Apparaatidentiteit en desktopvirtualisatie
De beheerders implementeren doorgaans VDI-platformen (Virtual Desktop Infrastructure) die Als host fungeren voor Windows-besturingssystemen in hun organisatie. Beheerders implementeren de VDI om het volgende te doen:
- Het beheer stroomlijnen.
- Kosten te verlagen door middel van consolidatie en centralisatie van resources.
- Eindgebruikers mobiliteit en de vrijheid bieden om altijd en overal toegang te krijgen tot virtuele bureaubladen op elk apparaat.
Er zijn twee primaire typen voor virtuele bureaubladen:
- Permanent
- Niet-permanent
Permanente versies maken gebruik van unieke bureaubladinstallatiekopieën voor elke gebruiker of een groep gebruikers. Deze unieke bureaubladen kunnen ook worden aangepast en opgeslagen voor toekomstig gebruik.
Niet-permanente versies maken gebruik van een verzameling desktops waartoe de gebruikers zo nodig toegang hebben. Deze niet-permanente bureaubladen worden teruggezet naar de oorspronkelijke staat, in huidige Windows1 vindt deze wijziging plaats wanneer een virtuele machine een proces voor afsluiten/opnieuw opstarten/opnieuw opstarten/opnieuw instellen van het besturingssysteem doorloopt en in downlevel Windows2 gebeurt deze wijziging wanneer een gebruiker zich afmeldt.
Het is belangrijk om te zorgen dat de organisaties verouderde apparaten beheren die worden gemaakt omdat frequente apparaatregistratie zonder een juiste strategie voor het beheer van de levenscyclus van apparaten te hebben.
Belangrijk
Als u de verouderde apparaten niet beheert, kan dit leiden tot een hogere druk op het gebruik van uw tenantquotum en mogelijk risico op serviceonderbreking als u geen tenantquotum meer hebt. Gebruik de volgende richtlijnen bij het implementeren van niet-permanente VDI-omgevingen om deze situatie te voorkomen.
Voor een geslaagde uitvoering van sommige scenario's is het belangrijk dat u unieke apparaatnamen in de map hebt. Dit kan worden bereikt door het juiste beheer van verouderde apparaten of u kunt garanderen dat apparaatnaam uniek is door een bepaald patroon in apparaatnaamgeving te gebruiken.
In dit artikel worden de richtlijnen van Microsoft beschreven voor beheerders die ondersteuning bieden voor apparaatidentiteit en VDI. Raadpleeg het artikel Wat is een apparaat-id voor meer informatie over apparaatidentiteit.
Ondersteunde scenario's
Voordat u apparaat-id's configureert in Microsoft Entra ID voor uw VDI-omgeving, moet u vertrouwd raken met de ondersteunde scenario's. In de volgende tabel ziet u welke inrichtingsscenario's worden ondersteund. Inrichten in deze context impliceert dat een beheerder de apparaatidentiteiten op schaal kan configureren zonder tussenkomst van de eindgebruiker.
| ID-type voor apparaat | Id-infrastructuur | Windows-apparaten | De VDI-platformversie | Ondersteund |
|---|---|---|---|---|
| Hybride aan Microsoft Entra gekoppeld | Federatief3 | Huidige Windows en downlevel Windows | Permanent | Ja |
| Huidige Windows | Niet-permanent | Ja5 | ||
| Downlevel Windows | Niet-permanent | Ja6 | ||
| Beheerd4 | Huidige Windows en downlevel Windows | Permanent | Ja | |
| Huidige Windows | Niet-permanent | Beperkt6 | ||
| Downlevel Windows | Niet-permanent | Ja7 | ||
| Aan Microsoft Entra gekoppeld | Federatief | Huidige Windows | Permanent | Beperkt8 |
| Niet-permanent | Nee | |||
| Beheerd | Huidige Windows | Permanent | Beperkt8 | |
| Niet-permanent | Nee | |||
| Microsoft Entra geregistreerd | Federatief/Beheerd | Huidige Windows/Downlevel Windows | Permanent/Niet-permanent | Niet van toepassing |
1Windows huidige apparaten vertegenwoordigen Windows 10 of hoger, Windows Server 2016 v1803 of hoger, en Windows Server 2019 of hoger.
2Downlevel Windows apparaten vertegenwoordigen Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, en Windows Server 2012 R2. Raadpleeg Ondersteuning voor Windows 7 eindigt voor ondersteuningsinformatie over Windows 7. Raadpleeg Voorbereiden voor einde van ondersteuning voor Windows Server 2008 R2 voor meer informatie over het einde van de ondersteuning voor Windows Server 2008.
3 Een omgeving met federatieve identiteitsinfrastructuur vertegenwoordigt een omgeving met een id-provider (IdP), zoals AD FS of andere IdP van derden. In een omgeving met federatieve identiteitsinfrastructuur volgen computers de registratiestroom voor beheerde apparaten op basis van de SCP-instellingen (Microsoft Windows Server Active Directory Service Verbinding maken ion Point).
4 Een infrastructuuromgeving voor beheerde identiteit vertegenwoordigt een omgeving met Microsoft Entra-id als de id-provider die is geïmplementeerd met wachtwoord-hashsynchronisatie (PHS) of pass-through-verificatie (PTA) met naadloze eenmalige aanmelding.
5Ondersteuning voor niet-persistentie voor Windows huidige vereist andere overwegingen, zoals beschreven in de richtlijnensectie. Voor dit scenario is Windows 10 1803 of nieuwer, Windows Server 2019 of Windows Server (Semi-Annual-kanaal) vereist vanaf versie 1803
6Ondersteuning voor niet-persistentie voor Windows actueel in een omgeving met beheerde identiteitsinfrastructuur is alleen beschikbaar voor Citrix on-premises door de klant beheerde en cloudservice. Neem rechtstreeks contact op met citrix-ondersteuning voor eventuele ondersteuningsquery's.
