共用方式為

裝置身分識別與桌面虛擬化

  • 發行項

系統管理員通常會在其組織中部署裝載 Windows 作業系統的虛擬桌面基礎結構 (VDI) 平台。 系統管理員將 VDI 部署至:

  • 簡化管理。
  • 透過合併和集中資源來降低成本。
  • 在任何裝置上隨時隨地提供終端使用者的行動性,以及自由存取虛擬桌面。

虛擬桌面有兩種主要類型:

  • 持續性
  • 非永續性

持續性版本會針對每個使用者或使用者集區使用唯一的桌面映像。 您可以自訂及儲存這些獨特的桌面以供日後使用。

非持續性版本會使用使用者可視需要存取的桌面集合。 這些非持續性的桌面會還原為其原始狀態,在最新版 Windows 中1,當虛擬機器通過關機/重新啟動/作業系統重設程序時,以及在舊版 Windows 中2,當使用者登出時,就會發生這項變更。

請務必確保組織會管理因為裝置頻繁註冊而建立的過時裝置,而不需要適當的裝置生命週期管理原則。

重要

若無法管理過時裝置,可能會導致您的租用戶配額使用量耗用量增加,以及服務中斷的潛在風險 (如果您的租用戶配額不足)。 部署非持續性 VDI 環境時,請使用下列指引來避免這種情況。

若要成功執行某些案例,請務必在目錄中擁有唯一的裝置名稱。 這可以藉由適當管理過時的裝置來達成,或者您可以在裝置命名中使用某些模式來保證裝置名稱的唯一性。

本文說明 Microsoft 給系統管理員對裝置身分識別和 VDI 支持的指導。 如需裝置身分識別的詳細資訊,請參閱什麼是裝置身分識別一文。

支援的案例

在 VDI 環境的 Microsoft Entra ID 中設定裝置身分識別之前,請先熟悉支援的案例。 下表說明哪些是支援的佈建案例。 在此內容中佈建表示系統管理員而不需要任何使用者互動,即可大規模設定裝置身分識別。

裝置身分識別類型 身分識別基礎結構 Windows 裝置 VDI 平台版本 支援
已加入 Microsoft Entra 混合式 同盟3 最新版 Windows 和舊版 Windows 持續性 Yes
最新版 Windows 非永續性 5
舊版 Windows 非永續性 6
受控4 最新版 Windows 和舊版 Windows 持續性 Yes
最新版 Windows 非永續性 有限6
舊版 Windows 非永續性 7
已加入 Microsoft Entra 同盟 最新版 Windows 持續性 有限8
非永續性 No
受控 最新版 Windows 持續性 有限8
非永續性 No
已註冊 Microsoft Entra 同盟/受管理 最新版 Windows/舊版 Windows 持續性/非持續性 不適用

1最新版 Windows 裝置代表 Windows 10 或更新版本、Windows Server 2016 v1803 或更新版本,以及 Windows Server 2019 或更新版本。

2舊版 Windows 裝置代表 Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 及 Windows Server 2012 R2。 如需 Windows 7 的支援資訊,請參閱 Windows 7 的支援即將結束。 如需 Windows Server 2008 R2 的支援資訊,請參閱 Windows Server 2008 結束支援的準備

3同盟身分識別基礎結構環境代表具有識別提供者 (IdP),例如 AD FS 或其他第三方 IDP 的環境。 在同盟身分識別基礎結構環境中,計算機會根據 Microsoft Windows Server Active Directory 服務連接點 (SCP) 設定,遵循受控裝置註冊流程

4受控身分識別基礎結構環境代表以 Microsoft Entra ID 作為識別提供者的環境,其中使用密碼雜湊同步 (PHS) 或利用無縫單一登入傳遞驗證 (PTA) 進行部署。

5最新版 Windows 的非持續性支援需要其他考量,如指引一節中所述。 此案例需要 Windows 10 1803 或更新版本、Windows Server 2019 或 Windows Server (半年通道) 起始版本 1803

6在受控識別基礎結構環境中最新版 Windows 的非持續性支援僅適用於 Citrix 內部部署客戶自控雲端服務受控。 如需任何支援相關查詢,請直接連絡 Citrix 客戶服務

