Cihaz kimliği ve masaüstü sanallaştırma
Yönetici istrator'lar genellikle kuruluşlarında Windows işletim sistemlerini barındıran sanal masaüstü altyapısı (VDI) platformları dağıtır. Yönetici istrator'lar VDI'yi şu şekilde dağıtır:
- Yönetimi kolaylaştırın.
- Kaynakları birleştirme ve merkezileştirme yoluyla maliyetleri azaltın.
- Son kullanıcılara mobilite ve sanal masaüstlerine her zaman, her yerden, herhangi bir cihazda erişim özgürlüğü sunun.
İki birincil sanal masaüstü türü vardır:
- Kalıcı
- Kalıcı olmayan
Kalıcı sürümler, her kullanıcı veya kullanıcı havuzu için benzersiz bir masaüstü görüntüsü kullanır. Bu benzersiz masaüstleri gelecekte kullanılmak üzere özelleştirilebilir ve kaydedilebilir.
Kalıcı olmayan sürümler, kullanıcıların gerektiğinde erişebileceği bir masaüstü koleksiyonu kullanır. Bu kalıcı olmayan masaüstleri özgün durumlarına geri döndürülür, Windows geçerli1'de bu değişiklik bir sanal makine kapatma/yeniden başlatma/işletim sistemi sıfırlama işleminden geçtiğinde gerçekleşir ve Windows alt düzey2'de bu değişiklik kullanıcı oturumu kapattığında gerçekleşir.
Kuruluşların, cihaz yaşam döngüsü yönetimi için uygun bir stratejiye sahip olmadan sık sık cihaz kaydından dolayı oluşturulan eski cihazları yönetmesini sağlamak önemlidir.
Önemli
Eski cihazların yönetilememesi, kiracı kotası kullanım tüketiminizde baskı artışına ve kiracı kotanızın yetersiz olması durumunda olası hizmet kesintisi riskine yol açabilir. Bu durumu önlemek için kalıcı olmayan VDI ortamlarını dağıtırken aşağıdaki kılavuzu kullanın.
Bazı senaryoların başarıyla yürütülmesi için dizinde benzersiz cihaz adlarının olması önemlidir. Bu, eski cihazların düzgün yönetimiyle elde edilebilir veya cihaz adlandırmada bazı desenler kullanarak cihaz adı benzersizliğini garanti edebilirsiniz.
Bu makale, Microsoft'un cihaz kimliği ve VDI desteği konusunda yöneticilere yönelik kılavuzlarını kapsar. Cihaz kimliği hakkında daha fazla bilgi için Cihaz kimliği nedir? makalesine bakın.
Desteklenen senaryolar
VDI ortamınız için Microsoft Entra ID'de cihaz kimliklerini yapılandırmadan önce desteklenen senaryoları tanıyın. Aşağıdaki tabloda hangi sağlama senaryolarının desteklendiği gösterilmektedir. Bu bağlamda sağlama, bir yöneticinin cihaz kimliklerini herhangi bir son kullanıcı etkileşimi gerekmeden büyük ölçekte yapılandırabileceği anlamına gelir.
| Cihaz kimlik türü | Kimlik altyapısı | Windows cihazları | VDI platform sürümü | Desteklenir |
|---|---|---|---|---|
| Microsoft Entra ortamına katılan hibrit | Federasyon3 | Windows güncel ve Windows alt düzeyi | Kalıcı | Yes |
| Geçerli Windows | Kalıcı olmayan | Evet5 | ||
| Windows alt düzey | Kalıcı olmayan | Evet6 | ||
| Yönetilen4 | Windows güncel ve Windows alt düzeyi | Kalıcı | Yes | |
| Geçerli Windows | Kalıcı olmayan | Sınırlı6 | ||
| Windows alt düzey | Kalıcı olmayan | Evet7 | ||
| Microsoft Entra ortamına katılan | Federe | Geçerli Windows | Kalıcı | Sınırlı8 |
| Kalıcı olmayan | Hayır | |||
| Yönetilen | Geçerli Windows | Kalıcı | Sınırlı8 | |
| Kalıcı olmayan | Hayır | |||
| Microsoft Entra'ya kayıtlı | Federasyon/Yönetilen | Windows güncel/Windows alt düzeyi | Kalıcı/Kalıcı Olmayan | Geçerli değil |
1Windows geçerli cihazları Windows 10 veya üzeri, Windows Server 2016 v1803 veya üzeri ve Windows Server 2019 veya üzerini temsil eden cihazlardır.
