Enhetsidentitet och skrivbordsvirtualisering
Administratörer distribuerar ofta VDI-plattformar (Virtual Desktop Infrastructure) som är värdar för Windows-operativsystem i deras organisationer. Administratörer distribuerar VDI för att:
- Effektivisera hanteringen.
- Minska kostnaderna genom konsolidering och centralisering av resurser.
- Ge slutanvändarna mobilitet och frihet att komma åt virtuella skrivbord när som helst, var som helst, på valfri enhet.
Det finns två primära typer av virtuella skrivbord:
- Permanent
- Ej beständiga
Beständiga versioner använder en unik skrivbordsavbildning för varje användare eller en pool med användare. Dessa unika skrivbord kan anpassas och sparas för framtida användning.
Icke-beständiga versioner använder en samling skrivbord som användarna kan komma åt efter behov. Dessa icke-beständiga skrivbord återställs till sitt ursprungliga tillstånd, i Windows nuvarande1 sker den här ändringen när en virtuell dator genomgår en avstängnings-/omstarts-/OS-återställningsprocess och i Windows nednivå2 sker den här ändringen när en användare loggar ut.
Det är viktigt att se till att organisationer hanterar inaktuella enheter som skapas eftersom frekvent enhetsregistrering utan att ha en lämplig strategi för hantering av enhetens livscykel.
Viktigt!
Om inaktuella enheter inte hanteras kan det leda till en ökad belastning på förbrukningsförbrukningen för klientorganisationens kvoter och potentiell risk för avbrott i tjänsten om klientkvoten tar slut. Använd följande vägledning när du distribuerar icke-beständiga VDI-miljöer för att undvika den här situationen.
För lyckad körning av vissa scenarier är det viktigt att ha unika enhetsnamn i katalogen. Detta kan uppnås genom korrekt hantering av inaktuella enheter, eller så kan du garantera att enhetsnamnet är unikt med hjälp av något mönster i enhetsnamngivningen.
Den här artikeln beskriver Microsofts vägledning till administratörer om stöd för enhetsidentitet och VDI. Mer information om enhetsidentitet finns i artikeln Vad är en enhetsidentitet?
Stödda scenarier
Innan du konfigurerar enhetsidentiteter i Microsoft Entra-ID för din VDI-miljö bör du bekanta dig med de scenarier som stöds. I följande tabell visas vilka etableringsscenarier som stöds. Etablering i den här kontexten innebär att en administratör kan konfigurera enhetsidentiteter i stor skala utan att kräva någon slutanvändarinteraktion.
| Enhetsidentitetstyp | Infrastruktur för identiteter | Windows-enheter | VDI-plattformsversion | Stöds |
|---|---|---|---|---|
| Hybrid Microsoft Entra-anslutning | Federerad3 | Windows-aktuell och Windows-nednivå | Permanent | Ja |
| Windows aktuellt | Ej beständiga | Ja5 | ||
| Äldre Windows-enheter | Ej beständiga | Ja6 | ||
| Hanterad4 | Windows-aktuell och Windows-nednivå | Permanent | Ja | |
| Windows aktuellt | Ej beständiga | Begränsad6 | ||
| Äldre Windows-enheter | Ej beständiga | Ja7 | ||
| Microsoft Entra-anslutning | Federerade | Windows aktuellt | Permanent | Begränsad8 |
| Ej beständiga | Nej | |||
| Hanterade | Windows aktuellt | Permanent | Begränsad8 | |
| Ej beständiga | Nej | |||
| Microsoft Entra-registrerat | Federerad/hanterad | Windows aktuell/Windows-nednivå | Beständiga/icke-beständiga | Inte tillämpligt |
1Windows-aktuella enheter representerar Windows 10 eller senare, Windows Server 2016 v1803 eller senare och Windows Server 2019 eller senare.
2Windows-enheter på nednivå representerar Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 och Windows Server 2012 R2. Supportinformation om Windows 7 finns i Support för Windows 7 upphör. Supportinformation om Windows Server 2008 R2 finns i Förbereda för windows server 2008 support upphör.
3 En federerad identitetsinfrastrukturmiljö representerar en miljö med en identitetsprovider (IdP) som AD FS eller annan tredjeparts-IdP. I en federerad identitetsinfrastrukturmiljö följer datorerna registreringsflödet för hanterade enheter baserat på inställningarna för Microsoft Windows Server Active Directory Service Anslut ion Point (SCP).
4 En miljö för hanterad identitetsinfrastruktur representerar en miljö med Microsoft Entra-ID som identitetsprovider som distribueras med antingen lösenordshashsynkronisering (PHS) eller direktautentisering (PTA) med sömlös enkel inloggning.
5Stöd för icke-persistence för Windows current kräver annat övervägande enligt beskrivningen i vägledningsavsnittet. Det här scenariot kräver Windows 10 1803 eller senare, Windows Server 2019 eller Windows Server (halvårskanal) från och med version 1803
6Stöd för icke-persistence för Windows som är aktuellt i en miljö för hanterad identitetsinfrastruktur är endast tillgängligt med Citrix lokalt kundhanterad och molntjänsthanterad. Om du vill ha supportrelaterade frågor kontaktar du Citrix-supporten direkt.
