Aracılığıyla paylaş


Cihaz kimliği ve masaüstü sanallaştırma

Yöneticiler genellikle kuruluşlarında Windows işletim sistemlerini barındıran sanal masaüstü altyapısı (VDI) platformları dağıtır. Yöneticiler VDI'yi şu şekilde dağıtır:

  • Yönetimi kolaylaştırın.
  • Kaynakları birleştirme ve merkezileştirme yoluyla maliyetleri azaltın.
  • Son kullanıcılara mobilite ve sanal masaüstlerine her zaman, her yerden, herhangi bir cihazda erişim özgürlüğü sunun.

İki birincil sanal masaüstü türü vardır:

  • Kalıcı
  • Kalıcı olmayan

Kalıcı sürümler, her kullanıcı veya kullanıcı havuzu için benzersiz bir masaüstü görüntüsü kullanır. Bu benzersiz masaüstleri gelecekte kullanılmak üzere özelleştirilebilir ve kaydedilebilir.

Kalıcı olmayan sürümler, kullanıcıların gerektiğinde erişebileceği bir masaüstü koleksiyonu kullanır. Bu kalıcı olmayan masaüstleri özgün durumlarına geri döndürülür, Windows geçerli1'de bu değişiklik bir sanal makine kapatma/yeniden başlatma/işletim sistemi sıfırlama işleminden geçtiğinde gerçekleşir ve Windows alt düzey2'de bu değişiklik kullanıcı oturumu kapattığında gerçekleşir.

Kuruluşların, cihaz yaşam döngüsü yönetimi için uygun bir stratejiye sahip olmadan sık sık cihaz kaydından dolayı oluşturulan eski cihazları yönetmesini sağlamak önemlidir.

Önemli

Eski cihazların yönetilememesi, kiracı kotası kullanım tüketiminizde baskı artışına ve kiracı kotanızın yetersiz olması durumunda olası hizmet kesintisi riskine yol açabilir. Bu durumu önlemek için kalıcı olmayan VDI ortamlarını dağıtırken aşağıdaki kılavuzu kullanın.

Bazı senaryoların başarıyla yürütülmesi için dizinde benzersiz cihaz adlarının olması önemlidir. Bu, eski cihazların düzgün yönetimiyle elde edilebilir veya cihaz adlandırmada bazı desenler kullanarak cihaz adı benzersizliğini garanti edebilirsiniz.

Bu makale, Microsoft'un cihaz kimliği ve VDI desteği konusunda yöneticilere yönelik kılavuzlarını kapsar. Cihaz kimliği hakkında daha fazla bilgi için Cihaz kimliği nedir? makalesine bakın.

Desteklenen senaryolar

VDI ortamınız için Microsoft Entra ID'de cihaz kimliklerini yapılandırmadan önce desteklenen senaryoları tanıyın. Aşağıdaki tabloda hangi sağlama senaryolarının desteklendiği gösterilmektedir. Bu bağlamda sağlama, bir yöneticinin cihaz kimliklerini herhangi bir son kullanıcı etkileşimi gerekmeden büyük ölçekte yapılandırabileceği anlamına gelir.

Cihaz kimlik türü Kimlik altyapısı Windows cihazları VDI platform sürümü Destekli
Microsoft Entra karma katıldı Federasyon3 Windows güncel ve Windows alt düzeyi Kalıcı Evet
Geçerli Windows Kalıcı olmayan Evet5
Windows alt düzeyi Kalıcı olmayan Evet6
Yönetilen4 Windows güncel ve Windows alt düzeyi Kalıcı Evet
Geçerli Windows Kalıcı olmayan Sınırlı6
Windows alt düzeyi Kalıcı olmayan Evet7
Microsoft Entra katıldı Federe Geçerli Windows Kalıcı Sınırlı8
Kalıcı olmayan Hayır
Yönetilen Geçerli Windows Kalıcı Sınırlı8
Kalıcı olmayan Hayır
Microsoft Entra kayıtlı Federasyon/Yönetilen Windows güncel/Windows alt düzeyi Kalıcı/Kalıcı Olmayan Uygulanamaz

1 Windows geçerli cihazları Windows 10 veya üzeri, Windows Server 2016 v1803 veya üzeri ve Windows Server 2019 veya üzerini temsil eden cihazlardır.

