Identidade de dispositivo e virtualização de ambiente de trabalho

Os administradores geralmente implantam plataformas VDI (infraestrutura de área de trabalho virtual) que hospedam sistemas operacionais Windows em suas organizações. Os administradores implantam a VDI para:

• Agilize a gestão.
• Reduzir custos através da consolidação e centralização de recursos.
• Proporcione aos utilizadores finais mobilidade e a liberdade de aceder a ambientes de trabalho virtuais a qualquer hora, em qualquer lugar e em qualquer dispositivo.

Existem dois tipos principais de ambientes de trabalho virtuais:

• Persistente
• Não persistente

As versões persistentes usam uma imagem exclusiva da área de trabalho para cada usuário ou um pool de usuários. Esses desktops exclusivos podem ser personalizados e salvos para uso futuro.

As versões não persistentes usam uma coleção de desktops que os usuários podem acessar conforme necessário. Essas áreas de trabalho não persistentes são revertidas para seu estado original quando uma máquina virtual passa por um processo de desligamento/reinicialização/redefinição do sistema operacional.

É importante garantir que as organizações gerenciem dispositivos obsoletos que são criados porque o registro frequente de dispositivos sem ter uma estratégia adequada para o gerenciamento do ciclo de vida do dispositivo.

Importante

A falha no gerenciamento de dispositivos obsoletos pode levar ao aumento da pressão sobre o consumo de uso da cota de locatário e ao risco potencial de interrupção do serviço, se você ficar sem cota de locatário. Use as orientações a seguir ao implantar ambientes VDI não persistentes para evitar essa situação.

Para uma execução bem-sucedida de alguns cenários, é importante ter nomes de dispositivos exclusivos no diretório. Isso pode ser alcançado pelo gerenciamento adequado de dispositivos obsoletos ou você pode garantir a exclusividade do nome do dispositivo usando algum padrão na nomenclatura do dispositivo.

Este artigo aborda as orientações da Microsoft para administradores sobre o suporte para identidade de dispositivo e VDI. Para obter mais informações sobre a identidade do dispositivo, consulte o artigo O que é uma identidade do dispositivo.

Cenários suportados

Antes de configurar identidades de dispositivo no Microsoft Entra ID para seu ambiente VDI, familiarize-se com os cenários suportados. A tabela a seguir ilustra quais cenários de provisionamento são suportados. O provisionamento nesse contexto implica que um administrador pode configurar identidades de dispositivo em escala sem exigir qualquer interação do usuário final.

dispositivos atuais do Windows representam o Windows 10 ou mais recente, o Windows Server 2016 v1803 ou superior e o Windows Server 2019 ou superior.

Tipo de identidade do dispositivo	Infraestrutura de identidade	Dispositivos Windows	Versão da plataforma VDI	Suportado
Associados ao Microsoft Entra híbrido	Federado3	Windows atual	Persistente	Sim
		Windows atual	Não persistente	Sim 5
	Gerenciado4	Windows atual	Persistente	Sim
		Windows atual	Não persistente	Limitado6
Associados ao Microsoft Entra	Federados	Windows atual	Persistente	Limitado8
			Não persistente	Não
	Não gerido	Windows atual	Persistente	Limitado8
			Não persistente	Não
Registados no Microsoft Entra	Federado/Gerenciado	Windows atual	Persistente/Não persistente	Não Aplicável

3 Um ambiente de infraestrutura de identidade federado representa um ambiente com um provedor de identidade (IdP), como AD FS ou outro IdP não Microsoft. Em um ambiente de infraestrutura de identidade federada, os computadores seguem o fluxo de registro de dispositivo gerenciado com base nas configurações do SCP (Ponto de Conexão de Serviço do Ative Directory) do Microsoft Windows Server.

4 Um ambiente de infraestrutura de identidade gerenciada representa um ambiente com o Microsoft Entra ID como o provedor de identidade implantado com PHS (sincronização de hash de senha) ou autenticação de passagem (PTA) com logon único contínuo.

5 O suporte de não persistência para Windows atual requer outra consideração, conforme documentado na seção de diretrizes. Este cenário requer o Windows 10 1803 ou mais recente, o Windows Server 2019 ou o Windows Server (canal semestral) a partir da versão 1803

6 O suporte de não persistência para Windows atual em um ambiente de infraestrutura de identidade gerenciada só está disponível com a Citrix local gerenciada pelo cliente e o serviço de nuvem gerenciado. Para quaisquer dúvidas relacionadas ao suporte, entre em contato diretamente com o suporte da Citrix.

