Identità del dispositivo e virtualizzazione desktop
Amministrazione istrator distribuiscono comunemente piattaforme VDI (Virtual Desktop Infrastructure) che ospitano sistemi operativi Windows nelle organizzazioni. Amministrazione istrators distribuiscono VDI in:
- Semplificare la gestione.
- Ridurre i costi attraverso il consolidamento e la centralizzazione delle risorse.
- Offrire agli utenti finali la mobilità e la libertà di accedere ai desktop virtuali in qualsiasi momento, da qualsiasi luogo, in qualsiasi dispositivo.
Esistono due tipi principali di desktop virtuali:
- Persistente
- Non persistente
Le versioni persistenti usano un'immagine desktop univoca per ogni utente o un pool di utenti. Questi desktop univoci possono essere personalizzati e salvati per un uso futuro.
Le versioni non persistenti usano una raccolta di desktop a cui gli utenti possono accedere in base alle esigenze. Questi desktop non persistenti vengono ripristinati allo stato originale, in Windows corrente1 questa modifica si verifica quando una macchina virtuale passa attraverso un processo di arresto/riavvio/ripristino del sistema operativo e in Windows di livelloinferiore 2 questa modifica si verifica quando un utente si disconnette.
È importante assicurarsi che le organizzazioni gestiscono i dispositivi non aggiornati creati perché la registrazione frequente dei dispositivi senza avere una strategia appropriata per la gestione del ciclo di vita dei dispositivi.
Importante
La mancata gestione dei dispositivi non aggiornati può comportare un aumento eccessivo dell'utilizzo della quota del tenant e il potenziale rischio di interruzione del servizio, se si esaurisce la quota del tenant. Usare le indicazioni seguenti quando si distribuiscono ambienti VDI non persistenti per evitare questa situazione.
Per un'esecuzione corretta di alcuni scenari, è importante avere nomi di dispositivo univoci nella directory. Questa operazione può essere ottenuta tramite una corretta gestione dei dispositivi non aggiornati oppure è possibile garantire l'univocità del nome del dispositivo usando un modello di denominazione dei dispositivi.
Questo articolo illustra le linee guida di Microsoft per gli amministratori sul supporto per l'identità del dispositivo e VDI. Per altre informazioni sull'identità del dispositivo, vedere l'articolo Informazioni sull'identità di un dispositivo.
Scenari supportati
Prima di configurare le identità dei dispositivi in Microsoft Entra ID per l'ambiente VDI, acquisire familiarità con gli scenari supportati. Nella tabella seguente vengono illustrati gli scenari di provisioning supportati. Il provisioning in questo contesto implica che un amministratore può configurare le identità dei dispositivi su larga scala senza richiedere alcuna interazione con l'utente finale.
| Tipo di identità del dispositivo | Infrastruttura delle identità | Dispositivi Windows | Versione della piattaforma VDI | Supportata |
|---|---|---|---|---|
| Microsoft Entra aggiunto ibrido | Federato3 | Windows corrente e Windows di livello inferiore | Persistente | Sì |
| Windows corrente | Non persistente | Sì5 | ||
| Dispositivi Windows di livello inferiore | Non persistente | Sì6 | ||
| Gestito4 | Windows corrente e Windows di livello inferiore | Persistente | Sì | |
| Windows corrente | Non persistente | Limitato6 | ||
| Dispositivi Windows di livello inferiore | Non persistente | Sì7 | ||
| Aggiunto a Microsoft Entra | Federati | Windows corrente | Persistente | Limite8 |
| Non persistente | No | |||
| Gestito | Windows corrente | Persistente | Limite8 | |
| Non persistente | No | |||
| Microsoft Entra registrato | Federato/gestito | Windows corrente/Windows di livello inferiore | Persistente/non persistente | Non applicabile |
1 Idispositivi Windows correnti rappresentano Windows 10 o versione successiva, Windows Server 2016 v1803 o versione successiva e Windows Server 2019 o versione successiva.
2I dispositivi Windows di livello inferiore rappresentano Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Per informazioni sul supporto per Windows 7, vedi Il supporto per Windows 7 sta terminando. Per informazioni sul supporto su Windows Server 2008 R2, vedere Preparare la fine del supporto per Windows Server 2008.
3 Un ambiente dell'infrastruttura di identità federata rappresenta un ambiente con un provider di identità (IdP), ad esempio AD FS o un provider di identità di terze parti. In un ambiente federato dell'infrastruttura di gestione delle identità, i computer seguono il flusso di registrazione dei dispositivi gestiti in base alle impostazioni del servizio Active Directory di Microsoft Windows Server Connessione ion Point (SCP).
4 Un ambiente dell'infrastruttura di identità gestita rappresenta un ambiente con l'ID Microsoft Entra come provider di identità distribuito con sincronizzazione dell'hash delle password (PHS) o l'autenticazione pass-through (PTA) con accesso Single Sign-On facile.
5Il supporto di non persistenza per Windows corrente richiede altre considerazioni, come documentato nella sezione indicazioni. Questo scenario richiede Windows 10 1803 o versione successiva, Windows Server 2019 o Windows Server (canale semestrale) a partire dalla versione 1803
6Il supporto non permanente per Windows corrente in un ambiente dell'infrastruttura di gestione delle identità è disponibile solo con citrix gestito dal cliente locale e gestito dal servizio cloud. Per qualsiasi query correlata al supporto, contattare direttamente il supporto di Citrix.
