裝置身分識別與桌面虛擬化
管理員 istrators 通常會在其組織中部署裝載 Windows 操作系統的虛擬桌面基礎結構 (VDI) 平臺。 管理員 istrators 將 VDI 部署到:
- 簡化管理。
- 透過合併和集中資源來降低成本。
- 提供終端用戶的行動性和自由,隨時隨地在任何裝置上存取虛擬桌面。
虛擬桌面有兩種主要類型:
- 持續性
- 非持續性
持續性版本會針對每個使用者或使用者集區使用唯一的桌面映像。 這些獨特的桌面可以自定義並儲存以供日後使用。
非持續性版本會使用用戶視需要存取的桌面集合。 這些非持續性桌面會還原成其原始狀態,在 Windows 目前的1 中,當虛擬機通過關機/重新啟動/OS 重設程式,並在 Windows 下層2 中,當使用者註銷時,就會發生此變更。
請務必確保組織管理已建立的過時裝置,因為經常註冊裝置,而不需要適當的裝置生命週期管理策略。
重要
如果您用盡租使用者配額,管理過時裝置可能會導致租使用者配額使用量耗用量增加的壓力,以及服務中斷的潛在風險。 部署非持續性 VDI 環境時,請使用下列指引來避免這種情況。
若要成功執行某些案例,請務必在目錄中擁有唯一的裝置名稱。 這可以藉由適當管理過時的裝置來達成,或者您可以在裝置命名中使用某些模式來保證裝置名稱的唯一性。
本文涵蓋 Microsoft 針對支援裝置身分識別和 VDI 的系統管理員指引。 如需裝置身分識別的詳細資訊,請參閱什麼是裝置身分識別一文。
支援的案例
在 VDI 環境的 Microsoft Entra ID 中設定裝置身分識別之前,請先熟悉支援的案例。 下表說明支援哪些布建案例。 在此內容中布建表示系統管理員可以大規模設定裝置身分識別,而不需要任何用戶互動。
| 裝置身分識別類型 | 身分識別基礎結構 | Windows 裝置 | VDI 平臺版本 | 支援 |
|---|---|---|---|---|
| 已加入 Microsoft Entra 混合式 | 同盟 3 | Windows 目前和 Windows 下層 | 持續性 | Yes |
| Windows 目前 | 非持續性 | 是5 | ||
| Windows 下層 | 非持續性 | 是6 | ||
| 受控4 | Windows 目前和 Windows 下層 | 持續性 | Yes | |
| Windows 目前 | 非持續性 | 限制6 | ||
| Windows 下層 | 非持續性 | 是7 | ||
| 已加入 Microsoft Entra | 同盟 | Windows 目前 | 持續性 | 限制8 |
| 非持續性 | No | |||
| 受控 | Windows 目前 | 持續性 | 限制8 | |
| 非持續性 | No | |||
| 已註冊 Microsoft Entra | 同盟/受控 | Windows 目前/Windows 下層 | 持續性/非持續性 | 不適用 |
1Windows 目前的 裝置代表 Windows 10 或更新版本、Windows Server 2016 v1803 或更高版本,以及 Windows Server 2019 或更高版本。
2Windows 下層 裝置代表 Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2。 如需 Windows 7 的支持資訊,請參閱 Windows 7 的支援即將結束。 如需 Windows Server 2008 R2 的支持資訊,請參閱 準備 Windows Server 2008 終止支援。
3同盟身分 識別基礎結構環境代表具有身分識別提供者 (IdP) 的環境,例如 AD FS 或其他第三方 IdP。 在同盟身分識別基礎結構環境中,計算機會根據 Microsoft Windows Server Active Directory 服務 連線 ion Point (SCP) 設定,遵循受控裝置註冊流程。
4 受控識別基礎結構環境代表具有 Microsoft Entra 識別碼的環境,做為使用密碼哈希同步 (PHS) 部署的身分識別提供者,或使用無縫單一登錄的傳遞驗證 (PTA) 來部署。
5Windows 目前的 非持續性支援需要如指引一節中所述的其他考慮。 此案例需要從 1803 版開始的 Windows 10 1803 或更新版本、Windows Server 2019 或 Windows Server(半年通道)
