Identidade de dispositivo e virtualização de ambiente de trabalho
Os administradores geralmente implantam plataformas VDI (infraestrutura de área de trabalho virtual) que hospedam sistemas operacionais Windows em suas organizações. Os administradores implantam a VDI para:
- Agilize a gestão.
- Reduzir custos através da consolidação e centralização de recursos.
- Proporcione aos utilizadores finais mobilidade e a liberdade de aceder a ambientes de trabalho virtuais a qualquer hora, em qualquer lugar e em qualquer dispositivo.
Existem dois tipos principais de ambientes de trabalho virtuais:
- Persistente
- Não persistente
As versões persistentes usam uma imagem exclusiva da área de trabalho para cada usuário ou um pool de usuários. Esses desktops exclusivos podem ser personalizados e salvos para uso futuro.
As versões não persistentes usam uma coleção de desktops que os usuários podem acessar conforme necessário. Essas áreas de trabalho não persistentes são revertidas para seu estado original, no Windows atual1 essa alteração acontece quando uma máquina virtual passa por um processo de desligamento/reinicialização/redefinição do sistema operacional e no Windows de nívelinferior 2 essa alteração acontece quando um usuário sai.
É importante garantir que as organizações gerenciem dispositivos obsoletos que são criados porque o registro frequente de dispositivos sem ter uma estratégia adequada para o gerenciamento do ciclo de vida do dispositivo.
Importante
A falha no gerenciamento de dispositivos obsoletos pode levar ao aumento da pressão sobre o consumo de uso da cota de locatário e ao risco potencial de interrupção do serviço, se você ficar sem cota de locatário. Use as orientações a seguir ao implantar ambientes VDI não persistentes para evitar essa situação.
Para uma execução bem-sucedida de alguns cenários, é importante ter nomes de dispositivos exclusivos no diretório. Isso pode ser alcançado pelo gerenciamento adequado de dispositivos obsoletos ou você pode garantir a exclusividade do nome do dispositivo usando algum padrão na nomenclatura do dispositivo.
Este artigo aborda as orientações da Microsoft para administradores sobre o suporte para identidade de dispositivo e VDI. Para obter mais informações sobre a identidade do dispositivo, consulte o artigo O que é uma identidade do dispositivo.
Cenários suportados
Antes de configurar identidades de dispositivo no Microsoft Entra ID para seu ambiente VDI, familiarize-se com os cenários suportados. A tabela a seguir ilustra quais cenários de provisionamento são suportados. O provisionamento nesse contexto implica que um administrador pode configurar identidades de dispositivo em escala sem exigir qualquer interação do usuário final.
Tipo de identidade do dispositivo | Infraestrutura de identidade | Dispositivos Windows | Versão da plataforma VDI | Suportado |
---|---|---|---|---|
Associados ao Microsoft Entra híbrido | Federado3 | Windows atual e Windows de nível inferior | Persistente | Sim |
Windows atual | Não persistente | Sim 5 | ||
Dispositivos Windows de nível inferior | Não persistente | Sim 6 | ||
Gerenciado4 | Windows atual e Windows de nível inferior | Persistente | Sim | |
Windows atual | Não persistente | Limitado6 | ||
Dispositivos Windows de nível inferior | Não persistente | Sim 7 | ||
Associados ao Microsoft Entra | Federados | Windows atual | Persistente | Limitado8 |
Não persistente | Não | |||
Não gerido | Windows atual | Persistente | Limitado8 | |
Não persistente | Não | |||
Registados no Microsoft Entra | Federado/Gerenciado | Nível inferior do Windows atual/Windows | Persistente/Não persistente | Não Aplicável |
1 Os dispositivos atuais do Windows representam o Windows 10 ou mais recente, o Windows Server 2016 v1803 ou superior e o Windows Server 2019 ou superior.
2 Os dispositivos de nível inferior do Windows representam o Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Para obter informações de suporte sobre o Windows 7, consulte O suporte para o Windows 7 está terminando. Para obter informações de suporte sobre o Windows Server 2008 R2, consulte Preparar para o fim do suporte do Windows Server 2008.
3 Um ambiente de infraestrutura de identidade federada representa um ambiente com um provedor de identidade (IdP), como AD FS ou outro IdP de terceiros. Em um ambiente de infraestrutura de identidade federada, os computadores seguem o fluxo de registro de dispositivo gerenciado com base nas configurações do SCP (Ponto de Conexão de Serviço do Ative Directory) do Microsoft Windows Server.
4 Um ambiente de infraestrutura de identidade gerenciada representa um ambiente com o Microsoft Entra ID como o provedor de identidade implantado com PHS (sincronização de hash de senha) ou autenticação de passagem (PTA) com logon único contínuo.
5 O suporte de não persistência para Windows atual requer outra consideração, conforme documentado na seção de diretrizes. Este cenário requer o Windows 10 1803 ou mais recente, o Windows Server 2019 ou o Windows Server (canal semestral) a partir da versão 1803
6 O suporte de não persistência para Windows atual em um ambiente de infraestrutura de identidade gerenciada só está disponível com a Citrix local gerenciada pelo cliente e o serviço de nuvem gerenciado. Para quaisquer dúvidas relacionadas ao suporte, entre em contato diretamente com o suporte da Citrix.
