设备标识和桌面虚拟化

项目
12/20/2023

管理员通常会在其组织内部署托管 Windows 操作系统的虚拟机基础结构 (VDI) 平台。管理员部署 VDI 是为了：

简化管理。
通过整合和集中资源降低成本。
让最终用户可以自由灵活地在任何设备上随时随地访问虚拟机。

虚拟机有两种主要类型：

永久
非永久

永久性版本对每个用户或用户池都使用唯一的桌面映像。你可以自定义并保存这些唯一的桌面，供将来使用。

非永久性版本使用桌面集合，用户可以根据需要对其进行访问。这些非永久性的桌面会还原到其原始状态，在 Windows 当前设备¹ 中，当虚拟机经历关闭/重启/OS 重置过程时，会发生这种更改，而在 Windows 下层设备² 中，当用户注销时，会发生这种更改。

务必确保组织管理陈旧设备（由于频繁注册设备而没有适当的设备生命周期管理策略，所以出现陈旧设备）。

重要

如果无法管理陈旧设备，则会导致租户配额用量方面的压力增加，如果用尽租户配额，还存在服务中断的潜在风险。部署非持久性 VDI 环境时请以下指南进行操作，以避免出现这种情况。

要成功执行某些场景，目录中的设备名称必须唯一。这可以通过对陈旧设备进行适当的管理来实现，也可以通过在设备命名中使用某种模式来保证设备名称的独特性。

本文将介绍 Microsoft 有关设备标识和 VDI 支持的管理员指南。如需详细了解设备标识，请参阅什么是设备标识一文。

支持的方案

在 Microsoft Entra ID 中为 VDI 环境配置设备标识之前，请先熟悉受支持的方案。下表说明了受支持的预配场景。在这种情境下进行预配意味着管理员可以大规模配置设备标识，无需任何最终用户交互。

设备标识类型	标识基础结构	Windows 设备	VDI 平台版本	支持
已进行 Microsoft Entra 混合联接	联合³	Windows 当前设备和 Windows 下层设备	永久	是
		Windows 当前设备	非永久	是⁵
		Windows 下层设备	非永久	是⁶
	托管⁴	Windows 当前设备和 Windows 下层设备	永久	是
		Windows 当前设备	非永久	有限制⁶
		Windows 下层设备	非永久	是⁷
已建立 Microsoft Entra 联接	联合	Windows 当前设备	永久	有限制⁸
			非永久	否
	托管	Windows 当前设备	永久	有限制⁸
			非永久	否
已注册 Microsoft Entra	联合/托管	Windows 当前设备/Windows 下层设备	永久/非永久	不适用

¹“Windows 当前版”设备是指 Windows 10 或更高版本、Windows Server 2016 v1803 或更高版本以及 Windows Server 2019 或更高版本。

²Windows 下层设备表示 Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2。有关 Windows 7 的支持信息，请参阅对 Windows 7 的支持即将终止。有关 Windows Server 2008 R2 的支持信息，请参阅为 Windows Server 2008 支持终止做准备。

³ 联合标识基础结构环境表示具有标识提供者 (IdP)（如 AD FS 或其他第三方 IdP）的环境。在联合标识基础结构环境中，计算机根据 Microsoft Windows Server Active Directory 服务连接点 (SCP) 设置，遵循托管设备注册流。

⁴托管标识基础结构环境代表一个使用 Microsoft Entra ID 作为标识提供者的环境，该环境可使用无缝单一登录通过密码哈希同步 (PHS) 或直通身份验证 (PTA) 进行部署。

⁵“对 Windows 当前版的非持久性支持”需要遵循指南部分所述的其他注意事项。此方案需要 Windows 10 1803 或更新版本、Windows Server 2019 或 Windows Server（半年频道）启动版本 1803

⁶在托管标识基础结构环境中“对 Windows 当前版的非持久性支持”仅适用于 Citrix 本地客户管理和云服务托管。任何与支持相关的咨询请直接与 Citrix 支持团队联系。

