Identidad del dispositivo y virtualización del escritorio

Artigo
01/22/2025

Por lo general, los administradores implementan plataformas de infraestructura de escritorio virtual (VDI) que hospedan los sistemas operativos Windows en sus organizaciones. Los administradores implementan VDI para:

Simplificar la administración.
Reducir los costos a través de la consolidación y la centralización de los recursos.
Ofrecer a los usuarios finales movilidad y libertad para acceder a los escritorios virtuales en cualquier momento, desde cualquier lugar y en cualquier dispositivo.

Hay dos tipos principales de escritorios virtuales:

Persistente
No persistente

Las versiones persistentes usan una imagen de escritorio única para cada usuario o grupo de usuarios. Estos escritorios únicos se pueden personalizar y guardar para su uso futuro.

Las versiones no persistentes usan una colección de equipos de escritorio a los que los usuarios pueden tener acceso según sea necesario. Estos escritorios no persistentes se revierten a su estado original cuando una máquina virtual pasa por un proceso de apagado, reinicio o restablecimiento del sistema operativo.

Es importante asegurarse de que las organizaciones administran los dispositivos obsoletos que se crean debido al registro frecuente de dispositivos sin tener una estrategia adecuada para la administración de su ciclo de vida.

Importante

Si los dispositivos obsoletos no se administran debidamente, podría provocar una mayor presión en el consumo de cuota por parte de los inquilinos, además de un riesgo potencial de interrupción del servicio si la cuota de los inquilinos se agota. Para evitar esta situación, siga las directrices que se incluyen a continuación cuando implemente entornos VDI no persistentes.

Para obtener una ejecución correcta de algunos escenarios, es importante tener nombres de dispositivo únicos en el directorio. Esto se puede lograr mediante la administración adecuada de dispositivos obsoletos, o puede garantizar la exclusividad del nombre del dispositivo mediante algún patrón en la nomenclatura de dispositivos.

En este artículo se tratan las guías de Microsoft para los administradores sobre la compatibilidad con la identidad del dispositivo y VDI. Para más información sobre la identidad del dispositivo, consulte el artículo ¿Qué es una identidad de dispositivo?

Escenarios admitidos

Antes de configurar las identidades de dispositivo en Microsoft Entra ID para el entorno de VDI, familiarícese con los escenarios admitidos. En la tabla siguiente se muestran los escenarios de aprovisionamiento que se admiten. El aprovisionamiento en este contexto implica que un administrador puede configurar identidades de dispositivo a escala sin requerir ninguna interacción del usuario final.

Los dispositivos Windows actuales representan Windows 10 o versiones superiores, Windows Server 2016 o versiones posteriores, Windows Server 2019 v1803 o superior y Windows Server 2019 o superior.

Tipo de identidad del dispositivo	Infraestructura de identidad	Dispositivos Windows	Versión de la plataforma de VDI	Compatible
Unido a Microsoft Entra	Federada³	Windows actual	Persistente	Sí
		Windows actual	No persistente	Sí⁵
	Administrada⁴	Windows actual	Persistente	Sí
		Windows actual	No persistente	Limitado⁶
Unido a Microsoft Entra	Federado	Windows actual	Persistente	Limitado⁸
			No persistente	No
	Administrado	Windows actual	Persistente	Limitado⁸
			No persistente	No
Microsoft Entra registrado	Federada/administrada	Windows actual	Persistente/no persistente	No es aplicable

³ Un entorno de infraestructura de identidad Federado representa un entorno con un proveedor de identidades (IdP), como AD FS u otro IdP no de Microsoft. En un entorno de infraestructura de identidad federada, los equipos siguen el flujo de registro de dispositivos federados en función de la Configuración del punto de conexión de servicio (SCP) de Microsoft Windows Server Active Directory.

⁴ Un entorno de infraestructura de identidad administrada representa un entorno con Microsoft Entra ID como proveedor de identidades implementado mediante la sincronización de hash de contraseñas (PHS) o la autenticación de paso a través (PTA) con inicio de sesión único sin interrupciones.

⁵La compatibilidad sin persistencia con dispositivos Windows actuales requiere una consideración adicional, tal y como se documenta en la sección de directrices. Para este escenario se requiere Windows 10 1803 o posterior, Windows Server 2019 o Windows Server (canal semianual), a partir de la versión 1803.

⁶ La compatibilidad sin persistencia de Windows actual en un entorno de infraestructura de identidad administrada solo está disponible con Citrix administrado por el cliente local y servicio en la nube administrado. Para cualquier consulta relacionada con el soporte técnico, póngase en contacto directamente con el soporte técnico de Citrix.

