Удостоверение устройства и виртуализация рабочего стола
Администраторы обычно развертывают инфраструктуру виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI), где в их организациях размещаются операционные системы Windows. Администраторы развертывают VDI в следующих целях:
- оптимизация управления;
- сокращение затрат за счет консолидации и централизации ресурсов;
- обеспечение мобильности конечных пользователей и свободы доступа к виртуальным рабочим столам в любое время, откуда угодно и с любого устройства.
Существует два основных типа виртуальных рабочих столов:
- Постоянный
- Непостоянный
В постоянных версиях используется уникальный образ рабочего стола для каждого пользователя или пула пользователей. Такие уникальные рабочие столы можно настраивать и сохранять для последующего использования.
Временные версии используют коллекцию рабочих столов, к которым пользователи могут обращаться по мере необходимости. Временные рабочие столы возвращаются в исходное состояние. Для Windows текущей версии1 это происходит, когда виртуальная машина проходит процесс завершения работы, перезапуска или сброса операционной системы, а для Windows предыдущих версий2 — при выходе пользователя из системы.
Для организаций важно организовать правильное управление неактивными устройствами, которые неконтролируемо накапливаются при частой регистрации устройств без правильной стратегии управления жизненным циклом устройств.
Внимание
Невозможность управления неактивными устройствами может привести к повышению использования квоты арендатора и возможному риску прерывания работы службы, если квота арендатора будет исчерпана. Чтобы избежать этой ситуации, используйте следующие рекомендации при развертывании не постоянных сред VDI.
Для успешного выполнения некоторых сценариев важно иметь уникальные имена устройств в каталоге. Это можно сделать путем правильного управления устаревшими устройствами или гарантировать уникальность имени устройства с помощью определенного шаблона в именовании устройств.
В этой статье рассматриваются рекомендации Майкрософт для администраторов по поддержке удостоверений устройств и VDI. Дополнительные сведения об удостоверении устройств см. в статье Что такое удостоверение устройства?.
Поддерживаемые сценарии
Перед настройкой удостоверений устройств в идентификаторе Microsoft Entra для среды VDI ознакомьтесь с поддерживаемыми сценариями. В следующей таблице показано, какие сценарии подготовки поддерживаются. Подготовка в этом контексте подразумевает, что администратор может настраивать удостоверения устройств в масштабе, не требуя вмешательства конечного пользователя.
| Тип удостоверения устройства | Инфраструктура удостоверений | Устройства Windows | Версия платформы VDI | Поддерживается |
|---|---|---|---|---|
| имеют гибридное присоединение к Microsoft Entra; | Федеративная3 | Windows текущей версии и Windows низкого уровня | Постоянный | Да |
| Windows текущей версии | Непостоянный | Да5 | ||
| Устройства Windows нижнего уровня | Непостоянный | Да6 | ||
| Управляемая4 | Windows текущей версии и Windows низкого уровня | Постоянный | Да | |
| Windows текущей версии | Непостоянный | Ограниченноечисло 6 | ||
| Устройства Windows нижнего уровня | Непостоянный | Да7 | ||
| присоединены к Microsoft Entra; | Федеративные | Windows текущей версии | Постоянный | Ограничено8 |
| Непостоянный | No | |||
| Управляется | Windows текущей версии | Постоянный | Ограничено8 | |
| Непостоянный | No | |||
| зарегистрированы в Microsoft Entra. | Федеративная/управляемая | Windows текущей версии/Windows низкого уровня | Постоянный/временный | Н/Д |
1Текущие устройства Windows представляют Windows 10 или более поздней версии, Windows Server 2016 версии 1803 или более поздней версии, а также Windows Server 2019 или более поздней версии.
2Устройства с Windows низкого уровня — это устройства с Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Сведения о поддержке в Windows 7 см. на странице Поддержка Windows 7 прекращена. Сведения о поддержке Windows Server 2008 R2 см. на странице Подготовка к прекращению поддержки Windows Server 2008.
3 Среда инфраструктуры федеративных удостоверений представляет среду с поставщиком удостоверений (IdP), например AD FS или другим сторонним поставщиком удостоверений. В среде инфраструктуры федеративных удостоверений компьютеры следуют потоку регистрации управляемых устройств на основе параметров службы Microsoft Windows Server Active Directory Подключение point (SCP).
4 Среда инфраструктуры управляемого удостоверения представляет среду с идентификатором Microsoft Entra в качестве поставщика удостоверений, развернутого с синхронизацией хэша паролей (PHS) или сквозной проверкой подлинности (PTA) с простым единым входом.
