Виртуализация удостоверений устройств и рабочих столов
Администраторы обычно развертывают платформы инфраструктуры виртуальных рабочих столов (VDI), где размещаются операционные системы Windows в своих организациях. Администраторы развертывают VDI в:
- Упрощение управления.
- Сокращение затрат путем консолидации и централизации ресурсов.
- Доставить конечным пользователям мобильность и свободу доступа к виртуальным рабочим столам в любое время, откуда угодно на любом устройстве.
Существует два основных типа виртуальных рабочих столов:
- Упорный
- Непрекращающиеся
Постоянные версии используют уникальный образ рабочего стола для каждого пользователя или пула пользователей. Эти уникальные рабочие столы можно настроить и сохранить для дальнейшего использования.
Непристойные версии используют коллекцию рабочих столов, к которым пользователи могут обращаться по мере необходимости. Эти не постоянные рабочие столы возвращаются к исходному состоянию, в Windows current1 это изменение происходит, когда виртуальная машина проходит через процесс завершения работы или перезагрузки или сброса ОС, а в Windows внизу2 это изменение происходит при выходе пользователя.
Важно убедиться, что организации управляют устаревшими устройствами, которые создаются, так как часто регистрация устройств не имеет надлежащей стратегии управления жизненным циклом устройств.
Важный
Сбой управления устаревшими устройствами может привести к увеличению нагрузки на потребление квоты клиента и потенциальному риску прерывания работы службы, если вы не упустите квоту клиента. Чтобы избежать этой ситуации, используйте следующие рекомендации при развертывании не постоянных сред VDI.
Для успешного выполнения некоторых сценариев важно иметь уникальные имена устройств в каталоге. Это можно сделать путем правильного управления устаревшими устройствами или гарантировать уникальность имени устройства с помощью определенного шаблона в именовании устройств.
В этой статье рассматриваются рекомендации Майкрософт для администраторов по поддержке удостоверений устройств и VDI. Дополнительные сведения об удостоверении устройства см. в статье "Что такое удостоверение устройства".
Поддерживаемые сценарии
Перед настройкой удостоверений устройств в идентификаторе Microsoft Entra для среды VDI ознакомьтесь с поддерживаемыми сценариями. В следующей таблице показано, какие сценарии подготовки поддерживаются. Подготовка в этом контексте подразумевает, что администратор может настраивать удостоверения устройств в масштабе, не требуя взаимодействия с конечным пользователем.
| Тип удостоверения устройства | Инфраструктура удостоверений | Устройства Windows | Версия платформы VDI | Поддержанный |
|---|---|---|---|---|
| Гибридное присоединение к Microsoft Entra | Федеративный3 | Текущий windows и Windows нижнего уровня | Упорный | Да |
| Текущая версия Windows | Непрекращающиеся | Да5 | ||
| Windows нижнего уровня | Непрекращающиеся | Да6 | ||
| Управляемое4 | Текущий windows и Windows нижнего уровня | Упорный | Да | |
| Текущая версия Windows | Непрекращающиеся | Ограниченноечисло 6 | ||
| Windows нижнего уровня | Непрекращающиеся | Да7 | ||
| Присоединено к Microsoft Entra | Федеративный | Текущая версия Windows | Упорный | Ограничено8 |
| Непрекращающиеся | Нет | |||
| Управляемых | Текущая версия Windows | Упорный | Ограничено8 | |
| Непрекращающиеся | Нет | |||
| Зарегистрированная microsoft Entra | Федеративный или управляемый | Windows current/Windows down-level | Постоянные и не постоянные | Неприменимо |
1 Текущие устройства Windows представляют Windows 10 или более поздней версии, Windows Server 2016 версии 1803 или более поздней версии, а также Windows Server 2019 или более поздней версии.
2 устройства нижнего уровня Windows представляют Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Сведения о поддержке в Windows 7 см. в статье "Поддержка Windows 7 заканчивается". Сведения о поддержке Windows Server 2008 R2 см. в разделе "Подготовка к окончанию поддержки Windows Server 2008".
3 Среда инфраструктуры федеративных удостоверений представляет среду с поставщиком удостоверений (IdP), например AD FS или другим сторонним поставщиком удостоверений. В среде инфраструктуры федеративных удостоверений компьютеры следуют потоку регистрации управляемых устройств на основе параметров точки подключения службы Microsoft Windows Server Active Directory (SCP).
4 Среда инфраструктуры управляемого удостоверения представляет среду с идентификатором Microsoft Entra в качестве поставщика удостоверений, развернутого с синхронизацией хэша паролей (PHS) или сквозной проверкой подлинности (PTA) с простым единым входом.
