Identitas perangkat dan virtualisasi desktop

Artikel
04/06/2024

Administrator biasanya menggunakan platform infrastruktur desktop virtual (Virtual Desktop Infrastructure - VDI) yang menghosting sistem operasi Windows di organisasinya. Administrator menyebarkan VDI untuk:

Merampingkan manajemen.
Mengurangi biaya melalui konsolidasi dan sentralisasi sumber daya.
Memberi mobilitas pengguna akhir dan kebebasan untuk mengakses desktop virtual kapan saja, dari mana saja, di perangkat apa pun.

Ada dua jenis utama desktop virtual:

Terus-menerus
Tidak persisten

Versi persisten menggunakan gambar desktop unik untuk setiap pengguna atau kumpulan pengguna. Desktop unik ini dapat disesuaikan dan disimpan untuk digunakan di masa mendatang.

Versi tidak persisten menggunakan kumpulan desktop yang dapat diakses pengguna sesuai kebutuhan. Desktop non-persisten ini dikembalikan ke status asli, dalam Windows ¹ saat ini, perubahan ini terjadi ketika mesin virtual melewati proses pematian/penghidupan ulang/reset OS dan dalam Windows down-level², perubahan ini terjadi ketika pengguna keluar.

Sangat penting untuk memastikan organisasi mengelola perangkat kedaluwarsa yang dibuat karena pendaftaran perangkat yang sering tanpa memiliki strategi yang tepat untuk manajemen siklus hidup perangkat.

Penting

Kegagalan mengelola perangkat kedaluwarsa dapat menyebabkan peningkatan tekanan pada konsumsi penggunaan kuota penyewa Anda dan potensi risiko gangguan layanan, jika Anda kehabisan kuota penyewa. Gunakan panduan berikut saat menyebarkan lingkungan VDI yang tidak persisten untuk menghindari situasi ini.

Untuk keberhasilan eksekusi beberapa skenario, penting untuk memiliki nama perangkat unik dalam direktori. Ini dapat dicapai dengan manajemen perangkat kedaluarsa yang tepat, atau Anda dapat menjamin keunikan nama perangkat dengan menggunakan beberapa pola dalam penamaan perangkat.

Artikel ini membahas panduan Microsoft kepada administrator tentang dukungan untuk identitas perangkat dan VDI. Untuk informasi selengkapnya tentang identitas perangkat, lihat artikel Apa itu identitas perangkat.

Skenario yang didukung

Sebelum mengonfigurasi identitas perangkat di MICROSOFT Entra ID untuk lingkungan VDI Anda, biasakan diri Anda dengan skenario yang didukung. Tabel berikut mengilustrasikan skenario provisi mana yang didukung. Penyediaan dalam konteks ini menyiratkan bahwa administrator dapat mengonfigurasi identitas perangkat dalam skala besar tanpa memerlukan interaksi pengguna akhir apa pun.

Jenis identitas perangkat	Infrastruktur identitas	Perangkat Windows	Versi platform VDI	Didukung
Gabungan hibrida Microsoft Entra	Gabungan³	Windows saat ini dan Windows down-level	Terus-menerus	Ya
		Windows saat ini	Tidak persisten	Ya⁵
		Windows down-level	Tidak persisten	Ya⁶
	Terkelola⁴	Windows saat ini dan Windows down-level	Terus-menerus	Ya
		Windows saat ini	Tidak persisten	Terbatas⁶
		Windows down-level	Tidak persisten	Ya⁷
Gabungan Microsoft Entra	Gabungan	Windows saat ini	Terus-menerus	Terbatas⁸
			Tidak persisten	No
	Terkelola	Windows saat ini	Terus-menerus	Terbatas⁸
			Tidak persisten	No
Terdaftar Microsoft Entra	Gabungan/Terkelola	Windows saat ini/Windows down-level	Persisten/Tidak Persisten	Tidak Berlaku

¹Perangkat Windows saat ini mewakili Windows 10 atau yang lebih baru, Windows Server 2016 v1803 atau lebih tinggi, dan Windows Server 2019 atau yang lebih tinggi.

² Perangkat Windows versi lama mewakili Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, dan Windows Server 2012 R2. Untuk informasi dukungan di Windows 7, lihat Dukungan untuk Windows 7 berakhir. Untuk informasi dukungan tentang Windows Server 2008 R2, lihat Mempersiapkan akhir dukungan Windows Server 2008.

³Lingkungan infrastruktur identitas Federasi mewakili lingkungan dengan Penyedia Identitas (IdP) seperti Layanan Federasi Direktori Aktif atau IdP pihak ketiga lainnya. Di lingkungan infrastruktur identitas gabungan, komputer mengikuti alur pendaftaran perangkat terkelola berdasarkan pengaturan Microsoft Windows Server Active Directory Service Koneksi ion Point (SCP).

⁴Lingkungan infrastruktur identitas terkelola mewakili lingkungan dengan ID Microsoft Entra sebagai penyedia identitas yang disebarkan dengan sinkronisasi hash kata sandi (PHS) atau autentikasi pass-through (PTA) dengan akses menyeluruh yang mulus.

⁵Dukungan Non-Persistensi untuk Windows saat ini memerlukan pertimbangan lain seperti yang didokumentasikan di bagian panduan. Skenario ini memerlukan Windows 10 1803 atau yang lebih baru, Windows Server 2019, atau Windows Server (Saluran semi-tahunan) mulai dari versi 1803

⁶Dukungan Non-Persistensi untuk Windows saat ini di lingkungan Infrastruktur identitas terkelola hanya tersedia dengan citrix lokal yang dikelola pelanggan dan layanan Cloud yang dikelola. Untuk kueri terkait dukungan apa pun, hubungi dukungan Citrix secara langsung.

