Tożsamość urządzenia i wirtualizacja pulpitu
Administracja istratory często wdrażają platformy infrastruktury pulpitu wirtualnego (VDI) hostowania systemów operacyjnych Windows w swoich organizacjach. Administracja istratory wdrażają VDI w:
- Usprawnij zarządzanie.
- Obniżanie kosztów dzięki konsolidacji i centralizacji zasobów.
- Zapewnianie użytkownikom końcowym mobilności i swobody uzyskiwania dostępu do pulpitów wirtualnych w dowolnym momencie, z dowolnego miejsca na dowolnym urządzeniu.
Istnieją dwa podstawowe typy pulpitów wirtualnych:
- Stale
- Nietrwale trwałe
Wersje trwałe używają unikatowego obrazu pulpitu dla każdego użytkownika lub puli użytkowników. Te unikatowe pulpity można dostosowywać i zapisywać do użytku w przyszłości.
Wersje nietrwale używają kolekcji komputerów stacjonarnych, do których użytkownicy mogą uzyskiwać dostęp zgodnie z potrzebami. Te nietrwale pulpity są przywracane do pierwotnego stanu, w systemie Windows current1 ta zmiana ma miejsce, gdy maszyna wirtualna przechodzi przez proces zamykania/ponownego uruchamiania/resetowania systemu operacyjnego, a w systemie Windows na poziomie2 ta zmiana ma miejsce po wylogowaniu użytkownika.
Ważne jest, aby organizacje zarządzały nieaktywnymi urządzeniami, które zostały utworzone, ponieważ częste rejestrowanie urządzeń bez posiadania odpowiedniej strategii zarządzania cyklem życia urządzeń.
Ważne
Niepowodzenie zarządzania nieaktualnymi urządzeniami może prowadzić do zwiększenia presji na użycie limitu przydziału dzierżawy i potencjalnego ryzyka przerwy w działaniu usługi, jeśli zabraknie limitu przydziału dzierżawy. Skorzystaj z poniższych wskazówek podczas wdrażania nietrwale środowisk VDI, aby uniknąć tej sytuacji.
W przypadku pomyślnego wykonania niektórych scenariuszy ważne jest, aby w katalogu miały unikatowe nazwy urządzeń. Można to osiągnąć przez odpowiednie zarządzanie nieaktualnymi urządzeniami lub zagwarantować unikatowość nazw urządzeń przy użyciu pewnego wzorca w nazewnictwie urządzeń.
W tym artykule opisano wskazówki firmy Microsoft dotyczące administratorów w zakresie obsługi tożsamości urządzeń i dokumentacji VDI. Aby uzyskać więcej informacji na temat tożsamości urządzenia, zobacz artykuł Co to jest tożsamość urządzenia.
Obsługiwane scenariusze
Przed skonfigurowaniem tożsamości urządzeń w usłudze Microsoft Entra ID dla środowiska VDI zapoznaj się z obsługiwanymi scenariuszami. W poniższej tabeli przedstawiono obsługiwane scenariusze aprowizacji. Aprowizowanie w tym kontekście oznacza, że administrator może skonfigurować tożsamości urządzeń na dużą skalę bez konieczności interakcji z użytkownikiem końcowym.
| Typ tożsamości urządzenia | Infrastruktura tożsamości | Urządzenia z systemem Windows | Wersja platformy VDI | Obsługiwane |
|---|---|---|---|---|
| Przyłączono hybrydową usługę Microsoft Entra | Federacyjne3 | Windows current and Windows down-level (Bieżące systemy Windows i Windows na poziomie podrzędnym) | Stale | Tak |
| Bieżący system Windows | Nietrwale trwałe | Tak5 | ||
| System Windows niższego poziomu | Nietrwale trwałe | Tak6 | ||
| Zarządzane4 | Windows current and Windows down-level (Bieżące systemy Windows i Windows na poziomie podrzędnym) | Stale | Tak | |
| Bieżący system Windows | Nietrwale trwałe | Ograniczone6 | ||
| System Windows niższego poziomu | Nietrwale trwałe | Tak7 | ||
| Dołączono do usługi Microsoft Entra | Federacyjni | Bieżący system Windows | Stale | Ograniczone8 |
| Nietrwale trwałe | Nie. | |||
| Zarządzana | Bieżący system Windows | Stale | Ograniczone8 | |
| Nietrwale trwałe | Nie. | |||
| Zarejestrowano usługę Microsoft Entra | Federacyjne/zarządzane | Windows current/Windows down-level | Trwałe/nietrwale | Nie dotyczy |
1Bieżące urządzenia z systemem Windows reprezentują system Windows 10 lub nowszy, Windows Server 2016 v1803 lub nowszy oraz Windows Server 2019 lub nowszy.
