Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os administradores normalmente implantam plataformas de VDI (infraestrutura de área de trabalho virtual) que hospedam sistemas operacionais Windows em suas organizações. Os administradores implantam a VDI para:
- Simplificar o gerenciamento.
- Reduzir os custos por meio da consolidação e centralização de recursos.
- Fornecer mobilidade dos usuários finais e a liberdade de acessar áreas de trabalho virtuais a qualquer momento, de qualquer lugar e em qualquer dispositivo.
Há dois tipos principais de áreas de trabalho virtuais:
- Persistente
- Não persistente
As versões persistentes usam uma imagem de área de trabalho exclusiva para cada usuário ou um pool de usuários. Essas áreas de trabalho exclusivas podem ser personalizadas e salvas para uso futuro.
As versões não persistentes usam uma coleção de áreas de trabalho que os usuários podem acessar de acordo com a necessidade. Essas áreas de trabalho não persistentes são revertidas para seu estado original quando uma máquina virtual passa por um processo de desligamento/reinicialização/redefinição do sistema operacional.
É importante garantir que as organizações gerenciem dispositivos obsoletos que são criados devido a registros de dispositivos frequentes sem ter uma estratégia adequada para o gerenciamento do ciclo de vida do dispositivo.
Importante
A falha ao gerenciar a dispositivos obsoletos pode levar ao aumento de pressão no consumo de uso de cota do locatário e no risco potencial de interrupção do serviço, se você ficar sem cota do locatário. Para evitar essa situação, siga as diretrizes documentadas abaixo ao implantar ambientes de VDI não persistentes.
Para a execução bem-sucedida de alguns cenários, é importante ter nomes exclusivos de dispositivo no diretório. Para isso, faça o gerenciamento adequado dos dispositivos obsoletos ou garanta a exclusividade do nome dos dispositivos usando algum padrão de nomenclatura para eles.
Este artigo aborda as diretrizes da Microsoft para os administradores sobre suporte para a identidade do dispositivo e a VDI. Para obter mais informações sobre a identidade do dispositivo, confira o artigo O que é uma identidade do dispositivo?.
Cenários com suporte
Antes de configurar as identidades do dispositivo no Microsoft Entra ID para seu ambiente de VDI, familiarize-se com os cenários com suporte. A tabela a seguir ilustra quais são os cenários de provisionamento compatíveis. O provisionamento neste contexto significa que um administrador pode configurar identidades de dispositivo em escala sem a necessidade de qualquer interação do usuário final.
dispositivos atuais do Windows representam o Windows 10 ou mais recente, o Windows Server 2016 v1803 ou superior e o Windows Server 2019 ou superior.
| Tipo de identidade do dispositivo | Infraestrutura da identidade | Dispositivos Windows | Versão da plataforma da VDI | Com suporte |
|---|---|---|---|---|
| Ingressado no Microsoft Entra híbrido | Federado3 | Windows atual | Persistente | Sim |
| Windows atual | Não persistente | Sim5 | ||
| Gerenciado4 | Windows atual | Persistente | Sim | |
| Windows atual | Não persistente | Edição Limitada6 | ||
| Ingressado no Microsoft Entra | Federado | Windows atual | Persistente | Limitado8 |
| Não persistente | Não | |||
| Gerenciado | Windows atual | Persistente | Limitado8 | |
| Não persistente | Não | |||
| Registrado no Microsoft Entra | Federado/gerenciado | Windows atual | Persistente/não persistente | Não Aplicável |
Importante
Ao implantar um farm de VDI (persistente ou não persistente), os clientes devem levar em consideração os limites de limitação da operação do dispositivo Entra. A Microsoft recomenda que as solicitações de registro de dispositivo sejam escalonadas à taxa de 500 solicitações por intervalo de 2 minutos e 30 segundos. A falha em sequenciar essas solicitações pode levar a erros de limitação que resultam em falhas no registro do dispositivo e atrasos mais longos para que o registro de dispositivo tenha êxito.
3 Um ambiente de infraestrutura de identidade federado representa um ambiente com um provedor de identidade (IdP), como o AD FS ou outro IdP não da Microsoft. Em um ambiente federado de infraestrutura de identidade, os computadores seguem o fluxo de registro de dispositivo federado com base nas configurações do SCP (Ponto de Conexão de Serviço) do Microsoft Windows Server Active Directory .
4 Um ambiente de infraestrutura de identidade Gerenciado representa um ambiente com o Microsoft Entra ID como o provedor de identidade implantado com a PHS (sincronização de hash de senha) ou a PTA (autenticação de passagem) com logon único contínuo.
