Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Administrator biasanya menggunakan platform infrastruktur desktop virtual (Virtual Desktop Infrastructure - VDI) yang menghosting sistem operasi Windows di organisasinya. Para administrator menerapkan VDI untuk:
- Memperbarui tata kelola.
- Mengurangi biaya melalui konsolidasi dan sentralisasi sumber daya.
- Memberi mobilitas pengguna akhir dan kebebasan untuk mengakses desktop virtual kapan saja, dari mana saja, di perangkat apa pun.
Ada dua jenis utama desktop virtual:
- Persisten
- Tidak persisten
Versi persisten menggunakan gambar desktop unik untuk setiap pengguna atau kumpulan pengguna. Desktop unik ini dapat disesuaikan dan disimpan untuk digunakan di masa mendatang.
Versi tidak persisten menggunakan kumpulan desktop yang dapat diakses pengguna sesuai kebutuhan. Desktop non-persisten ini dikembalikan ke status aslinya ketika komputer virtual melalui proses matikan/mulai ulang/reset OS.
Sangat penting untuk memastikan organisasi mengelola perangkat kedaluwarsa yang dibuat karena pendaftaran perangkat yang sering tanpa memiliki strategi yang tepat untuk manajemen siklus hidup perangkat.
Penting
Kegagalan mengelola perangkat kedaluwarsa dapat menyebabkan peningkatan tekanan pada konsumsi penggunaan kuota penyewa Anda dan potensi risiko gangguan layanan, jika Anda kehabisan kuota penyewa. Gunakan panduan berikut saat menyebarkan lingkungan VDI yang tidak persisten untuk menghindari situasi ini.
Untuk keberhasilan eksekusi beberapa skenario, penting untuk memiliki nama perangkat unik dalam direktori. Ini dapat dicapai dengan manajemen perangkat kedaluarsa yang tepat, atau Anda dapat menjamin keunikan nama perangkat dengan menggunakan beberapa pola dalam penamaan perangkat.
Artikel ini membahas panduan Microsoft kepada administrator tentang dukungan untuk identitas perangkat dan VDI. Untuk informasi selengkapnya tentang identitas perangkat, lihat artikel Apa itu identitas perangkat.
Skenario yang didukung
Sebelum mengonfigurasi identitas perangkat di MICROSOFT Entra ID untuk lingkungan VDI Anda, biasakan diri Anda dengan skenario yang didukung. Tabel berikut mengilustrasikan skenario provisi mana yang didukung. Penyediaan dalam konteks ini menyiratkan bahwa administrator dapat mengonfigurasi identitas perangkat dalam skala besar tanpa memerlukan interaksi pengguna akhir apa pun.
perangkat Windows saat ini mewakili Windows 10 atau yang lebih baru, Windows Server 2016 v1803 atau lebih tinggi, dan Windows Server 2019 atau yang lebih tinggi.
| Jenis identitas perangkat | Infrastruktur identitas | Perangkat Windows | Versi platform VDI | Didukung |
|---|---|---|---|---|
| Gabungan hibrida Microsoft Entra | Gabungan3 | Windows terkini | Persisten | Ya |
| Windows terkini | Tidak persisten | Ya5 | ||
| Terkelola4 | Windows terkini | Persisten | Ya | |
| Windows terkini | Tidak persisten | Terbatas6 | ||
| Microsoft Entra bergabung | Tersindikasi | Windows terkini | Persisten | Terbatas ke8 |
| Tidak persisten | Tidak | |||
| Terkelola | Windows terkini | Persisten | Terbatas ke8 | |
| Tidak persisten | Tidak | |||
| Microsoft Entra Terdaftar | Terfederasi/Dikelola | Windows terkini | Tetap/Tidak Tetap | Tidak Berlaku |
Penting
Saat menyebarkan farm VDI (persisten atau tidak persisten), pelanggan harus mempertimbangkan batas pembatasan operasi perangkat Entra. Microsoft merekomendasikan agar permintaan pendaftaran perangkat dilakukan secara bertahap dengan kecepatan 500 permintaan setiap interval 2 menit dan 30 detik. Ketidakberhasilan dalam menjadwalkan permintaan tersebut dapat menyebabkan kesalahan pembatasan kecepatan yang mengakibatkan kegagalan dalam pendaftaran perangkat dan penundaan lebih lama untuk kesuksesan pendaftaran perangkat.
4Lingkungan infrastruktur identitas terkelola mewakili lingkungan dengan ID Microsoft Entra sebagai penyedia identitas yang disebarkan dengan sinkronisasi hash kata sandi (PHS) atau autentikasi pass-through (PTA) dengan akses menyeluruh yang mulus.
5Dukungan Non-Persistensi untuk Windows saat ini memerlukan pertimbangan lain seperti yang didokumentasikan di bagian panduan. Skenario ini memerlukan Windows 10 1803 atau yang lebih baru, Windows Server 2019, atau Windows Server (Saluran semi-tahunan) mulai dari versi 1803
6Dukungan Non-Persistensi untuk Windows versi saat ini di lingkungan Infrastruktur identitas terkelola hanya tersedia dengan Citrix lokal yang dikelola pelanggan dan layanan Cloud yang dikelola. Untuk kueri terkait dukungan apa pun, hubungi dukungan Citrix secara langsung.
