Identité d’appareil et virtualisation de bureau
Les administrateurs déploient généralement des plateformes VDI (Virtual Desktop Infrastructure) hébergeant des systèmes d’exploitation Windows dans leurs organisations. Les administrateurs déploient la solution VDI pour :
- Simplifier la gestion.
- Réduire les coûts par le regroupement et la centralisation des ressources.
- Dispenser aux utilisateurs finals la mobilité et la liberté d’accéder aux bureaux virtuels, à tout moment, en tous lieux, sur tout appareil.
Il existe deux types principaux de bureaux virtuels :
- Persistante
- Non persistant
Les versions persistantes utilisent une image de bureau unique pour chaque utilisateur ou pool d’utilisateurs. Ces bureaux uniques peuvent être personnalisés et enregistrés pour une utilisation ultérieure.
Les versions non persistantes utilisent une collection de bureaux auxquels les utilisateurs peuvent accéder en fonction des besoins. Ces bureaux non persistants sont rétablis à leur état d’origine lorsqu’une machine virtuelle passe par un processus d’arrêt/redémarrage/de réinitialisation du système d’exploitation.
Il est important de s’assurer que les organisations gèrent les appareils obsolètes qui ont été créés en raison d’inscriptions fréquentes d’appareils sans stratégie appropriée pour la gestion du cycle de vie des appareils.
Important
Si vous ne parvenez pas à gérer les appareils obsolètes, vous risquez d’augmenter la pression sur la consommation de votre quota de locataires et d’être confronté à un risque potentiel d’interruption de service si le quota de locataires est insuffisant. Pour éviter cette situation, suivez les conseils suivants lors du déploiement d'environnements VDI non persistants.
Pour l’exécution réussie de certains scénarios, il est important d’avoir des noms d’appareil uniques dans l’annuaire. Cela peut se faire par une gestion appropriée des appareils obsolètes, ou vous pouvez garantir l’unicité du nom de l’appareil en utilisant un certain modèle dans la dénomination de l’appareil.
Cet article présente les conseils de Microsoft aux administrateurs en matière de prise en charge de l’identité d’appareil et de la solution VDI. Pour plus d’informations sur l’identité d’appareil, consultez l’article Présentation de l’identité d’appareil.
Scénarios pris en charge
Avant de configurer les identités d’appareil dans Microsoft Entra ID pour votre environnement VDI, familiarisez-vous avec les scénarios pris en charge. Le tableau suivant illustre les scénarios de dapprovisionnement pris en charge. Dans ce contexte, le provisionnement implique qu’un administrateur peut configurer des identités d’appareil à grande échelle, sans nécessiter l’intervention d’utilisateurs finals.
Appareils Windows actuels incluent Windows 10 ou version ultérieure, Windows Server 2016 v1803 ou version ultérieure, et Windows Server 2019 ou version ultérieure.
| Type d’identité d’appareil | Infrastructure d’identité | Appareils Windows | Version de la plateforme VDI | Prise en charge |
|---|---|---|---|---|
| Jonction hybride Microsoft Entra | Fédérée3 | Windows actuel | Persistante | Oui |
| Windows actuel | Non persistant | Oui5 | ||
| Managée4 | Windows actuel | Persistante | Oui | |
| Windows actuel | Non persistant | Limité à 6 | ||
| Joint à Microsoft Entra | Adresses IP fédérées | Windows actuel | Persistante | Limité à 8 |
| Non persistant | Non | |||
| Adresses IP gérées | Windows actuel | Persistante | Limité à 8 | |
| Non persistant | Non | |||
| Inscrit auprès de Microsoft Entra | Fédérée/managée | Windows actuel | Persistante/non persistante | Non applicable |
3 Un environnement d’infrastructure d’identité fédéré représente un environnement avec un fournisseur d’identité (IdP) tel qu’AD FS ou un autre fournisseur d’identité non-Microsoft. Dans un environnement d’infrastructure d’identité fédérée, les ordinateurs suivent le flux d’inscription des appareils gérés en fonction des Paramètres de point de connexion du service (SCP) Microsoft Windows Server Active Directory.
4 Un environnement d’infrastructure d’identité managée représente un environnement doté de Microsoft Entra ID en tant que fournisseur d’identité déployé avec la synchronisation des codes de hachage de mot de passe (PHS) ou l’authentification directe (PTA) avec l’authentification unique transparente.
5La prise en charge de la non-persistance pour les appareils Windows actuels nécessite une autre considération, comme indiqué dans la section d’aide. Ce scénario nécessite Windows 10 1803 ou version ultérieure, Windows Server 2019 ou Windows Server (canal semi-annuel) à partir de la version 1803
6La prise en charge de la non-persistance pour les appareils Windows actuels dans un environnement d’infrastructure d’identité managée est disponible uniquement avec Citrix local géré par le client et managé par un service cloud. Pour toutes les requêtes associées au support technique, contactez directement le support Citrix.