6受控識別基礎結構環境中目前 Windows 的非 持續性支援僅適用於 Citrix 內部部署客戶受控 和 雲端服務管理。 如需任何支持相關查詢,請直接連絡 Citrix 支援 。
7Windows 下層 的非持續性支援需要其他考慮,如指引一節所述。
8Microsoft Entra Join 支援 僅適用於 Azure 虛擬桌面和 Windows 365。
Microsoft 的指引
管理員 istrators 應該根據身分識別基礎結構參考下列文章,以瞭解如何設定 Microsoft Entra 混合式聯結。
非持續性 VDI
部署非持續性 VDI 時,Microsoft 建議組織實作下列指引。 無法這麼做會導致您的目錄有許多過時的 Microsoft Entra 混合式已加入裝置,這些裝置是從非持續性 VDI 平台註冊。 這些過時的裝置會導致您的租使用者配額壓力增加,以及因租使用者配額不足而導致服務中斷的風險。
- 如果您依賴系統準備工具(sysprep.exe),而且如果您使用 Windows 10 1809 前映射進行安裝,請確定該映像不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的裝置。
- 如果您依賴虛擬機 (VM) 快照集來建立更多 VM,請確定快照集不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的 VM。
- Active Directory 同盟服務 (AD FS) 支援非持續性 VDI 和 Microsoft Entra 混合式聯結的立即聯結。
- 建立並使用計算機顯示名稱 (例如 NPVDI-) 的前置詞,指出桌面為非持續性 VDI 型。
- 針對 Windows 下層:
- 在 註銷腳本中實作 autoworkplacejoin /leave 命令。 此命令應該在使用者的內容中觸發,而且應該在使用者完全註銷且網路連線存在之前執行。
- 針對同盟環境中的 Windows 目前版本(例如 AD FS):
- 實 作 dsregcmd /join 作為 VM 開機順序/順序的一部分,以及在使用者登入之前。
- 請勿 在 VM 關機/重新啟動程式期間執行 dsregcmd /leave。
- 定義及實作管理 過時裝置的程式。
- 一旦您有一個策略來識別非持續性的 Microsoft Entra 混合式聯結裝置(例如使用計算機顯示名稱前置詞),您應該更積極地清除這些裝置,以確保您的目錄不會被大量過時的裝置所取用。
- 針對 Windows 目前和下層的非持續性 VDI 部署,您應該刪除具有 15 天以上 ApproximateLastLogonTimestamp 的裝置。
注意
使用非持續性 VDI 時,如果您想要防止新增公司或學校帳戶,請確定已設定下列登錄機碼: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
請確定您執行 Windows 10 版本 1803 或更高版本。
不支援漫遊路徑
%localappdata%下的任何數據。 如果您選擇在 下%localappdata%移動內容,請確定下列資料夾和登錄機碼 的內容絕不 會在任何條件下離開裝置。 例如:設定檔案移轉工具必須略過下列資料夾與金鑰:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin不支援工作帳戶的裝置憑證漫遊。 「MS-Organization-Access」所簽發的憑證會儲存在目前使用者和本機電腦上的 Personal (MY) 證書存儲中。
持續性 VDI
部署持續性 VDI 時,Microsoft 建議 IT 系統管理員實作下列指引。 無法這麼做會導致部署和驗證問題。
- 如果您依賴系統準備工具(sysprep.exe),而且如果您使用 Windows 10 1809 前映射進行安裝,請確定該映像不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的裝置。
- 如果您依賴虛擬機 (VM) 快照集來建立更多 VM,請確定快照集不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的 VM。
建議您實作管理 過時裝置的程式。 如果您定期重設 VM,此程式可確保您的目錄不會與許多過時的裝置一起取用。