Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Správci obvykle nasazují platformy infrastruktury virtuálních klientských počítačů (VDI) hostující operační systémy Windows ve svých organizacích. Správci nasadí VDI do:
- Zjednodušte správu.
- Snížení nákladů prostřednictvím konsolidace a centralizace prostředků
- Zajištění mobility koncových uživatelů a volnost přístupu k virtuálním desktopům kdykoli a odkudkoli na libovolném zařízení.
Existují dva primární typy virtuálních klientských počítačů:
- Trvalý
- Nepersistentní
Trvalé verze používají jedinečný obraz plochy pro každého uživatele nebo skupinu uživatelů. Tyto jedinečné stolní počítače je možné přizpůsobit a uložit pro budoucí použití.
Non-trvalá verze používají kolekci desktopů, ke kterým mají uživatelé přístup podle potřeby. Tyto nepersistentní pracovní plochy se obnoví do původního stavu, když virtuální počítač projde procesem vypnutí, restartování nebo resetování operačního systému.
Je důležité zajistit, aby organizace spravují zastaralá zařízení, která se vytvářejí, protože často se registrují zařízení bez správné strategie správy životního cyklu zařízení.
Důležité
Selhání správy zastaralých zařízení může vést ke zvýšení spotřeby využití kvóty tenanta a potenciálnímu riziku přerušení služeb, pokud dojde k překročení kvóty tenanta. Pokud chcete této situaci předejít, využijte následující doprovodné materiály k nasazení ne trvalých prostředí VDI.
Pro úspěšné spuštění některých scénářů je důležité mít v adresáři jedinečné názvy zařízení. Toho lze dosáhnout správnou správou zastaralých zařízení nebo můžete zaručit jedinečnost názvu zařízení pomocí určitého vzoru v pojmenování zařízení.
Tento článek popisuje pokyny Microsoftu pro správce podpory pro identitu zařízení a VDI. Další informace o identitě zařízení najdete v článku Co je identita zařízení.
Podporované scénáře
Před konfigurací identit zařízení v Microsoft Entra ID pro vaše prostředí VDI se seznamte s podporovanými scénáři. Následující tabulka ukazuje, které scénáře zřizování jsou podporované. Zřizování v tomto kontextu znamená, že správce může nakonfigurovat identity zařízení ve velkém měřítku bez nutnosti jakékoli interakce koncových uživatelů.
zařízení s Windows current představují Windows 10 nebo novější, Windows Server 2016 v1803 nebo novější a Windows Server 2019 nebo novější.
| Typ identifikace zařízení | Infrastruktura identity | Zařízení Windows | Verze platformy VDI | Podporováno |
|---|---|---|---|---|
| Hybridní připojení k Microsoft Entra | Federované3 | Aktuální Windows | Trvalý | Ano |
| Aktuální Windows | Nepersistentní | Ano5 | ||
| Spravované4 | Aktuální Windows | Trvalý | Ano | |
| Aktuální Windows | Nepersistentní | Limitováno6 | ||
| Microsoft Entra se připojil | Federované | Aktuální Windows | Trvalý | Omezené8 |
| Nepersistentní | Ne | |||
| Spravované | Aktuální Windows | Trvalý | Omezené8 | |
| Nepersistentní | Ne | |||
| Microsoft Entra zaregistrováno | Federované nebo spravované | Aktuální Windows | Trvalá/Netrvalá | Nevztahuje se |
Důležité
Při nasazování farmy VDI (trvalá nebo netrvalá) by zákazníci měli vzít v úvahu limity omezování provozu zařízení Entra. Microsoft doporučuje, aby se žádosti o registraci zařízení rozfázovaly rychlostí 500 požadavků za každých 2 minuty a 30 sekund. Pokud tyto požadavky nejsou správně zpracovány, může to způsobit chyby řízení přístupu, což vede k selhání registrace zařízení a způsobit delší zpoždění při úspěšné registraci zařízení.
3 prostředí infrastruktury federované identity představuje prostředí se zprostředkovatelem identity (IDP), jako je AD FS nebo jiný poskytovatel identity, který není od Microsoftu. V prostředí infrastruktury federované identity počítače sledují tok registrace federovaného zařízení na základě nastavení spojovacího bodu služby (SCP) systému Microsoft Windows Server Active Directory Service.
4 Prostředí infrastruktury spravované identity představuje prostředí s identifikační službou Microsoft Entra jako zprostředkovatelem identity nasazené se synchronizací hodnot hash hesel (PHS) nebo předávacím ověřováním (PTA) s bezproblémovým jednotným přihlášením.
5Podpora netrvalosti pro aktuální Windows vyžaduje další úvahy, jak je popsáno v části s pokyny. Tento scénář vyžaduje Windows 10 1803 nebo novější, Windows Server 2019 nebo Windows Server (půlroční kanál) od verze 1803.