7Ondersteuning voor niet-persistentie voor downlevel Windows vereist andere overwegingen, zoals beschreven in de richtlijnensectie.
8Microsoft Entra join-ondersteuning is alleen beschikbaar met Azure Virtual Desktop en Windows 365.
Richtlijnen van Microsoft
Beheer istrators moeten verwijzen naar de volgende artikelen, op basis van hun identiteitsinfrastructuur, voor meer informatie over het configureren van Hybride Join van Microsoft Entra.
- Hybride deelname van Microsoft Entra configureren voor federatieve omgeving
- Hybride deelname van Microsoft Entra configureren voor beheerde omgeving
Niet-permanent VDI
Bij het implementeren van niet-permanente VDI raadt Microsoft organisaties aan de volgende richtlijnen te implementeren. Als u dit niet doet, heeft uw directory een groot aantal verouderde hybride apparaten van Microsoft Entra die zijn geregistreerd bij uw niet-permanente VDI-platform. Deze verouderde apparaten leiden tot een verhoogde druk op uw tenantquotum en het risico op serviceonderbreking vanwege een onvoldoende tenantquotum.
- Als u afhankelijk bent van het hulpprogramma voor systeemvoorbereiding (sysprep.exe) en als u een installatiekopieën van vóór Windows 10 1809 gebruikt, moet u ervoor zorgen dat de installatiekopieën niet afkomstig zijn van een apparaat dat al is geregistreerd bij Microsoft Entra-id als hybride toegevoegd aan Microsoft Entra.
- Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u ervoor zorgen dat de momentopname niet afkomstig is van een VM die al is geregistreerd bij Microsoft Entra-id als Hybride Join van Microsoft Entra.
- Active Directory Federation Services (AD FS) ondersteunt instant join voor niet-permanente VDI en Microsoft Entra hybrid join.
- Maak en gebruik een voorvoegsel voor weergavenaam (bijvoorbeeld NPVDI-) van de computer die het bureaublad aangeeft als niet-permanente VDI-gebaseerd.
- Voor Windows down-level:
- Implementeer de opdracht autoworkplacejoin /leave als een onderdeel van het afmeldingsscript. Deze opdracht moet worden geactiveerd in de context van de gebruiker en moet dan worden uitgevoerd voordat de gebruiker zich volledig heeft afgemeld en de netwerkverbinding bestaat.
- Voor Windows actueel in een federatieve omgeving (bijvoorbeeld AD FS):
- Implementeer dsregcmd /join als een onderdeel van de VM-opstartvolgorde/-volgorde en voor de gebruiker zich aanmeldt.
- NIET dsregcmd /leave uitvoeren als deel van het proces van het uitschakelen/opnieuw opstarten van virtuele machine.
- Definieer en implementeer het proces voor beheren van verouderde apparaten.
- Zodra u een strategie hebt om uw niet-permanente hybride apparaten van Microsoft Entra te identificeren (zoals het gebruik van het voorvoegsel voor de weergavenaam van de computer), moet u agressiever zijn bij het opschonen van deze apparaten om ervoor te zorgen dat uw directory niet wordt verbruikt met veel verouderde apparaten.
- Voor de niet-permanente VDI-implementaties op huidig en lager niveau van Windows moet u apparaten verwijderen met de geschatteLastLogonTimestamp van meer dan 15 dagen.
Notitie
Als u niet-permanente VDI gebruikt, moet u ervoor zorgen dat de volgende registersleutel is ingesteld als u wilt voorkomen dat u een werk- of schoolaccount toevoegt: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Zorg dat u Windows 10, versie 1803 of hoger gebruikt.
Roaming van de gegevens onder het pad
%localappdata%wordt niet ondersteund. Als u ervoor kiest om inhoud onder%localappdata%te verplaatsen, dan moet u zorgen dat de inhoud van de volgende mappen en registersleutels het apparaat nooit onder een voorwaarde verlaat. Voorbeeld: De hulpprogramma's voor profielmigratie moeten de volgende mappen en sleutels overslaan:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinRoaming van het apparaatcertificaat van werkaccount wordt niet ondersteund. Het certificaat, uitgegeven door MS-Organization-Access, wordt opgeslagen in het persoonlijke certificaatarchief (MY) van huidige gebruiker en op lokale computer.
De permanente VDI
Bij het implementeren van permanente VDI raadt Microsoft aan dat IT-beheerders de volgende richtlijnen implementeren. Als u dit niet doet, worden implementatie- en verificatieproblemen veroorzaakt.
- Als u afhankelijk bent van het hulpprogramma voor systeemvoorbereiding (sysprep.exe) en als u een installatiekopieën van vóór Windows 10 1809 gebruikt, moet u ervoor zorgen dat de installatiekopieën niet afkomstig zijn van een apparaat dat al is geregistreerd bij Microsoft Entra-id als hybride toegevoegd aan Microsoft Entra.
- Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u ervoor zorgen dat de momentopname niet afkomstig is van een VM die al is geregistreerd bij Microsoft Entra-id als Hybride Join van Microsoft Entra.
U wordt aangeraden een proces te implementeren voor beheren van verouderde apparaten. Dit proces zorgt ervoor dat uw directory niet wordt gebruikt met veel verouderde apparaten als u uw VM's periodiek opnieuw instelt.
Volgende stappen
Hybride deelname van Microsoft Entra configureren voor federatieve omgeving