2Urządzenia z systemem Windows na poziomie podrzędnym reprezentują systemy Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 i Windows Server 2012 R2. Aby uzyskać informacje o pomocy technicznej w systemie Windows 7, zobacz Zakończenie obsługi systemu Windows 7. Aby uzyskać informacje o pomocy technicznej w systemie Windows Server 2008 R2, zobacz Przygotowanie do zakończenia wsparcia dla systemu Windows Server 2008.
3 Środowisko infrastruktury tożsamości federacyjnej reprezentuje środowisko z dostawcą tożsamości, takim jak usługi AD FS lub inny dostawca tożsamości innej firmy. W środowisku infrastruktury tożsamości federacyjnej komputery postępują zgodnie z przepływem rejestracji urządzeń zarządzanych w oparciu o ustawienia Połączenie punktu scp (SCP) usługi Active Directory systemu Microsoft Windows Server.
4Środowisko infrastruktury tożsamości zarządzanej reprezentuje środowisko z identyfikatorem Firmy Microsoft Entra jako dostawcą tożsamości wdrożonym przy użyciu synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA) z bezproblemowym logowaniem jednokrotnym.
5Obsługa nietrwałości dla systemu Windows wymaga innych zagadnień, jak opisano w sekcji wskazówek. Ten scenariusz wymaga systemu Windows 10 1803 lub nowszego, Windows Server 2019 lub Windows Server (półroczny kanał) począwszy od wersji 1803
6Obsługa nietrwałości systemu Windows bieżącego w środowisku infrastruktury tożsamości zarządzanej jest dostępna tylko w przypadku zarządzanego przez klienta lokalnego rozwiązania Citrix i zarządzania usługą w chmurze. W przypadku wszelkich zapytań związanych z pomocą techniczną skontaktuj się bezpośrednio z pomocą techniczną firmy Citrix.
7Obsługa nietrwałości dla systemu Windows na poziomie podrzędnym wymaga innych zagadnień, jak opisano w sekcji wskazówek.
8Obsługa dołączania do firmy Microsoft Entra jest dostępna tylko w usługach Azure Virtual Desktop i Windows 365.
Wskazówki firmy Microsoft
Administracja istratory powinni zapoznać się z następującymi artykułami na podstawie infrastruktury tożsamości, aby dowiedzieć się, jak skonfigurować dołączanie hybrydowe firmy Microsoft Entra.
- Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla środowiska federacyjnego
- Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla środowiska zarządzanego
Nietrwale VDI
Podczas wdrażania nietrwale wirtualnego interfejsu VDI firma Microsoft zaleca organizacjom zaimplementowanie poniższych wskazówek. Niepowodzenie w tym celu powoduje, że katalog ma wiele nieaktualnych urządzeń dołączonych hybrydowo do firmy Microsoft Entra zarejestrowanych z nietrwałej platformy VDI. Te nieaktywne urządzenia powodują zwiększenie presji na limit przydziału dzierżawy i ryzyko przerwy w działaniu usługi z powodu braku limitu przydziału dzierżawy.
- Jeśli korzystasz z narzędzia przygotowywania systemu (sysprep.exe), a jeśli używasz obrazu przed systemem Windows 10 1809 do instalacji, upewnij się, że obraz nie pochodzi z urządzenia, które zostało już zarejestrowane w usłudze Microsoft Entra ID jako dołączone hybrydowo do firmy Microsoft Entra.
- Jeśli korzystasz z migawki maszyny wirtualnej w celu utworzenia większej liczby maszyn wirtualnych, upewnij się, że migawka nie pochodzi z maszyny wirtualnej, która jest już zarejestrowana w usłudze Microsoft Entra ID jako dołączenie hybrydowe firmy Microsoft Entra.
