Eszközidentitás és asztali virtualizálás
Rendszergazda istratorok gyakran helyeznek üzembe windowsos operációs rendszereket futtató virtuális asztali infrastruktúrát (VDI)-platformokat a szervezetükben. Rendszergazda istratorok üzembe helyezik a VDI-t a következőre:
- Gördülékeny felügyelet.
- A költségek csökkentése az erőforrások konszolidálásával és központosításával.
- A végfelhasználók mobilitásának biztosítása és a virtuális asztalok elérésének szabadsága bármikor, bárhonnan, bármilyen eszközön.
A virtuális asztaloknak két elsődleges típusa van:
- Állandó
- Nem állandó
Az állandó verziók minden felhasználóhoz vagy felhasználói készlethez egyedi asztali rendszerképet használnak. Ezek az egyedi asztalok testre szabhatók és menthetők későbbi használatra.
A nem állandó verziók olyan asztali gyűjteményeket használnak, amelyekhez a felhasználók szükség szerint hozzáférhetnek. A rendszer visszaállítja ezeket a nem állandó asztalokat az eredeti állapotukba, a Windows jelenlegi1-ben ez a változás akkor fordul elő, ha egy virtuális gép leállítási/újraindítási/operációsrendszer-visszaállítási folyamaton megy keresztül, és a Windows 2. szintjénez a változás akkor fordul elő, amikor egy felhasználó kijelentkezik.
Fontos, hogy a szervezetek kezeljenek elavult eszközöket, amelyeket azért hoztak létre, mert a gyakori eszközregisztráció nem rendelkezik megfelelő stratégiával az eszközök életciklusának kezeléséhez.
Fontos
Az elavult eszközök kezelésének elmulasztása a bérlőkvóta kihasználtságának növeléséhez és a szolgáltatás megszakadásának lehetséges kockázatához vezethet, ha elfogy a bérlőkvóta. A nem állandó VDI-környezetek üzembe helyezésekor kövesse az alábbi útmutatást a helyzet elkerülése érdekében.
Egyes forgatókönyvek sikeres végrehajtásához fontos, hogy egyedi eszköznevek szerepeljenek a címtárban. Ez az elavult eszközök megfelelő felügyeletével érhető el, vagy az eszköznév egyediségét az eszköz elnevezésében használt minta használatával garantálhatja.
Ez a cikk a Microsoft útmutatását ismerteti a rendszergazdáknak az eszközidentitás és a VDI támogatásával kapcsolatban. Az eszközidentitásról további információt az Eszközidentitás mi az eszközidentitás című cikkben talál.
Támogatott esetek
Mielőtt konfigurálja az eszközidentitásokat a Microsoft Entra ID-ban a VDI-környezethez, ismerkedjen meg a támogatott forgatókönyvekkel. Az alábbi táblázat bemutatja, hogy mely kiépítési forgatókönyvek támogatottak. Ebben a kontextusban a kiépítés azt jelenti, hogy a rendszergazda a végfelhasználói beavatkozás nélkül konfigurálhatja az eszközidentitásokat nagy méretekben.
Eszköz identitástípusa | Identitás-infrastruktúra | Windows rendszerű eszközök | VDI-platform verziója | Támogatott |
---|---|---|---|---|
Csatlakoztatott Microsoft Entra hibrid | Összevont 3 | Windows aktuális és Windows alacsonyabb szintű | Állandó | Igen |
Windows aktuális | Nem állandó | Igen5 | ||
Korábbi verziójú Windows | Nem állandó | Igen6 | ||
Felügyelt4 | Windows aktuális és Windows alacsonyabb szintű | Állandó | Igen | |
Windows aktuális | Nem állandó | Korlátozott6 | ||
Korábbi verziójú Windows | Nem állandó | Igen7 | ||
Csatlakoztatott Microsoft Entra | Összevont | Windows aktuális | Állandó | Korlátozott8 |
Nem állandó | Nem | |||
Felügyelt | Windows aktuális | Állandó | Korlátozott8 | |
Nem állandó | Nem | |||
Regisztrált Microsoft Entra | Összevont/felügyelt | Windows current/Windows down-level | Állandó/nem állandó | Nem alkalmazható |
Az 1windowsos jelenlegi eszköz a Windows 10 vagy újabb, a Windows Server 2016 v1803 vagy újabb, valamint a Windows Server 2019 vagy újabb verziót jelöli.