5O suporte de não persistência para o Windows atual requer considerações adicionais, conforme documentado na seção de diretrizes. Este cenário requer o Windows 10 1803 ou mais recente, o Windows Server 2019 ou a versão inicial 1803 do Windows Server (canal semestral)
6 O suporte de não persistência para o Windows atual em um ambiente de infraestrutura de identidade Gerenciada só está disponível com o Citrix gerenciado pelo cliente local e gerenciado pelo serviço de nuvem. Para quaisquer consultas relacionadas ao suporte, entre em contato diretamente com o suporte da Citrix.
8 O suporte para junção do Microsoft Entra está disponível com a Área de Trabalho Virtual do Azure, o Windows 365 e o Amazon WorkSpaces. Para consultas relacionada ao suporte com o Amazon WorkSpaces e a integração com o Microsoft Entra, entre em contato diretamente com o suporte da Amazon.
Diretrizes da Microsoft
Os administradores devem consultar os artigos a seguir, com base em sua infraestrutura de identidade, para saber como configurar a associação híbrida no Microsoft Entra.
- Configurar o ingresso no Microsoft Entra híbrido para ambiente federado
- Configurar o ingresso no Microsoft Entra híbrido para ambiente gerenciado
VDI não persistente
Quando os administradores implantam uma VDI não persistente, a Microsoft recomenda que você implemente as diretrizes a seguir. Se isso não for feito, seu diretório terá muitos dispositivos registrados como híbridos conectados ao Microsoft Entra e desatualizados, provenientes de sua plataforma VDI não persistente. Esses dispositivos obsoletos resultam em maior pressão sobre sua cota de locatário e risco de interrupção do serviço devido à falta de cota de locatário.
- Se você estiver contando com a Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo que já está registrado no Microsoft Entra ID como ingressado no Microsoft Entra híbrido.
- Se você estiver contando com um instantâneo de VM (Máquina Virtual) para criar mais VMs, verifique se o instantâneo não é de uma VM que já está registrada no Microsoft Entra ID como ingressada no Microsoft Entra híbrido.
- O AD FS (Serviços de Federação do Active Directory) dá suporte ao ingresso instantâneo para ingressos não persistentes no Microsoft Entra híbrido e na VDI.
- Crie e use um prefixo para o nome de exibição (por exemplo, NPVDI-) do computador que indica a área de trabalho como baseada em VDI não persistente.
- Para dispositivos Windows em um ambiente federado (por exemplo, AD FS):
- Implemente dsregcmd /join como parte da sequência/ordem de inicialização da VM e antes que o usuário entre.
- NÃO execute dsregcmd /leave como parte do processo de desligamento/reinicialização da VM.
- Defina e implemente o processo de gerenciamento de dispositivos obsoletos.
- Depois que você tiver uma estratégia para identificar seus dispositivos não persistentes ingressados no Microsoft Entra híbrido (como usar o prefixo do nome de exibição do computador), faça uma limpeza mais agressiva desses dispositivos para garantir que seu diretório não seja consumido por muitos dispositivos obsoletos.
- Para implantações de VDI não persistentes, exclua dispositivos em que ApproximateLastLogonTimestamp é mais antigo que 15 dias.
Observação
Ao usar a VDI não persistente, se você quiser evitar a adição de uma conta corporativa ou de estudante, verifique se a seguinte chave do Registro está definida: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Verifique se você está executando o Windows 10, versão 1803 ou posterior.
Não há suporte para roaming de dados no caminho %localappdata%. Se você optar por mover o conteúdo em %localappdata%, o conteúdo das pastas e chaves do Registro a seguir nunca deverão deixar o dispositivo sob nenhuma condição. Por exemplo, as ferramentas de migração de perfil devem ignorar as seguintes pastas e chaves:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
Não há suporte para roaming do certificado de dispositivo da conta corporativa. O certificado, emitido pelo "MS-Organization-Access", é armazenado no repositório de certificados pessoais (MY) do usuário atual e no computador local.
VDI persistente
Quando os administradores implantam a VDI persistente, a Microsoft recomenda que você implemente as diretrizes a seguir. Não fazer isso resultará em problemas de implantação e autenticação.
- Se você estiver contando com a Ferramenta de Preparação do Sistema (sysprep.exe) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo que já está registrado no Microsoft Entra ID como ingressado no Microsoft Entra híbrido.
- Se você estiver contando com um instantâneo de VM (Máquina Virtual) para criar mais VMs, verifique se o instantâneo não é de uma VM que já está registrada no Microsoft Entra ID como ingressada no Microsoft Entra híbrido.
Recomendamos que você implemente o processo de gerenciamento de dispositivos obsoletos. Esse processo garante que seu diretório não fique cheio de muitos dispositivos obsoletos se você reiniciar suas VMs periodicamente.
Próximas etapas
Configurando a associação híbrida do Microsoft Entra para um ambiente federado