7 O suporte de não persistência para o nível inferior do Windows requer outra consideração, conforme documentado na seção de diretrizes.
8 O suporte de ingresso do Microsoft Entra está disponível com o Azure Virtual Desktop, Windows 365 e Amazon WorkSpaces. Para consultas relacionadas ao suporte com a integração do Amazon WorkSpaces e do Microsoft Entra, entre em contato diretamente com o suporte da Amazon.
Orientação da Microsoft
Os administradores devem consultar os seguintes artigos, com base em sua infraestrutura de identidade, para saber como configurar a associação híbrida do Microsoft Entra.
- Configurar a associação híbrida do Microsoft Entra para ambiente federado
- Configurar a associação híbrida do Microsoft Entra para ambiente gerenciado
VDI não persistente
Ao implantar VDI não persistente, a Microsoft recomenda que as organizações implementem as seguintes diretrizes. Se não o fizer, o seu diretório terá muitos dispositivos híbridos Microsoft Entra obsoletos que foram registados a partir da sua plataforma VDI não persistente. Esses dispositivos obsoletos resultam em maior pressão sobre sua cota de locatário e risco de interrupção do serviço devido à falta de cota de locatário.
- Se você estiver confiando na Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se essa imagem não é de um dispositivo que já está registrado com a ID do Microsoft Entra como Microsoft Entra híbrido ingressado.
- Se você estiver confiando em um instantâneo de máquina virtual (VM) para criar mais VMs, certifique-se de que o instantâneo não seja de uma VM que já esteja registrada com a ID do Microsoft Entra como associação híbrida do Microsoft Entra.
- Os Serviços de Federação do Ative Directory (AD FS) oferecem suporte à associação instantânea para VDI não persistente e associação híbrida do Microsoft Entra.
- Crie e use um prefixo para o nome de exibição (por exemplo, NPVDI-) do computador que indica a área de trabalho como baseada em VDI não persistente.
- Para o nível inferior do Windows:
- Implemente o comando autoworkplacejoin /leave como parte do script de logoff. Esse comando deve ser acionado no contexto do usuário e deve ser executado antes que o usuário tenha feito logoff completo e exista conectividade de rede.
- Para Windows atual em um ambiente federado (por exemplo, AD FS):
- Implemente dsregcmd /join como parte da sequência/ordem de inicialização da VM e antes que o usuário entre.
- NÃO execute dsregcmd /leave como parte do processo de desligamento/reinicialização da VM.
- Defina e implemente processos de gerenciamento de dispositivos obsoletos.
- Depois de ter uma estratégia para identificar seus dispositivos híbridos não persistentes do Microsoft Entra (como usar o prefixo do nome de exibição do computador), você deve ser mais agressivo na limpeza desses dispositivos para garantir que seu diretório não seja consumido com muitos dispositivos obsoletos.
- Para implantações VDI não persistentes no nível atual e inferior do Windows, você deve excluir dispositivos que tenham ApproximateLastLogonTimestamp com mais de 15 dias.
Nota
Ao usar VDI não persistente, se você quiser impedir a adição de uma conta corporativa ou de estudante, verifique se a seguinte chave do Registro está definida: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Certifique-se de que está a executar o Windows 10, versão 1803 ou superior.
Não há suporte para roaming de quaisquer dados sob o caminho
%localappdata%
. Se optar por mover o conteúdo em%localappdata%
, certifique-se de que o conteúdo das seguintes pastas e chaves de registo nunca sai do dispositivo sob qualquer condição. Por exemplo: As ferramentas de migração de perfil devem ignorar as seguintes pastas e chaves:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
%localappdata%\Microsoft\OneAuth
%localappdata%\Microsoft\IdentityCache
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
Não há suporte para roaming do certificado de dispositivo da conta de trabalho. O certificado, emitido por "MS-Organization-Access", é armazenado no armazenamento de certificados Pessoal (MY) do usuário atual e na máquina local.
VDI persistente
Ao implantar a VDI persistente, a Microsoft recomenda que os administradores de TI implementem as seguintes diretrizes. A falha em fazê-lo resulta em problemas de implantação e autenticação.
- Se você estiver confiando na Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se essa imagem não é de um dispositivo que já está registrado com a ID do Microsoft Entra como Microsoft Entra híbrido ingressado.
- Se você estiver confiando em um instantâneo de máquina virtual (VM) para criar mais VMs, certifique-se de que o instantâneo não seja de uma VM que já esteja registrada com a ID do Microsoft Entra como associação híbrida do Microsoft Entra.
Recomendamos que você implemente o processo de gerenciamento de dispositivos obsoletos. Esse processo garante que seu diretório não seja consumido com muitos dispositivos obsoletos se você redefinir periodicamente suas VMs.
Próximos passos
Configurando a associação híbrida do Microsoft Entra para ambiente federado