Identité d’appareil et virtualisation de bureau
Les administrateurs déploient généralement des plateformes VDI (Virtual Desktop Infrastructure) hébergeant des systèmes d’exploitation Windows dans leurs organisations. Les administrateurs déploient la solution VDI pour :
- Simplifier la gestion.
- Réduire les coûts par le regroupement et la centralisation des ressources.
- Dispenser aux utilisateurs finals la mobilité et la liberté d’accéder aux bureaux virtuels, à tout moment, en tous lieux, sur tout appareil.
Il existe deux types principaux de bureaux virtuels :
- Persistante
- Non persistant
Les versions persistantes utilisent une image de bureau unique pour chaque utilisateur ou pool d’utilisateurs. Ces bureaux uniques peuvent être personnalisés et enregistrés pour une utilisation ultérieure.
Les versions non persistantes utilisent une collection de bureaux auxquels les utilisateurs peuvent accéder en fonction des besoins. L’état d’origine de ces postes de travail non persistants est rétabli : dans le cas de Windows actuel1 ce changement se produit lorsqu’une machine virtuelle subit un processus d’arrêt/de redémarrage/de réinitialisation du système d’exploitation et, dans le cas de Windows de bas niveau2 ce changement se produit lorsqu’un utilisateur se déconnecte.
Il est important de s’assurer que les organisations gèrent les appareils obsolètes qui ont été créés en raison d’inscriptions fréquentes d’appareils sans stratégie appropriée pour la gestion du cycle de vie des appareils.
Important
Si vous ne parvenez pas à gérer les appareils obsolètes, vous risquez d’augmenter la pression sur la consommation de votre quota de locataires et d’être confronté à un risque potentiel d’interruption de service si le quota de locataires est insuffisant. Pour éviter cette situation, suivez les conseils suivants lors du déploiement d'environnements VDI non persistants.
Pour l’exécution réussie de certains scénarios, il est important d’avoir des noms d’appareil uniques dans l’annuaire. Cela peut se faire par une gestion appropriée des appareils obsolètes, ou vous pouvez garantir l’unicité du nom de l’appareil en utilisant un certain modèle dans la dénomination de l’appareil.
Cet article présente les conseils de Microsoft aux administrateurs en matière de prise en charge de l’identité d’appareil et de la solution VDI. Pour plus d’informations sur l’identité d’appareil, consultez l’article Présentation de l’identité d’appareil.
Scénarios pris en charge
Avant de configurer les identités d’appareil dans Microsoft Entra ID pour votre environnement VDI, familiarisez-vous avec les scénarios pris en charge. Le tableau suivant illustre les scénarios de dapprovisionnement pris en charge. Dans ce contexte, le provisionnement implique qu’un administrateur peut configurer des identités d’appareil à grande échelle, sans nécessiter l’intervention d’utilisateurs finals.
| Type d’identité d’appareil | Infrastructure d’identité | Appareils Windows | Version de la plateforme VDI | Prise en charge |
|---|---|---|---|---|
| Jonction hybride Microsoft Entra | Fédérée3 | Windows actuel et Windows de bas niveau | Persistante | Oui |
| Windows actuel | Non persistant | Oui5 | ||
| Appareils Windows de bas niveau | Non persistant | Oui6 | ||
| Managée4 | Windows actuel et Windows de bas niveau | Persistante | Oui | |
| Windows actuel | Non persistant | Limité à 6 | ||
| Appareils Windows de bas niveau | Non persistant | Oui7 | ||
| Joint à Microsoft Entra | Adresses IP fédérées | Windows actuel | Persistante | Limité à 8 |
| Non persistant | Non | |||
| Adresses IP gérées | Windows actuel | Persistante | Limité à 8 | |
| Non persistant | Non | |||
| Inscrit auprès de Microsoft Entra | Fédérée/managée | Windows actuel/Windows de bas niveau | Persistante/non persistante | Non applicable |
1Les appareils Windows actuels sont Windows 10 ou version ultérieure, Windows Server 2016 v1803 ou version ultérieure et Windows Server 2019 ou version ultérieure.
2Les appareils Windows de bas niveau sont Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2. Pour des informations relatives à la prise en charge de Windows 7, consultez Fin de la prise en charge de Windows 7. Pour obtenir des informations de support sur Windows Server 2008 R2, consultez Préparez-vous à la fin du support de Windows Server 2008.
3 Un environnement d’infrastructure d’identité fédérée représente un environnement avec un fournisseur d’identité, tel qu’AD FS ou d’autres fournisseurs d'identité tiers. Dans un environnement d’infrastructure d’identité fédérée, les ordinateurs suivent le flux d’inscription des appareils gérés en fonction des Paramètres de point de connexion du service (SCP) Microsoft Windows Server Active Directory.
4 Un environnement d’infrastructure d’identité managée représente un environnement doté de Microsoft Entra ID en tant que fournisseur d’identité déployé avec la synchronisation des codes de hachage de mot de passe (PHS) ou l’authentification directe (PTA) avec l’authentification unique transparente.