2Windows alt düzey cihazları Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 ve Windows Server 2012 R2'yi temsil eder. Windows 7 hakkında destek bilgileri için bkz . Windows 7 desteği sona eriyor. Windows Server 2008 R2 hakkında destek bilgileri için bkz . Windows Server 2008 destek sonu için hazırlanma.
3Federasyon kimlik altyapısı ortamı, AD FS veya diğer üçüncü taraf IdP gibi bir kimlik sağlayıcısına (IdP) sahip bir ortamı temsil eder. Federasyon kimlik altyapısı ortamında, bilgisayarlar Microsoft Windows Server Active Directory Hizmeti Bağlan Ion Point (SCP) ayarlarına göre yönetilen cihaz kayıt akışını izler.
4Yönetilen kimlik altyapısı ortamı, sorunsuz çoklu oturum açma ile parola karması eşitlemesi (PHS) veya doğrudan kimlik doğrulaması (PTA) ile dağıtılan kimlik sağlayıcısı olarak Microsoft Entra ID'ye sahip bir ortamı temsil eder.
5Windows güncel için Kalıcılık Desteği, kılavuz bölümünde belirtildiği gibi başka bir değerlendirme gerektirir. Bu senaryo, sürüm 1803'den itibaren Windows 10 1803 veya üzeri, Windows Server 2019 veya Windows Server (Altı aylık kanal) gerektirir
6Yönetilen kimlik altyapısı ortamında geçerli olan Windows için Kalıcılık Dışı destek yalnızca Citrix şirket içi müşteri tarafından yönetilen ve Bulut hizmeti tarafından yönetilen ile kullanılabilir. Destekle ilgili tüm sorgular için doğrudan Citrix desteğine başvurun.
7Windows alt düzeyi için Kalıcılık Desteği, kılavuz bölümünde belirtildiği gibi başka bir değerlendirme gerektirir.
8Microsoft Entra katılım desteği yalnızca Azure Sanal Masaüstü ve Windows 365 ile kullanılabilir.
Microsoft'un kılavuzu
Yönetici istrator'lar, Microsoft Entra karma katılımını yapılandırmayı öğrenmek için kimlik altyapılarına göre aşağıdaki makalelere başvurmalıdır.
- Federasyon ortamı için Microsoft Entra karma katılımını yapılandırma
- Yönetilen ortam için Microsoft Entra karma katılımını yapılandırma
Kalıcı olmayan VDI
Microsoft, kalıcı olmayan VDI'yi dağıtırken kuruluşların aşağıdaki yönergeleri uygulamasını önerir. Bunun yapılmaması, dizininizin kalıcı olmayan VDI platformunuzdan kaydedilmiş çok sayıda eski Microsoft Entra karma katılmış cihazına sahip olmasına neden olur. Bu eski cihazlar kiracı kotanızda baskının artmasına ve kiracı kotasının tükenmesi nedeniyle hizmet kesintisi riskiyle sonuçlanır.
- Sistem Hazırlama Aracı'na (sysprep.exe) güveniyorsanız ve yükleme için Windows 10 1809 öncesi bir görüntü kullanıyorsanız, görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kayıtlı bir cihazdan olmadığından emin olun.
- Daha fazla VM oluşturmak için bir Sanal Makine (VM) anlık görüntüsü kullanıyorsanız, anlık görüntünün Microsoft Entra ID'ye Microsoft Entra karma birleştirme olarak kaydedilmiş bir VM'den olmadığından emin olun.
