Удостоверение устройства и виртуализация рабочего стола

2025-06-27

Администраторы обычно развертывают инфраструктуру виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI), где в их организациях размещаются операционные системы Windows. Администраторы развертывают VDI в следующих целях:

оптимизация управления;
сокращение затрат за счет консолидации и централизации ресурсов;
обеспечение мобильности конечных пользователей и свободы доступа к виртуальным рабочим столам в любое время, откуда угодно и с любого устройства.

Существует два основных типа виртуальных рабочих столов:

Упорный
Непостоянный

В постоянных версиях используется уникальный образ рабочего стола для каждого пользователя или пула пользователей. Такие уникальные рабочие столы можно настраивать и сохранять для последующего использования.

Непостоянные версии используют коллекцию рабочих столов, к которым пользователи могут обращаться по мере необходимости. Эти не постоянные рабочие столы возвращаются к исходному состоянию, когда виртуальная машина проходит через процесс завершения работы или перезагрузки или сброса ОС.

Для организаций важно организовать правильное управление неактивными устройствами, которые неконтролируемо накапливаются при частой регистрации устройств без правильной стратегии управления жизненным циклом устройств.

Внимание

Отсутствие управления неактивными устройствами может привести к повышению нагрузки на использование вашей квоты арендатора и возможному риску прерывания работы службы, если ваша квота арендатора исчерпана. Чтобы избежать этой ситуации, используйте следующие рекомендации при развертывании не постоянных сред VDI.

Для успешного выполнения некоторых сценариев важно иметь уникальные имена устройств в каталоге. Это можно сделать путем правильного управления устаревшими устройствами или гарантировать уникальность имени устройства с помощью определенного шаблона в именовании устройств.

В этой статье рассматриваются рекомендации Майкрософт для администраторов по поддержке удостоверений устройств и VDI. Дополнительные сведения об удостоверении устройств см. в статье Что такое удостоверение устройства?.

Поддерживаемые сценарии

Перед настройкой идентичностей устройств в Microsoft Entra ID для среды VDI ознакомьтесь с поддерживаемыми сценариями. В следующей таблице показано, какие сценарии подготовки поддерживаются. Настройка в этом контексте подразумевает, что администратор может настраивать идентификаторы устройств в большом масштабе без необходимости вмешательства конечного пользователя.

Текущие устройства Windows работают под управлением Windows 10 или более поздних версий, Windows Server 2016 версии 1803 и выше, а также Windows Server 2019 и выше.

Тип идентификации устройства	Инфраструктура управления идентификацией	Устройства Windows	Версия платформы VDI	Поддерживается
подключены к Microsoft Entra в гибридном режиме.	Федеративный³	Текущая версия Windows	Упорный	Да
		Текущая версия Windows	Непостоянный	Да⁵
	Управляемый⁴	Текущая версия Windows	Упорный	Да
		Текущая версия Windows	Непостоянный	Лимитировано⁶
Microsoft Entra присоединились.	Федеративный	Текущая версия Windows	Упорный	Ограничено⁸
			Непостоянный	Нет
	Управляется	Текущая версия Windows	Упорный	Ограничено⁸
			Непостоянный	Нет
Microsoft Entra зарегистрирован.	Федеративная/управляемая	Текущая версия Windows	Постоянные/непостоянные	Не применяется

Внимание

При развертывании фермы VDI (постоянной или непостоянной), клиенты должны учитывать ограничения операций устройства Entra. Корпорация Майкрософт рекомендует выполнять запросы на регистрацию устройств с частотой 500 запросов каждые 2 минуты и 30 секунд. Сбой при выполнении таких запросов может привести к ошибкам регулирования, что приводит к сбоям регистрации устройств и более длительным задержкам для успешной регистрации устройства.

³ A Федеративная среда инфраструктуры удостоверений представляет среду с поставщиком удостоверений (IdP), таким как AD FS или другой поставщик удостоверений, отличный от Майкрософт. В среде инфраструктуры федеративной идентификации компьютеры следуют потоку регистрации федеративных устройств на основе параметров точки подключения службы (SCP) Microsoft Windows Server Active Directory.

⁴ Управляемая инфраструктура удостоверений представляет собой среду с идентификатором Microsoft Entra в качестве поставщика удостоверений, развернутого с синхронизацией хэша паролей (PHS) или сквозной проверкой подлинности (PTA) с бесшовным единым входом.

⁵Отсутствие сохраняемости для текущей версии Windows требует другого подхода, как описано в руководстве. В этом сценарии требуется Windows 10 1803 или более поздней версии, Windows Server 2019 или Windows Server (полугодовой канал), начиная с версии 1803.

