
Unido a Microsoft Entra | Federada3 | Windows actual y Windows de nivel inferior | Persistente | Sí |
Windows actual | No persistente | Sí5 | ||
Dispositivos de Windows de nivel inferior | No persistente | Sí6 | ||
Administrada4 | Windows actual y Windows de nivel inferior | Persistente | Sí | |
Windows actual | No persistente | Limitado6 | ||
Dispositivos de Windows de nivel inferior | No persistente | Sí7 | ||
Unido a Microsoft Entra | Federado | Windows actual | Persistente | Limitado8 |
No persistente | No | |||
Administrado | Windows actual | Persistente | Limitado8 | |
No persistente | No | |||
Microsoft Entra registrado | Federada/administrada | Windows actual/Windows de nivel inferior | Persistente/no persistente | No es aplicable |
1 los dispositivos Windows actuales representan Windows 10 o versiones posteriores, Windows Server 2016 v1803 o superior y Windows Server 2019 o superior.
2 Los dispositivos de Windows de nivel inferior representan a Windows 7, Windows 7, Windows Server 8.1, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2. Para obtener información de soporte técnico sobre Windows 7, consulte El soporte técnico para Windows 7 está llegando a su fin. Para información de soporte técnico sobre Windows Server 2008 R2, consulte Preparación para la finalización del soporte técnico de Windows Server 2008.
3 Un entorno de infraestructura de identidad Federado representa un entorno con un proveedor de identidades (IdP), como AD FS u otro IdP de terceros. En un entorno de infraestructura de identidad federada, los equipos siguen el flujo de registro de dispositivos administrados en función de la Configuración del punto de conexión de servicio (SCP) de Microsoft Windows Server Active Directory.
4 Un entorno de infraestructura de identidad administrada representa un entorno con Microsoft Entra ID como proveedor de identidades implementado mediante la sincronización de hash de contraseñas (PHS) o la autenticación de paso a través (PTA) con inicio de sesión único sin interrupciones.
5La compatibilidad sin persistencia con dispositivos Windows actuales requiere una consideración adicional, tal y como se documenta en la sección de directrices. Para este escenario se requiere Windows 10 1803 o posterior, Windows Server 2019 o Windows Server (canal semianual), a partir de la versión 1803.
6 La compatibilidad sin persistencia de Windows actual en un entorno de infraestructura de identidad administrada solo está disponible con Citrix administrado por el cliente local y servicio en la nube administrado. Para cualquier consulta relacionada con el soporte técnico, póngase en contacto directamente con el soporte técnico de Citrix.
7 La compatibilidad sin persistencia con dispositivos Windows de nivel inferior requiere una consideración adicional, tal y como se documenta en la sección de directrices.
8 La compatibilidad con la unión a Microsoft Entra está disponible con Azure Virtual Desktop, Windows 365 y Amazon WorkSpaces. Para cualquier consulta relacionada con la integración de Amazon WorkSpaces y Microsoft Entra, contacta directamente con el soporte técnico de Amazon.
Guías de Microsoft
Los administradores deben consultar los artículos siguientes, en función de su infraestructura de identidad, para aprender a configurar la unión híbrida a Microsoft Entra.
- Configuración de la unión híbrida a Microsoft Entra para un entorno federado
- Configuración de la unión híbrida a Microsoft Entra para un entorno administrado
VDI no persistente
A la hora de implementar un entorno VDI no persistente, Microsoft recomienda a las organizaciones que sigan esta guía. Si no lo hace, el directorio tendrá una gran cantidad de dispositivos obsoletos unidos a Microsoft Entra híbrido que se han registrado en la plataforma VDI no persistente. Estos dispositivos obsoletos provocan una mayor presión sobre la cuota de inquilino y el riesgo de interrupción del servicio debido a que se queda sin cuota de inquilinos.
- Si se basa en la herramienta de preparación del sistema (sysprep.exe) y usa para la instalación una imagen anterior a Windows 10 1809, asegúrese de que esa imagen no corresponda a un dispositivo ya registrado en Microsoft Entra ID como unido a Microsoft Entra híbrido.
