Geräteidentität und Desktop-Virtualisierung
Administratoren stellen in ihren Organisationen häufig VDI-Plattformen (Virtual Desktop Infrastructure) bereit, auf denen Windows-Betriebssysteme gehostet werden. Administratoren stellen VDI-Plattformen für Folgendes bereit:
- Einfachere Verwaltung.
- Kostensenkung durch Konsolidierung und Zentralisierung von Ressourcen.
- Endbenutzermobilität mit der Freiheit, jederzeit, überall und von jedem Gerät aus auf virtuelle Desktops zuzugreifen.
Es gibt zwei Hauptarten von virtuellen Desktops:
- Beständig
- Nicht beständig
Bei der beständigen Version wird ein eindeutiges Desktop-Image für jeden Benutzer oder einen Benutzerpool verwendet. Diese eindeutigen Desktops können angepasst und zur späteren Verwendung gespeichert werden.
Bei der nicht beständigen Version wird eine Sammlung von Desktops verwendet, auf die Benutzer bei Bedarf zugreifen können. Diese nicht beständigen Desktops werden in ihren ursprünglichen Zustand zurückversetzt. Bei Windows1 geschieht dies aktuell, wenn ein virtueller Computer heruntergefahren, neu gestartet oder sein Betriebssystem zurückgesetzt wird. Bei kompatiblen Windows-Geräten2 tritt dieses Verhalten beim Abmelden eines Benutzers auf.
Organisationen sollten unbedingt dafür sorgen, veraltete Geräte zu verwalten, die aufgrund häufiger Geräteregistrierungen erstellt werden, ohne eine geeignete Strategie für die Lebenszyklusverwaltung der Geräte zu haben.
Wichtig
Ohne Verwaltung veralteter Geräte kann sich der Druck auf die Mandantenkontingente erhöhen und zu Dienstunterbrechungen führen, wenn die Mandantenkontingente nicht ausreichen. Um diese Situation zu vermeiden, sollten Sie bei der Bereitstellung von nicht persistenten VDI-Umgebungen die folgenden Hinweise beachten.
Für die erfolgreiche Ausführung einiger Szenarien ist es wichtig, dass das Verzeichnis eindeutige Gerätenamen enthält. Dies kann durch die ordnungsgemäße Verwaltung veralteter Geräte, aber auch durch die Verwendung eines bestimmten Musters bei der Gerätebenennung erreicht werden, mit dem Sie für Eindeutigkeit bei den Gerätenamen sorgen.
Dieser Artikel behandelt Microsofts Anleitung für Administratoren zur Unterstützung von Geräteidentität und VDI. Weitere Informationen zur Geräteidentität finden Sie im Artikel Was ist eine Geräteidentität?.
Unterstützte Szenarien
Bevor Sie die Geräteidentitäten in Microsoft Entra ID für Ihre VDI-Umgebung konfigurieren, machen Sie sich mit den unterstützten Szenarien vertraut. In der folgenden Tabelle wird veranschaulicht, welche Bereitstellungsszenarien unterstützt werden. Eine Bereitstellung in diesem Zusammenhang impliziert, dass ein Administrator Geräteidentitäten skaliert konfigurieren kann, ohne dass eine Endbenutzerinteraktion erforderlich ist.
Geräteidentitätstyp | Identitätsinfrastruktur | Windows-Geräte | VDI-Plattformversion | Unterstützt |
---|---|---|---|---|
Hybrid in Microsoft Entra eingebunden | Im Verbund3 | Aktuelle Windows-Geräte und kompatible Windows-Geräte | Beständig | Ja |
Aktuelle Windows-Geräte | Nicht beständig | Ja5 | ||
Kompatible Windows-Geräte | Nicht beständig | Ja6 | ||
Verwaltet4 | Aktuelle Windows-Geräte und kompatible Windows-Geräte | Beständig | Ja | |
Aktuelle Windows-Geräte | Nicht beständig | Begrenzt6 | ||
Kompatible Windows-Geräte | Nicht beständig | Ja7 | ||
In Microsoft Entra eingebunden | Im Verbund | Aktuelle Windows-Geräte | Beständig | Begrenzt8 |
Nicht beständig | Nein | |||
Verwaltet | Aktuelle Windows-Geräte | Beständig | Begrenzt8 | |
Nicht beständig | Nein | |||
Microsoft Entra-registriert | Im Verbund/verwaltet | Aktuelle Windows-Geräte/kompatible Windows-Geräte | Beständig/nicht beständig | Nicht zutreffend |
1 Aktuelle Windows-Geräte sind Geräte mit Windows 10 oder höher, Windows Server 2016 v1803 oder höher und Windows Server 2019 oder höher.
