Tożsamość urządzenia i wirtualizacja pulpitu
Administratorzy często wdrażają platformy infrastruktury pulpitu wirtualnego (VDI) obsługujące systemy operacyjne Windows w swoich organizacjach. Administratorzy wdrażają interfejs VDI w:
- Usprawnij zarządzanie.
- Obniżanie kosztów dzięki konsolidacji i centralizacji zasobów.
- Zapewnianie użytkownikom końcowym mobilności i swobody uzyskiwania dostępu do pulpitów wirtualnych w dowolnym momencie, z dowolnego miejsca na dowolnym urządzeniu.
Istnieją dwa podstawowe typy pulpitów wirtualnych:
- Stale
- Nietrwale trwałe
Wersje trwałe używają unikatowego obrazu pulpitu dla każdego użytkownika lub puli użytkowników. Te unikatowe pulpity można dostosowywać i zapisywać do użytku w przyszłości.
Wersje nietrwale używają kolekcji komputerów stacjonarnych, do których użytkownicy mogą uzyskiwać dostęp zgodnie z potrzebami. Te nietrwale pulpity są przywracane do pierwotnego stanu, gdy maszyna wirtualna przechodzi przez proces zamykania/ponownego uruchamiania/resetowania systemu operacyjnego.
Ważne jest, aby organizacje zarządzały nieaktywnymi urządzeniami, które zostały utworzone, ponieważ częste rejestrowanie urządzeń bez posiadania odpowiedniej strategii zarządzania cyklem życia urządzeń.
Ważne
Niepowodzenie zarządzania nieaktualnymi urządzeniami może prowadzić do zwiększenia presji na użycie limitu przydziału dzierżawy i potencjalnego ryzyka przerwy w działaniu usługi, jeśli zabraknie limitu przydziału dzierżawy. Skorzystaj z poniższych wskazówek podczas wdrażania nietrwale środowisk VDI, aby uniknąć tej sytuacji.
W przypadku pomyślnego wykonania niektórych scenariuszy ważne jest, aby w katalogu miały unikatowe nazwy urządzeń. Można to osiągnąć przez odpowiednie zarządzanie nieaktualnymi urządzeniami lub zagwarantować unikatowość nazw urządzeń przy użyciu pewnego wzorca w nazewnictwie urządzeń.
W tym artykule opisano wskazówki firmy Microsoft dotyczące administratorów w zakresie obsługi tożsamości urządzeń i dokumentacji VDI. Aby uzyskać więcej informacji na temat tożsamości urządzenia, zobacz artykuł Co to jest tożsamość urządzenia.
Obsługiwane scenariusze
Przed skonfigurowaniem tożsamości urządzeń w usłudze Microsoft Entra ID dla środowiska VDI zapoznaj się z obsługiwanymi scenariuszami. W poniższej tabeli przedstawiono obsługiwane scenariusze aprowizacji. Aprowizowanie w tym kontekście oznacza, że administrator może skonfigurować tożsamości urządzeń na dużą skalę bez konieczności interakcji z użytkownikiem końcowym.
urządzenia z systemem Windows current reprezentują system Windows 10 lub nowszy, Windows Server 2016 v1803 lub nowszy oraz Windows Server 2019 lub nowszy.
| Typ tożsamości urządzenia | Infrastruktura tożsamości | Urządzenia z systemem Windows | Wersja platformy VDI | Obsługiwane |
|---|---|---|---|---|
| Przyłączono hybrydową usługę Microsoft Entra | Federacyjne3 | Bieżący system Windows | Stale | Tak |
| Bieżący system Windows | Nietrwale trwałe | Tak5 | ||
| Zarządzane4 | Bieżący system Windows | Stale | Tak | |
| Bieżący system Windows | Nietrwale trwałe | Ograniczone6 | ||
| Dołączono do usługi Microsoft Entra | Federacyjni | Bieżący system Windows | Stale | Ograniczone8 |
| Nietrwale trwałe | Nie. | |||
| Zarządzana | Bieżący system Windows | Stale | Ograniczone8 | |
| Nietrwale trwałe | Nie. | |||
| Zarejestrowano usługę Microsoft Entra | Federacyjne/zarządzane | Bieżący system Windows | Trwałe/nietrwale | Nie dotyczy |
3 A Federacyjne środowisko infrastruktury tożsamości reprezentuje środowisko z dostawcą tożsamości (IdP), takim jak usługi AD FS lub inne dostawcy tożsamości innych niż Microsoft. W środowisku infrastruktury tożsamości federacyjnej komputery postępują zgodnie z przepływem rejestracji urządzeń zarządzanych na podstawie ustawień punktu połączenia usługi Active Directory (SCP) systemu Microsoft Windows Server.
4Środowisko infrastruktury tożsamości zarządzanej reprezentuje środowisko z identyfikatorem Firmy Microsoft Entra jako dostawcą tożsamości wdrożonym przy użyciu synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA) z bezproblemowym logowaniem jednokrotnym.
5Obsługa nietrwałości dla systemu Windows wymaga innych zagadnień, jak opisano w sekcji wskazówek. Ten scenariusz wymaga systemu Windows 10 1803 lub nowszego, Windows Server 2019 lub Windows Server (półroczny kanał) począwszy od wersji 1803
6Obsługa nietrwałości systemu Windows bieżącego w środowisku infrastruktury tożsamości zarządzanej jest dostępna tylko w przypadku zarządzanego przez klienta lokalnego rozwiązania Citrix i zarządzania usługą w chmurze. W przypadku wszelkich zapytań związanych z pomocą techniczną skontaktuj się bezpośrednio z pomocą techniczną firmy Citrix.