- Active Directory Federasyon Hizmetleri (AD FS) (AD FS), kalıcı olmayan VDI ve Microsoft Entra karma katılımı için anında birleştirmeyi destekler.
- Bilgisayarın görünen adı (örneğin, NPVDI-) için masaüstünü kalıcı olmayan VDI tabanlı olarak gösteren bir ön ek oluşturun ve kullanın.
- Windows alt düzeyi için:
- Autoworkplacejoin /leave komutunu kapatma betiğinin bir parçası olarak uygulayın. Bu komut kullanıcı bağlamında tetiklenmeli ve kullanıcı tamamen oturumu kapatmadan ve ağ bağlantısı mevcut olmadan önce yürütülmelidir.
- Federasyon ortamında (örneğin, AD FS) geçerli Windows için:
- Vm önyükleme sırasının/sırasının bir parçası olarak ve kullanıcı oturum açmadan önce dsregcmd /join uygulayın.
- Dsregcmd /leave komutunu VM kapatma/yeniden başlatma işleminin bir parçası olarak YÜRÜTMEYİN .
- Eski cihazları yönetme işlemini tanımlayın ve uygulayın.
- Kalıcı olmayan Microsoft Entra karma katılmış cihazlarınızı (bilgisayar görünen adı ön ekini kullanma gibi) tanımlamak için bir stratejiniz olduğunda, dizininizin çok fazla eski cihazla tüketilmediğinden emin olmak için bu cihazların temizlenmesi konusunda daha agresif olmanız gerekir.
- Windows'ta geçerli ve alt düzeyde kalıcı olmayan VDI dağıtımları için, ApproximateLastLogonTimestamp değeri 15 günden eski olan cihazları silmeniz gerekir.
Not
Kalıcı olmayan VDI kullanırken, iş veya okul hesabı eklemeyi önlemek istiyorsanız aşağıdaki kayıt defteri anahtarının ayarlandığından emin olun: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Windows 10, sürüm 1803 veya üzerini çalıştırdığınızdan emin olun.
Yol
%localappdata%altındaki verilerin dolaşımı desteklenmez. altında%localappdata%içerik taşımayı seçerseniz, aşağıdaki klasörlerin ve kayıt defteri anahtarlarının içeriğinin hiçbir koşul altında cihazdan ayrılmadığından emin olun. Örneğin: Profil geçiş araçları aşağıdaki klasörleri ve anahtarları atlamalıdır:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinİş hesabının cihaz sertifikasının dolaşımı desteklenmez. "MS-Organization-Access" tarafından verilen sertifika, geçerli kullanıcının Kişisel (MY) sertifika deposunda ve yerel makinede depolanır.
Kalıcı VDI
Microsoft, kalıcı VDI'yı dağıtırken BT yöneticilerinin aşağıdaki yönergeleri uygulamasını önerir. Bunun yapılmaması dağıtım ve kimlik doğrulaması sorunlarına neden olur.
- Sistem Hazırlama Aracı'na (sysprep.exe) güveniyorsanız ve yükleme için Windows 10 1809 öncesi bir görüntü kullanıyorsanız, görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kayıtlı bir cihazdan olmadığından emin olun.
- Daha fazla VM oluşturmak için bir Sanal Makine (VM) anlık görüntüsü kullanıyorsanız, anlık görüntünün Microsoft Entra ID'ye Microsoft Entra karma birleştirme olarak kaydedilmiş bir VM'den olmadığından emin olun.
Eski cihazları yönetme işlemini uygulamanızı öneririz. Bu işlem, vm'lerinizi düzenli aralıklarla sıfırlarsanız dizininizin çok sayıda eski cihazla birlikte tüketilmesini engeller.
Sonraki adımlar
Federasyon ortamı için Microsoft Entra karma katılımını yapılandırma