7Stöd för icke-beständighet för Windows-nednivå kräver andra överväganden enligt beskrivningen i vägledningsavsnittet.
8Stöd för Microsoft Entra-anslutning är endast tillgängligt med Azure Virtual Desktop och Windows 365.
Microsofts vägledning
Administratörer bör referera till följande artiklar, baserat på deras identitetsinfrastruktur, för att lära dig hur du konfigurerar Microsoft Entra-hybridanslutning.
- Konfigurera Microsoft Entra-hybridanslutning för federerad miljö
- Konfigurera Microsoft Entra-hybridanslutning för hanterad miljö
Icke-beständig VDI
När du distribuerar icke-beständiga VDI rekommenderar Microsoft organisationer att implementera följande vägledning. Om du inte gör det resulterar det i att din katalog har många inaktuella Microsoft Entra Hybrid-anslutna enheter som har registrerats från din icke-beständiga VDI-plattform. Dessa inaktuella enheter leder till ökat tryck på klientkvoten och risken för avbrott i tjänsten på grund av att klientkvoten har slut.
- Om du förlitar dig på systemförberedelseverktyget (sysprep.exe) och om du använder en avbildning före Windows 10 1809 för installation kontrollerar du att avbildningen inte kommer från en enhet som redan är registrerad med Microsoft Entra-ID som Microsoft Entra-hybridanslutning.
- Om du förlitar dig på en ögonblicksbild av en virtuell dator (VM) för att skapa fler virtuella datorer kontrollerar du att ögonblicksbilden inte kommer från en virtuell dator som redan har registrerats med Microsoft Entra-ID som Microsoft Entra-hybridanslutning.
- Active Directory Federation Services (AD FS) (AD FS) stöder omedelbar anslutning för icke-beständiga VDI- och Microsoft Entra-hybridanslutningar.
- Skapa och använd ett prefix för visningsnamnet (till exempel NPVDI-) på datorn som anger skrivbordet som icke-beständigt VDI-baserat.
- För windows nednivå:
- Implementera autoworkplacejoin /leave-kommandot som en del av utloggningsskriptet. Det här kommandot ska utlösas i användarens kontext och ska köras innan användaren har loggat ut helt och nätverksanslutningen finns.
- För Windows som är aktuellt i en federerad miljö (till exempel AD FS):
- Implementera dsregcmd /join som en del av vm-startsekvensen/ordningen och innan användaren loggar in.
- KÖR INTE dsregcmd /leave som en del av processen för avstängning/omstart av virtuella datorer.
- Definiera och implementera processen för att hantera inaktuella enheter.
- När du har en strategi för att identifiera dina icke-beständiga Microsoft Entra-hybridanslutna enheter (till exempel att använda prefixet för datorvisningsnamn) bör du vara mer aggressiv vid rensningen av dessa enheter för att säkerställa att katalogen inte används med många inaktuella enheter.
- För icke-beständiga VDI-distributioner på aktuell och nednivå i Windows bör du ta bort enheter som har ApproximateLastLogonTimestamp som är äldre än 15 dagar.
Kommentar
Om du vill förhindra att ett arbets- eller skolkonto läggs till när du använder icke-beständiga VDI kontrollerar du att följande registernyckel har angetts: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Kontrollera att du kör Windows 10, version 1803 eller senare.
Roaming av data under sökvägen
%localappdata%stöds inte. Om du väljer att flytta innehåll under%localappdata%kontrollerar du att innehållet i följande mappar och registernycklar aldrig lämnar enheten under något villkor. Till exempel: Verktyg för profilmigrering måste hoppa över följande mappar och nycklar:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinRoaming av arbetskontots enhetscertifikat stöds inte. Certifikatet, som utfärdats av "MS-Organization-Access", lagras i det personliga certifikatarkivet (MY) för den aktuella användaren och på den lokala datorn.
Beständiga VDI
När du distribuerar beständiga VDI rekommenderar Microsoft att IT-administratörer implementerar följande vägledning. Om du inte gör det uppstår problem med distribution och autentisering.
- Om du förlitar dig på systemförberedelseverktyget (sysprep.exe) och om du använder en avbildning före Windows 10 1809 för installation kontrollerar du att avbildningen inte kommer från en enhet som redan är registrerad med Microsoft Entra-ID som Microsoft Entra-hybridanslutning.
- Om du förlitar dig på en ögonblicksbild av en virtuell dator (VM) för att skapa fler virtuella datorer kontrollerar du att ögonblicksbilden inte kommer från en virtuell dator som redan har registrerats med Microsoft Entra-ID som Microsoft Entra-hybridanslutning.
Vi rekommenderar att du implementerar processen för att hantera inaktuella enheter. Den här processen säkerställer att katalogen inte förbrukas med många inaktuella enheter om du regelbundet återställer dina virtuella datorer.
Nästa steg
Konfigurera Microsoft Entra-hybridanslutning för federerad miljö