Geräteidentität und Desktopvirtualisierung
Administratoren stellen in ihren Organisationen häufig VDI-Plattformen (Virtual Desktop Infrastructure) bereit, auf denen Windows-Betriebssysteme gehostet werden. Administratoren stellen VDI-Plattformen für Folgendes bereit:
- Einfachere Verwaltung.
- Kostensenkung durch Konsolidierung und Zentralisierung von Ressourcen.
- Endbenutzermobilität mit der Freiheit, jederzeit, überall und von jedem Gerät aus auf virtuelle Desktops zuzugreifen.
Es gibt zwei Hauptarten von virtuellen Desktops:
- Beständig
- Nicht beständig
Bei der beständigen Version wird ein eindeutiges Desktopimage für jeden Benutzer oder einen Benutzerpool verwendet. Diese eindeutigen Desktops können angepasst und zur späteren Verwendung gespeichert werden.
Bei der nicht beständigen Version wird eine Sammlung von Desktops verwendet, auf die Benutzer bei Bedarf zugreifen können. Diese nicht beständigen Desktops werden in ihren ursprünglichen Zustand zurückversetzt. Bei Windows1 geschieht dies aktuell, wenn ein virtueller Computer heruntergefahren, neu gestartet oder sein Betriebssystem zurückgesetzt wird. Bei kompatiblen Windows-Geräten2 tritt dieses Verhalten beim Abmelden eines Benutzers auf.
Organisationen sollten unbedingt dafür sorgen, veraltete Geräte zu verwalten, die aufgrund häufiger Geräteregistrierungen erstellt werden, ohne eine geeignete Strategie für die Lebenszyklusverwaltung der Geräte zu haben.
Wichtig
Ohne Verwaltung veralteter Geräte kann sich der Druck auf die Mandantenkontingente erhöhen und zu Dienstunterbrechungen führen, wenn die Mandantenkontingente nicht ausreichen. Um diese Situation zu vermeiden, sollten Sie bei der Bereitstellung von nicht persistenten VDI-Umgebungen die folgenden Hinweise beachten.
Für die erfolgreiche Ausführung einiger Szenarien ist es wichtig, dass das Verzeichnis eindeutige Gerätenamen enthält. Dies kann durch die ordnungsgemäße Verwaltung veralteter Geräte, aber auch durch die Verwendung eines bestimmten Musters bei der Gerätebenennung erreicht werden, mit dem Sie für Eindeutigkeit bei den Gerätenamen sorgen.
Dieser Artikel behandelt Microsofts Anleitung für Administratoren zur Unterstützung von Geräteidentität und VDI. Weitere Informationen zur Geräteidentität finden Sie im Artikel Was ist eine Geräteidentität.
Unterstützte Szenarios
Bevor Sie die Geräteidentitäten in Microsoft Entra ID für Ihre VDI-Umgebung konfigurieren, machen Sie sich mit den unterstützten Szenarien vertraut. In der folgenden Tabelle wird veranschaulicht, welche Bereitstellungsszenarien unterstützt werden. Eine Bereitstellung in diesem Zusammenhang impliziert, dass ein Administrator Geräteidentitäten skaliert konfigurieren kann, ohne dass eine Endbenutzerinteraktion erforderlich ist.
| Geräteidentitätstyp | Identitätsinfrastruktur | Windows-Geräte | VDI-Plattformversion | Unterstützt |
|---|---|---|---|---|
| Hybrid in Microsoft Entra eingebunden | Im Verbund3 | Aktuelle Windows-Geräte und kompatible Windows-Geräte | Beständig | Ja |
| Aktuelle Windows-Geräte | Nicht beständig | Ja5 | ||
| Kompatible Windows-Geräte | Nicht beständig | Ja6 | ||
| Verwaltet4 | Aktuelle Windows-Geräte und kompatible Windows-Geräte | Beständig | Ja | |
| Aktuelle Windows-Geräte | Nicht beständig | Begrenzt6 | ||
| Kompatible Windows-Geräte | Nicht beständig | Ja7 | ||
| In Microsoft Entra eingebunden | Im Verbund | Aktuelle Windows-Geräte | Beständig | Begrenzt8 |
| Nicht beständig | Nein | |||
| Verwaltet | Aktuelle Windows-Geräte | Beständig | Begrenzt8 | |
| Nicht beständig | Nein | |||
| Microsoft Entra-registriert | Im Verbund/verwaltet | Aktuelle Windows-Geräte/kompatible Windows-Geräte | Beständig/nicht beständig | Nicht zutreffend |
1Aktuelle Windows-Geräte sind Geräte mit Windows 10 oder höher, Windows Server 2016 v1803 oder höher und Windows Server 2019.
