Удостоверение устройства и виртуализация рабочего стола
Администраторы обычно развертывают инфраструктуру виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI), где в их организациях размещаются операционные системы Windows. Администраторы развертывают VDI в следующих целях:
- оптимизация управления;
- сокращение затрат за счет консолидации и централизации ресурсов;
- обеспечение мобильности конечных пользователей и свободы доступа к виртуальным рабочим столам в любое время, откуда угодно и с любого устройства.
Существует два основных типа виртуальных рабочих столов:
- Постоянный
- Непостоянный
В постоянных версиях используется уникальный образ рабочего стола для каждого пользователя или пула пользователей. Такие уникальные рабочие столы можно настраивать и сохранять для последующего использования.
Временные версии используют коллекцию рабочих столов, к которым пользователи могут обращаться по мере необходимости. Эти не постоянные рабочие столы возвращаются к исходному состоянию, когда виртуальная машина проходит через процесс завершения работы или перезагрузки или сброса ОС.
Для организаций важно организовать правильное управление неактивными устройствами, которые неконтролируемо накапливаются при частой регистрации устройств без правильной стратегии управления жизненным циклом устройств.
Внимание
Невозможность управления неактивными устройствами может привести к повышению использования квоты арендатора и возможному риску прерывания работы службы, если квота арендатора будет исчерпана. Чтобы избежать этой ситуации, используйте следующие рекомендации при развертывании не постоянных сред VDI.
Для успешного выполнения некоторых сценариев важно иметь уникальные имена устройств в каталоге. Это можно сделать путем правильного управления устаревшими устройствами или гарантировать уникальность имени устройства с помощью определенного шаблона в именовании устройств.
В этой статье рассматриваются рекомендации Майкрософт для администраторов по поддержке удостоверений устройств и VDI. Дополнительные сведения об удостоверении устройств см. в статье Что такое удостоверение устройства?.
Поддерживаемые сценарии
Перед настройкой удостоверений устройств в идентификаторе Microsoft Entra для среды VDI ознакомьтесь с поддерживаемыми сценариями. В следующей таблице показано, какие сценарии подготовки поддерживаются. Подготовка в этом контексте подразумевает, что администратор может настраивать удостоверения устройств в масштабе, не требуя вмешательства конечного пользователя.
Текущие устройства Windows работают под управлением Windows 10 или более поздних версий, Windows Server 2016 версии 1803 и выше, а также Windows Server 2019 и выше.
| Тип удостоверения устройства | Инфраструктура удостоверений | Устройства Windows | Версия платформы VDI | Поддерживается |
|---|---|---|---|---|
| имеют гибридное присоединение к Microsoft Entra; | Федеративная3 | Windows текущей версии | Постоянный | Да |
| Windows текущей версии | Непостоянный | Да5 | ||
| Управляемая4 | Windows текущей версии | Постоянный | Да | |
| Windows текущей версии | Непостоянный | Ограниченноечисло 6 | ||
| присоединены к Microsoft Entra; | Федеративные | Windows текущей версии | Постоянный | Ограничено8 |
| Непостоянный | No | |||
| Управляется | Windows текущей версии | Постоянный | Ограничено8 | |
| Непостоянный | No | |||
| зарегистрированы в Microsoft Entra. | Федеративная/управляемая | Windows текущей версии | Постоянные/непостоянные | Н/Д |
3 A Федеративная среда инфраструктуры удостоверений представляет среду с поставщиком удостоверений (IdP), таким как AD FS или другой поставщик удостоверений, отличный от Майкрософт. В среде инфраструктуры федеративных удостоверений компьютеры следуют потоку регистрации управляемых устройств на основе параметров точки подключения службы Microsoft Windows Server Active Directory (SCP).
4 Среда инфраструктуры управляемого удостоверения представляет среду с идентификатором Microsoft Entra в качестве поставщика удостоверений, развернутого с синхронизацией хэша паролей (PHS) или сквозной проверкой подлинности (PTA) с простым единым входом.
