设备标识和桌面虚拟化
管理员通常会在其组织内部署托管 Windows 操作系统的虚拟机基础结构 (VDI) 平台。 管理员部署 VDI 是为了:
- 简化管理。
- 通过整合和集中资源降低成本。
- 让最终用户可以自由灵活地在任何设备上随时随地访问虚拟机。
虚拟机有两种主要类型:
- 永久
- 非永久
永久性版本对每个用户或用户池都使用唯一的桌面映像。 你可以自定义并保存这些唯一的桌面,供将来使用。
非永久性版本使用桌面集合,用户可以根据需要对其进行访问。 这些非永久性的桌面会还原到其原始状态,在 Windows 当前设备1 中,当虚拟机经历关闭/重启/OS 重置过程时,会发生这种更改,而在 Windows 下层设备2 中,当用户注销时,会发生这种更改。
务必确保组织管理陈旧设备(由于频繁注册设备而没有适当的设备生命周期管理策略,所以出现陈旧设备)。
重要
如果无法管理陈旧设备,则会导致租户配额用量方面的压力增加,如果用尽租户配额,还存在服务中断的潜在风险。 部署非持久性 VDI 环境时请以下指南进行操作,以避免出现这种情况。
要成功执行某些场景,目录中的设备名称必须唯一。 这可以通过对陈旧设备进行适当的管理来实现,也可以通过在设备命名中使用某种模式来保证设备名称的独特性。
本文将介绍 Microsoft 有关设备标识和 VDI 支持的管理员指南。 如需详细了解设备标识,请参阅什么是设备标识一文。
支持的方案
在 Microsoft Entra ID 中为 VDI 环境配置设备标识之前,请先熟悉受支持的方案。 下表说明了受支持的预配场景。 在这种情境下进行预配意味着管理员可以大规模配置设备标识,无需任何最终用户交互。
设备标识类型 | 标识基础结构 | Windows 设备 | VDI 平台版本 | 支持 |
---|---|---|---|---|
已进行 Microsoft Entra 混合联接 | 联合3 | Windows 当前设备和 Windows 下层设备 | 永久 | 是 |
Windows 当前设备 | 非永久 | 是5 | ||
Windows 下层设备 | 非永久 | 是6 | ||
托管4 | Windows 当前设备和 Windows 下层设备 | 永久 | 是 | |
Windows 当前设备 | 非永久 | 有限制6 | ||
Windows 下层设备 | 非永久 | 是7 | ||
已建立 Microsoft Entra 联接 | 联合 | Windows 当前设备 | 永久 | 有限制8 |
非永久 | 否 | |||
托管 | Windows 当前设备 | 永久 | 有限制8 | |
非永久 | 否 | |||
已注册 Microsoft Entra | 联合/托管 | Windows 当前设备/Windows 下层设备 | 永久/非永久 | 不适用 |
1 Windows 当前设备表示 Windows 10 或更高版本、Windows Server 2016 v1803 或更高版本,以及 Windows Server 2019 或更高版本。
2 Windows 下层设备表示 Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2。 有关 Windows 7 的支持信息,请参阅对 Windows 7 的支持即将终止。 有关 Windows Server 2008 R2 的支持信息,请参阅为 Windows Server 2008 支持终止做准备。
3 联合标识基础结构环境表示具有标识提供者 (IdP)(如 AD FS 或其他第三方 IdP)的环境。 在联合标识基础结构环境中,计算机根据 Microsoft Windows Server Active Directory 服务连接点 (SCP) 设置,遵循托管设备注册流。
4托管标识基础结构环境代表一个使用 Microsoft Entra ID 作为标识提供者的环境,该环境可使用无缝单一登录通过密码哈希同步 (PHS) 或直通身份验证 (PTA) 进行部署。
5 对 Windows 当前设备的非永久性支持需要考虑其他注意事项,如指南部分中所述。 此方案需要 Windows 10 1803 或更新版本、Windows Server 2019 或 Windows Server(半年频道)启动版本 1803
6 托管标识基础结构环境中对 Windows 当前设备的非永久性支持仅适用于 Citrix 本地客户托管和云服务托管。 任何与支持相关的咨询请直接与 Citrix 支持团队联系。
7 对 Windows 下层设备的非永久性支持需要考虑其他注意事项,如指南部分中所述。
