Identita zařízení a virtualizace desktopů
Správa istrátory běžně nasazují platformy infrastruktury virtuálních klientských počítačů (VDI) hostující operační systémy Windows ve svých organizacích. Správa istrátory nasazují VDI do:
- Zjednodušte správu.
- Snížení nákladů prostřednictvím konsolidace a centralizace prostředků
- Zajištění mobility koncových uživatelů a volnost přístupu k virtuálním desktopům kdykoli a odkudkoli na libovolném zařízení.
Existují dva primární typy virtuálních klientských počítačů:
- Trvalý
- Non-persistent
Trvalé verze používají jedinečnou image plochy pro každého uživatele nebo fond uživatelů. Tyto jedinečné plochy je možné přizpůsobit a uložit pro budoucí použití.
Non-trvalá verze používají kolekci desktopů, ke kterým mají uživatelé přístup podle potřeby. Tyto non-trvalé plochy se vrátí do původního stavu, v systému Windows current1 k této změně dochází, když virtuální počítač prochází procesem vypnutí/ restartování/ resetování operačního systému a ve Windows nižší úroveň2 k této změně dojde, když se uživatel odhlásí.
Je důležité zajistit, aby organizace spravují zastaralá zařízení, která se vytvářejí, protože často se registrují zařízení bez správné strategie správy životního cyklu zařízení.
Důležité
Selhání správy zastaralých zařízení může vést ke zvýšení spotřeby využití kvóty tenanta a potenciálnímu riziku přerušení služeb, pokud dojde k překročení kvóty tenanta. Pokud chcete této situaci předejít, využijte následující doprovodné materiály k nasazení ne trvalých prostředí VDI.
Pro úspěšné spuštění některých scénářů je důležité mít v adresáři jedinečné názvy zařízení. Toho lze dosáhnout správnou správou zastaralých zařízení nebo můžete zaručit jedinečnost názvu zařízení pomocí určitého vzoru v pojmenování zařízení.
Tento článek popisuje pokyny Microsoftu pro správce podpory pro identitu zařízení a VDI. Další informace o identitě zařízení najdete v článku Co je identita zařízení.
Podporované scénáře
Před konfigurací identit zařízení v Microsoft Entra ID pro vaše prostředí VDI se seznamte s podporovanými scénáři. Následující tabulka ukazuje, které scénáře zřizování jsou podporované. Zřizování v tomto kontextu znamená, že správce může nakonfigurovat identity zařízení ve velkém měřítku bez nutnosti jakékoli interakce koncových uživatelů.
| Typ identity zařízení | Infrastruktura identity | Zařízení Windows | Verze platformy VDI | Podporováno |
|---|---|---|---|---|
| Hybridní připojení k Microsoft Entra | Federované3 | Windows current and Windows down-level | Trvalý | Ano |
| Aktuální windows | Non-persistent | Ano5 | ||
| Windows nižší úrovně | Non-persistent | Ano6 | ||
| Spravované4 | Windows current and Windows down-level | Trvalý | Ano | |
| Aktuální windows | Non-persistent | Omezeno6 | ||
| Windows nižší úrovně | Non-persistent | Ano7 | ||
| Připojení k Microsoft Entra | Federovaní | Aktuální windows | Trvalý | Omezeno8 |
| Non-persistent | No | |||
| Spravované | Aktuální windows | Trvalý | Omezeno8 | |
| Non-persistent | No | |||
| Registrace k Microsoft Entra | Federované nebo spravované | Windows current /Windows down-level | Trvalá nebo trvalá | Neuvedeno |
1aktuální zařízení s Windows představují Windows 10 nebo novější, Windows Server 2016 v1803 nebo vyšší a Windows Server 2019 nebo vyšší.
2Zařízení s Windows nižší úrovně představují Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 a Windows Server 2012 R2. Informace o podpoře systému Windows 7 najdete v tématu Podpora systému Windows 7 končí. Informace o podpoře systému Windows Server 2008 R2 naleznete v tématu Příprava na ukončení podpory systému Windows Server 2008.
3 Prostředí infrastruktury federované identity představuje prostředí s zprostředkovatelem identity (IDP), jako je AD FS nebo jiného zprostředkovatele identity třetích stran. V prostředí infrastruktury federované identity počítače sledují tok registrace spravovaných zařízení na základě nastavení služby Microsoft Windows Server Active Directory Service Připojení ion Point (SCP).
4Prostředí infrastruktury spravované identity představuje prostředí s Id Microsoft Entra jako zprostředkovatel identity nasazený se synchronizací hodnot hash hesel (PHS) nebo předávacím ověřováním (PTA) s bezproblémovým jednotným přihlašováním.
5Podpora trvalosti pro Windows v současné době vyžaduje další aspekty, jak je popsáno v části s pokyny. Tento scénář vyžaduje Windows 10 1803 nebo novější, Windows Server 2019 nebo Windows Server (půlroční kanál) od verze 1803.
6Podpora trvalosti pro Windows aktuální v prostředí infrastruktury spravované identity je k dispozici pouze u místních zákazníků spravovaných zákazníkem Citrix a spravovaných cloudovou službou. V případě jakýchkoli dotazů souvisejících s podporou se obraťte přímo na podporu Citrixu.
