Identidade do dispositivo e virtualização de área de trabalho
Os administradores normalmente implantam plataformas de VDI (infraestrutura de área de trabalho virtual) que hospedam sistemas operacionais Windows em suas organizações. Os administradores implantam a VDI para:
- Simplificar o gerenciamento.
- Reduzir os custos por meio da consolidação e centralização de recursos.
- Fornecer mobilidade dos usuários finais e a liberdade de acessar áreas de trabalho virtuais a qualquer momento, de qualquer lugar e em qualquer dispositivo.
Há dois tipos principais de áreas de trabalho virtuais:
- Persistente
- Não-Persistente
As versões persistentes usam uma imagem de área de trabalho exclusiva para cada usuário ou um pool de usuários. Essas áreas de trabalho exclusivas podem ser personalizadas e salvas para uso futuro.
As versões não persistentes usam uma coleção de áreas de trabalho que os usuários podem acessar de acordo com a necessidade. Essas áreas de trabalho não persistentes são revertidas para o estado original, no caso do Windows atual1, isso acontece quando uma máquina virtual passa por um processo de desligamento/reinicialização/redefinição de sistema operacional e, no caso do nível inferior do Windows2, isso acontece quando um usuário sai.
É importante garantir que as organizações gerenciem dispositivos obsoletos que são criados devido a registros de dispositivos frequentes sem ter uma estratégia adequada para o gerenciamento do ciclo de vida do dispositivo.
Importante
A falha ao gerenciar a dispositivos obsoletos pode levar ao aumento de pressão no consumo de uso de cota do locatário e no risco potencial de interrupção do serviço, se você ficar sem cota do locatário. Para evitar essa situação, siga as diretrizes documentadas abaixo ao implantar ambientes de VDI não persistentes.
Para a execução bem-sucedida de alguns cenários, é importante ter nomes exclusivos de dispositivo no diretório. Para isso, faça o gerenciamento adequado dos dispositivos obsoletos ou garanta a exclusividade do nome dos dispositivos usando algum padrão de nomenclatura para eles.
Este artigo aborda as diretrizes da Microsoft para os administradores sobre suporte para a identidade do dispositivo e a VDI. Para obter mais informações sobre a identidade do dispositivo, confira o artigo O que é uma identidade do dispositivo?.
Cenários com suporte
Antes de configurar as identidades do dispositivo no Microsoft Entra ID para seu ambiente de VDI, familiarize-se com os cenários com suporte. A tabela a seguir ilustra quais são os cenários de provisionamento compatíveis. O provisionamento neste contexto significa que um administrador pode configurar identidades de dispositivo em escala sem a necessidade de qualquer interação do usuário final.
| Tipo da identidade do dispositivo | Infraestrutura da identidade | Dispositivos Windows | Versão da plataforma da VDI | Com suporte |
|---|---|---|---|---|
| Ingressado no Microsoft Entra híbrido | Federado3 | Windows atual e nível inferior do Windows | Persistente | Sim |
| Windows atual | Não-Persistente | Sim5 | ||
| Nível inferior do Windows | Não-Persistente | Sim6 | ||
| Gerenciado4 | Windows atual e nível inferior do Windows | Persistente | Sim | |
| Windows atual | Não-Persistente | Limitado6 | ||
| Nível inferior do Windows | Não-Persistente | Sim7 | ||
| Ingressado no Microsoft Entra | Federado | Windows atual | Persistente | Limitado8 |
| Não-Persistente | Não | |||
| Gerenciado | Windows atual | Persistente | Limitado8 | |
| Não-Persistente | Não | |||
| Registrado no Microsoft Entra | Federado/gerenciado | Windows atual/nível inferior do Windows | Persistente/não persistente | Não Aplicável |
1Os dispositivos do Windows atual representam o Windows 10 ou mais recente, o Windows Server 2016 v1803 ou posterior e o Windows Server 2019 ou posterior.
2Os dispositivos do Windows de nível inferior representam o Windows 7, o Windows 8.1, o Windows Server 2008 R2, o Windows Server 2012 e o Windows Server 2012 R2. Para obter informações de suporte sobre o Windows 7, confira O suporte ao Windows 7 está terminando. Para obter informações de suporte sobre o Windows Server 2008 R2, confira Preparar para o fim do suporte ao Windows Server 2008.
3 Um ambiente de infraestrutura de identidade federado representa um ambiente com um provedor de identidade (IdP), como o AD FS ou outro IdP de terceiros. Em um ambiente federado de infraestrutura de identidade, os computadores seguem o fluxo de registro de dispositivo gerenciado com base nas configurações do SCP (Ponto de Conexão de Serviço do Windows Server Active Directory da Microsoft).
4 Um ambiente de infraestrutura de identidade gerenciado representa um ambiente com o Microsoft Entra ID como o provedor de identidade implantado com a PHS (sincronização de hash de senha) ou a PTA (autenticação de passagem) com logon único contínuo.
