Apparaatidentiteit en desktopvirtualisatie
De beheerders implementeren doorgaans VDI-platformen (Virtual Desktop Infrastructure) die Als host fungeren voor Windows-besturingssystemen in hun organisatie. Beheerders implementeren de VDI om het volgende te doen:
- Het beheer stroomlijnen.
- Kosten te verlagen door middel van consolidatie en centralisatie van resources.
- Eindgebruikers mobiliteit en de vrijheid bieden om altijd en overal toegang te krijgen tot virtuele bureaubladen op elk apparaat.
Er zijn twee primaire typen voor virtuele bureaubladen:
- Permanent
- Niet-permanent
Permanente versies maken gebruik van unieke bureaubladinstallatiekopieën voor elke gebruiker of een groep gebruikers. Deze unieke bureaubladen kunnen ook worden aangepast en opgeslagen voor toekomstig gebruik.
Niet-permanente versies maken gebruik van een verzameling desktops waartoe de gebruikers zo nodig toegang hebben. Deze niet-permanente bureaubladen worden teruggezet naar de oorspronkelijke staat wanneer een virtuele machine een proces voor afsluiten/opnieuw opstarten/opnieuw opstarten/opnieuw instellen van het besturingssysteem doorloopt.
Het is belangrijk om te zorgen dat de organisaties verouderde apparaten beheren die worden gemaakt omdat frequente apparaatregistratie zonder een juiste strategie voor het beheer van de levenscyclus van apparaten te hebben.
Belangrijk
Als u de verouderde apparaten niet beheert, kan dit leiden tot een hogere druk op het gebruik van uw tenantquotum en mogelijk risico op serviceonderbreking als u geen tenantquotum meer hebt. Gebruik de volgende richtlijnen bij het implementeren van niet-permanente VDI-omgevingen om deze situatie te voorkomen.
Voor een geslaagde uitvoering van sommige scenario's is het belangrijk dat u unieke apparaatnamen in de map hebt. Dit kan worden bereikt door het juiste beheer van verouderde apparaten of u kunt garanderen dat apparaatnaam uniek is door een bepaald patroon in apparaatnaamgeving te gebruiken.
In dit artikel worden de richtlijnen van Microsoft beschreven voor beheerders die ondersteuning bieden voor apparaatidentiteit en VDI. Raadpleeg het artikel Wat is een apparaat-id voor meer informatie over apparaatidentiteit.
Ondersteunde scenario's
Voordat u apparaat-id's configureert in Microsoft Entra ID voor uw VDI-omgeving, moet u vertrouwd raken met de ondersteunde scenario's. In de volgende tabel ziet u welke inrichtingsscenario's worden ondersteund. Inrichten in deze context impliceert dat een beheerder de apparaatidentiteiten op schaal kan configureren zonder tussenkomst van de eindgebruiker.
Windows huidige-apparaten vertegenwoordigen Windows 10 of hoger, Windows Server 2016 v1803 of hoger en Windows Server 2019 of hoger.
| ID-type voor apparaat | Id-infrastructuur | Windows-apparaten | De VDI-platformversie | Ondersteund |
|---|---|---|---|---|
| Hybride aan Microsoft Entra gekoppeld | Federatief3 | Huidige Windows | Permanent | Ja |
| Huidige Windows | Niet-permanent | Ja5 | ||
| Beheerd4 | Huidige Windows | Permanent | Ja | |
| Huidige Windows | Niet-permanent | Beperkt6 | ||
| Aan Microsoft Entra gekoppeld | Federatief | Huidige Windows | Permanent | Beperkt8 |
| Niet-permanent | Nee | |||
| Beheerd | Huidige Windows | Permanent | Beperkt8 | |
| Niet-permanent | Nee | |||
| Microsoft Entra geregistreerd | Federatief/Beheerd | Huidige Windows | Permanent/niet-persistent | Niet van toepassing |
3 A Federatieve-identiteitsinfrastructuuromgeving vertegenwoordigt een omgeving met een id-provider (IdP), zoals AD FS of andere niet-Microsoft IdP. In een omgeving met federatieve identiteitsinfrastructuur volgen computers de stroom voor registratie van beheerde apparaten op basis van de SCP-instellingen (Microsoft Windows Server Active Directory Service Connection Point).
4 Een infrastructuuromgeving voor beheerde identiteit vertegenwoordigt een omgeving met Microsoft Entra-id als de id-provider die is geïmplementeerd met wachtwoord-hashsynchronisatie (PHS) of pass-through-verificatie (PTA) met naadloze eenmalige aanmelding.
5Ondersteuning voor niet-persistentie voor Windows huidige vereist andere overwegingen, zoals beschreven in de richtlijnensectie. Voor dit scenario is Windows 10 1803 of nieuwer, Windows Server 2019 of Windows Server (Semi-Annual-kanaal) vereist vanaf versie 1803
6Ondersteuning voor niet-persistentie voor Windows actueel in een omgeving met beheerde identiteitsinfrastructuur is alleen beschikbaar voor Citrix on-premises door de klant beheerde en cloudservice. Neem rechtstreeks contact op met citrix-ondersteuning voor eventuele ondersteuningsquery's.