5Поддержка сохраняемости для Windows current требует другого рассмотрения, как описано в разделе рекомендаций. В этом сценарии требуется Windows 10 1803 или более поздней версии, Windows Server 2019 или Windows Server (полугодовой канал), начиная с версии 1803.
6Поддержка сохраняемости для Windows, текущая в среде инфраструктуры управляемых удостоверений, доступна только в локальной среде Citrix , управляемой клиентом и облачной службой. Для любых запросов, связанных с поддержкой, обратитесь в службу поддержки Citrix напрямую.
8поддержка присоединения к Microsoft Entra доступна с Azure Virtual Desktop, Windows 365и Amazon WorkSpaces. Для любых запросов, связанных с поддержкой с помощью Amazon WorkSpaces и интеграции Microsoft Entra, обратитесь в службу поддержки Amazon напрямую.
Руководство майкрософт
Администраторы должны ссылаться на следующие статьи на основе инфраструктуры удостоверений, чтобы узнать, как настроить гибридное соединение Microsoft Entra.
- Настройка гибридного соединения Microsoft Entra для федеративной среды
- Настройка гибридного соединения Microsoft Entra для управляемой среды
Временная VDI
Когда администраторы развертывают непрестойчивый VDI, корпорация Майкрософт рекомендует реализовать следующее руководство. Сбой в этом случае приводит к тому, что в каталоге имеется множество устаревших гибридных устройств Microsoft Entra, зарегистрированных на платформе VDI, не сохраняющейся. Эти устаревшие устройства приводят к увеличению давления на квоту клиента и риск прерывания работы службы из-за нехватки квоты клиента.
- Если вы используете средство подготовки системы (sysprep.exe) и используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована в идентификаторе Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- службы федерации Active Directory (AD FS) (AD FS) поддерживает мгновенное присоединение для непрекращающегося VDI и гибридного соединения Microsoft Entra.
- Создайте и используйте префикс (например, NPVDI-) для отображаемого имени компьютера, который позволит отличать рабочие столы на основе временных VDI.
- Для устройств Windows в федеративной среде (например, AD FS):
- Реализуйте dsregcmd /join в рамках последовательности загрузки или заказа виртуальной машины, а также перед входом пользователя в систему.
- НЕ выполняйте команду dsregcmd/leave в рамках процесса завершения работы/перезапуска виртуальной машины.
- Определите и выполните процесс управления устаревшими устройствами.
- После того как вы сможете определить непрестанные гибридные устройства, присоединенные к Microsoft Entra (например, с префиксом отображаемого имени компьютера), вы должны быть более агрессивными при очистке этих устройств, чтобы убедиться, что каталог не используется с большим количеством устаревших устройств.
- Для развертываний VDI, не являющихся постоянными, следует удалить устройства с approximateLastLogonTimestamp старше 15 дней.
Примечание.
Если вы хотите запретить добавление рабочей или учебной учетной записи, убедитесь, что при использовании непрекращающегося VDI задан следующий раздел реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Используйте Windows 10 версии 1803 или более поздней.
Перемещение любых данных в папку %localappdata% не поддерживается. Если вы решили переместить содержимое в папку %localappdata%, убедитесь в том, что содержимое следующих папок и разделов реестра не покинет устройство ни при каких условиях. Например, средства миграции профилей должны пропускать следующие папки и ключи:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
Перемещение сертификата устройства рабочей учетной записи не поддерживается. Сертификат, выданный MS-Organization-Access, хранится в личном хранилище сертификатов текущего пользователя и на локальном компьютере.
Постоянная среда VDI
Когда администраторы развертывают постоянный VDI, корпорация Майкрософт рекомендует реализовать следующее руководство. Сбой этого приводит к проблемам с развертыванием и проверкой подлинности.
- Если вы используете средство подготовки системы (sysprep.exe) и используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована в идентификаторе Microsoft Entra в качестве гибридного соединения Microsoft Entra.
Мы рекомендуем вам реализовать процесс управления неактивными устройствами. Этот процесс гарантирует, что каталог не используется с большим количеством устаревших устройств, если вы периодически сбрасываете виртуальные машины.
Следующие шаги
Настройка гибридного соединения Microsoft Entra для федеративной среды