- Usługi active Directory Federation Services (AD FS) obsługują natychmiastowe dołączanie do nietrwale VDI i dołączania hybrydowego firmy Microsoft Entra.
- Utwórz i użyj prefiksu nazwy wyświetlanej (na przykład NPVDI-) komputera, który wskazuje pulpit jako nietrwale wirtualne elementy wirtualne.
- W przypadku systemu Windows na poziomie podrzędnym:
- Zaimplementuj autoworkplacejoin /leave polecenia w ramach skryptu wylogowywanie. To polecenie powinno zostać wyzwolone w kontekście użytkownika i powinno zostać wykonane, zanim użytkownik wylogował się całkowicie, a łączność sieciowa istnieje.
- W przypadku systemu Windows bieżącego w środowisku federacyjnym (na przykład usługi AD FS):
- Zaimplementuj narzędzie dsregcmd /join w ramach sekwencji rozruchu/kolejności rozruchu maszyny wirtualnej i przed zalogowaniem się użytkownika.
- NIE wykonuj polecenia dsregcmd /leave w ramach procesu zamykania/ponownego uruchamiania maszyny wirtualnej.
- Definiowanie i implementowanie procesu zarządzania nieaktywnymi urządzeniami.
- Po utworzeniu strategii identyfikowania nietrwale urządzeń dołączonych hybrydowo do firmy Microsoft Entra (takich jak używanie prefiksu nazwy wyświetlanej komputera) powinno być bardziej agresywne w czyszczeniu tych urządzeń, aby upewnić się, że katalog nie jest używany z dużą częścią nieaktywnych urządzeń.
- W przypadku nietrwałych wdrożeń VDI w systemie Windows bieżących i na poziomie podrzędnym należy usunąć urządzenia, które mają wartość ApproximateLastLogonTimestamp starsze niż 15 dni.
Uwaga
Jeśli chcesz uniemożliwić dodawanie konta służbowego w przypadku korzystania z nietrwale trwałych identyfikatorów VDI, upewnij się, że ustawiono następujący klucz rejestru: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Upewnij się, że korzystasz z systemu Windows 10 w wersji 1803 lub nowszej.
Roaming żadnych danych w ścieżce
%localappdata%nie jest obsługiwany. Jeśli zdecydujesz się przenieść zawartość w obszarze%localappdata%, upewnij się, że zawartość następujących folderów i kluczy rejestru nigdy nie opuszcza urządzenia pod żadnym warunkiem. Na przykład: Narzędzia migracji profilu muszą pominąć następujące foldery i klucze:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinRoaming certyfikatu urządzenia konta służbowego nie jest obsługiwany. Certyfikat wystawiony przez program "MS-Organization-Access" jest przechowywany w magazynie certyfikatów osobistych (MY) bieżącego użytkownika i na komputerze lokalnym.
Trwałe VDI
Podczas wdrażania trwałych wirtualnych dysków wirtualnych firma Microsoft zaleca, aby administratorzy IT wdrożyli następujące wskazówki. Niepowodzenie w tym celu powoduje problemy z wdrażaniem i uwierzytelnianiem.
- Jeśli korzystasz z narzędzia przygotowywania systemu (sysprep.exe), a jeśli używasz obrazu przed systemem Windows 10 1809 do instalacji, upewnij się, że obraz nie pochodzi z urządzenia, które zostało już zarejestrowane w usłudze Microsoft Entra ID jako dołączone hybrydowo do firmy Microsoft Entra.
- Jeśli korzystasz z migawki maszyny wirtualnej w celu utworzenia większej liczby maszyn wirtualnych, upewnij się, że migawka nie pochodzi z maszyny wirtualnej, która jest już zarejestrowana w usłudze Microsoft Entra ID jako dołączenie hybrydowe firmy Microsoft Entra.
Zalecamy zaimplementowanie procesu zarządzania nieaktualnymi urządzeniami. Ten proces zapewnia, że katalog nie jest używany z dużą ilością nieaktualnych urządzeń, jeśli okresowo resetujesz maszyny wirtualne.
Następne kroki
Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla środowiska federacyjnego