8Microsoft Entra join-ondersteuning is beschikbaar met Azure Virtual Desktop, Windows 365-en Amazon WorkSpaces. Neem voor ondersteuningsgerelateerde query's met Amazon WorkSpaces en Microsoft Entra-integratie rechtstreeks contact op met de ondersteuning van Amazon.
Richtlijnen van Microsoft
Beheerders moeten verwijzen naar de volgende artikelen, op basis van hun identiteitsinfrastructuur, voor meer informatie over het configureren van hybride deelname aan Microsoft Entra.
- Hybride deelname van Microsoft Entra configureren voor federatieve omgeving
- Hybride deelname van Microsoft Entra configureren voor beheerde omgeving
Niet-permanent VDI
Wanneer beheerders niet-permanente VDI implementeren, raadt Microsoft u aan de volgende richtlijnen te implementeren. Als u dit niet doet, heeft uw directory een groot aantal verouderde hybride apparaten van Microsoft Entra die zijn geregistreerd bij uw niet-permanente VDI-platform. Deze verouderde apparaten leiden tot een verhoogde druk op uw tenantquotum en het risico op serviceonderbreking vanwege een onvoldoende tenantquotum.
- Als u afhankelijk bent van het hulpprogramma voor systeemvoorbereiding (sysprep.exe) en als u een installatiekopieën van vóór Windows 10 1809 gebruikt, moet u ervoor zorgen dat de installatiekopieën niet afkomstig zijn van een apparaat dat al is geregistreerd bij Microsoft Entra-id als hybride toegevoegd aan Microsoft Entra.
- Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u ervoor zorgen dat de momentopname niet afkomstig is van een VM die al is geregistreerd bij Microsoft Entra-id als Hybride Join van Microsoft Entra.
- Active Directory Federation Services (AD FS) ondersteunt instant join voor niet-permanente VDI en Microsoft Entra hybrid join.
- Maak en gebruik een voorvoegsel voor weergavenaam (bijvoorbeeld NPVDI-) van de computer die het bureaublad aangeeft als niet-permanente VDI-gebaseerd.
- Voor Windows-apparaten in een federatieve omgeving (bijvoorbeeld AD FS):
- Implementeer dsregcmd /join als een onderdeel van de VM-opstartvolgorde/-volgorde en voor de gebruiker zich aanmeldt.
- NIET dsregcmd /leave uitvoeren als deel van het proces van het uitschakelen/opnieuw opstarten van virtuele machine.
- Definieer en implementeer het proces voor beheren van verouderde apparaten.
- Zodra u een strategie hebt om uw niet-permanente hybride apparaten van Microsoft Entra te identificeren (zoals het gebruik van het voorvoegsel voor de weergavenaam van de computer), moet u agressiever zijn bij het opschonen van deze apparaten om ervoor te zorgen dat uw directory niet wordt verbruikt met veel verouderde apparaten.
- Voor niet-permanente VDI-implementaties moet u apparaten verwijderen met ApproximateLastLogonTimestamp ouder dan 15 dagen.
Notitie
Als u niet-permanente VDI gebruikt, moet u ervoor zorgen dat de volgende registersleutel is ingesteld als u wilt voorkomen dat u een werk- of schoolaccount toevoegt: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Zorg dat u Windows 10, versie 1803 of hoger gebruikt.
Roaming van de gegevens onder het pad %localappdata% wordt niet ondersteund. Als u ervoor kiest om inhoud onder %localappdata% te verplaatsen, dan moet u zorgen dat de inhoud van de volgende mappen en registersleutels het apparaat nooit onder een voorwaarde verlaat. Hulpprogramma's voor profielmigratie moeten bijvoorbeeld de volgende mappen en sleutels overslaan:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
Roaming van het apparaatcertificaat van werkaccount wordt niet ondersteund. Het certificaat, uitgegeven door MS-Organization-Access, wordt opgeslagen in het persoonlijke certificaatarchief (MY) van huidige gebruiker en op lokale computer.
De permanente VDI
Wanneer beheerders permanente VDI implementeren, raadt Microsoft u aan de volgende richtlijnen te implementeren. Als u dit niet doet, worden implementatie- en verificatieproblemen veroorzaakt.
- Als u afhankelijk bent van het hulpprogramma voor systeemvoorbereiding (sysprep.exe) en als u een installatiekopieën van vóór Windows 10 1809 gebruikt, moet u ervoor zorgen dat de installatiekopieën niet afkomstig zijn van een apparaat dat al is geregistreerd bij Microsoft Entra-id als hybride toegevoegd aan Microsoft Entra.
- Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u ervoor zorgen dat de momentopname niet afkomstig is van een VM die al is geregistreerd bij Microsoft Entra-id als Hybride Join van Microsoft Entra.
U wordt aangeraden een proces te implementeren voor beheren van verouderde apparaten. Dit proces zorgt ervoor dat uw directory niet wordt gebruikt met veel verouderde apparaten als u uw VM's periodiek opnieuw instelt.
Volgende stappen
Hybride deelname van Microsoft Entra configureren voor federatieve omgeving