2 Kompatible Windows-Geräte bezieht sich auf Geräte mit Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2. Supportinformationen zu Windows 7 finden Sie unter Der Support für Windows 7 läuft aus. Supportinformationen zu Windows Server 2008 R2 finden Sie unter Der Support für Windows Server 2008 wird eingestellt.
3 Eine Identitätsinfrastruktur-Umgebung vom Typ Verbund ist eine Umgebung mit einem Identitätsanbieter (IdP) wie AD FS oder einem Drittanbieter. In einer Identitätsinfrastruktur-Umgebung vom Typ „Verbund“ folgen Computer dem verwalteten Flow für die Geräteregistrierung basierend auf den Einstellungen des Microsoft Windows Server Active Directory-Dienstverbindungspunkts (Service Connection Point, SCP).
4 Eine Identitätsinfrastruktur-Umgebung des Typs Verwaltet ist eine Umgebung mit Microsoft Entra ID als Identitätsanbieter und wird entweder mit Kennwort-Hashsynchronisierung (PHS) oder Passthrough-Authentifizierung (PTA) und nahtloser einmaliger Anmeldung bereitgestellt.
5 Die Unterstützung der Nichtbeständigkeit bei Windows setzt aktuell andere Überlegungen voraus, als sie weiter im Leitfadenabschnitt dokumentiert sind. Für dieses Szenario ist Windows 10 1803 oder höher, Windows Server 2019 oder Windows Server (halbjährlicher Kanal) ab Version 1803 erforderlich
6Nicht-Persistenzunterstützung für die aktuelle Windows-Version in einer Umgebung für verwaltete Identitätsinfrastrukturen ist nur in einer lokal von Kundinnen und Kunden verwalteten und vom Clouddienst verwaltete Citrix-Instanz verfügbar. Wenden Sie sich für alle Supportanfragen direkt an den Citrix-Support.
7 Die Unterstützung der Nichtbeständigkeit bei kompatiblen Windows-Geräten setzt andere Überlegungen voraus, als sie im Leitfaden beschrieben sind.
8Unterstützung für Microsoft Entra -Einbindung ist verfügbar mit Azure Virtual Desktop, Windows 365 und Amazon WorkSpaces. Bei Supportanfragen zur Integration von Amazon WorkSpaces und Microsoft Entra wenden Sie sich bitte direkt an den Amazon-Support.
Leitfaden von Microsoft
Administratoren sollten auf Grundlage ihrer Identitätsinfrastruktur die folgenden Artikel heranziehen, um zu erfahren, wie sie den in Microsoft Entra eingebundenen Hybrid konfigurieren können.
- Konfigurieren Sie den in Microsoft Entra eingebundenen Hybrid für eine föderierte Umgebung
- Konfigurieren Sie den in Microsoft Entra eingebundenen Hybrid für eine verwaltete Umgebung
Nicht persistente VDI-Plattform
Microsoft empfiehlt Organisationen, bei der Implementierung den folgenden Leitfaden zu beachten, wenn eine nicht beständige VDI bereitgestellt wird. Wenn Sie dies nicht tun, führt dies dazu, dass Ihr Verzeichnis viele veraltete Geräte mit in Microsoft Entra eingebundenen Hybrid enthält, die von Ihrer nicht-persistenten VDI-Plattform registriert wurden. Diese veralteten Geräte führen zu einem erhöhten Druck auf Ihr Mandantenkontingent und das Risiko einer Dienstunterbrechung, da das Mandantenkontingent nicht mehr verfügbar ist.
- Wenn Sie sich auf das Systemvorbereitungstool (sysprep.exe) verlassen und ein Image aus der Zeit vor Windows 10 1809 für die Installation verwenden, stellen Sie sicher, dass dieses Image nicht von einem Gerät stammt, das bereits mit Microsoft Entra ID als in Microsoft Entra eingebundenes Hybrid registriert ist.
- Wenn Sie sich auf einen Snapshot einer virtuellen Maschine (VM) verlassen, um weitere VMs zu erstellen, vergewissern Sie sich, dass dieser Snapshot nicht von einer VM stammt, die bereits mit Microsoft Entra ID als in Microsoft Entra eingebundenes Hybrid registriert ist.
