Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
管理员通常在其组织中部署托管Windows作系统的虚拟桌面基础结构(VDI)平台。 管理员部署 VDI 是为了:
- 简化管理。
- 通过整合和集中资源降低成本。
- 让最终用户可以自由灵活地在任何设备上随时随地访问虚拟机。
虚拟机有两种主要类型:
- 永久
- 非持久性
永久性版本对每个用户或用户池都使用唯一的桌面映像。 你可以自定义并保存这些唯一的桌面,供将来使用。
非永久性版本使用桌面集合,用户可以根据需要对其进行访问。 当虚拟机经历关闭/重启/OS 重置过程时,这些非永久性的桌面会还原到其原始状态。
务必确保组织管理陈旧设备(由于频繁注册设备而没有适当的设备生命周期管理策略,所以出现陈旧设备)。
重要
如果无法管理陈旧设备,则会导致租户配额用量方面的压力增加,如果用尽租户配额,还存在服务中断的潜在风险。 部署非持久性 VDI 环境时,请遵循以下指南,以避免这种情况的发生。
要成功执行某些场景,目录中的设备名称必须唯一。 这可以通过对陈旧设备进行适当的管理来实现,也可以通过在设备命名中使用某种模式来保证设备名称的独特性。
本文将介绍 Microsoft 有关设备标识和 VDI 支持的管理员指南。 如需详细了解设备标识,请参阅什么是设备标识一文。
支持的方案
在为 VDI 环境配置Microsoft Entra ID中的设备标识之前,请熟悉受支持的方案。 下表说明了受支持的预配场景。 在这种情境下进行预配意味着管理员可以大规模配置设备标识,无需任何最终用户交互。
Windows当前设备表示Windows 10或更高版本、Windows Server 2016 v1803 或更高版本,以及Windows Server 2019或更高版本。
| 设备标识类型 | 标识基础结构 | Windows设备 | VDI 平台版本 | 支持 |
|---|---|---|---|---|
| Microsoft Entra 混合加入 | 联合3 | Windows 当前 | 永久 | 是 |
| 当前版本的 Windows | 非持久性 | 是5 | ||
| 托管4 | 当前版本的Windows | 永久 | 是 | |
| 当前版本的Windows | 非持久性 | 受限6 | ||
| Microsoft Entra 已加入 | 联合 | 当前Windows | 永久 | 受限8 |
| 非持久性 | 否 | |||
| 托管 | Windows当前 | 永久 | 受限8 | |
| 非持久性 | 否 | |||
| Microsoft Entra已注册 | 联合/托管 | 当前版本的Windows | 持久/非持久 | 不适用 |
重要
部署 VDI 场(永久性或非持久性)时,客户应考虑 Entra 设备操作速率限制。 Microsoft建议以每2分钟30秒处理500个请求的速率分阶段处理设备注册请求。 未能暂存此类请求可能会导致节流错误,从而引发设备注册失败,并使设备注册的延迟时间更长。
3联合标识基础结构环境表示具有标识提供者 (IdP)(如 AD FS 或其他非 Microsoft IdP)的环境。 在联合标识基础结构环境中,计算机根据 Microsoft Windows Server Active Directory 服务连接点(SCP)设置,遵循 联合设备注册流程。
4托管标识基础结构环境表示使用 Microsoft Entra ID 作为标识提供者并通过 密码哈希同步(PHS) 部署的环境。
5Windows 当前版本对 Non-Persistence 的支持需要参考指导部分中记录的其他考虑事项。 此方案需要Windows 10 1803 或更高版本、Windows Server 2019或Windows Server(半年频道)(从版本 1803 开始)
8Microsoft Entra联接支持可用于 Azure Virtual Desktop、Windows 365 和 Amazon WorkSpaces。 有关 Amazon WorkSpaces 和Microsoft Entra集成的任何支持相关查询,请直接与 Amazon 支持人员联系。
Microsoft 指南
管理员应根据其标识基础结构参考以下文章,以了解如何配置 Microsoft Entra 的混合连接。
非持久性 VDI
管理员部署非持久性 VDI 时,Microsoft 建议按照以下指南中的步骤操作。 未能这样做会导致您的目录中存在大量通过非持久性 VDI 平台注册的过时 Microsoft Entra 混合加入设备。 这些陈旧设备会导致租户配额压力增加,并存在因租户配额不足导致服务中断的风险。
- 如果依赖于系统准备工具(sysprep.exe),并且使用的是 Windows 10 1809 之前版本的映像进行安装,请确保该映像不是来自已注册为 Microsoft Entra 混合联接的设备。
- 如果您依赖虚拟机(VM)快照来创建更多 VM,请确保该快照不是来自已经以 Microsoft Entra 混合加入方式注册到 Microsoft Entra ID 的 VM。
- Active Directory Federation Services(AD FS)支持非永久性 VDI 和Microsoft Entra混合联接的即时联接。
- 为计算机的显示名称(例如 NPVDI-)创建和使用前缀,以便指示该桌面为基于非持久性VDI的系统。
- 对于联合环境中的Windows设备(例如 AD FS):
- 在用户登录前,实现 dsregcmd /join,让其作为 VM 启动序列/顺序的一部分。
- 请勿在 VM 关闭/重启过程中执行 dsregcmd /leave。
- 定义并实现管理陈旧设备的过程。
- 在制定识别您的非持久Microsoft Entra混合联接设备的策略后(例如使用计算机显示名称前缀),您应该更积极地清理这些设备,以确保目录不会因为过多过时设备而被占用。
- 进行非永久性 VDI 部署时,应删除 ApproximateLastLogonTimestamp 已超过 15 天的设备。
注意事项
使用非永久性 VDI 时,如果要阻止添加工作或学校帐户,请确保设置了以下注册表项:HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
确保运行Windows 10版本 1803 或更高版本。
不支持对路径 %localappdata% 下的任何数据进行漫游。 如果选择移动 %localappdata% 下的内容,请确保以下文件夹和注册表项的内容在任何情况下从不会离开设备。 例如,配置文件迁移工具必须跳过以下文件夹和键:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
不支持工作帐户设备证书的漫游功能。 由“MS-Organization-Access”颁发的证书存储在当前用户的“个人(我的)”证书存储中,并存储在本地计算机上。
持久性虚拟桌面(VDI)
管理员部署持久性 VDI 时,Microsoft 建议按照以下指南中的步骤操作。 否则会导致部署和身份验证问题。
- 如果您依赖于系统准备工具(sysprep.exe),并且使用Windows 10版本1809或更早的映像进行安装,请确保该映像不是来自已通过混合方式加入到Microsoft Entra ID的设备。
- 如果依赖于虚拟机(VM)快照来创建更多 VM,请确保快照不是已作为 Microsoft Entra 混合加入注册到 Microsoft Entra ID 的 VM。
我们建议你实施管理陈旧设备的过程。 如果定期重置虚拟机,此过程可确保目录不会被大量陈旧设备消耗。