⁷Dukungan Non-Persistensi untuk Windows tingkat bawah memerlukan pertimbangan lain seperti yang didokumentasikan di bagian panduan.

⁸Dukungan gabungan Microsoft Entra hanya tersedia dengan Azure Virtual Desktop dan Windows 365.

Panduan Microsoft

Administrator harus mereferensikan artikel berikut, berdasarkan infrastruktur identitas mereka, untuk mempelajari cara mengonfigurasi gabungan hibrid Microsoft Entra.

VDI tidak persisten

Saat menyebarkan VDI yang tidak persisten, Microsoft merekomendasikan organisasi untuk menerapkan panduan berikut. Kegagalan untuk melakukannya mengalihkan direktori Anda memiliki banyak perangkat gabungan hibrid Microsoft Entra basi yang terdaftar dari platform VDI non-persisten Anda. Perangkat basi ini mengakibatkan peningkatan tekanan pada kuota penyewa Anda dan risiko gangguan layanan karena kehabisan kuota penyewa.

Jika Anda mengandalkan Alat Persiapan Sistem (sysprep.exe) dan jika Anda menggunakan gambar pra-Windows 10 1809 untuk penginstalan, pastikan bahwa gambar bukan dari perangkat yang sudah terdaftar dengan ID Microsoft Entra sebagai gabungan hibrid Microsoft Entra.
Jika Anda mengandalkan rekam jepret Komputer Virtual (VM) untuk membuat lebih banyak VM, pastikan bahwa rekam jepret bukan dari VM yang sudah terdaftar di MICROSOFT Entra ID sebagai gabungan hibrid Microsoft Entra.
Layanan Federasi Direktori Aktif (AD FS) mendukung gabungan instan untuk gabungan hibrid VDI dan Microsoft Entra yang tidak persisten.
Membuat dan menggunakan prefiks untuk nama tampilan (misalnya, NPVDI-) dari komputer yang menunjukkan desktop sebagai berbasis VDI non-persisten.
Untuk Windows tingkat bawah:
- Terapkan perintah autoworkplacejoin /leave sebagai bagian dari skrip untuk proses keluar. Perintah ini harus dipicu dalam konteks pengguna, dan harus dijalankan sebelum pengguna telah keluar sepenuhnya sementara masih ada konektivitas jaringan.
Untuk Windows saat ini di lingkungan Federasi (misalnya, LAYANAN Federasi Direktori Aktif):
- Terapkan dsregcmd /join sebagai bagian dari urutan booting VM dan sebelum pengguna masuk.
- JANGAN mengeksekusi dsregcmd /leave sebagai bagian dari proses pematian/mulai ulang VM.
Tentukan dan terapkan proses untuk mengelola perangkat kedaluwarsa.
- Setelah Anda memiliki strategi untuk mengidentifikasi perangkat gabungan hibrid Microsoft Entra yang tidak persisten (seperti menggunakan awalan nama tampilan komputer), Anda harus lebih agresif pada pembersihan perangkat ini untuk memastikan direktori Anda tidak dikonsumsi dengan banyak perangkat kedaluarsa.
- Untuk penyebaran VDI tidak persisten pada Windows saat ini dan down-level, Anda harus menghapus perangkat yang memiliki ApproximateLastLogonTimestamp yang lebih dari 15 hari.

Catatan

Saat menggunakan VDI non-persisten, jika Anda ingin mencegah penambahan akun kerja atau sekolah, pastikan kunci registri berikut diatur: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001

Pastikan Anda menjalankan Windows 10, versi 1803 atau yang lebih tinggi.

Roaming data apa pun di bawah jalur %localappdata%, tidak didukung. Jika Anda memilih untuk memindah konten di bawah %localappdata%, pastikan bahwa konten folder dan kunci registri berikut ini tidak pernah meninggalkan perangkat dalam kondisi apa pun. Misalnya: Alat migrasi profil harus melewatkan folder dan kunci berikut:

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy

%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy

%localappdata%\Packages\<any app package>\AC\TokenBroker

%localappdata%\Microsoft\TokenBroker

HKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRL

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AAD

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin

Roaming sertifikat perangkat akun kantor tidak didukung. Sertifikat, yang dikeluarkan oleh "MS-Organization-Access", disimpan di toko sertifikat Pribadi (MY) pengguna saat ini dan di mesin lokal.

VDI Persisten

Saat menyebarkan VDI persisten, Microsoft merekomendasikan agar administrator TI menerapkan panduan berikut. Kegagalan untuk melakukannya menghasilkan masalah penyebaran dan autentikasi.

Jika Anda mengandalkan Alat Persiapan Sistem (sysprep.exe) dan jika Anda menggunakan gambar pra-Windows 10 1809 untuk penginstalan, pastikan bahwa gambar bukan dari perangkat yang sudah terdaftar dengan ID Microsoft Entra sebagai gabungan hibrid Microsoft Entra.
Jika Anda mengandalkan rekam jepret Komputer Virtual (VM) untuk membuat lebih banyak VM, pastikan bahwa rekam jepret bukan dari VM yang sudah terdaftar di MICROSOFT Entra ID sebagai gabungan hibrid Microsoft Entra.

Sebaiknya terapkan proses untuk mengelola perangkat kedaluwarsa. Proses ini memastikan direktori Anda tidak dikonsumsi dengan banyak perangkat kedaluarsa jika Anda secara berkala mengatur ulang VM Anda.

Langkah berikutnya

Mengonfigurasi gabungan hibrid Microsoft Entra untuk lingkungan federasi

Bagikan melalui