7Podpora trvalosti systému Windows nižší úrovně vyžaduje další důležité informace, jak je popsáno v části s pokyny.
Podpora připojení k Microsoft Entra je dostupná pouze pro Azure Virtual Desktop a Windows 365.
Doprovodné materiály microsoftu
Správa istrátory by měly odkazovat na následující články založené na infrastruktuře identit, kde se dozvíte, jak nakonfigurovat hybridní připojení Microsoft Entra.
- Konfigurace hybridního připojení Microsoft Entra pro federované prostředí
- Konfigurace hybridního připojení Microsoft Entra pro spravované prostředí
Non-persistent VDI
Při nasazování ne trvalých VDI doporučuje Microsoft implementovat následující doprovodné materiály. Pokud to neuděláte, znamená to, že váš adresář obsahuje spoustu zastaralých zařízení připojených k Hybridnímu připojení Microsoft Entra, která byla zaregistrovaná z vaší non-trvalé platformy VDI. Tato zastaralá zařízení vedou ke zvýšenému tlaku na kvótu tenanta a riziku přerušení služeb kvůli vyčerpání kvóty tenanta.
- Pokud se spoléháte na nástroj pro přípravu systému (sysprep.exe) a pokud k instalaci používáte image před Windows 10 1809, ujistěte se, že image není ze zařízení, které je již zaregistrované s Microsoft Entra ID jako hybridní připojení Microsoft Entra.
- Pokud se spoléháte na snímek virtuálního počítače k vytvoření dalších virtuálních počítačů, ujistěte se, že tento snímek není z virtuálního počítače, který je již zaregistrovaný s ID Microsoft Entra jako hybridní připojení Microsoft Entra.
- Active Directory Federation Services (AD FS) (AD FS) podporuje okamžité připojení pro trvalé připojení VDI a hybridního připojení Microsoft Entra.
- Vytvořte a použijte předponu pro zobrazovaný název (například NPVDI-) počítače, který indikuje plochu jako non-persistent VDI.
- Pro Windows nižší úroveň:
- Implementujte příkaz autoworkplacejoin /leave jako součást skriptu pro logff. Tento příkaz by se měl aktivovat v kontextu uživatele a měl by se spustit před tím, než se uživatel úplně odhlásil a existuje síťové připojení.
- Pro Windows aktuální v federované prostředí (například AD FS):
- Implementujte dsregcmd /join jako součást pořadí spouštění/pořadí virtuálních počítačů a před přihlášením uživatele.
- NESpouštět dsregcmd /leave jako součást procesu vypnutí/restartování virtuálního počítače.
- Definujte a implementujte proces správy zastaralých zařízení.
- Jakmile budete mít strategii pro identifikaci ne trvalých hybridních zařízení připojených k Microsoft Entra (například použití předpony zobrazovaného názvu počítače), měli byste být na vyčištění těchto zařízení agresivnější, abyste zajistili, že váš adresář nebude spotřebovávat spoustu zastaralých zařízení.
- V případě trvalých nasazení VDI v aktuálním a nižším stavu Windows byste měli odstranit zařízení, která mají přibližné razítkoLastLogonTimestamp starší než 15 dnů.
Poznámka:
Pokud chcete zabránit přidání pracovního nebo školního účtu, pokud používáte non-persistent VDI, ujistěte se, že je nastavený následující klíč registru: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Ujistěte se, že používáte Windows 10 verze 1803 nebo vyšší.
Roaming dat v rámci cesty
%localappdata%se nepodporuje. Pokud se rozhodnete přesunout obsah pod%localappdata%, ujistěte se, že obsah následujících složek a klíčů registru nikdy neopustí zařízení pod žádnou podmínkou. Například: Nástroje pro migraci profilu musí přeskočit následující složky a klíče:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinRoaming certifikátu zařízení pracovního účtu se nepodporuje. Certifikát vydaný nástrojem MS-Organization-Access je uložený v úložišti certifikátů Osobní (MY) aktuálního uživatele a na místním počítači.
Trvalé VDI
Při nasazování trvalého VDI microsoft doporučuje, aby správci IT implementovali následující doprovodné materiály. Selháním se to vede k problémům s nasazením a ověřováním.
- Pokud se spoléháte na nástroj pro přípravu systému (sysprep.exe) a pokud k instalaci používáte image před Windows 10 1809, ujistěte se, že image není ze zařízení, které je již zaregistrované s Microsoft Entra ID jako hybridní připojení Microsoft Entra.
- Pokud se spoléháte na snímek virtuálního počítače k vytvoření dalších virtuálních počítačů, ujistěte se, že tento snímek není z virtuálního počítače, který je již zaregistrovaný s ID Microsoft Entra jako hybridní připojení Microsoft Entra.
Doporučujeme implementovat proces správy zastaralých zařízení. Tento proces zajistí, že se váš adresář nebude využívat s velkým množstvím zastaralých zařízení, pokud virtuální počítače pravidelně resetujete.
Další kroky
Konfigurace hybridního připojení Microsoft Entra pro federované prostředí