Удостоверения устройств и виртуализация рабочих столов
Администраторы обычно развертывают инфраструктуру виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI), где в их организациях размещаются операционные системы Windows. Администраторы развертывают VDI в следующих целях:
- оптимизация управления;
- сокращение затрат за счет консолидации и централизации ресурсов;
- обеспечение мобильности конечных пользователей и свободы доступа к виртуальным рабочим столам в любое время, откуда угодно и с любого устройства.
Существует два основных типа виртуальных рабочих столов:
- Постоянный
- Временный
В постоянных версиях используется уникальный образ рабочего стола для каждого пользователя или пула пользователей. Такие уникальные рабочие столы можно настраивать и сохранять для последующего использования.
Временные версии используют коллекцию рабочих столов, к которым пользователи могут обращаться по мере необходимости. Временные рабочие столы возвращаются в исходное состояние. Для Windows текущей версии1 это происходит, когда виртуальная машина проходит процесс завершения работы, перезапуска или сброса операционной системы, а для Windows предыдущих версий2 — при выходе пользователя из системы.
Для организаций важно организовать правильное управление неактивными устройствами, которые неконтролируемо накапливаются при частой регистрации устройств без правильной стратегии управления жизненным циклом устройств.
Важно!
Невозможность управления неактивными устройствами может привести к повышению использования квоты арендатора и возможному риску прерывания работы службы, если квота арендатора будет исчерпана. При развертывании временных сред VDI соблюдайте приведенные ниже инструкции, чтобы избежать такой ситуации.
Для успешного выполнения некоторых сценариев важно иметь уникальные имена устройств в каталоге. Этого можно достичь за счет правильного управления устаревшими устройствами, или вы можете гарантировать уникальность имени устройства с помощью некоторого шаблона именования устройств.
В этой статье рассматриваются инструкции корпорации Майкрософт по поддержке удостоверений устройств и VDI для администраторов. Дополнительные сведения об удостоверениях устройств см. в статье Что такое удостоверение устройства.
Поддерживаемые сценарии
Перед настройкой удостоверений устройств в Azure AD для вашей среды VDI ознакомьтесь с поддерживаемыми сценариями. В следующей таблице показано, какие сценарии подготовки поддерживаются. Подготовка в этом контексте подразумевает, что администратор может настраивать удостоверения устройств в масштабе, не требуя вмешательства конечного пользователя.
| Тип удостоверения устройства | Инфраструктура удостоверений | Устройства Windows | Версия платформы VDI | Поддерживается |
|---|---|---|---|---|
| присоединение к Azure AD (гибридные устройства). | Федеративная3 | Windows текущей версии и Windows низкого уровня | Постоянный | Да |
| Windows текущей версии | Временный | Да5 | ||
| Устройства Windows нижнего уровня | Временный | Да6 | ||
| Управляемая4 | Windows текущей версии и Windows низкого уровня | Постоянный | Да | |
| Windows текущей версии | Временный | нет | ||
| Устройства Windows нижнего уровня | Временный | Да6 | ||
| присоединение к Azure AD; | Федеративные | Windows текущей версии | Постоянный | Ограниченный 7 |
| Временный | нет | |||
| управляемость. | Windows текущей версии | Постоянный | Ограниченный 7 | |
| Временный | нет | |||
| Зарегистрировано в Azure AD | Федеративная/управляемая | Windows текущей версии/Windows низкого уровня | Постоянный/временный | Н/Д |
1Устройства с Windows текущей версии — это устройства с Windows 10 или более поздней версии, Windows Server 2016 версии 1803 или более поздней и Windows Server 2019.
2Устройства с Windows низкого уровня — это устройства с Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Сведения о поддержке в Windows 7 см. на странице Поддержка Windows 7 прекращена. Сведения о поддержке Windows Server 2008 R2 см. на странице Подготовка к прекращению поддержки Windows Server 2008.
3Федеративная инфраструктура удостоверений представляет среду с таким поставщиком удостоверений, как AD FS или другой сторонний IDP. В среде инфраструктуры федеративных удостоверений компьютеры следуют потоку регистрации управляемых устройств на основе параметров точки подключения службы AD (SCP).
4Управляемая инфраструктура удостоверений представляет среду с Azure AD в качестве поставщика удостоверений, развернутую с помощью синхронизации хэша паролей или сквозной проверки подлинности с простым единым входом.
