De apparaatidentiteit en bureaubladvirtualisatie

De beheerders implementeren doorgaans VDI-platformen (Virtual Desktop Infrastructure) die Als host fungeren voor Windows-besturingssystemen in hun organisatie. Beheerders implementeren de VDI om het volgende te doen:

  • Het beheer stroomlijnen.
  • Kosten te verlagen door middel van consolidatie en centralisatie van resources.
  • Eindgebruikers mobiliteit en de vrijheid bieden om altijd en overal toegang te krijgen tot virtuele bureaubladen op elk apparaat.

Er zijn twee primaire typen voor virtuele bureaubladen:

  • Permanent
  • Niet-permanent

Permanente versies maken gebruik van unieke bureaubladinstallatiekopieën voor elke gebruiker of een groep gebruikers. Deze unieke bureaubladen kunnen ook worden aangepast en opgeslagen voor toekomstig gebruik.

Niet-permanente versies maken gebruik van een verzameling desktops waartoe de gebruikers zo nodig toegang hebben. Deze niet-permanente bureaubladen worden teruggezet naar de oorspronkelijke staat, in huidige Windows1 vindt deze wijziging plaats wanneer een virtuele machine een proces voor afsluiten/opnieuw opstarten/opnieuw opstarten/opnieuw instellen van het besturingssysteem doorloopt en in downlevel Windows2 gebeurt deze wijziging wanneer een gebruiker zich afmeldt.

Het is belangrijk om te zorgen dat de organisaties verouderde apparaten beheren die worden gemaakt omdat frequente apparaatregistratie zonder een juiste strategie voor het beheer van de levenscyclus van apparaten te hebben.

Belangrijk

Als u de verouderde apparaten niet beheert, kan dit leiden tot een hogere druk op het gebruik van uw tenantquotum en mogelijk risico op serviceonderbreking als u geen tenantquotum meer hebt. Volg de onderstaande richtlijnen bij implementeren van niet-permanente VDI-omgevingen om deze situatie te voorkomen.

Voor een succesvolle uitvoering van sommige scenario's is het belangrijk om unieke apparaatnamen in de map te hebben. Dit kan worden bereikt door het juiste beheer van verouderde apparaten, of u kunt de uniekheid van de apparaatnaam garanderen door een patroon te gebruiken in de naamgeving van apparaten.

In dit artikel worden de richtlijnen van Microsoft beschreven voor beheerders voor de ondersteuning voor apparaatidentiteit en VDI. Raadpleeg het artikel Wat is een apparaat-id voor meer informatie over apparaatidentiteit.

Ondersteunde scenario's

Voordat u de apparaatidentiteiten configureert in Azure AD voor uw VDI-omgeving, moet u vertrouwd raken met de ondersteunde scenario's. In onderstaande tabel ziet u welke inrichtingsscenario's worden ondersteund. Inrichten in deze context impliceert dat een beheerder de apparaatidentiteiten op schaal kan configureren zonder tussenkomst van de eindgebruiker.

ID-type voor apparaat Id-infrastructuur Windows-apparaten De VDI-platformversie Ondersteund
Hybride Azure AD-deelname Federatief3 Huidige Windows en downlevel Windows Permanent Yes
Huidige Windows Niet-permanent Ja5
Downlevel Windows Niet-permanent Ja6
Beheerd4 Huidige Windows en downlevel Windows Permanent Yes
Huidige Windows Niet-permanent No
Downlevel Windows Niet-permanent Ja6
Azure AD-deelname Federatief Huidige Windows Permanent Beperkt7
Niet-permanent No
Beheerd Huidige Windows Permanent Beperkt7
Niet-permanent No
Azure AD-geregistreerd Federatief/Beheerd Huidige Windows/Downlevel Windows Permanent/Niet-permanent Niet van toepassing

1Huidige Windows apparaten vertegenwoordigen Windows 10 of hoger, Windows Server 2016 v1803 of hoger en Windows Server 2019.

2Downlevel Windows apparaten vertegenwoordigen Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, en Windows Server 2012 R2. Raadpleeg Ondersteuning voor Windows 7 eindigt voor ondersteuningsinformatie over Windows 7. Raadpleeg Voorbereiden voor einde van ondersteuning voor Windows Server 2008 R2 voor meer informatie over het einde van de ondersteuning voor Windows Server 2008.

3 Een omgeving met federatieve identiteitsinfrastructuur vertegenwoordigt een omgeving met een id-provider zoals bijv. AD FS of andere IDP van derden. In een omgeving met federatieve identiteitsinfrastructuur volgen computers de stroom voor de registratie van beheerde apparaten op basis van de SCP-instellingen (AD Service Connection Point).

4 Een infrastructuuromgeving voor beheerde identiteit vertegenwoordigt een omgeving met Azure AD als de id-provider die is geïmplementeerd met wachtwoordhashsynchronisatie (PHS) of passthrough-verificatie (PTA) met een naadloze eenmalige aanmelding.

5Ondersteuning voor niet-persistentie voor huidige Windows vereist andere overwegingen, zoals hieronder beschreven in de richtlijnensectie. Voor dit scenario is Windows 10 1803 of nieuwer, Windows Server 2019 of Windows Server (Semi-Annual-kanaal) vereist vanaf versie 1803

6Ondersteuning voor niet-persistentie voor downlevel Windows vereist eventuele andere overwegingen, zoals hieronder beschreven in de richtlijnensectie.

