管理员通常在其组织中部署托管Windows作系统的虚拟桌面基础结构(VDI)平台。 管理员部署 VDI 是为了:
- 简化管理。
- 通过整合和集中资源降低成本。
- 让最终用户可以自由灵活地在任何设备上随时随地访问虚拟机。
虚拟机有两种主要类型:
- 永久
- 非持久性
永久性版本对每个用户或用户池都使用唯一的桌面映像。 你可以自定义并保存这些唯一的桌面,供将来使用。
非永久性版本使用桌面集合,用户可以根据需要对其进行访问。 当虚拟机经历关闭/重启/OS 重置过程时,这些非永久性的桌面会还原到其原始状态。
务必确保组织管理陈旧设备(由于频繁注册设备而没有适当的设备生命周期管理策略,所以出现陈旧设备)。
重要
如果无法管理陈旧设备,则会导致租户配额用量方面的压力增加,如果用尽租户配额,还存在服务中断的潜在风险。 部署非持久性 VDI 环境时,请遵循以下指南,以避免这种情况的发生。
要成功执行某些场景,目录中的设备名称必须唯一。 这可以通过对陈旧设备进行适当的管理来实现,也可以通过在设备命名中使用某种模式来保证设备名称的独特性。
本文将介绍 Microsoft 有关设备标识和 VDI 支持的管理员指南。 如需详细了解设备标识,请参阅什么是设备标识一文。
支持的方案
在为 VDI 环境配置Microsoft Entra ID中的设备标识之前,请熟悉受支持的方案。 下表说明了受支持的预配场景。 在这种情境下进行预配意味着管理员可以大规模配置设备标识,无需任何最终用户交互。
Windows当前设备表示Windows 10或更高版本、Windows Server 2016 v1803 或更高版本,以及Windows Server 2019或更高版本。
| 设备标识类型 | 标识基础结构 | Windows设备 | VDI 平台版本 | 支持 |
|---|---|---|---|---|
| 混合加入Microsoft Entra | Federated3 | 当前Windows | 永久 | 是 |
| 当前Windows | 非持久性 | 是5 | ||
| Managed4 | 当前Windows | 永久 | 是 | |
| 当前Windows | 非持久性 | Limited6 | ||
| Microsoft Entra 已加入 | 联合 | Windows 当前 | 永久 | Limited8 |
| 非持久性 | 否 | |||
| 托管 | 当前Windows | 永久 | Limited8 | |
| 非持久性 | 否 | |||
| Microsoft Entra 已注册 | 联合/托管 | 目前的Windows系统 | 持久/非持久 | 不适用 |
重要
当部署 VDI 集群(持久性或非持久性)时,客户应考虑 Entra 设备操作限制限制。 Microsoft建议以每2分钟30秒处理500个请求的速率分阶段处理设备注册请求。 未能暂存此类请求可能会导致节流错误,从而引发设备注册失败,并使设备注册的延迟时间更长。
3 联合标识基础结构环境表示具有标识提供者 (IdP)(如 AD FS 或其他非 Microsoft IdP)的环境。 在联合标识基础结构环境中,计算机依据 联合设备注册流程 和 Microsoft Windows Server Active Directory 服务连接点(SCP)设置 进行操作。
5Non-Persistence 支持当前的 Windows 需要考虑指南部分中所述的其他注意事项。 此方案需要Windows 10 1803 或更高版本、Windows Server 2019或Windows Server(半年频道)(从版本 1803 开始)
8Microsoft Entra联接支持可用于 Azure 虚拟桌面、Windows 365 和 Amazon WorkSpaces。 有关 Amazon WorkSpaces 和Microsoft Entra集成的任何支持相关查询,请直接与 Amazon 支持人员联系。
Microsoft 指南
管理员应根据其身份基础设施参考以下文章,以了解如何配置 Microsoft Entra 混合加入。
非持久性 VDI
管理员部署非持久性 VDI 时,Microsoft 建议按照以下指南中的步骤操作。 未能这样做会导致您的目录中存在许多从非持久性 VDI 平台注册的过时 Microsoft Entra 混合加入设备。 这些陈旧设备会导致租户配额压力增加,并存在因租户配额不足导致服务中断的风险。
- 如果您依赖于系统准备工具(sysprep.exe),并且使用的是 Windows 10 1809 之前的映像进行安装,请确保该映像并不是来自已经在 Microsoft Entra ID 中注册并作为 Microsoft Entra 混合加入的设备。
- 如果依赖于虚拟机(VM)快照来创建更多 VM,请确保快照不是已经作为 Microsoft Entra 混合加入 注册到 Microsoft Entra ID 的 VM。
- Active Directory 联合身份验证服务(AD FS)支持非永久性 VDI 和Microsoft Entra混合联接的即时联接。
- 为计算机的显示名称(例如 NPVDI-)创建和使用前缀,以便指示该桌面为基于非持久性VDI的系统。
- 对于联合环境中的Windows设备(例如 AD FS):
- 在用户登录前,实现 dsregcmd /join,让其作为 VM 启动序列/顺序的一部分。
- 请勿在 VM 关闭/重启过程中执行 dsregcmd /leave。
- 定义并实现管理陈旧设备的过程。
- 一旦您有了一种策略来识别非持久性 Microsoft Entra 混合加入设备(例如,使用计算机显示名称前缀),就应更加积极地清除这些设备,以确保目录不会充满大量过时的设备。
- 对于非持久性 VDI 部署,应删除 ApproximateLastLogonTimestamp 早于 15 天的设备。
注意事项
使用非永久性 VDI 时,如果要阻止添加工作或学校帐户,请确保设置了以下注册表项:HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
确保运行Windows 10版本 1803 或更高版本。
不支持对路径 下的任何数据进行漫游。 如果您选择在某个位置下移动内容,请确保以下文件夹和注册表项的内容在任何情况下都不会离开设备。 例如,配置文件迁移工具必须跳过以下文件夹和键:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
不支持工作帐户设备证书的漫游功能。 由“MS-Organization-Access”颁发的证书存储在当前用户的“个人(我的)”证书存储中,并存储在本地计算机上。
持久性虚拟桌面(VDI)
管理员部署持久性 VDI 时,Microsoft 建议按照以下指南中的步骤操作。 否则会导致部署和身份验证问题。
- 如果您依赖于系统准备工具(sysprep.exe),并且使用的是 Windows 10 1809 之前的映像进行安装,请确保该映像并不是来自已经在 Microsoft Entra ID 中注册并作为 Microsoft Entra 混合加入的设备。
- 如果依赖于虚拟机(VM)快照来创建更多 VM,请确保快照不是已经作为 Microsoft Entra 混合加入 注册到 Microsoft Entra ID 的 VM。
我们建议你实施管理陈旧设备的过程。 如果定期重置虚拟机,此过程可确保目录不会被大量陈旧设备消耗。