⁷“对 Windows 旧版的非持久性支持”需要遵循指南部分所述的其他注意事项。

⁸“Microsoft Entra 联接支持”仅适用于 Azure 虚拟桌面和 Windows 365。

Microsoft 指南

管理员应根据其标识基础结构参考以下文章，以了解如何配置 Microsoft Entra 混合联接。

非持久性 VDI

部署非持久性 VDI 时，Microsoft 建议组织按照以下指南中的步骤操作。否则会导致目录中有许多从非持久性 VDI 平台注册的陈旧 Microsoft Entra 混合联接设备。这些陈旧设备会导致租户配额压力增加，并存在因租户配额不足导致服务中断的风险。

如果依赖于系统准备工具 (sysprep.exe)，并且使用的是 Windows 10 1809 以前版本的映像进行安装，请确保映像不是来自已在 Microsoft Entra ID 中注册为已建立 Microsoft Entra 混合联接的设备。
如果依赖于使用虚拟机 (VM) 快照来创建更多的 VM，请确保快照不是来自已在 Microsoft Entra ID 中注册为 Microsoft Entra 混合联接的 VM。
就非持久性 VDI 和 Microsoft Entra ID 混合联接而言，Active Directory 联合身份验证服务 (AD FS) 支持即时联接。
为计算机的显示名称（例如 NPVDI-）创建和使用前缀，指示桌面基于非用久性 VDI。
对于 Windows 下层设备：
- 实现 autoworkplacejoin /leave 命令，让其作为注销脚本的一部分。应在用户上下文中触发此命令，并在用户完全注销之前，在网络连接存在的情况下执行此命令。
对于联合环境（例如 AD FS）中的 Windows 当前设备：
- 在用户登录前，实现 dsregcmd /join，让其作为 VM 启动序列/顺序的一部分。
- 请勿在 VM 关闭/重启过程中执行 dsregcmd /leave。
定义并实现管理陈旧设备的过程。
- 如果你有策略来识别非永久性 Microsoft Entra 混合联接设备（例如使用计算机显示名称前缀来这样做），则应更积极地清理这些设备，以确保不会有大量过时设备使用你的目录。
- 对 Windows 当前设备和下层设备进行非永久性 VDI 部署时，应删除 ApproximateLastLogonTimestamp 为 15 天之前的设备。

注意

使用非持久性 VDI 时，如果要阻止添加工作或学校帐户，请确保设置以下注册表项：HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

确保运行的是 Windows 10 版本 1803 或更高版本。

不支持对路径 %localappdata% 下的任何数据进行漫游。如果选择移动 %localappdata% 下的内容，请确保以下文件夹和注册表项的内容在任何情况下从不会离开设备。例如：配置文件迁移工具必须跳过以下文件夹和项：

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy

%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy

%localappdata%\Packages\<any app package>\AC\TokenBroker

%localappdata%\Microsoft\TokenBroker

HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin

不支持对工作帐户的设备证书进行漫游。由“MS-Organization-Access”颁发的证书存储在当前用户的“个人（我的）”证书存储中，并存储在本地计算机上。

持久性 VDI

部署持久性 VDI 时，Microsoft 建议 IT 管理员按照以下指南中的步骤操作。否则会导致部署和身份验证问题。

如果依赖于系统准备工具 (sysprep.exe)，并且使用的是 Windows 10 1809 以前版本的映像进行安装，请确保映像不是来自已在 Microsoft Entra ID 中注册为已建立 Microsoft Entra 混合联接的设备。
如果依赖于使用虚拟机 (VM) 快照来创建更多的 VM，请确保快照不是来自已在 Microsoft Entra ID 中注册为 Microsoft Entra 混合联接的 VM。

我们建议你实施管理陈旧设备的过程。如果定期重置虚拟机，此过程可确保目录不会被大量陈旧设备消耗。

后续步骤

为联合环境配置 Microsoft Entra 混合联接