Microsoft Entra join support tersedia dengan Azure Virtual Desktop, Windows 365, dan Amazon WorkSpaces. Untuk setiap kueri terkait dukungan dengan Amazon WorkSpaces dan integrasi Microsoft Entra, hubungi dukungan Amazon secara langsung.
Panduan Microsoft
Para administrator harus merujuk pada artikel berikut, berdasarkan infrastruktur identitas mereka, untuk mempelajari cara mengonfigurasi gabungan hybrid Microsoft Entra.
- Mengonfigurasi penyatuan hybrid Microsoft Entra di lingkungan terfederasi
- Mengonfigurasi penggabungan hibrida Microsoft Entra pada lingkungan yang dikelola
VDI tidak persisten
Saat administrator menyebarkan VDI yang tidak persisten, Microsoft menyarankan Anda menerapkan panduan berikut. Jika tidak dilakukan, ini mengakibatkan direktori Anda memiliki banyak perangkat gabungan hibrida Microsoft Entra yang usang, terdaftar dari platform VDI non-persisten Anda. Perangkat basi ini mengakibatkan peningkatan tekanan pada kuota penyewa Anda dan risiko gangguan layanan karena kehabisan kuota penyewa.
- Jika Anda mengandalkan Alat Persiapan Sistem (sysprep.exe) dan menggunakan citra pra-Windows 10 1809 untuk penginstalan, pastikan bahwa citra tersebut bukan dari perangkat yang sudah terdaftar dengan Microsoft Entra ID sebagai perangkat gabungan hibrid Microsoft Entra.
- Jika Anda mengandalkan snapshot Komputer Virtual (VM) untuk membuat lebih banyak VM, pastikan bahwa snapshot tersebut bukan dari VM yang sudah terdaftar di Microsoft Entra ID sebagai Microsoft Entra hybrid join.
- Layanan Federasi Direktori Aktif (AD FS) mendukung penyatuan instan untuk VDI yang tidak persisten dan penyatuan hibrid Microsoft Entra.
- Buat dan gunakan prefiks untuk nama tampilan (misalnya, NPVDI-) dari komputer yang menandakan bahwa desktop berbasis VDI non-persisten.
- Untuk perangkat Windows di lingkungan federasi (misalnya, Active Directory Federation Services):
- Terapkan dsregcmd /join sebagai bagian dari urutan booting VM dan sebelum pengguna masuk.
- JANGAN mengeksekusi dsregcmd /leave sebagai bagian dari proses pematian/mulai ulang VM.
- Tentukan dan terapkan proses untuk mengelola perangkat kedaluwarsa.
- Setelah Anda memiliki strategi untuk mengidentifikasi perangkat gabungan hibrid Microsoft Entra yang tidak persisten (seperti menggunakan awalan nama tampilan komputer), Anda harus lebih agresif dalam membersihkan perangkat ini untuk memastikan direktori Anda tidak penuh dengan banyak perangkat usang.
- Untuk penyebaran VDI yang tidak persisten, Anda harus menghapus perangkat yang memiliki ApproximateLastLogonTimestamp yang lebih lama dari 15 hari.
Catatan
Saat menggunakan VDI non-persisten, jika Anda ingin mencegah penambahan akun kerja atau sekolah, pastikan kunci registri berikut diatur: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Pastikan Anda menjalankan Windows 10, versi 1803 atau yang lebih tinggi.
Roaming data apa pun di bawah jalur %localappdata% tidak didukung. Jika Anda memilih untuk memindah konten di bawah %localappdata%, pastikan bahwa konten folder dan kunci registri berikut ini tidak pernah meninggalkan perangkat dalam kondisi apa pun. Misalnya, alat migrasi profil harus mengabaikan folder dan kunci berikut:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
Roaming sertifikat perangkat akun kerja tidak didukung. Sertifikat, yang dikeluarkan oleh "MS-Organization-Access", disimpan di toko sertifikat Pribadi (MY) pengguna saat ini dan di mesin lokal.
VDI Permanen
Saat administrator menyebarkan VDI persisten, Microsoft menyarankan Anda menerapkan panduan berikut. Kegagalan untuk melakukannya menghasilkan masalah penyebaran dan autentikasi.
- Jika Anda mengandalkan Alat Persiapan Sistem (sysprep.exe) dan menggunakan citra pra-Windows 10 1809 untuk penginstalan, pastikan bahwa citra tersebut bukan dari perangkat yang sudah terdaftar dengan Microsoft Entra ID sebagai perangkat gabungan hibrid Microsoft Entra.
- Jika Anda mengandalkan snapshot Komputer Virtual (VM) untuk membuat lebih banyak VM, pastikan bahwa snapshot tersebut bukan dari VM yang sudah terdaftar di Microsoft Entra ID sebagai Microsoft Entra hybrid join.
Sebaiknya terapkan proses untuk mengelola perangkat kedaluwarsa. Proses ini memastikan direktori Anda tidak dikonsumsi dengan banyak perangkat kedaluarsa jika Anda secara berkala mengatur ulang VM Anda.
Langkah berikutnya
Mengonfigurasi gabungan hibrid Microsoft Entra untuk lingkungan federasi