⁸ La compatibilidad con la unión a Microsoft Entra está disponible con Azure Virtual Desktop, Windows 365 y Amazon WorkSpaces. Para cualquier consulta relacionada con la integración de Amazon WorkSpaces y Microsoft Entra, contacta directamente con el soporte técnico de Amazon.

Guías de Microsoft

Los administradores deben consultar los artículos siguientes, en función de su infraestructura de identidad, para aprender a configurar la unión híbrida a Microsoft Entra.

VDI no persistente

Cuando los administradores implementan VDI no persistente, Microsoft recomienda implementar las instrucciones siguientes. Si no lo hace, el directorio tendrá una gran cantidad de dispositivos obsoletos unidos a Microsoft Entra híbrido que se han registrado en la plataforma VDI no persistente. Estos dispositivos obsoletos provocan una mayor presión sobre la cuota de inquilino y el riesgo de interrupción del servicio debido a que se queda sin cuota de inquilinos.

Si se basa en la herramienta de preparación del sistema (sysprep.exe) y usa para la instalación una imagen anterior a Windows 10 1809, asegúrese de que esa imagen no corresponda a un dispositivo ya registrado en Microsoft Entra ID como unido a Microsoft Entra híbrido.
Si se basa en la instantánea de una máquina virtual (VM) para crear otras máquinas virtuales, asegúrese de que esa instantánea no sea de una máquina virtual ya registrada en Microsoft Entra ID como unida a Microsoft Entra híbrido.
Los Servicios de federación de Active Directory (AD FS) admiten la unión instantánea para VDI no persistente y la unión híbrida a Microsoft Entra.
Cree un prefijo asociado al nombre para mostrar del equipo (por ejemplo, NPVDI-) y utilícelo para indicar que se trata de un escritorio basado en VDI no persistente.
Para dispositivos Windows en un entorno federado (por ejemplo, AD FS):
- Implemente dsregcmd /join como parte de la secuencia u orden de arranque de la máquina virtual y antes de que el usuario inicie sesión.
- NO ejecute el comando dsregcmd /leave como parte del proceso de apagado o reinicio de la máquina virtual.
Defina e implemente el proceso para administrar dispositivos obsoletos.
- Una vez que disponga de una estrategia para identificar los dispositivos no persistentes con unión híbrida a Microsoft Entra (por ejemplo, usar un prefijo de nombre para mostrar del equipo), puede efectuar una limpieza más concienzuda de estos dispositivos para garantizar que su directorio no se quede sin espacio debido al acceso de muchos dispositivos obsoletos.
- En el caso de las implementaciones de VDI no persistentes, debe eliminar los dispositivos que tengan ApproximateLastLogonTimestamp que sean de hace más de 15 días.

Nota

Al usar VDI no persistente, si quiere evitar la incorporación de una cuenta profesional o educativa, asegúrese de que la siguiente clave del Registro esté establecida: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Asegúrese de que está ejecutando la versión 1803 o superior de Windows 10.

No se admite la itinerancia de datos en la ruta de acceso %localappdata%. Si decide mover el contenido de %localappdata%, asegúrese de que el contenido de las siguientes carpetas y claves del Registro no deje nunca el dispositivo, bajo ningún concepto. Por ejemplo: las herramientas de migración de perfiles deben omitir las siguientes carpetas y claves:

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
%localappdata%\Microsoft\OneAuth
%localappdata%\Microsoft\IdentityCache
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker

No se admite la movilidad del certificado de dispositivo de la cuenta profesional. El certificado, emitido por "MS-Organization-Access", se almacena en el almacén de certificados Personal (MI) del usuario actual y en la máquina local.

VDI persistente

Cuando los administradores implementan VDI persistente, Microsoft recomienda implementar las instrucciones siguientes. Si no lo hace, se producirán problemas de implementación y autenticación.

Si se basa en la herramienta de preparación del sistema (sysprep.exe) y usa para la instalación una imagen anterior a Windows 10 1809, asegúrese de que esa imagen no corresponda a un dispositivo ya registrado en Microsoft Entra ID como unido a Microsoft Entra híbrido.
Si se basa en la instantánea de una máquina virtual (VM) para crear otras máquinas virtuales, asegúrese de que esa instantánea no sea de una máquina virtual ya registrada en Microsoft Entra ID como unida a Microsoft Entra híbrido.

Además, se recomienda implementar el proceso para administrar los dispositivos obsoletos. Este proceso garantiza que el directorio no se consume con muchos dispositivos obsoletos si restablece periódicamente las máquinas virtuales.

Pasos siguientes

Configuración de la unión híbrida a Microsoft Entra para un entorno federado

Compartir por