Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Администраторы обычно развертывают инфраструктуру виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI), где в их организациях размещаются операционные системы Windows. Администраторы развертывают VDI в следующих целях:
- оптимизация управления;
- сокращение затрат за счет консолидации и централизации ресурсов;
- Дать конечным пользователям мобильность и свободу доступа к виртуальным рабочим столам в любое время, из любого места, с любого устройства.
Существует два основных типа виртуальных рабочих столов:
- Упорный
- Непостоянный
В постоянных версиях используется уникальный образ рабочего стола для каждого пользователя или пула пользователей. Такие уникальные рабочие столы можно настраивать и сохранять для последующего использования.
Непостоянные версии используют коллекцию рабочих столов, которые пользователи могут получать доступ по мере необходимости. Эти не постоянные рабочие столы возвращаются к исходному состоянию, когда виртуальная машина проходит через процесс завершения работы или перезагрузки или сброса ОС.
Для организаций важно организовать правильное управление неактивными устройствами, которые неконтролируемо накапливаются при частой регистрации устройств без правильной стратегии управления жизненным циклом устройств.
Внимание
Отсутствие управления неактивными устройствами может привести к повышению нагрузки на использование вашей квоты арендатора и возможному риску прерывания работы службы, если ваша квота арендатора исчерпана. Чтобы избежать этой ситуации, используйте следующие рекомендации при развертывании не постоянных сред VDI.
Для успешного выполнения некоторых сценариев важно иметь уникальные имена устройств в каталоге. Это можно сделать путем правильного управления устаревшими устройствами или гарантировать уникальность имени устройства с помощью определенного шаблона в именовании устройств.
В этой статье рассматриваются рекомендации Майкрософт для администраторов по поддержке удостоверений устройств и VDI. Дополнительные сведения об удостоверении устройств см. в статье Что такое удостоверение устройства?.
Поддерживаемые сценарии
Перед настройкой удостоверений устройств в Microsoft Entra ID для VDI-среды ознакомьтесь с поддерживаемыми сценариями. В следующей таблице показано, какие сценарии подготовки поддерживаются. Настройка в этом контексте подразумевает, что администратор может настраивать идентификаторы устройств в большом масштабе без необходимости вмешательства конечного пользователя.
Windows current устройства представляют Windows 10 или более поздней версии, Windows Server 2016 версии 1803 или более поздней версии и Windows Server 2019 или более поздней версии.
| Тип идентификации устройства | Инфраструктура управления идентификацией | Устройства Windows | Версия платформы VDI | Поддерживается |
|---|---|---|---|---|
| подключены к Microsoft Entra в гибридном режиме. | Федеративный1 | Текущая версия Windows | Упорный | Да |
| Текущая версия Windows | Непостоянный | Да2 | ||
| Управляемое3 | Текущая версия Windows | Упорный | Да | |
| Текущая версия Windows | Непостоянный | Ограничено4 | ||
| Microsoft Entra присоединились. | Федеративный | Текущая версия Windows | Упорный | Ограничено |
| Непостоянный | Нет | |||
| Управляется | Текущая версия Windows | Упорный | Ограничено5 | |
| Непостоянный | Нет | |||
| Microsoft Entra зарегистрирован. | Федеративная/управляемая | Текущая версия Windows | Постоянные/непостоянные | Не применяется |
Внимание
При развертывании фермы VDI (постоянные или непостоянные), клиенты должны учитывать ограничения по ограничению операций устройств Entra
1 Среда инфраструктуры федеративных удостоверений представляет среду с поставщиком удостоверений (IdP), таким как AD FS или другой поставщик удостоверений, отличный от Майкрософт. В среде инфраструктуры федеративных удостоверений компьютеры следуют потоку регистрации федеративных устройств на основе настроек точки подключения служб Microsoft Windows Server Active Directory.
2Поддержка несохраняемости для Windows current требует другого подхода, как описано в разделе рекомендаций. Для этого сценария требуется Windows 10 версии 1803 или более поздней, Windows Server 2019 или Windows Server (Полугодовой канал), начиная с версии 1803.
3 Управляемая инфраструктура удостоверений представляет среду с Microsoft Entra ID в качестве поставщика удостоверений, развернутая с синхронизацией хеша паролей (Password Hash Sync, PHS) или сквозной аутентификацией (Pass-Through Authentication, PTA) с бесшовной единой аутентификацией.
4Поддержка отсутствия сохраняемости для текущей версии Windows в среде инфраструктуры управляемых удостоверений доступна только у следующих поставщиков:
- Управляемые клиентом локальные Omnissa Horizon 8 и управляемые средами сервиса Horizon Cloud. Для любых запросов, связанных с поддержкой, обратитесь в службу поддержки Omnissa напрямую.