2 Windows alt düzey cihazları Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 ve Windows Server 2012 R2'yi temsil eder. Windows 7 hakkında destek bilgileri için bkz . Windows 7 desteği sona eriyor. Windows Server 2008 R2 hakkında destek bilgileri için bkz . Windows Server 2008 destek sonu için hazırlanma.

3 Federasyon kimlik altyapısı ortamı, AD FS veya diğer üçüncü taraf IdP gibi bir kimlik sağlayıcısına (IdP) sahip bir ortamı temsil eder. Federasyon kimlik altyapısı ortamında, bilgisayarlar Microsoft Windows Server Active Directory Hizmet Bağlantı Noktası (SCP) ayarlarına göre yönetilen cihaz kayıt akışını izler.

4 Yönetilen kimlik altyapısı ortamı, sorunsuz çoklu oturum açma ile parola karması eşitlemesi (PHS) veya doğrudan kimlik doğrulaması (PTA) ile dağıtılan kimlik sağlayıcısı olarak Microsoft Entra ID'ye sahip bir ortamı temsil eder.

5 Windows güncel için Kalıcılık Desteği, kılavuz bölümünde belirtildiği gibi başka bir değerlendirme gerektirir. Bu senaryo, sürüm 1803'den itibaren Windows 10 1803 veya üzeri, Windows Server 2019 veya Windows Server (Altı aylık kanal) gerektirir

6 Yönetilen kimlik altyapısı ortamında geçerli olan Windows için Kalıcılık Dışı destek yalnızca Citrix şirket içi müşteri tarafından yönetilen ve Bulut hizmeti tarafından yönetilen ile kullanılabilir. Destekle ilgili tüm sorgular için doğrudan Citrix desteğine başvurun.

7 Windows alt düzeyi için Kalıcılık Desteği, kılavuz bölümünde belirtildiği gibi başka bir değerlendirme gerektirir.

8 Microsoft Entra katılım desteği Azure Sanal Masaüstü, Windows 365 ve Amazon WorkSpaces ile kullanılabilir. Amazon WorkSpaces ve Microsoft Entra tümleştirmesi ile ilgili destekle ilgili tüm sorgular için doğrudan Amazon desteğine başvurun.

Microsoft'un kılavuzu

Yöneticiler, Microsoft Entra karma katılımını yapılandırmayı öğrenmek için kimlik altyapılarına göre aşağıdaki makalelere başvurmalıdır.

Kalıcı olmayan VDI

Microsoft, kalıcı olmayan VDI'yi dağıtırken kuruluşların aşağıdaki yönergeleri uygulamasını önerir. Bunun yapılmaması, dizininizin kalıcı olmayan VDI platformunuzdan kaydedilmiş çok sayıda eski Microsoft Entra karma katılmış cihazına sahip olmasına neden olur. Bu eski cihazlar kiracı kotanızda baskının artmasına ve kiracı kotasının tükenmesi nedeniyle hizmet kesintisi riskiyle sonuçlanır.

