Partager via


Identité d’appareil et virtualisation de bureau

Les administrateurs déploient généralement des plateformes VDI (Virtual Desktop Infrastructure) hébergeant des systèmes d’exploitation Windows dans leurs organisations. Les administrateurs déploient la solution VDI pour :

  • Simplifier la gestion.
  • Réduire les coûts par le regroupement et la centralisation des ressources.
  • Dispenser aux utilisateurs finals la mobilité et la liberté d’accéder aux bureaux virtuels, à tout moment, en tous lieux, sur tout appareil.

Il existe deux types principaux de bureaux virtuels :

  • Persistante
  • Non persistant

Les versions persistantes utilisent une image de bureau unique pour chaque utilisateur ou pool d’utilisateurs. Ces bureaux uniques peuvent être personnalisés et enregistrés pour une utilisation ultérieure.

Les versions non persistantes utilisent une collection de bureaux auxquels les utilisateurs peuvent accéder en fonction des besoins. L’état d’origine de ces postes de travail non persistants est rétabli : dans le cas de Windows actuel1 ce changement se produit lorsqu’une machine virtuelle subit un processus d’arrêt/de redémarrage/de réinitialisation du système d’exploitation et, dans le cas de Windows de bas niveau2 ce changement se produit lorsqu’un utilisateur se déconnecte.

Il est important de s’assurer que les organisations gèrent les appareils obsolètes qui ont été créés en raison d’inscriptions fréquentes d’appareils sans stratégie appropriée pour la gestion du cycle de vie des appareils.

Important

Si vous ne parvenez pas à gérer les appareils obsolètes, vous risquez d’augmenter la pression sur la consommation de votre quota de locataires et d’être confronté à un risque potentiel d’interruption de service si le quota de locataires est insuffisant. Pour éviter cette situation, suivez les conseils suivants lors du déploiement d'environnements VDI non persistants.

Pour l’exécution réussie de certains scénarios, il est important d’avoir des noms d’appareil uniques dans l’annuaire. Cela peut se faire par une gestion appropriée des appareils obsolètes, ou vous pouvez garantir l’unicité du nom de l’appareil en utilisant un certain modèle dans la dénomination de l’appareil.

Cet article présente les conseils de Microsoft aux administrateurs en matière de prise en charge de l’identité d’appareil et de la solution VDI. Pour plus d’informations sur l’identité d’appareil, consultez l’article Présentation de l’identité d’appareil.

Scénarios pris en charge

Avant de configurer les identités d’appareil dans Microsoft Entra ID pour votre environnement VDI, familiarisez-vous avec les scénarios pris en charge. Le tableau suivant illustre les scénarios de dapprovisionnement pris en charge. Dans ce contexte, le provisionnement implique qu’un administrateur peut configurer des identités d’appareil à grande échelle, sans nécessiter l’intervention d’utilisateurs finals.

Type d’identité d’appareil Infrastructure d’identité Appareils Windows Version de la plateforme VDI Prise en charge
Jonction hybride Microsoft Entra Fédérée3 Windows actuel et Windows de bas niveau Persistante Oui
Windows actuel Non persistant Oui5
Appareils Windows de bas niveau Non persistant Oui6
Managée4 Windows actuel et Windows de bas niveau Persistante Oui
Windows actuel Non persistant Limité à 6
Appareils Windows de bas niveau Non persistant Oui7
Joint à Microsoft Entra Adresses IP fédérées Windows actuel Persistante Limité à 8
Non persistant Non
Adresses IP gérées Windows actuel Persistante Limité à 8
Non persistant Non
Inscrit auprès de Microsoft Entra Fédérée/managée Windows actuel/Windows de bas niveau Persistante/non persistante Non applicable

1 Les appareils Windows actuels sont Windows 10 ou version ultérieure, Windows Server 2016 v1803 ou version ultérieure, et Windows Server 2019 ou version ultérieure.

2 Les appareils Windows de bas niveau sont Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2. Pour des informations relatives à la prise en charge de Windows 7, consultez Fin de la prise en charge de Windows 7. Pour obtenir des informations de support sur Windows Server 2008 R2, consultez Préparez-vous à la fin du support de Windows Server 2008.

3 Un environnement d’infrastructure d’identité fédérée représente un environnement avec un fournisseur d’identité, tel qu’AD FS ou d’autres fournisseurs d'identité tiers. Dans un environnement d’infrastructure d’identité fédérée, les ordinateurs suivent le flux d’inscription des appareils gérés en fonction des Paramètres de point de connexion du service (SCP) Microsoft Windows Server Active Directory.

4 Un environnement d’infrastructure d’identité managée représente un environnement doté de Microsoft Entra ID en tant que fournisseur d’identité déployé avec la synchronisation des codes de hachage de mot de passe (PHS) ou l’authentification directe (PTA) avec l’authentification unique transparente.

5 La prise en charge de la non-persistance pour les appareils Windows actuels nécessite une autre considération, comme indiqué dans la section d’aide. Ce scénario nécessite Windows 10 1803 ou version ultérieure, Windows Server 2019 ou Windows Server (canal semi-annuel) à partir de la version 1803

6 La prise en charge de la non-persistance pour les appareils Windows actuels dans un environnement d’infrastructure d’identité managée est disponible uniquement avec Citrix local géré par le client et managé par un service cloud. Pour toutes les requêtes associées au support technique, contactez directement le support Citrix.