- Active Directory Federation Services (AD FS) unterstützt sofortige Einbindung für nicht-persistente VDI und in Microsoft Entra eingebundenes Hybrid.
- Erstellen und verwenden Sie ein Präfix (z. B. „NBVDI-“) für den Anzeigenamen des Computers, das darauf hinweist, dass der Desktop nicht beständig und VDI-basiert ist.
- Für kompatible Windows-Geräte:
- Implementieren Sie den Befehl autoworkplacejoin /leave als Teil des Abmeldeskripts. Dieser Befehl sollte im Kontext der Benutzenden ausgelöst und ausgeführt werden, solange sich die Benutzenden noch nicht vollständig abgemeldet haben und noch Netzwerkkonnektivität besteht.
- Für aktuelle Windows-Geräte in einer Verbundumgebung (z. B. AD FS) gilt Folgendes:
- Implementieren Sie dsregcmd /join als Teil der Startsequenz/Reihenfolge des virtuellen Computers und vor der Benutzeranmeldung.
- Führen Sie „dsregcmd /leave“ NICHT als Teil des Prozesses zum Herunterfahren/Neustarten der VM aus.
- Definieren und implementieren Sie einen Prozess zum Verwalten veralteter Geräte.
- Sobald Sie eine Strategie zur Identifizierung Ihrer nicht-persistenten Geräte mit in Microsoft Entra eingebundenes Hybrid entwickelt haben (z. B. anhand des Präfixes für den Computer-Anzeigenamen), sollten Sie diese Geräte aggressiver bereinigen, um sicherzustellen, dass Ihr Verzeichnis nicht mit einer Vielzahl veralteter Geräte belastet wird.
- Für nicht beständige VDI-Bereitstellungen von aktuellen und kompatiblen Windows-Geräten sollten Sie Geräte löschen, deren ApproximateLastLogonTimestamp älter als 15 Tage ist.
Hinweis
Wenn Sie eine nicht-persistente VDI verwenden und das Hinzufügen eines Geschäfts-, Schul- oder Unikontos verhindern möchten, muss der folgende Registrierungsschlüssel festgelegt sein: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Stellen Sie sicher, dass Sie Windows 10, Version 1803 oder höher, ausführen.
Das Roaming jeglicher Daten unter dem Pfad
%localappdata%
wird nicht unterstützt. Wenn Sie sich für das Verschieben von Inhalten unter%localappdata%
entscheiden, stellen Sie sicher, dass der Inhalt der folgenden Ordner und Registrierungsschlüssel das Gerät niemals verlässt. Zum Beispiel: Profil-Migrations-Tools müssen die folgenden Ordner und Schlüssel auslassen:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
%localappdata%\Microsoft\OneAuth
%localappdata%\Microsoft\IdentityCache
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
Ein Roaming des Gerätezertifikats des Geschäftskontos wird nicht unterstützt. Das von „MS-Organization-Access“ ausgestellte Zertifikat wird im persönlichen Zertifikatspeicher des aktuellen Benutzers und auf dem lokalen Computer gespeichert.
Dauerhafte VDI
Microsoft empfiehlt IT-Administratoren, den folgenden Leitfaden zu implementieren, wenn eine persistente VDI-Plattform bereitgestellt wird. Andernfalls kann es zu Problemen bei der Bereitstellung und Authentifizierung kommen.
- Wenn Sie sich auf das Systemvorbereitungstool (sysprep.exe) verlassen und ein Image aus der Zeit vor Windows 10 1809 für die Installation verwenden, stellen Sie sicher, dass dieses Image nicht von einem Gerät stammt, das bereits mit Microsoft Entra ID als in Microsoft Entra eingebundenes Hybrid registriert ist.
- Wenn Sie sich auf einen Snapshot einer virtuellen Maschine (VM) verlassen, um weitere VMs zu erstellen, vergewissern Sie sich, dass dieser Snapshot nicht von einer VM stammt, die bereits mit Microsoft Entra ID als in Microsoft Entra eingebundenes Hybrid registriert ist.
Zudem wird empfohlen, einen Prozess zur Verwaltung veralteter Geräte zu implementieren. Dieses Verfahren stellt sicher, dass Ihr Verzeichnis nicht mit einer Vielzahl veralteter Geräte belastet wird, wenn Sie Ihre virtuellen Maschinen in regelmäßigen Abständen zurücksetzen.
Nächste Schritte
Konfigurieren Sie den in Microsoft Entra eingebundenen Hybrid für eine föderierte Umgebung