6Podpora neperzistence pro aktuální verze Windows v prostředí spravované identity v infrastruktuře je k dispozici pouze s Citrix spravováno zákazníkem v místním prostředí a spravováno cloudovou službou. V případě jakýchkoli dotazů souvisejících s podporou se obraťte přímo na podporu Citrixu.
8podpora připojení k Microsoft Entra je k dispozici pro Azure Virtual Desktop, Windows 365a Amazon WorkSpaces. Pokud potřebujete jakékoli dotazy související s podporou s integrací Amazon WorkSpaces a Microsoft Entra, obraťte se přímo na podporu Amazonu.
Doprovodné materiály microsoftu
Správci by měli na základě své infrastruktury identit odkazovat na následující články, kde se dozvíte, jak nakonfigurovat hybridní připojení Microsoft Entra.
- Konfigurace hybridního připojení Microsoft Entra pro federované prostředí
- Konfigurace hybridního připojení Microsoft Entra pro spravované prostředí
Nepřetrvávající VDI
Když správci nasadí non-trvalou VDI, Microsoft doporučuje implementovat následující doprovodné materiály. Pokud to neuděláte, znamená to, že váš adresář obsahuje spoustu zastaralých zařízení připojených k Hybridnímu připojení Microsoft Entra, která byla zaregistrovaná z vaší non-trvalé platformy VDI. Tato zastaralá zařízení vedou ke zvýšenému tlaku na kvótu tenanta a riziku přerušení služeb kvůli vyčerpání kvóty tenanta.
- Pokud se spoléháte na nástroj pro přípravu systému (sysprep.exe) a používáte k instalaci image z období před verzí Windows 10 1809, ujistěte se, že tento image nepochází ze zařízení, které je již zaregistrováno jako hybridně připojené k Microsoft Entra ID.
- Pokud se spoléháte na snímek virtuálního počítače k vytvoření dalších virtuálních počítačů, ujistěte se, že tento snímek není z virtuálního počítače, který je již zaregistrovaný s ID Microsoft Entra jako hybridní připojení Microsoft Entra.
- Active Directory Federation Services (AD FS) podporuje okamžité připojení pro neperzistentní VDI a hybridní připojení Microsoft Entra.
- Vytvořte a použijte předponu pro název počítače, který se zobrazuje (například NPVDI-), a která indikuje plochu jako neperzistentní na bázi VDI.
- Pro zařízení s Windows v federovaném prostředí (například AD FS):
- Implementujte dsregcmd /join jako součást spouštěcího pořadí virtuálních počítačů a před přihlášením uživatele.
- NESpouštět dsregcmd /leave jako součást procesu vypnutí/restartování virtuálního počítače.
- Definujte a implementujte proces správy zastaralých zařízení.
- Jakmile budete mít strategii pro identifikaci neperzistentních hybridních zařízení připojených k Microsoft Entra (například pomocí předpony názvu počítače), měli byste být důslednější při vyčišťování těchto zařízení, abyste zajistili, že váš adresář nebude zaplněn množstvím zastaralých zařízení.
- V případě dočasných nasazení VDI byste měli odstranit zařízení, která mají ApproximateLastLogonTimestamp starší než 15 dnů.
Poznámka:
Pokud chcete zabránit přidání pracovního nebo školního účtu, pokud používáte non-persistent VDI, ujistěte se, že je nastavený následující klíč registru: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Ujistěte se, že používáte Windows 10 verze 1803 nebo vyšší.
Roaming dat v rámci cesty %localappdata% se nepodporuje. Pokud se rozhodnete přesunout obsah pod %localappdata%, ujistěte se, že obsah následujících složek a klíčů registru nikdy neopustí zařízení pod žádnou podmínkou. Nástroje pro migraci profilů například musí přeskočit následující složky a klíče:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
Nepodporuje se přenášení certifikátu zařízení pracovního účtu. Certifikát vydaný nástrojem MS-Organization-Access je uložený v úložišti certifikátů Osobní (MY) aktuálního uživatele a na místním počítači.
Trvalá VDI
Když správci nasadí trvalé VDI, Microsoft doporučuje implementovat následující doprovodné materiály. Pokud se to neudělá, způsobí to problémy s nasazením a ověřováním.
- Pokud se spoléháte na nástroj pro přípravu systému (sysprep.exe) a používáte k instalaci image z období před verzí Windows 10 1809, ujistěte se, že tento image nepochází ze zařízení, které je již zaregistrováno jako hybridně připojené k Microsoft Entra ID.
- Pokud se spoléháte na snímek virtuálního počítače k vytvoření dalších virtuálních počítačů, ujistěte se, že tento snímek není z virtuálního počítače, který je již zaregistrovaný s ID Microsoft Entra jako hybridní připojení Microsoft Entra.
Doporučujeme implementovat proces správy zastaralých zařízení. Tento proces zajistí, aby váš adresář nebyl zaplněn mnoha zastaralými zařízeními, pokud pravidelně resetujete své virtuální počítače.
Další kroky
Konfigurace hybridního připojení Microsoft Entra pro federované prostředí