  • Sistem Hazırlama Aracı'na (sysprep.exe) güveniyorsanız ve yükleme için Windows 10 1809 öncesi bir görüntü kullanıyorsanız, görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kayıtlı bir cihazdan olmadığından emin olun.
  • Daha fazla VM oluşturmak için bir Sanal Makine (VM) anlık görüntüsü kullanıyorsanız, anlık görüntünün Microsoft Entra ID'ye Microsoft Entra karma birleştirme olarak kaydedilmiş bir VM'den olmadığından emin olun.
  • Active Directory Federasyon Hizmetleri (AD FS) (AD FS), kalıcı olmayan VDI ve Microsoft Entra karma katılımı için anında birleştirmeyi destekler.
  • Bilgisayarın görünen adı (örneğin, NPVDI-) için masaüstünü kalıcı olmayan VDI tabanlı olarak gösteren bir ön ek oluşturun ve kullanın.
  • Windows alt düzeyi için:
    • Autoworkplacejoin /leave komutunu kapatma betiğinin bir parçası olarak uygulayın. Bu komut kullanıcı bağlamında tetiklenmeli ve kullanıcı tamamen oturumu kapatmadan ve ağ bağlantısı mevcut olmadan önce yürütülmelidir.
  • Federasyon ortamında (örneğin, AD FS) geçerli Windows için:
    • Vm önyükleme sırasının/sırasının bir parçası olarak ve kullanıcı oturum açmadan önce dsregcmd /join uygulayın.
    • Dsregcmd /leave komutunu VM kapatma/yeniden başlatma işleminin bir parçası olarak YÜRÜTMEYİN .
  • Eski cihazları yönetme işlemini tanımlayın ve uygulayın.
    • Kalıcı olmayan Microsoft Entra karma katılmış cihazlarınızı (bilgisayar görünen adı ön ekini kullanma gibi) tanımlamak için bir stratejiniz olduğunda, dizininizin çok fazla eski cihazla tüketilmediğinden emin olmak için bu cihazların temizlenmesi konusunda daha agresif olmanız gerekir.
    • Windows'ta geçerli ve alt düzeyde kalıcı olmayan VDI dağıtımları için, ApproximateLastLogonTimestamp değeri 15 günden eski olan cihazları silmeniz gerekir.

Not

Kalıcı olmayan VDI kullanırken, iş veya okul hesabı eklemeyi önlemek istiyorsanız aşağıdaki kayıt defteri anahtarının ayarlandığından emin olun: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Windows 10, sürüm 1803 veya üzerini çalıştırdığınızdan emin olun.

Yol %localappdata% altındaki verilerin dolaşımı desteklenmez. altında %localappdata%içerik taşımayı seçerseniz, aşağıdaki klasörlerin ve kayıt defteri anahtarlarının içeriğinin hiçbir koşul altında cihazdan ayrılmadığından emin olun. Örneğin: Profil geçiş araçları aşağıdaki klasörleri ve anahtarları atlamalıdır:

  • %localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
  • %localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy
  • %localappdata%\Packages\<any app package>\AC\TokenBroker
  • %localappdata%\Microsoft\TokenBroker
  • %localappdata%\Microsoft\OneAuth
  • %localappdata%\Microsoft\IdentityCache
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin

İş hesabının cihaz sertifikasının dolaşımı desteklenmez. "MS-Organization-Access" tarafından verilen sertifika, geçerli kullanıcının Kişisel (MY) sertifika deposunda ve yerel makinede depolanır.

Kalıcı VDI

Microsoft, kalıcı VDI'yı dağıtırken BT yöneticilerinin aşağıdaki yönergeleri uygulamasını önerir. Bunun yapılmaması dağıtım ve kimlik doğrulaması sorunlarına neden olur.

  • Sistem Hazırlama Aracı'na (sysprep.exe) güveniyorsanız ve yükleme için Windows 10 1809 öncesi bir görüntü kullanıyorsanız, görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kayıtlı bir cihazdan olmadığından emin olun.
  • Daha fazla VM oluşturmak için bir Sanal Makine (VM) anlık görüntüsü kullanıyorsanız, anlık görüntünün Microsoft Entra ID'ye Microsoft Entra karma birleştirme olarak kaydedilmiş bir VM'den olmadığından emin olun.

Eski cihazları yönetme işlemini uygulamanızı öneririz. Bu işlem, vm'lerinizi düzenli aralıklarla sıfırlarsanız dizininizin çok sayıda eski cihazla birlikte tüketilmesini engeller.

Sonraki adımlar

Federasyon ortamı için Microsoft Entra karma katılımını yapılandırma