2Windows Down-Level-Geräte stehen für Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2. Supportinformationen zu Windows 7 finden Sie unter Der Support für Windows 7 läuft aus. Supportinformationen zu Windows Server 2008 R2 finden Sie unter Der Support für Windows Server 2008 wird eingestellt.
3 Eine Identitätsinfrastruktur-Umgebung vom Typ Verbund ist eine Umgebung mit einem Identitätsanbieter (IdP) wie AD FS oder einem Drittanbieter. In einer Identitätsinfrastruktur-Umgebung vom Typ „Verbund“ folgen Computer dem verwalteten Flow für die Geräteregistrierung basierend auf den Einstellungen des Microsoft Windows Server Active Directory-Dienstverbindungspunkts (Service Connection Point, SCP).
4 EineIdentitätsinfrastruktur-Umgebung des Typs Verwaltet ist eine Umgebung mit Microsoft Entra ID als Identitätsanbieter und wird entweder mit Kennworthashsynchronisierung (PHS) oder Passthrough-Authentifizierung (PTA) und nahtloser einmaliger Anmeldung bereitgestellt.
5 Die Unterstützung der Nichtbeständigkeit bei Windows setzt aktuell andere Überlegungen voraus, als sie weiter unten im Leitfaden dokumentiert sind. Für dieses Szenario ist Windows 10 1803 oder höher, Windows Server 2019 oder Windows Server (halbjährlicher Kanal) ab Version 1803 erforderlich
6Nicht-Persistenz-Unterstützung für das aktuelle Windows in einer verwalteten Identitätsinfrastruktur-Umgebung ist nur mit Citrix On-Premises-Kundenverwaltung und Cloud-Dienstverwaltung verfügbar. Wenden Sie sich für alle Supportanfragen direkt an den Citrix-Support.
7Die Unterstützung der Nichtbeständigkeit bei kompatiblen Windows-Geräten setzt andere Überlegungen voraus, als sie unten im Leitfaden beschrieben sind.
8Microsoft Entra Join-Support ist nur mit Azure Virtual Desktop und Windows 365 verfügbar.
Leitfaden von Microsoft
Administratoren sollten auf Grundlage ihrer Identitätsinfrastruktur die folgenden Artikel heranziehen, um zu erfahren, wie sie den Microsoft Entra-Hybridbeitritt konfigurieren können.
- Konfigurieren Sie Microsoft Entra-Hybridbeitritt für eine föderierte Umgebung
- Konfigurieren Sie Microsoft Entra-Hybridbeitritt für eine verwaltete Umgebung
Nicht persistente VDI-Plattform
Microsoft empfiehlt Organisationen, bei der Implementierung den folgenden Leitfaden zu beachten, wenn eine nicht beständige VDI bereitgestellt wird. Wenn Sie dies nicht tun, führt dies dazu, dass Ihr Verzeichnis viele veraltete Microsoft Entra-Hybridgeräte enthält, die von Ihrer nicht-persistenten VDI-Plattform registriert wurden. Diese veralteten Geräte führen zu einem erhöhten Druck auf Ihr Mandantenkontingent und das Risiko einer Dienstunterbrechung, da das Mandantenkontingent nicht mehr verfügbar ist.
- Wenn Sie sich auf das Systemvorbereitungstool (sysprep.exe) verlassen und ein Image aus der Zeit vor Windows 10 1809 für die Installation verwenden, stellen Sie sicher, dass dieses Image nicht von einem Gerät stammt, das bereits mit Microsoft Entra ID als Microsoft Entra Hybrid registriert ist.
- Wenn Sie sich auf einen Snapshot einer virtuellen Maschine (VM) verlassen, um weitere VMs zu erstellen, vergewissern Sie sich, dass dieser Snapshot nicht von einer VM stammt, die bereits mit Microsoft Entra ID als Microsoft Entra Hybrid Join registriert ist.