5 Поддержка сохраняемости для Windows current требует другого рассмотрения, как описано в разделе рекомендаций. Для этого сценария требуется Windows 10 1803 или более поздней версии, Windows Server 2019 или Windows Server (полугодовый канал) начиная с версии 1803
6 Поддержка сохраняемости для Windows, текущая в среде инфраструктуры управляемых удостоверений, доступна только в локальной среде Citrix , управляемой клиентом и облачной службой. Для любых запросов, связанных с поддержкой, обратитесь в службу поддержки Citrix напрямую.
7 Поддержка сохраняемости для Windows нижнего уровня требует другого рассмотрения, как описано в разделе рекомендаций.
Поддержка 8 присоединений к Microsoft Entra доступна с виртуальным рабочим столом Azure, Windows 365 и Amazon WorkSpaces. Для любых запросов, связанных с поддержкой с помощью Amazon WorkSpaces и интеграции Microsoft Entra, обратитесь в службу поддержки Amazon напрямую.
Руководство майкрософт
Администраторы должны ссылаться на следующие статьи на основе инфраструктуры удостоверений, чтобы узнать, как настроить гибридное соединение Microsoft Entra.
- Настройка гибридного соединения Microsoft Entra для федеративной среды
- Настройка гибридного соединения Microsoft Entra для управляемой среды
Непрекращающаяся виртуальная среда VDI
При развертывании непрекращающегося VDI корпорация Майкрософт рекомендует организациям реализовать следующее руководство. Сбой в этом случае приводит к тому, что в каталоге имеется множество устаревших гибридных устройств Microsoft Entra, зарегистрированных на платформе VDI, не сохраняющейся. Эти устаревшие устройства приводят к увеличению давления на квоту клиента и риск прерывания работы службы из-за нехватки квоты клиента.
- Если вы используете средство подготовки системы (sysprep.exe) и используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована в идентификаторе Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- службы федерации Active Directory (AD FS) (AD FS) поддерживает мгновенное присоединение для непрекращающегося VDI и гибридного соединения Microsoft Entra.
- Создайте и используйте префикс для отображаемого имени (например, NPVDI-) компьютера, который указывает на рабочий стол как не сохраняющийся VDI.
- Для Windows нижнего уровня:
- Реализуйте команду autoworkplacejoin /leave в рамках скрипта выхода. Эта команда должна быть активирована в контексте пользователя и должна выполняться до того, как пользователь полностью отключился и существует сетевое подключение.
- Для Windows в федеративной среде (например, AD FS):
- Реализуйте dsregcmd /join в рамках последовательности загрузки и порядка загрузки виртуальной машины и перед входом пользователя.
- НЕ выполняйте dsregcmd /leave в рамках процесса завершения и перезапуска виртуальной машины.
- Определение и реализация процесса управления устаревшими устройствами.
- После того как вы сможете определить непрестанные гибридные устройства, присоединенные к Microsoft Entra (например, с префиксом отображаемого имени компьютера), вы должны быть более агрессивными при очистке этих устройств, чтобы убедиться, что каталог не используется с большим количеством устаревших устройств.
- Для развертываний VDI, не являющихся постоянными, на текущем и нижнем уровнях Windows следует удалить устройства, имеющие приблизительное значение ApproximateLastLogonTimestamp старше 15 дней.
Заметка
Если вы хотите запретить добавление рабочей или учебной учетной записи, убедитесь, что при использовании непрекращающегося VDI задан следующий раздел реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Убедитесь, что вы работаете под управлением Windows 10 версии 1803 или более поздней.
Перемещение данных в пути
%localappdata%не поддерживается. Если вы решили переместить содержимое%localappdata%в раздел, убедитесь, что содержимое следующих папок и разделов реестра никогда не покидает устройство в любом состоянии. Например: средства миграции профилей должны пропускать следующие папки и ключи:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinПеремещение сертификата устройства рабочей учетной записи не поддерживается. Сертификат, выданный MS-Organization-Access, хранится в хранилище сертификатов личного (MY) текущего пользователя и на локальном компьютере.
Постоянный VDI
При развертывании постоянного VDI корпорация Майкрософт рекомендует ИТ-администраторам реализовать следующее руководство. Сбой этого приводит к проблемам с развертыванием и проверкой подлинности.
- Если вы используете средство подготовки системы (sysprep.exe) и используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована в идентификаторе Microsoft Entra в качестве гибридного соединения Microsoft Entra.
Рекомендуется реализовать процесс управления устаревшими устройствами. Этот процесс гарантирует, что каталог не используется с большим количеством устаревших устройств, если вы периодически сбрасываете виртуальные машины.
Дальнейшие действия
Настройка гибридного соединения Microsoft Entra для федеративной среды