5La prise en charge de la non-persistance pour les appareils Windows actuels nécessite une autre considération, comme indiqué dans la section d’aide. Ce scénario nécessite Windows 10 1803 ou version ultérieure, Windows Server 2019 ou Windows Server (canal semi-annuel) à partir de la version 1803
6La prise en charge de la non-persistance pour Windows actuelle dans un environnement d’infrastructure d’identité managée est disponible uniquement avec le service managé par le client sur site de Citrix et le service managé dans le cloud. Pour toutes les requêtes associées au support technique, contactez directement le support Citrix.
7La prise en charge de la non-persistance pour les appareils Windows de bas niveau nécessite une autre considération, comme indiqué dans la section d’aide.
8La prise en charge de la jonction Microsoft Entra est disponible uniquement avec Azure Virtual Desktop et Windows 365.
Conseils de Microsoft
Les administrateurs doivent consulter les articles suivants, en fonction de leur infrastructure d’identité, pour savoir comment configurer la jonction hybride Microsoft Entra.
- Configurer la jonction hybride Microsoft Entra pour un environnement fédéré
- Configurer la jonction hybride Microsoft Entra pour un environnement managé
VDI non persistante
Lors du déploiement d’une plateforme VDI non persistante, Microsoft recommande aux organisations d’implémenter les instructions ci-dessous. Dans le cas contraire, votre annuaire contient de nombreux appareils hybrides Microsoft Entra périmés qui ont été enregistrés à partir de votre plateforme VDI non persistante. Ces appareils obsolètes entraînent une pression accrue sur le quota de votre client et le risque d’interruption de service en raison d’un manque de quota de client.
- Si vous comptez sur l’outil de préparation du système (sysprep.exe), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil avec jonction hybride Microsoft Entra.
- Si vous comptez sur une capture instantanée de machine virtuelle pour créer des machines virtuelles supplémentaires, vérifiez qu’elle ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle avec jonction hybride Microsoft Entra.
- Les services de fédération Active Directory (AD FS) prennent en charge la jonction instantanée pour le VDI non persistant et la jonction hybride Microsoft Entra.
- Créez et utilisez un préfixe pour le nom d’affichage (par exemple, NPVDI-) de l’ordinateur qui indique le bureau comme étant basé sur une VDI non persistante.
- Pour les appareils Windows de bas niveau :
- Implémentez la commande autoworkplacejoin /leave dans le cadre du script de fermeture de session. Cette commande doit être déclenchée dans le contexte de l’utilisateur et doit être exécutée avant que l’utilisateur ne soit complètement déconnecté et tant qu’une connectivité réseau existe.
- Pour Windows actuel dans un environnement fédéré (par exemple, AD FS) :
- Implémentez dsregcmd /join dans le cadre de la séquence (ordre) de démarrage des machines virtuelles, avant que l’utilisateur se connecte.
- N’EXÉCUTEZ PAS dsregcmd /leave dans le cadre du processus d’arrêt/de redémarrage de la machine virtuelle.
- Définissez et implémentez le processus de gestion des appareils obsolètes.
- Une fois que vous disposez d’une stratégie permettant d’identifier les appareils avec jonction hybride Microsoft Entra non persistants (par exemple en utilisant un préfixe dans le nom d’affichage de l’ordinateur), vous devez nettoyer ces appareils de manière plus radicale pour éviter que votre annuaire ne contienne un grand nombre d’appareils obsolètes.
- Pour les déploiements VDI non persistants sur Windows actuel et de bas niveau, vous devez supprimer les appareils qui ont une propriété ApproximateLastLogonTimestamp antérieure à 15 jours.
Remarque
Lorsque vous utilisez une plateforme VDI non persistante, si vous souhaitez empêcher l’ajout d’un compte professionnel ou scolaire, assurez-vous que la clé de Registre suivante est définie : HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Assurez-vous que vous exécutez Windows 10 version 1803 ou ultérieure.
L’itinérance des données sous le chemin d’accès
%localappdata%n’est pas prise en charge. Si vous choisissez de déplacer le contenu sous%localappdata%, assurez-vous que le contenu des dossiers et des clés de Registre suivants ne quitte jamais l’appareil, quelles que soient les conditions. Par exemple : Les outils de migration de profil doivent ignorer les dossiers et clés suivants :
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinL’itinérance du certificat d’appareil du compte professionnel n’est pas prise en charge. Le certificat, émis par « MS-Organization-Access », est stocké dans le magasin de certificats personnel (MY) de l’utilisateur actuel et sur l’ordinateur local.
VDI persistante
Lors du déploiement d’une plateforme VDI persistante, Microsoft recommande aux administrateurs informatiques d’implémenter les instructions ci-dessous. Dans le cas contraire, des problèmes de déploiement et d’authentification peuvent se produire.
- Si vous comptez sur l’outil de préparation du système (sysprep.exe), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil avec jonction hybride Microsoft Entra.
- Si vous comptez sur une capture instantanée de machine virtuelle pour créer des machines virtuelles supplémentaires, vérifiez qu’elle ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle avec jonction hybride Microsoft Entra.
Nous vous recommandons d’implémenter le processus de gestion des appareils obsolètes. Ce processus permet de vous assurer que votre annuaire n’est pas saturé par un grand nombre d’appareils obsolètes si vous réinitialisez régulièrement vos machines virtuelles.
Étapes suivantes
Configuration de la jonction hybride Microsoft Entra pour un environnement fédéré