5Поддержка сохраняемости для Windows current требует другого рассмотрения, как описано в разделе рекомендаций. В этом сценарии требуется Windows 10 1803 или более поздней версии, Windows Server 2019 или Windows Server (полугодовой канал), начиная с версии 1803.
6Поддержка сохраняемости для Windows, текущая в среде инфраструктуры управляемых удостоверений, доступна только в локальной среде Citrix , управляемой клиентом и облачной службой. Для любых запросов, связанных с поддержкой, обратитесь в службу поддержки Citrix напрямую.
7Поддержка сохраняемости для Windows нижнего уровня требует другого рассмотрения, как описано в разделе рекомендаций.
Поддержка 8присоединений к Microsoft Entra доступна только с виртуальным рабочим столом Azure и Windows 365.
Руководство майкрософт
Администратор istrator должны ссылаться на следующие статьи на основе инфраструктуры удостоверений, чтобы узнать, как настроить гибридное соединение Microsoft Entra.
- Настройка гибридного соединения Microsoft Entra для федеративной среды
- Настройка гибридного соединения Microsoft Entra для управляемой среды
Временная VDI
При развертывании непрекращающегося VDI корпорация Майкрософт рекомендует организациям реализовать следующее руководство. Сбой в этом случае приводит к тому, что в каталоге имеется множество устаревших гибридных устройств Microsoft Entra, зарегистрированных на платформе VDI, не сохраняющейся. Эти устаревшие устройства приводят к увеличению давления на квоту клиента и риск прерывания работы службы из-за нехватки квоты клиента.
- Если вы используете средство подготовки системы (sysprep.exe) и используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована в идентификаторе Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- службы федерации Active Directory (AD FS) (AD FS) поддерживает мгновенное присоединение для непрекращающегося VDI и гибридного соединения Microsoft Entra.
- Создайте и используйте префикс (например, NPVDI-) для отображаемого имени компьютера, который позволит отличать рабочие столы на основе временных VDI.
- Для Windows нижнего уровня:
- Выполните команду autoworkplacejoin /leave в рамках сценария выхода из системы. Эта команда должна запускаться в контексте пользователя и выполняться до того, как пользователь выйдет из системы и отключится от сети.
- Для Windows в федеративной среде (например, AD FS):
- Реализуйте dsregcmd /join в рамках последовательности загрузки или заказа виртуальной машины, а также перед входом пользователя в систему.
- НЕ выполняйте команду dsregcmd/leave в рамках процесса завершения работы/перезапуска виртуальной машины.
- Определите и выполните процесс управления устаревшими устройствами.
- После того как вы сможете определить непрестанные гибридные устройства, присоединенные к Microsoft Entra (например, с префиксом отображаемого имени компьютера), вы должны быть более агрессивными при очистке этих устройств, чтобы убедиться, что каталог не используется с большим количеством устаревших устройств.
- Для временных развертываний VDI в Windows текущей версии и низкого уровня следует удалить устройства со значением параметра ApproximateLastLogonTimestamp больше 15 дней.
Примечание.
Если вы хотите запретить добавление рабочей или учебной учетной записи, убедитесь, что при использовании непрекращающегося VDI задан следующий раздел реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Используйте Windows 10 версии 1803 или более поздней.
Перемещение любых данных в папку
%localappdata%не поддерживается. Если вы решили переместить содержимое в папку%localappdata%, убедитесь в том, что содержимое следующих папок и разделов реестра не покинет устройство ни при каких условиях. Например, средства миграции профиля должны пропускать следующие папки и ключи:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinПеремещение сертификата устройства рабочей учетной записи не поддерживается. Сертификат, выданный MS-Organization-Access, хранится в личном хранилище сертификатов текущего пользователя и на локальном компьютере.
Постоянная среда VDI
При развертывании постоянного VDI корпорация Майкрософт рекомендует ИТ-администраторам реализовать следующее руководство. Сбой этого приводит к проблемам с развертыванием и проверкой подлинности.
- Если вы используете средство подготовки системы (sysprep.exe) и используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована в идентификаторе Microsoft Entra в качестве гибридного соединения Microsoft Entra.
Мы рекомендуем вам реализовать процесс управления неактивными устройствами. Этот процесс гарантирует, что каталог не используется с большим количеством устаревших устройств, если вы периодически сбрасываете виртуальные машины.
Следующие шаги
Настройка гибридного соединения Microsoft Entra для федеративной среды