⁶Поддержка неустойчивости для текущих версий Windows в среде инфраструктуры управляемых удостоверений доступна только при использовании Citrix , управляемой на площадке клиента и управляемой облачной службы. Для любых запросов, связанных с поддержкой, обратитесь в службу поддержки Citrix напрямую.

⁸поддержка присоединения к Microsoft Entra доступна с Azure Virtual Desktop, Windows 365и Amazon WorkSpaces. Для любых запросов, связанных с поддержкой с помощью Amazon WorkSpaces и интеграции Microsoft Entra, обратитесь в службу поддержки Amazon напрямую.

Руководство майкрософт

Администраторы должны обратиться к следующим статьям в зависимости от инфраструктуры удостоверений, чтобы узнать, как настроить гибридное присоединение Microsoft Entra.

Непостоянная VDI

Когда администраторы развертывают непрестойчивый VDI, корпорация Майкрософт рекомендует реализовать следующее руководство. Отсутствие действий приводит к тому, что в вашем каталоге появляется множество устаревших гибридных устройств Microsoft Entra, зарегистрированных на временной платформе VDI. Эти устаревшие устройства приводят к увеличению нагрузки на квоту арендатора и риску прерывания обслуживания из-за исчерпания квоты арендатора.

Если вы используете средство подготовки системы (sysprep.exe) и если вы используете образ до Windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано в Microsoft Entra ID как гибридное устройство Microsoft Entra.
Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не сделан с виртуальной машины, которая уже зарегистрирована в Microsoft Entra ID как гибридное подключение с Microsoft Entra.
службы федерации Active Directory (AD FS) поддерживают мгновенное присоединение для непостоянного VDI и гибридное присоединение Microsoft Entra.
Создайте и используйте префикс (например, NPVDI-) для отображаемого имени компьютера, который указывает на то, что рабочий стол является непостоянным и основан на VDI.
Для устройств Windows в федеративной среде (например, AD FS):
- Реализуйте dsregcmd /join в рамках последовательности загрузки или заказа виртуальной машины, а также перед входом пользователя в систему.
- НЕ выполняйте команду dsregcmd/leave в рамках процесса завершения работы/перезапуска виртуальной машины.
Определите и выполните процесс управления устаревшими устройствами.
- После того как вы разработаете стратегию для определения непостоянных гибридных устройств, присоединенных к Microsoft Entra (например, с использованием префикса в имени отображения компьютера), вам следует активнее заниматься очисткой этих устройств, чтобы убедиться, что ваш каталог не заполняется большим количеством устаревших устройств.
- Для развертываний VDI, не являющихся постоянными, следует удалить устройства с approximateLastLogonTimestamp старше 15 дней.

Примечание.

При использовании непостоянного VDI, если вы хотите запретить добавление рабочей или учебной учетной записи, убедитесь, что задан следующий раздел реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Используйте Windows 10 версии 1803 или более поздней.

Перемещение любых данных в папку %localappdata% не поддерживается. Если вы решили переместить содержимое в папку %localappdata%, убедитесь в том, что содержимое следующих папок и разделов реестра не покинет устройство ни при каких условиях. Например, средства миграции профилей должны пропускать следующие папки и ключи:

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
%localappdata%\Packages\<any app package>\AC\TokenBroker
%localappdata%\Microsoft\TokenBroker
%localappdata%\Microsoft\OneAuth
%localappdata%\Microsoft\IdentityCache
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker

Перемещение сертификата устройства рабочей учетной записи не поддерживается. Сертификат, выданный MS-Organization-Access, хранится в личном хранилище сертификатов текущего пользователя и на локальном компьютере.

Постоянная виртуальная инфраструктура рабочего стола (VDI)

Когда администраторы развертывают постоянный VDI, корпорация Майкрософт рекомендует реализовать следующее руководство. Сбой этого приводит к проблемам с развертыванием и проверкой подлинности.

Если вы используете средство подготовки системы (sysprep.exe) и если вы используете образ до Windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано в Microsoft Entra ID как гибридное устройство Microsoft Entra.
Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не сделан с виртуальной машины, которая уже зарегистрирована в Microsoft Entra ID как гибридное подключение с Microsoft Entra.

Мы рекомендуем вам реализовать процесс управления неактивными устройствами. Этот процесс гарантирует, что ваш каталог не засоряется большим количеством устаревших устройств, если вы периодически сбрасываете ВМ.

Следующие шаги

Настройка гибридного соединения Microsoft Entra для федеративной среды