- Si se basa en la instantánea de una máquina virtual (VM) para crear otras máquinas virtuales, asegúrese de que esa instantánea no sea de una máquina virtual ya registrada en Microsoft Entra ID como unida a Microsoft Entra híbrido.
- Los Servicios de federación de Active Directory (AD FS) admiten la unión instantánea para VDI no persistente y la unión híbrida a Microsoft Entra.
- Cree un prefijo asociado al nombre para mostrar del equipo (por ejemplo, NPVDI-) y utilícelo para indicar que se trata de un escritorio basado en VDI no persistente.
- En el caso de Windows de nivel inferior:
- Implemente el comando autoworkplacejoin /leave como parte del script de cierre de sesión. Este comando se debe desencadenar en el contexto del usuario y ejecutarse antes de que el usuario cierre la sesión completamente, mientras aún haya conectividad de red.
- En el caso de los dispositivos Windows actuales en un entorno federado (por ejemplo, AD FS):
- Implemente dsregcmd /join como parte de la secuencia u orden de arranque de la máquina virtual y antes de que el usuario inicie sesión.
- NO ejecute el comando dsregcmd /leave como parte del proceso de apagado o reinicio de la máquina virtual.
- Defina e implemente el proceso para administrar dispositivos obsoletos.
- Una vez que disponga de una estrategia para identificar los dispositivos no persistentes con unión híbrida a Microsoft Entra (por ejemplo, usar un prefijo de nombre para mostrar del equipo), puede efectuar una limpieza más concienzuda de estos dispositivos para garantizar que su directorio no se quede sin espacio debido al acceso de muchos dispositivos obsoletos.
- En el caso de las implementaciones de VDI no persistentes en Windows actual y Windows de nivel inferior, se deben eliminar los dispositivos con más de 15 días de antigüedad en ApproximateLastLogonTimestamp.
Nota:
Al usar VDI no persistente, si quiere evitar la incorporación de una cuenta profesional o educativa, asegúrese de que la siguiente clave del Registro esté establecida: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Asegúrese de que está ejecutando la versión 1803 o superior de Windows 10.
No se admite la itinerancia de datos en la ruta de acceso
%localappdata%
. Si decide mover el contenido de%localappdata%
, asegúrese de que el contenido de las siguientes carpetas y claves del Registro no deje nunca el dispositivo, bajo ningún concepto. Por ejemplo: las herramientas de migración de perfiles deben omitir las siguientes carpetas y claves:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
%localappdata%\Microsoft\OneAuth
%localappdata%\Microsoft\IdentityCache
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
No se admite la movilidad del certificado de dispositivo de la cuenta profesional. El certificado, emitido por "MS-Organization-Access", se almacena en el almacén de certificados Personal (MI) del usuario actual y en la máquina local.
VDI persistente
A la hora de implementar un entorno VDI persistente, Microsoft recomienda que los administradores de TI sigan las directrices que se ofrecen a continuación. Si no lo hace, se producirán problemas de implementación y autenticación.
- Si se basa en la herramienta de preparación del sistema (sysprep.exe) y usa para la instalación una imagen anterior a Windows 10 1809, asegúrese de que esa imagen no corresponda a un dispositivo ya registrado en Microsoft Entra ID como unido a Microsoft Entra híbrido.
- Si se basa en la instantánea de una máquina virtual (VM) para crear otras máquinas virtuales, asegúrese de que esa instantánea no sea de una máquina virtual ya registrada en Microsoft Entra ID como unida a Microsoft Entra híbrido.
Además, se recomienda implementar el proceso para administrar los dispositivos obsoletos. Este proceso garantiza que el directorio no se consume con muchos dispositivos obsoletos si restablece periódicamente las máquinas virtuales.
Pasos siguientes
Configuración de la unión híbrida a Microsoft Entra para un entorno federado