2A windowsos alsó szintű eszközök a Windows 7, a Windows 8.1, a Windows Server 2008 R2, a Windows Server 2012 és a Windows Server 2012 R2 elemet képviselik. A Windows 7 támogatási információiért lásd : A Windows 7 támogatása véget ér. A Windows Server 2008 R2 támogatási információiért lásd: Felkészülés a Windows Server 2008 támogatásának megszűnésére.
3 Az összevont identitásinfrastruktúra-környezet egy identitásszolgáltatóval (IdP) rendelkező környezetet jelöl, például az AD FS-t vagy más külső identitásszolgáltatót. Összevont identitásinfrastruktúra-környezetben a számítógépek a Microsoft Windows Server Active Directory Service Csatlakozás ion Point (SCP) beállításai alapján követik a felügyelt eszközregisztrációs folyamatot.
4 A felügyelt identitásinfrastruktúra-környezet a Microsoft Entra-azonosítóval rendelkező környezetet jelöli jelszókivonat-szinkronizálással (PHS) vagy átmenő hitelesítéssel (PTA) zökkenőmentes egyszeri bejelentkezéssel üzembe helyezett identitásszolgáltatóként.
5A Windows jelenlegi nem adatmegőrzési támogatása az útmutató szakaszban ismertetett egyéb szempontokat is figyelembe kell venni. Ebben a forgatókönyvben a Windows 10 1803 vagy újabb, a Windows Server 2019 vagy a Windows Server (féléves csatorna) 1803-tól kezdődően szükséges
6A Felügyelt identitásinfrastruktúra-környezetben futó Windows-áram nem megőrzési támogatása csak a helyszíni Citrix által felügyelt ügyféllel és a felügyelt felhőszolgáltatással érhető el. A támogatással kapcsolatos lekérdezésekért forduljon közvetlenül a Citrix ügyfélszolgálatához .
7A Windows nem megőrzési támogatása alacsonyabb szinten más szempontokat is igényel az útmutató szakaszban leírtak szerint.
8A Microsoft Entra csatlakozás támogatása csak az Azure Virtual Desktop és a Windows 365 esetén érhető el.
A Microsoft útmutatója
Rendszergazda istratoroknak az identitásinfrastruktúra alapján a következő cikkekre kell hivatkozniuk, hogy megtudják, hogyan konfigurálhatók a Microsoft Entra hibrid csatlakozásai.
- A Microsoft Entra hibrid csatlakoztatásának konfigurálása összevont környezethez
- A Microsoft Entra hibrid csatlakoztatásának konfigurálása felügyelt környezethez
Nem állandó VDI
A nem állandó VDI telepítésekor a Microsoft azt javasolja a szervezeteknek, hogy implementálják az alábbi útmutatást. Ennek elmulasztása azt eredményezi, hogy a címtárban sok elavult Microsoft Entra hibrid csatlakoztatott eszköz található, amelyeket a nem állandó VDI-platformról regisztráltak. Ezek az elavult eszközök nagyobb nyomást gyakorolnak a bérlői kvótára, és a bérlői kvóta elfogyása miatt a szolgáltatás megszakadásának kockázata is fennáll.
- Ha a Rendszerelőkészítő eszközre (sysprep.exe) támaszkodik, és windowsos 10 1809 előtti rendszerképet használ a telepítéshez, győződjön meg arról, hogy a rendszerkép nem olyan eszközről származik, amely már regisztrált a Microsoft Entra ID-val, mint a Microsoft Entra hibrid csatlakoztatása.
- Ha virtuálisgép-pillanatképre támaszkodik több virtuális gép létrehozásához, győződjön meg arról, hogy a pillanatkép nem olyan virtuális gépről származik, amely már regisztrált Microsoft Entra-azonosítóval Microsoft Entra hibrid csatlakozásként.