7舊版 Windows 的非持續性支援需要其他考量,如指引一節中所述。

8Microsoft Entra 加入支援僅適用於 Azure 虛擬桌面Windows 365 及 Amazon WorkSpaces。 如需 Amazon WorkSpaces 與 Microsoft Entra 整合的任何支援相關查詢,請直接連絡 Amazon 支援

Microsoft 指引

系統管理員應該參考下列文章,根據其身分識別基礎結構,了解如何設定 Microsoft Entra 混合式聯結。

非持續性 VDI

當部署非持續性的 VDI 時,Microsoft 建議組織實作下列指引。 無法這麼做會導致您的目錄有許多已從非持續性 VDI 平台註冊的過時 Microsoft Entra 混合式聯結裝置。 這些過時的裝置會導致您的租用戶配額壓力增加,以及因租用戶配額不足而導致服務中斷的風險。

  • 如果您需要使用系統準備工具 (sysprep.exe),而且如果您要使用 Windows 10 1809 之前的影像來進行安裝,請確定影像不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的裝置。
  • 如果您需要虛擬機器 (VM) 快照集來建立更多 VM,請確定快照集不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的 VM。
  • Active Directory 同盟服務 (AD FS) 支援非持續性 VDI 和 Microsoft Entra 混合式聯結的立即聯結。
  • 建立並使用顯示名稱 (將桌上型電腦指定為非持續 VDI 的電腦) 的前置詞 (例如,NPVDI-)。
  • 針對舊版 Windows:
    • autoworkplacejoin /leave 命令實作為登出指令碼的一部分。 此命令應該在使用者的內容中觸發,且應在使用者完全登出且有網路連線之前執行。
  • 針對同盟環境 (例如 AD FS) 中的最新版 Windows:
    • dsregcmd.exe/join 實作為 VM 開機序列/順序的一部分,並在使用者登入之前實作。
    • 請勿在 VM 關機/重新開機過程中執行 dsregcmd /leave。
  • 定義和實作管理過時裝置的程序。
    • 一旦您有策略以識別非持續性的 Microsoft Entra 混合式聯結裝置 (例如使用計算機顯示名稱前置詞),您應該更積極地清除這些裝置,以確保您的目錄不會被許多過時的裝置耗用。
    • 針對最新版和舊版 Windows 的非持續性 VDI 部署,您應該刪除 ApproximateLastLogonTimestamp 超過 15 天的裝置。

注意

使用非持續性 VDI 時,如果您想要避免新增公司或學校帳戶,請確定已設定下列登錄機碼:HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

確定您正在執行 Windows 10 1803 版或更高版本。

不支援漫遊 %localappdata% 路徑下的任何資料。 如果您選擇移動 %localappdata% 下的內容,請確定下列資料夾和登錄機碼的內容在任何情況下決不會離開裝置。 例如:設定檔移轉工具必須略過下列資料夾和金鑰:

  • %localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
  • %localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
  • %localappdata%\Packages\<any app package>\AC\TokenBroker
  • %localappdata%\Microsoft\TokenBroker
  • %localappdata%\Microsoft\OneAuth
  • %localappdata%\Microsoft\IdentityCache
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin

不支援漫遊工作帳戶的裝置憑證。 由 "MS-Organization-Access" 發行的憑證會儲存在目前使用者的個人 (MY) 憑證存放區和本機電腦上。

持續性 VDI

部署持續性 VDI 時,Microsoft 建議 IT 系統管理員實作下列指引。 若未這麼做,將會導致部署和驗證問題。

  • 如果您需要使用系統準備工具 (sysprep.exe),而且如果您要使用 Windows 10 1809 之前的影像來進行安裝,請確定影像不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的裝置。
  • 如果您需要虛擬機器 (VM) 快照集來建立更多 VM,請確定快照集不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的 VM。

建議您實作管理過時裝置的程序。 如果您定期重設 VM,此程序可確保您的目錄不會被許多過時的裝置耗用。

下一步

為同盟環境設定 Microsoft Entra 混合式聯結