8 Microsoft Entra 联接支持适用于 Azure 虚拟桌面、Windows 365 和 Amazon WorkSpaces。 对于与 Amazon WorkSpaces 和 Microsoft Entra 集成相关的任何支持查询,请直接与 Amazon 支持部门联系。
Microsoft 指南
管理员应根据其标识基础结构参考以下文章,以了解如何配置 Microsoft Entra 混合联接。
非持久性 VDI
部署非持久性 VDI 时,Microsoft 建议组织按照以下指南中的步骤操作。 否则会导致目录中有许多从非持久性 VDI 平台注册的陈旧 Microsoft Entra 混合联接设备。 这些陈旧设备会导致租户配额压力增加,并存在因租户配额不足导致服务中断的风险。
- 如果依赖于系统准备工具 (sysprep.exe),并且使用的是 Windows 10 1809 以前版本的映像进行安装,请确保映像不是来自已在 Microsoft Entra ID 中注册为已建立 Microsoft Entra 混合联接的设备。
- 如果依赖于使用虚拟机 (VM) 快照来创建更多的 VM,请确保快照不是来自已在 Microsoft Entra ID 中注册为 Microsoft Entra 混合联接的 VM。
- 就非持久性 VDI 和 Microsoft Entra ID 混合 联接而言,Active Directory 联合身份验证服务 (AD FS) 支持即时联接。
- 为计算机的显示名称(例如 NPVDI-)创建和使用前缀,指示桌面基于非用久性 VDI。
- 对于 Windows 下层设备:
- 实现 autoworkplacejoin /leave 命令,让其作为注销脚本的一部分。 应在用户上下文中触发此命令,并在用户完全注销之前,在网络连接存在的情况下执行此命令。
- 对于联合环境(例如 AD FS)中的 Windows 当前设备:
- 在用户登录前,实现 dsregcmd /join,让其作为 VM 启动序列/顺序的一部分。
- 请勿在 VM 关闭/重启过程中执行 dsregcmd /leave。
- 定义并实现管理陈旧设备的过程。
- 如果你有策略来识别非永久性 Microsoft Entra 混合联接设备(例如使用计算机显示名称前缀来这样做),则应更积极地清理这些设备,以确保不会有大量过时设备使用你的目录。
- 对 Windows 当前设备和下层设备进行非永久性 VDI 部署时,应删除 ApproximateLastLogonTimestamp 为 15 天之前的设备。
注意
使用非持久性 VDI 时,如果要阻止添加工作或学校帐户,请确保设置以下注册表项:HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
确保运行的是 Windows 10 版本 1803 或更高版本。
不支持对路径
%localappdata%
下的任何数据进行漫游。 如果选择移动%localappdata%
下的内容,请确保以下文件夹和注册表项的内容在任何情况下从不会离开设备。 例如:配置文件迁移工具必须跳过以下文件夹和项:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
%localappdata%\Microsoft\OneAuth
%localappdata%\Microsoft\IdentityCache
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
不支持对工作帐户的设备证书进行漫游。 由“MS-Organization-Access”颁发的证书存储在当前用户的“个人(我的)”证书存储中,并存储在本地计算机上。
持久性 VDI
部署持久性 VDI 时,Microsoft 建议 IT 管理员按照以下指南中的步骤操作。 否则会导致部署和身份验证问题。
- 如果依赖于系统准备工具 (sysprep.exe),并且使用的是 Windows 10 1809 以前版本的映像进行安装,请确保映像不是来自已在 Microsoft Entra ID 中注册为已建立 Microsoft Entra 混合联接的设备。
- 如果依赖于使用虚拟机 (VM) 快照来创建更多的 VM,请确保快照不是来自已在 Microsoft Entra ID 中注册为 Microsoft Entra 混合联接的 VM。
我们建议你实施管理陈旧设备的过程。 如果定期重置虚拟机,此过程可确保目录不会被大量陈旧设备消耗。