5O suporte de não persistência para o Windows atual requer considerações adicionais, conforme documentado na seção de diretrizes. Este cenário requer o Windows 10 1803 ou mais recente, o Windows Server 2019 ou a versão inicial 1803 do Windows Server (canal semestral)
6O suporte de não persistência para o Windows atual em um ambiente de infraestrutura de identidade gerenciada só está disponível com o Citrix local gerenciado pelo cliente e Citrix no serviço de nuvem gerenciado. Para quaisquer consultas relacionadas ao suporte, entre em contato diretamente com o suporte da Citrix.
7O suporte de não persistência para o Windows de nível inferior requer considerações adicionais, conforme documentado na seção de diretrizes.
8 O suporte ao ingresso no Microsoft Entra está disponível somente com a Área de Trabalho Virtual do Azure e o Windows 365.
Diretrizes da Microsoft
Os administradores devem consultar os artigos a seguir, com base em sua infraestrutura de identidade, para saber como configurar o ingresso no Microsoft Entra híbrido.
- Configurar o ingresso no Microsoft Entra híbrido para ambiente federado
- Configurar o ingresso no Microsoft Entra híbrido para ambiente gerenciado
VDI não persistente
Ao implantar a VDI não persistente, a Microsoft recomenda que as organizações implementem as diretrizes a seguir. Se isso não for feito, seu diretório terá muitos dispositivos obsoletos conectados ao Microsoft Entra híbrido registrados de sua plataforma VDI não persistente. Esses dispositivos obsoletos resultam em maior pressão sobre sua cota de locatário e risco de interrupção do serviço devido à falta de cota de locatário.
- Se você estiver contando com a Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo que já está registrado no Microsoft Entra ID como ingressado no Microsoft Entra híbrido.
- Se você estiver contando com um instantâneo de VM (Máquina Virtual) para criar mais VMs, verifique se o instantâneo não é de uma VM que já está registrada no Microsoft Entra ID como ingressada no Microsoft Entra híbrido.
- O AD FS (Serviços de Federação do Active Directory) dá suporte ao ingresso instantâneo para ingressos não persistentes no Microsoft Entra híbrido e na VDI.
- Crie e use um prefixo para o nome de exibição (por exemplo, NPVDI-) do computador que indica a área de trabalho como baseada em VDI não persistente.
- Para o nível inferior do Windows:
- Implemente o comando autoworkplacejoin /leave como parte do script de logoff. Esse comando deve ser disparado no contexto do usuário e deve ser executado antes de o usuário fazer o logoff completamente e enquanto ainda há conectividade de rede.
- Para o Windows atual em um ambiente federado (por exemplo, AD FS):
- Implemente dsregcmd /join como parte da sequência/ordem de inicialização da VM e antes que o usuário entre.
- NÃO execute dsregcmd /leave como parte do processo de desligamento/reinicialização da VM.
- Defina e implemente o processo de gerenciamento de dispositivos obsoletos.
- Depois que você tiver uma estratégia para identificar seus dispositivos não persistentes ingressados no Micrososft Entra híbrido (como usar o prefixo do nome de exibição do computador), faça uma limpeza mais agressiva desses dispositivos para garantir que seu diretório não seja consumido por muitos dispositivos obsoletos.
- Para implantações de VDI não persistente no Windows atual e nos níveis inferiores, você deve excluir dispositivos com ApproximateLastLogonTimestamp de mais de 15 dias.
Observação
Ao usar a VDI não persistente, se você quiser evitar a adição de uma conta corporativa ou de estudante, verifique se a seguinte chave do Registro está definida: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Verifique se você está executando o Windows 10, versão 1803 ou posterior.
Não há suporte para roaming de dados no caminho
%localappdata%. Se você optar por mover o conteúdo em%localappdata%, o conteúdo das pastas e chaves do Registro a seguir nunca deverão deixar o dispositivo sob nenhuma condição. Por exemplo: ferramentas de migração de perfil devem ignorar as seguintes pastas e chaves:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBrokerHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinNão há suporte para roaming do certificado de dispositivo da conta corporativa. O certificado, emitido pelo "MS-Organization-Access", é armazenado no repositório de certificados pessoais (MY) do usuário atual e no computador local.
VDI persistente
Ao implantar a VDI persistente, a Microsoft recomenda que os administradores de TI implementem as diretrizes a seguir. Não fazer isso resultará em problemas de implantação e autenticação.
- Se você estiver contando com a Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo que já está registrado no Microsoft Entra ID como ingressado no Microsoft Entra híbrido.
- Se você estiver contando com um instantâneo de VM (Máquina Virtual) para criar mais VMs, verifique se o instantâneo não é de uma VM que já está registrada no Microsoft Entra ID como ingressada no Microsoft Entra híbrido.
Recomendamos que você implemente o processo de gerenciamento de dispositivos obsoletos. Esse processo garante que seu diretório não seja consumido com muitos dispositivos obsoletos se você redefinir suas VMs periodicamente.
Próximas etapas
Configurando o ingresso no Microsoft Entra híbrido para ambiente federado