7Azure AD-ondersteuning voor deelname is alleen beschikbaar met Azure Virtual Desktop en Windows 365

De richtlijnen van Microsoft

De beheerders moeten verwijzen naar de volgende artikelen, op basis van hun identiteitsinfrastructuur, voor meer informatie over het configureren van hybride Azure AD join.

Niet-permanent VDI

Bij implementeren van niet-permanente VDI raadt Microsoft organisaties aan deze onderstaande richtlijnen te implementeren. Als u dit niet doet, leidt dit ertoe dat uw map veel verouderde hybride Azure AD gekoppelde apparaten heeft die zijn geregistreerd vanaf uw niet-permanente VDI-platform, wat resulteert in een verhoogde druk op uw tenantquotum en het risico op serviceonderbreking vanwege een onvoldoende tenantquotum.

  • Als u afhankelijk bent van het hulpprogramma voor systeemvoorbereiding (sysprep.exe) en als u een installatiekopieën van vóór Windows 10 1809 gebruikt, moet u zorgen dat de installatiekopieën niet afkomstig zijn van een apparaat dat al is geregistreerd bij Azure AD als hybride Azure AD toegevoegd.
  • Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u zorgen dat de momentopname niet afkomstig is van een VM die al is geregistreerd bij Azure AD als Hybride Azure AD-koppeling.
  • Active Directory Federation Services (AD FS) ondersteunt instant join voor de niet-permanente VDI en Hybrid Azure AD Join.
  • Maak en gebruik een voorvoegsel voor weergavenaam (bijvoorbeeld NPVDI-) van de computer die het bureaublad aangeeft als niet-permanente VDI-gebaseerd.
  • Voor downlevel Windows:
    • Implementeer de opdracht autoworkplacejoin /leave als een onderdeel van het afmeldingsscript. Deze opdracht moet worden geactiveerd in de context van de gebruiker en moet dan worden uitgevoerd voordat de gebruiker zich volledig heeft afgemeld en de netwerkverbinding bestaat.
  • Voor huidige Windows in een federatieve omgeving (bijvoorbeeld AD FS):
    • Implementeer dsregcmd /join als een onderdeel van de VM-opstartvolgorde/-volgorde en voor de gebruiker zich aanmeldt.
    • NIET dsregcmd /leave uitvoeren als deel van het proces van het uitschakelen/opnieuw opstarten van virtuele machine.
  • Definieer en implementeer het proces voor beheren van verouderde apparaten.
    • Zodra u een strategie hebt om uw niet-permanente hybride Azure AD-gekoppelde apparaten te identificeren (zoals gebruik van het voorvoegsel van de weergavenaam van de computer), moet u agressiever zijn bij het opschonen van deze apparaten om ervoor te zorgen dat uw directory niet wordt gebruikt met veel verouderde apparaten.
    • Voor de niet-permanente VDI-implementaties op huidig en lager niveau van Windows moet u apparaten verwijderen met de geschatteLastLogonTimestamp van meer dan 15 dagen.

Notitie

Als u een niet-permanente VDI gebruikt, moet u ervoor zorgen dat de volgende registersleutel is ingesteld als u wilt voorkomen dat u een werk- of schoolaccount toevoegt:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Zorg dat u Windows 10, versie 1803 of hoger gebruikt.

Roaming van de gegevens onder het pad %localappdata% wordt niet ondersteund. Als u ervoor kiest om inhoud onder %localappdata% te verplaatsen, dan moet u zorgen dat de inhoud van de volgende mappen en registersleutels het apparaat nooit onder een voorwaarde verlaat. Voorbeeld: De hulpprogramma's voor profielmigratie moeten de volgende mappen en sleutels overslaan:

  • %localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
  • %localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
  • %localappdata%\Packages\<any app package>\AC\TokenBroker
  • %localappdata%\Microsoft\TokenBroker
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin

Roaming van het apparaatcertificaat van werkaccount wordt niet ondersteund. Het certificaat, uitgegeven door MS-Organization-Access, wordt opgeslagen in het persoonlijke certificaatarchief (MY) van huidige gebruiker en op lokale computer.

De permanente VDI

Wanneer u een permanente VDI implementeert, raadt Microsoft IT-beheerders aan de onderstaande richtlijnen te implementeren. Als u dit niet doet, dan worden implementatie- en verificatieproblemen veroorzaakt.

  • Als u afhankelijk bent van het hulpprogramma voor systeemvoorbereiding (sysprep.exe) en als u een installatiekopieën van vóór Windows 10 1809 gebruikt, moet u zorgen dat de installatiekopieën niet afkomstig zijn van een apparaat dat al is geregistreerd bij Azure AD als hybride Azure AD toegevoegd.
  • Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u zorgen dat de momentopname niet afkomstig is van een VM die al is geregistreerd bij Azure AD als Hybride Azure AD-koppeling.

U wordt aangeraden een proces te implementeren voor beheren van verouderde apparaten. Dit proces zorgt dat uw directory niet wordt gebruikt met veel verouderde apparaten als u uw VM's periodiek opnieuw instelt.

Volgende stappen

Hybride Azure Active Directory-deelname voor federatieve omgeving configureren