5Поддержка временных рабочих столов для Windows текущей версии требует учета дополнительных факторов, которые описаны ниже в разделе инструкций. В этом сценарии требуется Windows 10 1803 или более поздней версии, Windows Server 2019 или Windows Server (полугодовой канал), начиная с версии 1803.
6Поддержка временных рабочих столов для Windows предыдущих версий требует учета дополнительных факторов, которые описаны ниже в разделе инструкций.
7Поддержка присоединения к Azure AD доступна только с помощью Виртуального рабочего стола Azure и Windows 365.
Инструкции Майкрософт
Чтобы узнать, как настроить гибридное присоединение к Azure AD, администраторам следует обратиться к следующим статьям в зависимости от инфраструктуры идентификации:
- Настройка гибридного присоединения к Azure Active Directory для федеративной среды
- Настройка гибридного присоединения к Azure Active Directory для управляемой среды
Временная VDI
При развертывании временных VDI корпорация Майкрософт рекомендует организациям соблюдать приведенные ниже инструкции. В случае несоблюдения этих инструкций в вашем каталоге появится много неактивных устройств с гибридным присоединением к Azure AD, которые были зарегистрированы на платформе временных VDI. Это приведет к быстрому исчерпанию квоты для арендатора и риску прерывания работы службы.
- Если вы используете средство подготовки системы (sysprep.exe) и предварительно установленный образ Windows 10 версии 1809, этот образ не должен быть взят с устройства, которое уже зарегистрировано в Azure AD с гибридным присоединением к Azure AD.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, этот снимок не должен быть взят с виртуальной машины, которая уже зарегистрирована в Azure AD с гибридным присоединением к Azure AD.
- Службы федерации Active Directory (AD FS) поддерживают мгновенное присоединение для временных VDI и гибридное присоединение к Azure AD.
- Создайте и используйте префикс (например, NPVDI-) для отображаемого имени компьютера, который позволит отличать рабочие столы на основе временных VDI.
- Для Windows низкого уровня:
- Выполните команду autoworkplacejoin /leave в рамках сценария выхода из системы. Эта команда должна запускаться в контексте пользователя и выполняться до того, как пользователь выйдет из системы и отключится от сети.
- Для Windows текущей версии в федеративной среде (например, AD FS):
- Реализуйте dsregcmd /join в рамках последовательности загрузки или заказа виртуальной машины, а также перед входом пользователя в систему.
- НЕ выполняйте команду dsregcmd/leave в рамках процесса завершения работы/перезапуска виртуальной машины.
- Определите и выполните процесс управления устаревшими устройствами.
- Подготовив стратегию для определения временных устройств с гибридным присоединением к Azure AD (например, на основе префикса отображаемого имени компьютера), необходимо активно выполнять очистку таких устройств, чтобы неактивные устройства не исчерпали квоту для вашего каталога.
- Для временных развертываний VDI в Windows текущей версии и низкого уровня следует удалить устройства со значением параметра ApproximateLastLogonTimestamp больше 15 дней.
Примечание
При использовании временной VDI, если вам нужно запретить добавление рабочей или учебной учетной записи, настройте следующий раздел реестра.
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Используйте Windows 10 версии 1803 или более поздней.
Перемещение любых данных в папку %localappdata% не поддерживается. Если вы решили переместить содержимое в папку %localappdata%, убедитесь в том, что содержимое следующих папок и разделов реестра не покинет устройство ни при каких условиях. Например, средства миграции профиля должны пропускать следующие папки и ключи:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
Перемещение сертификата устройства рабочей учетной записи не поддерживается. Сертификат, выданный MS-Organization-Access, хранится в личном хранилище сертификатов текущего пользователя и на локальном компьютере.
Постоянная среда VDI
При развертывании постоянной VDI корпорация Майкрософт рекомендует ИТ-администраторам выполнять приведенные ниже инструкции. Несоблюдение этих инструкций приведет к проблемам с развертыванием и проверкой подлинности.
- Если вы используете средство подготовки системы (sysprep.exe) и предварительно установленный образ Windows 10 версии 1809, этот образ не должен быть взят с устройства, которое уже зарегистрировано в Azure AD с гибридным присоединением к Azure AD.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, этот снимок не должен быть взят с виртуальной машины, которая уже зарегистрирована в Azure AD с гибридным присоединением к Azure AD.
Мы рекомендуем вам реализовать процесс управления неактивными устройствами. Это предотвратит заполнение вашего каталога множеством неактивных устройств, если вы часто выполняете сброс виртуальных машин.
Дальнейшие действия
Настройка гибридного присоединения к Azure Active Directory для федеративной среды