7Il supporto di non persistenza per Windows di livello inferiore richiede altre considerazioni, come documentato nella sezione indicazioni.
8Il supporto per l'aggiunta a Microsoft Entra è disponibile solo con Desktop virtuale Azure e Windows 365.
Indicazioni di Microsoft
Amministrazione istrator devono fare riferimento agli articoli seguenti, in base all'infrastruttura di gestione delle identità, per informazioni su come configurare l'aggiunta ibrida a Microsoft Entra.
- Configurare l'aggiunta ibrida di Microsoft Entra per l'ambiente federato
- Configurare l'aggiunta ibrida di Microsoft Entra per l'ambiente gestito
VDI non persistente
Quando si distribuisce una VDI non persistente, Microsoft consiglia alle organizzazioni di implementare le indicazioni seguenti. In caso contrario, nella directory sono presenti numerosi dispositivi aggiunti a Microsoft Entra ibridi non aggiornati registrati dalla piattaforma VDI non persistente. Questi dispositivi non aggiornati comportano una maggiore pressione sulla quota del tenant e il rischio di interruzione del servizio a causa dell'esaurimento della quota del tenant.
- Se si fa affidamento su System Preparation Tool (sysprep.exe) e se si usa un'immagine pre-Windows 10 1809 per l'installazione, assicurarsi che l'immagine non sia già registrata con Microsoft Entra ID come aggiunto ibrido a Microsoft Entra.
- Se ci si basa su uno snapshot di macchina virtuale (VM) per creare più macchine virtuali, assicurarsi che lo snapshot non provena da una macchina virtuale già registrata con Microsoft Entra ID come join ibrido di Microsoft Entra.
- Active Directory Federation Services (AD FS) supporta il join istantaneo per l'aggiunta ibrida VDI non persistente e Microsoft Entra.
- Creare e usare un prefisso per il nome visualizzato (ad esempio, NPVDI-) del computer che indica il desktop come basato su VDI non persistente.
- Per Windows di livello inferiore:
- Implementare il comando autoworkplacejoin /leave come parte dello script di disconnessione. Questo comando deve essere attivato nel contesto dell'utente e deve essere eseguito prima che l'utente abbia disconnesso completamente e che esista la connettività di rete.
- Per Windows corrente in un ambiente federato (ad esempio, AD FS):
- Implementare dsregcmd /join come parte della sequenza/ordine di avvio della macchina virtuale e prima che l'utente esegua l'accesso.
- NON eseguire dsregcmd /leave come parte del processo di arresto/riavvio della macchina virtuale.
- Definire e implementare il processo per la gestione dei dispositivi non aggiornati.
- Dopo aver creato una strategia per identificare i dispositivi aggiunti all'ibrido Microsoft Entra non persistente (ad esempio usando il prefisso del nome visualizzato del computer), è consigliabile essere più aggressivi nella pulizia di questi dispositivi per assicurarsi che la directory non venga utilizzata con molti dispositivi non aggiornati.
- Per le distribuzioni VDI non persistenti in Windows corrente e di livello inferiore, è consigliabile eliminare i dispositivi con ApproximateLastLogonTimestamp di più di 15 giorni.
Nota
Quando si usa VDI non persistente, se si vuole impedire l'aggiunta di un account aziendale o dell'istituto di istruzione, assicurarsi che sia impostata la chiave del Registro di sistema seguente: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Assicurarsi di eseguire Windows 10 versione 1803 o successiva.
Il roaming dei dati nel percorso
%localappdata%non è supportato. Se si sceglie di spostare il contenuto in%localappdata%, assicurarsi che il contenuto delle cartelle e delle chiavi del Registro di sistema seguenti non lasci mai il dispositivo in alcuna condizione. Ad esempio: gli strumenti di migrazione del profilo devono ignorare le cartelle e le chiavi seguenti:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinIl roaming del certificato del dispositivo dell'account aziendale non è supportato. Il certificato rilasciato da "MS-Organization-Access" viene archiviato nell'archivio certificati Personale (MY) dell'utente corrente e nel computer locale.
VDI persistente
Quando si distribuisce VDI persistente, Microsoft consiglia agli amministratori IT di implementare le indicazioni seguenti. In caso contrario, si verificano problemi di distribuzione e autenticazione.
- Se si fa affidamento su System Preparation Tool (sysprep.exe) e se si usa un'immagine pre-Windows 10 1809 per l'installazione, assicurarsi che l'immagine non sia già registrata con Microsoft Entra ID come aggiunto ibrido a Microsoft Entra.
- Se ci si basa su uno snapshot di macchina virtuale (VM) per creare più macchine virtuali, assicurarsi che lo snapshot non provena da una macchina virtuale già registrata con Microsoft Entra ID come join ibrido di Microsoft Entra.
È consigliabile implementare il processo per la gestione dei dispositivi non aggiornati. Questo processo garantisce che la directory non venga usata con molti dispositivi non aggiornati se si reimpostano periodicamente le macchine virtuali.
Passaggi successivi
Configurazione dell'aggiunta ibrida di Microsoft Entra per l'ambiente federato