- Active Directory Federation Services (AD FS) unterstützt Instant Join für nicht-persistente VDI und Microsoft Entra Hybrid Join.
- Erstellen und verwenden Sie ein Präfix (z. B. „NBVDI-“) für den Anzeigenamen des Computers, das darauf hinweist, dass der Desktop nicht beständig und VDI-basiert ist.
- Für kompatible Windows-Geräte:
- Implementieren Sie den Befehl autoworkplacejoin /leave als Teil des Abmeldeskripts. Dieser Befehl sollte im Kontext des Benutzers ausgelöst und ausgeführt werden, solange sich der Benutzer noch nicht vollständig abgemeldet hat und noch Netzwerkkonnektivität besteht.
- Für aktuelle Windows-Geräte in einer Verbundumgebung (z. B. AD FS) gilt Folgendes:
- Implementieren Sie dsregcmd /join als Teil der Startsequenz/Reihenfolge des virtuellen Computers und vor der Benutzeranmeldung.
- Führen Sie „dsregcmd /leave“ NICHT als Teil des Prozesses zum Herunterfahren/Neustarten der VM aus.
- Definieren und implementieren Sie einen Prozess zum Verwalten veralteter Geräte.
- Sobald Sie eine Strategie zur Identifizierung Ihrer nicht-persistenten Microsoft Entra-Hybridgeräte entwickelt haben (z.B. anhand des Präfixes für den Computer-Anzeigenamen), sollten Sie diese Geräte aggressiver bereinigen, um sicherzustellen, dass Ihr Verzeichnis nicht mit einer Vielzahl veralteter Geräte belastet wird.
- Für nicht beständige VDI-Bereitstellungen von aktuellen und kompatiblen Windows-Geräten sollten Sie Geräte löschen, deren ApproximateLastLogonTimestamp älter als 15 Tage ist.
Hinweis
Wenn Sie eine nicht-persistente VDI verwenden und das Hinzufügen eines Geschäfts-, Schul- oder Unikontos verhindern möchten, muss der folgende Registrierungsschlüssel festgelegt sein: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
Stellen Sie sicher, dass Sie Windows 10, Version 1803 oder höher, ausführen.
Das Roaming jeglicher Daten unter dem Pfad
%localappdata%wird nicht unterstützt. Wenn Sie sich für das Verschieben von Inhalten unter%localappdata%entscheiden, stellen Sie sicher, dass der Inhalt der folgenden Ordner und Registrierungsschlüssel das Gerät niemals verlässt. Zum Beispiel: Profil-Migrations-Tools müssen die folgenden Ordner und Schlüssel auslassen:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinEin Roaming des Gerätezertifikats des Geschäftskontos wird nicht unterstützt. Das von "MS-Organization-Access" ausgestellte Zertifikat wird im persönlichen Zertifikatspeicher des aktuellen Benutzers und auf dem lokalen Computer gespeichert.
Dauerhafte VDI
Microsoft empfiehlt IT-Administratoren, den folgenden Leitfaden zu implementieren, wenn eine persistente VDI-Plattform bereitgestellt wird. Andernfalls kann es zu Problemen bei der Bereitstellung und Authentifizierung kommen.
- Wenn Sie sich auf das Systemvorbereitungstool (sysprep.exe) verlassen und ein Image aus der Zeit vor Windows 10 1809 für die Installation verwenden, stellen Sie sicher, dass dieses Image nicht von einem Gerät stammt, das bereits mit Microsoft Entra ID als Microsoft Entra Hybrid registriert ist.
- Wenn Sie sich auf einen Snapshot einer virtuellen Maschine (VM) verlassen, um weitere VMs zu erstellen, vergewissern Sie sich, dass dieser Snapshot nicht von einer VM stammt, die bereits mit Microsoft Entra ID als Microsoft Entra Hybrid Join registriert ist.
Zudem wird empfohlen, einen Prozess zur Verwaltung veralteter Geräte zu implementieren. Dieses Verfahren stellt sicher, dass Ihr Verzeichnis nicht mit einer Vielzahl veralteter Geräte belastet wird, wenn Sie Ihre virtuellen Maschinen in regelmäßigen Abständen zurücksetzen.
Nächste Schritte
Konfigurieren Sie Microsoft Entra-Hybridbeitritt für eine föderierte Umgebung