7 La prise en charge de la non-persistance pour les appareils Windows de bas niveau nécessite une autre considération, comme indiqué dans la section d’aide.

8 Le support technique pour la Jonction Microsoft Entra est disponible uniquement avec Azure Virtual Desktop, Windows 365 et Amazon WorkSpaces. Pour toutes les demandes en lien avec le support technique qui concernent Amazon WorkSpaces et l’intégration de Microsoft Entra, contactez directement le support technique d’Amazon.

Conseils de Microsoft

Les administrateurs doivent consulter les articles suivants, en fonction de leur infrastructure d’identité, pour savoir comment configurer la jonction hybride Microsoft Entra.

VDI non persistante

Lors du déploiement d’une plateforme VDI non persistante, Microsoft recommande aux organisations d’implémenter les instructions ci-dessous. Dans le cas contraire, votre annuaire contient de nombreux appareils hybrides Microsoft Entra périmés qui ont été enregistrés à partir de votre plateforme VDI non persistante. Ces appareils obsolètes entraînent une pression accrue sur le quota de votre client et le risque d’interruption de service en raison d’un manque de quota de client.

  • Si vous comptez sur l’outil de préparation du système (sysprep.exe), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil avec jonction hybride Microsoft Entra.
  • Si vous comptez sur une capture instantanée de machine virtuelle pour créer des machines virtuelles supplémentaires, vérifiez qu’elle ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle avec jonction hybride Microsoft Entra.
  • Les services de fédération Active Directory (AD FS) prennent en charge la jonction instantanée pour le VDI non persistant et la jonction hybride Microsoft Entra.
  • Créez et utilisez un préfixe pour le nom d’affichage (par exemple, NPVDI-) de l’ordinateur qui indique le bureau comme étant basé sur une VDI non persistante.
  • Pour les appareils Windows de bas niveau :
    • Implémentez la commande autoworkplacejoin /leave dans le cadre du script de fermeture de session. Cette commande doit être déclenchée dans le contexte de l’utilisateur et doit être exécutée avant que l’utilisateur ne soit complètement déconnecté et tant qu’une connectivité réseau existe.
  • Pour Windows actuel dans un environnement fédéré (par exemple, AD FS) :
    • Implémentez dsregcmd /join dans le cadre de la séquence (ordre) de démarrage des machines virtuelles, avant que l’utilisateur se connecte.
    • N’EXÉCUTEZ PAS dsregcmd /leave dans le cadre du processus d’arrêt/de redémarrage de la machine virtuelle.
  • Définissez et implémentez le processus de gestion des appareils obsolètes.
    • Une fois que vous disposez d’une stratégie permettant d’identifier les appareils avec jonction hybride Microsoft Entra non persistants (par exemple en utilisant un préfixe dans le nom d’affichage de l’ordinateur), vous devez nettoyer ces appareils de manière plus radicale pour éviter que votre annuaire ne contienne un grand nombre d’appareils obsolètes.
    • Pour les déploiements VDI non persistants sur Windows actuel et de bas niveau, vous devez supprimer les appareils qui ont une propriété ApproximateLastLogonTimestamp antérieure à 15 jours.

Remarque

Lorsque vous utilisez une plateforme VDI non persistante, si vous souhaitez empêcher l’ajout d’un compte professionnel ou scolaire, assurez-vous que la clé de Registre suivante est définie : HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Assurez-vous que vous exécutez Windows 10 version 1803 ou ultérieure.

L’itinérance des données sous le chemin d’accès %localappdata% n’est pas prise en charge. Si vous choisissez de déplacer le contenu sous %localappdata%, assurez-vous que le contenu des dossiers et des clés de Registre suivants ne quitte jamais l’appareil, quelles que soient les conditions. Par exemple : Les outils de migration de profil doivent ignorer les dossiers et clés suivants :

  • %localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
  • %localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
  • %localappdata%\Packages\<any app package>\AC\TokenBroker
  • %localappdata%\Microsoft\TokenBroker
  • %localappdata%\Microsoft\OneAuth
  • %localappdata%\Microsoft\IdentityCache
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin

L’itinérance du certificat d’appareil du compte professionnel n’est pas prise en charge. Le certificat, émis par « MS-Organization-Access », est stocké dans le magasin de certificats personnel (MY) de l’utilisateur actuel et sur l’ordinateur local.

VDI persistante

Lors du déploiement d’une plateforme VDI persistante, Microsoft recommande aux administrateurs informatiques d’implémenter les instructions ci-dessous. Dans le cas contraire, des problèmes de déploiement et d’authentification peuvent se produire.

  • Si vous comptez sur l’outil de préparation du système (sysprep.exe), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil avec jonction hybride Microsoft Entra.
  • Si vous comptez sur une capture instantanée de machine virtuelle pour créer des machines virtuelles supplémentaires, vérifiez qu’elle ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle avec jonction hybride Microsoft Entra.

Nous vous recommandons d’implémenter le processus de gestion des appareils obsolètes. Ce processus permet de vous assurer que votre annuaire n’est pas saturé par un grand nombre d’appareils obsolètes si vous réinitialisez régulièrement vos machines virtuelles.

Étapes suivantes

Configuration de la jonction hybride Microsoft Entra pour un environnement fédéré