8Obsługa dołączania Microsoft Entra jest dostępna z Azure Virtual Desktop, Windows 365oraz Amazon WorkSpaces. W przypadku wszelkich zapytań związanych z pomocą techniczną dotyczących integracji z usługami Amazon WorkSpaces i Microsoft Entra skontaktuj się bezpośrednio z pomocą techniczną firmy Amazon.
Wskazówki firmy Microsoft
Administratorzy powinni zapoznać się z następującymi artykułami na podstawie infrastruktury tożsamości, aby dowiedzieć się, jak skonfigurować dołączanie hybrydowe firmy Microsoft Entra.
- Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla środowiska federacyjnego
- Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla środowiska zarządzanego
Nietrwale VDI
Gdy administratorzy wdrażają nietrwale wirtualne dyski twarde, firma Microsoft zaleca zaimplementowanie poniższych wskazówek. Niepowodzenie w tym celu powoduje, że katalog ma wiele nieaktualnych urządzeń dołączonych hybrydowo do firmy Microsoft Entra zarejestrowanych z nietrwałej platformy VDI. Te nieaktywne urządzenia powodują zwiększenie presji na limit przydziału dzierżawy i ryzyko przerwy w działaniu usługi z powodu braku limitu przydziału dzierżawy.
- Jeśli korzystasz z narzędzia przygotowywania systemu (sysprep.exe), a jeśli używasz obrazu przed systemem Windows 10 1809 do instalacji, upewnij się, że obraz nie pochodzi z urządzenia, które zostało już zarejestrowane w usłudze Microsoft Entra ID jako dołączone hybrydowo do firmy Microsoft Entra.
- Jeśli korzystasz z migawki maszyny wirtualnej w celu utworzenia większej liczby maszyn wirtualnych, upewnij się, że migawka nie pochodzi z maszyny wirtualnej, która jest już zarejestrowana w usłudze Microsoft Entra ID jako dołączenie hybrydowe firmy Microsoft Entra.
- Usługi active Directory Federation Services (AD FS) obsługują natychmiastowe dołączanie do nietrwale VDI i dołączania hybrydowego firmy Microsoft Entra.
- Utwórz i użyj prefiksu nazwy wyświetlanej (na przykład NPVDI-) komputera, który wskazuje pulpit jako nietrwale wirtualne elementy wirtualne.
- W przypadku urządzeń z systemem Windows w środowisku federacyjnym (na przykład AD FS):
- Zaimplementuj narzędzie dsregcmd /join w ramach sekwencji rozruchu/kolejności rozruchu maszyny wirtualnej i przed zalogowaniem się użytkownika.
- NIE wykonuj polecenia dsregcmd /leave w ramach procesu zamykania/ponownego uruchamiania maszyny wirtualnej.
- Definiowanie i implementowanie procesu zarządzania nieaktywnymi urządzeniami.
- Po utworzeniu strategii identyfikowania nietrwale urządzeń dołączonych hybrydowo do firmy Microsoft Entra (takich jak używanie prefiksu nazwy wyświetlanej komputera) powinno być bardziej agresywne w czyszczeniu tych urządzeń, aby upewnić się, że katalog nie jest używany z dużą częścią nieaktywnych urządzeń.
- W przypadku tymczasowych wdrożeń VDI należy usunąć urządzenia, które mają ApproximateLastLogonTimestamp starszy niż 15 dni.
Uwaga
Jeśli chcesz uniemożliwić dodawanie konta służbowego w przypadku korzystania z nietrwale trwałych identyfikatorów VDI, upewnij się, że ustawiono następujący klucz rejestru: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Upewnij się, że korzystasz z systemu Windows 10 w wersji 1803 lub nowszej.
Roaming żadnych danych w ścieżce %localappdata% nie jest obsługiwany. Jeśli zdecydujesz się przenieść zawartość w obszarze %localappdata%, upewnij się, że zawartość następujących folderów i kluczy rejestru nigdy nie opuszcza urządzenia pod żadnym warunkiem. Na przykład narzędzia migracji profilów muszą pominąć następujące foldery i klucze:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
Roaming certyfikatu urządzenia konta służbowego nie jest obsługiwany. Certyfikat wystawiony przez program "MS-Organization-Access" jest przechowywany w magazynie certyfikatów osobistych (MY) bieżącego użytkownika i na komputerze lokalnym.
Trwałe VDI
Gdy administratorzy wdrażają trwałe elementy VDI, firma Microsoft zaleca zaimplementowanie poniższych wskazówek. Niepowodzenie w tym celu powoduje problemy z wdrażaniem i uwierzytelnianiem.
- Jeśli korzystasz z narzędzia przygotowywania systemu (sysprep.exe), a jeśli używasz obrazu przed systemem Windows 10 1809 do instalacji, upewnij się, że obraz nie pochodzi z urządzenia, które zostało już zarejestrowane w usłudze Microsoft Entra ID jako dołączone hybrydowo do firmy Microsoft Entra.
- Jeśli korzystasz z migawki maszyny wirtualnej w celu utworzenia większej liczby maszyn wirtualnych, upewnij się, że migawka nie pochodzi z maszyny wirtualnej, która jest już zarejestrowana w usłudze Microsoft Entra ID jako dołączenie hybrydowe firmy Microsoft Entra.
Zalecamy zaimplementowanie procesu zarządzania nieaktualnymi urządzeniami. Ten proces zapewnia, że katalog nie jest używany z dużą ilością nieaktualnych urządzeń, jeśli okresowo resetujesz maszyny wirtualne.
Następne kroki
Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla środowiska federacyjnego