8Le support technique pour la Jonction Microsoft Entra est disponible uniquement avec Azure Virtual Desktop, Windows 365 et Amazon WorkSpaces. Pour toutes les demandes en lien avec le support technique qui concernent Amazon WorkSpaces et l’intégration de Microsoft Entra, contactez directement le support technique d’Amazon.
Conseils de Microsoft
Les administrateurs doivent consulter les articles suivants, en fonction de leur infrastructure d’identité, pour savoir comment configurer la jonction hybride Microsoft Entra.
- Configurer la jonction hybride Microsoft Entra pour un environnement fédéré
- Configurer la jonction hybride Microsoft Entra pour un environnement managé
VDI non persistante
Lorsque les administrateurs déploient un VDI non persistant, Microsoft vous recommande d’implémenter les instructions suivantes. Dans le cas contraire, votre annuaire contient de nombreux appareils hybrides Microsoft Entra périmés qui ont été enregistrés à partir de votre plateforme VDI non persistante. Ces appareils obsolètes entraînent une pression accrue sur le quota de votre client et le risque d’interruption de service en raison d’un manque de quota de client.
- Si vous comptez sur l’outil de préparation du système (sysprep.exe), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil avec jonction hybride Microsoft Entra.
- Si vous comptez sur une capture instantanée de machine virtuelle pour créer des machines virtuelles supplémentaires, vérifiez qu’elle ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle avec jonction hybride Microsoft Entra.
- Les services de fédération Active Directory (AD FS) prennent en charge la jonction instantanée pour le VDI non persistant et la jonction hybride Microsoft Entra.
- Créez et utilisez un préfixe pour le nom d’affichage (par exemple, NPVDI-) de l’ordinateur qui indique le bureau comme étant basé sur une VDI non persistante.
- Pour les appareils Windows dans un environnement fédéré (par exemple, AD FS) :
- Implémentez dsregcmd /join dans le cadre de la séquence (ordre) de démarrage des machines virtuelles, avant que l’utilisateur se connecte.
- N’EXÉCUTEZ PAS dsregcmd /leave dans le cadre du processus d’arrêt/de redémarrage de la machine virtuelle.
- Définissez et implémentez le processus de gestion des appareils obsolètes.
- Une fois que vous disposez d’une stratégie permettant d’identifier les appareils avec jonction hybride Microsoft Entra non persistants (par exemple en utilisant un préfixe dans le nom d’affichage de l’ordinateur), vous devez nettoyer ces appareils de manière plus radicale pour éviter que votre annuaire ne contienne un grand nombre d’appareils obsolètes.
- Pour les déploiements VDI non persistants, vous devez supprimer les dispositifs dont le ApproximateLastLogonTimestamp est de plus de 15 jours.
Remarque
Lorsque vous utilisez une plateforme VDI non persistante, si vous souhaitez empêcher l’ajout d’un compte professionnel ou scolaire, assurez-vous que la clé de Registre suivante est définie : HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Assurez-vous que vous exécutez Windows 10 version 1803 ou ultérieure.
L’itinérance des données sous le chemin d’accès %localappdata% n’est pas prise en charge. Si vous choisissez de déplacer le contenu sous %localappdata%, assurez-vous que le contenu des dossiers et des clés de Registre suivants ne quitte jamais l’appareil, quelles que soient les conditions. Par exemple, les outils de migration de profil doivent ignorer les dossiers et clés suivants :
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
L’itinérance du certificat d’appareil du compte professionnel n’est pas prise en charge. Le certificat, émis par « MS-Organization-Access », est stocké dans le magasin de certificats personnel (MY) de l’utilisateur actuel et sur l’ordinateur local.
VDI persistante
Lorsque les administrateurs déploient un VDI persistant, Microsoft vous recommande d’implémenter les instructions suivantes. Dans le cas contraire, des problèmes de déploiement et d’authentification peuvent se produire.
- Si vous comptez sur l’outil de préparation du système (sysprep.exe), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil avec jonction hybride Microsoft Entra.
- Si vous comptez sur une capture instantanée de machine virtuelle pour créer des machines virtuelles supplémentaires, vérifiez qu’elle ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle avec jonction hybride Microsoft Entra.
Nous vous recommandons d’implémenter le processus de gestion des appareils obsolètes. Ce processus permet de vous assurer que votre annuaire n’est pas saturé par un grand nombre d’appareils obsolètes si vous réinitialisez régulièrement vos machines virtuelles.
Étapes suivantes
Configuration de la jonction hybride Microsoft Entra pour un environnement fédéré