⁸ de suporte de ingresso do Microsoft Entra está disponível com de Área de Trabalho Virtual do Azure, Windows 365e Amazon WorkSpaces. Para consultas relacionadas ao suporte com a integração do Amazon WorkSpaces e do Microsoft Entra, entre em contato diretamente com o suporte da Amazon.

Orientação da Microsoft

Os administradores devem consultar os seguintes artigos, com base em sua infraestrutura de identidade, para saber como configurar a associação híbrida do Microsoft Entra.

• Configurar a associação híbrida do Microsoft Entra para ambiente federado
• Configurar a associação híbrida do Microsoft Entra para ambiente gerenciado

VDI não persistente

Quando os administradores implantam VDI não persistente, a Microsoft recomenda que você implemente as diretrizes a seguir. Se não o fizer, o seu diretório terá muitos dispositivos híbridos Microsoft Entra obsoletos que foram registados a partir da sua plataforma VDI não persistente. Esses dispositivos obsoletos resultam em maior pressão sobre sua cota de locatário e risco de interrupção do serviço devido à falta de cota de locatário.

• Se você estiver confiando na Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se essa imagem não é de um dispositivo que já está registrado com a ID do Microsoft Entra como Microsoft Entra híbrido ingressado.
• Se você estiver confiando em um instantâneo de máquina virtual (VM) para criar mais VMs, certifique-se de que o instantâneo não seja de uma VM que já esteja registrada com a ID do Microsoft Entra como associação híbrida do Microsoft Entra.
• Os Serviços de Federação do Ative Directory (AD FS) oferecem suporte à associação instantânea para VDI não persistente e associação híbrida do Microsoft Entra.
• Crie e use um prefixo para o nome de exibição (por exemplo, NPVDI-) do computador que indica a área de trabalho como baseada em VDI não persistente.
• Para dispositivos Windows em um ambiente federado (por exemplo, AD FS):
  • Implemente dsregcmd /join como parte da sequência/ordem de inicialização da VM e antes que o usuário entre.
  • NÃO execute dsregcmd /leave como parte do processo de desligamento/reinicialização da VM.
• Defina e implemente processos de gerenciamento de dispositivos obsoletos.
  • Depois de ter uma estratégia para identificar seus dispositivos híbridos não persistentes do Microsoft Entra (como usar o prefixo do nome de exibição do computador), você deve ser mais agressivo na limpeza desses dispositivos para garantir que seu diretório não seja consumido com muitos dispositivos obsoletos.
  • Para implantações VDI não persistentes, deve excluir dispositivos que tenham um 'ApproximateLastLogonTimestamp' com mais de 15 dias.

Nota

Ao usar VDI não persistente, se você quiser impedir a adição de uma conta corporativa ou de estudante, verifique se a seguinte chave do Registro está definida: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Certifique-se de que está a executar o Windows 10, versão 1803 ou superior.

Não há suporte para roaming de quaisquer dados sob o caminho %localappdata% . Se optar por mover o conteúdo em %localappdata%, certifique-se de que o conteúdo das seguintes pastas e chaves de registo nunca sai do dispositivo sob qualquer condição. Por exemplo, as ferramentas de migração de perfil devem ignorar as seguintes pastas e chaves:

• %localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
• %localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
• %localappdata%\Packages\<any app package>\AC\TokenBroker
• %localappdata%\Microsoft\TokenBroker
• %localappdata%\Microsoft\OneAuth
• %localappdata%\Microsoft\IdentityCache
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin

Não há suporte para roaming do certificado de dispositivo da conta de trabalho. O certificado, emitido por "MS-Organization-Access", é armazenado no armazenamento de certificados Pessoal (MY) do usuário atual e na máquina local.

VDI persistente

Quando os administradores implantam a VDI persistente, a Microsoft recomenda que você implemente as diretrizes a seguir. A falha em fazê-lo resulta em problemas de implantação e autenticação.

• Se você estiver confiando na Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se essa imagem não é de um dispositivo que já está registrado com a ID do Microsoft Entra como Microsoft Entra híbrido ingressado.
• Se você estiver confiando em um instantâneo de máquina virtual (VM) para criar mais VMs, certifique-se de que o instantâneo não seja de uma VM que já esteja registrada com a ID do Microsoft Entra como associação híbrida do Microsoft Entra.

Recomendamos que você implemente o processo de gerenciamento de dispositivos obsoletos. Esse processo garante que seu diretório não seja consumido com muitos dispositivos obsoletos se você redefinir periodicamente suas VMs.

Próximos passos

Configurando a associação híbrida do Microsoft Entra para ambiente federado