- Citrix управляемый заказчиком на месте и управляемый облачным сервисом. Для любых запросов, связанных с поддержкой, обратитесь в службу поддержки Citrix напрямую.
5 Поддержка присоединения к Microsoft Entra доступна с Azure Виртуальным рабочим столом, Windows 365, и Amazon WorkSpaces. Для любых запросов, связанных с поддержкой с помощью Amazon WorkSpaces и интеграции Microsoft Entra, обратитесь в службу поддержки Amazon напрямую.
Руководство майкрософт
Администраторы должны обратиться к следующим статьям в зависимости от инфраструктуры удостоверений, чтобы узнать, как настроить гибридное присоединение Microsoft Entra.
- Настройка гибридного соединения Microsoft Entra для федеративной среды
- Настройка гибридного соединения Microsoft Entra для управляемой среды
Непостоянная VDI
Когда администраторы развертывают непрестойчивый VDI, корпорация Майкрософт рекомендует реализовать следующее руководство. Отсутствие выполнения этого требования приводит к тому, что в каталоге находится множество устаревших устройств с гибридным присоединением к Microsoft Entra, зарегистрированных на непостоянной VDI-платформе. Эти устаревшие устройства приводят к увеличению нагрузки на квоту арендатора и риску прерывания обслуживания из-за исчерпания квоты арендатора.
- Если вы используете средство подготовки системы (sysprep.exe) и если вы используете образ версии до Windows 10 1809 для установки, убедитесь, что этот образ не с устройства, которое уже зарегистрировано в Microsoft Entra ID как гибридно присоединенное к Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не был создан из виртуальной машины, которая уже зарегистрирована в Microsoft Entra ID как устройство с гибридным присоединением Microsoft Entra.
- Active Directory Federation Services (AD FS) поддерживает мгновенное присоединение для непостоянного VDI и гибридное присоединение Microsoft Entra.
- Создайте и используйте префикс (например, NPVDI-) для отображаемого имени компьютера, который указывает на то, что рабочий стол является непостоянным и основан на VDI.
- Для устройств Windows в федеративной среде (например, AD FS):
- Реализуйте dsregcmd /join в рамках последовательности загрузки или заказа виртуальной машины, а также перед входом пользователя в систему.
- НЕ выполняйте команду dsregcmd/leave в рамках процесса завершения работы/перезапуска виртуальной машины.
- Определите и выполните процесс управления устаревшими устройствами.
- После того как вы разработаете стратегию для определения непостоянных гибридных устройств, присоединенных к Microsoft Entra (например, с использованием префикса в имени отображения компьютера), вам следует активнее заниматься очисткой этих устройств, чтобы убедиться, что ваш каталог не заполняется большим количеством устаревших устройств.
- Для развертываний VDI, не являющихся постоянными, следует удалить устройства с approximateLastLogonTimestamp старше 15 дней.
Примечание.
При использовании непостоянного VDI, если вы хотите запретить добавление рабочей или учебной учетной записи, убедитесь, что задан следующий раздел реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Убедитесь, что вы работаете Windows 10 версии 1803 или более поздней.
Перемещение любых данных в папку %localappdata% не поддерживается. Если вы решили переместить содержимое в папку %localappdata%, убедитесь в том, что содержимое следующих папок и разделов реестра не покинет устройство ни при каких условиях. Например, средства миграции профилей должны пропускать следующие папки и ключи:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
Перемещение сертификата устройства рабочей учетной записи не поддерживается. Сертификат, выданный ms-Organization-Access, хранится в хранилище сертификатов личного (MY) текущего пользователя и на локальном компьютере.
Постоянная виртуальная инфраструктура рабочего стола (VDI)
Когда администраторы развертывают постоянный VDI, корпорация Майкрософт рекомендует реализовать следующее руководство. Невыполнение этого приводит к проблемам с развертыванием и проверкой подлинности.
- Если вы используете средство подготовки системы (sysprep.exe) и если вы используете предварительно Windows 10 1809 образ для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано с Microsoft Entra ID в качестве гибридного соединения Microsoft Entra.
- Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не сделан с виртуальной машины, которая уже зарегистрирована в Microsoft Entra ID как участник гибридного присоединения Microsoft Entra.
Мы рекомендуем вам реализовать процесс управления неактивными устройствами. Этот процесс гарантирует, что ваш каталог не засоряется большим количеством устаревших устройств, если вы периодически сбрасываете ВМ.
Следующие шаги
Настройка гибридного соединения Microsoft Entra для федеративной среды