- A Active Directory összevonási szolgáltatások (AD FS) (AD FS) támogatja az azonnali csatlakozást a nem állandó virtuális merevlemezekhez és a Microsoft Entra hibrid illesztéshez.
- Hozzon létre és használjon előtagot a számítógép megjelenítendő nevének (például NPVDI-) számára, amely nem állandó VDI-alapúként jelzi az asztalt.
- Alacsonyabb szintű Windows esetén:
- Implementálja az autoworkplacejoin /leave parancsot a logoff szkript részeként. Ezt a parancsot a felhasználó kontextusában kell aktiválni, és azt a felhasználó teljes kijelentkezése és a hálózati kapcsolat megléte előtt kell végrehajtani.
- Összevont környezetben (például AD FS) futó Windows-áram esetén:
- Implementálja a dsregcmd /join parancsot a virtuális gép rendszerindítási sorozatának/sorrendjének részeként, és mielőtt a felhasználó bejelentkezik.
- NE hajtsa végre a dsregcmd /leave parancsot a virtuális gép leállítási/újraindítási folyamatának részeként.
- Elavult eszközök kezelésére szolgáló folyamat definiálása és implementálása.
- Ha már rendelkezik a nem állandó Microsoft Entra hibrid csatlakoztatott eszközök azonosítására szolgáló stratégiával (például a számítógép megjelenítendő nevének előtagjával), agresszívabbnak kell lennie ezeknek az eszközöknek a megtisztítására, hogy a címtára ne fogyjon el sok elavult eszközzel.
- Nem állandó VDI-üzemelő példányok esetén a Windows jelenlegi és leállási szintjén törölnie kell azokat az eszközöket, amelyeken a ApproximateLastLogonTimestamp érték 15 napnál régebbi.
Feljegyzés
Ha nem állandó VDI-t használ, ha meg szeretné akadályozni a munkahelyi vagy iskolai fiók hozzáadását, győződjön meg arról, hogy a következő beállításkulcs van beállítva: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Győződjön meg arról, hogy a Windows 10 1803-es vagy újabb verzióját futtatja.
Az elérési út
%localappdata%
alatt lévő adatok roamingolása nem támogatott. Ha a tartalom%localappdata%
áthelyezése mellett dönt, győződjön meg arról, hogy a következő mappák és beállításkulcsok tartalma soha nem hagyja el az eszközt semmilyen feltétel mellett. Például: A profilmigrálási eszközöknek ki kell hagyniuk a következő mappákat és kulcsokat:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
A munkahelyi fiók eszköztanúsítványának barangolása nem támogatott. Az "MS-Organization-Access" által kibocsátott tanúsítvány az aktuális felhasználó személyes (MY) tanúsítványtárolójában és a helyi gépen található.
Állandó VDI
Az állandó VDI telepítésekor a Microsoft azt javasolja, hogy a rendszergazdák implementálják az alábbi útmutatást. Ennek elmulasztása üzembe helyezési és hitelesítési problémákat eredményez.
- Ha a Rendszerelőkészítő eszközre (sysprep.exe) támaszkodik, és windowsos 10 1809 előtti rendszerképet használ a telepítéshez, győződjön meg arról, hogy a rendszerkép nem olyan eszközről származik, amely már regisztrált a Microsoft Entra ID-val, mint a Microsoft Entra hibrid csatlakoztatása.
- Ha virtuálisgép-pillanatképre támaszkodik több virtuális gép létrehozásához, győződjön meg arról, hogy a pillanatkép nem olyan virtuális gépről származik, amely már regisztrált Microsoft Entra-azonosítóval Microsoft Entra hibrid csatlakozásként.
Javasoljuk, hogy implementálja az elavult eszközök kezelésére szolgáló folyamatot. Ez a folyamat biztosítja, hogy a címtár ne legyen használatban sok elavult eszközzel, ha rendszeresen alaphelyzetbe állítja a virtuális gépeket.
Következő lépések
A Microsoft Entra hibrid csatlakoztatásának konfigurálása összevont környezethez