Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los administradores suelen implementar plataformas de infraestructura de escritorio virtual (VDI) que hospedan sistemas operativos Windows en sus organizaciones. VDI ayuda a:
- Simplificar la administración.
- Reducir los costos a través de la consolidación y la centralización de los recursos.
- Ofrezca movilidad del usuario final y la libertad de acceder a escritorios virtuales en cualquier momento, desde cualquier lugar, en cualquier dispositivo.
Hay dos versiones de escritorios virtuales. Estos nombres hacen referencia a la experiencia de perfil y sesión de usuario, no al ciclo de vida de la máquina virtual subyacente .
| Tipo de escritorio virtual | Description | Efecto en la cuota de inquilinos |
|---|---|---|
| Persistente | Usa una imagen de escritorio única para cada usuario o grupo de usuarios. Estos escritorios se pueden personalizar y guardar para su uso futuro. | Los dispositivos se registran una vez y permanecen en el directorio. Los dispositivos inactivos solo se acumulan si las máquinas virtuales se reinician periódicamente sin realizar ninguna limpieza. |
| No persistente | Usa una colección de escritorios a los que los usuarios acceden según sea necesario. Estos escritorios vuelven a su estado original después de que una máquina virtual se apague, reinicie o restablezca el sistema operativo. | Cada restablecimiento puede desencadenar un nuevo registro de dispositivos, lo que aumenta rápidamente los registros de dispositivos obsoletos y consume la cuota de inquilinos. |
Las versiones persistentes usan una imagen de escritorio única para cada usuario o grupo de usuarios. Estos escritorios únicos se pueden personalizar y guardar para su uso futuro.
Las máquinas virtuales de host de sesión, tanto en los grupos de hosts compartidos como en los personales, son máquinas virtuales estándar de Azure y son persistentes de forma predeterminada. Azure Virtual Desktop no elimina, restablece ni vuelve a crear automáticamente estas máquinas virtuales a menos que los clientes implementen explícitamente herramientas de automatización o de terceros, lo que puede dar lugar a un comportamiento no persistente en el nivel de dispositivo o identidad.
Las versiones no persistentes usan una colección de escritorios a los que los usuarios pueden acceder cuando sea necesario. Estos escritorios no persistentes se revierten a su estado original cuando una máquina virtual pasa por un proceso de apagado, reinicio o restablecimiento del sistema operativo.
Importante
Los dispositivos obsoletos aumentan el consumo de uso de cuota de inquilino. Para evitar el aumento del consumo de dispositivos obsoletos al implementar entornos de VDI no persistentes, consulte Non-persistent-vdi.
Algunos escenarios requieren nombres de dispositivo únicos en el directorio. Esto se puede lograr mediante la administración adecuada de dispositivos obsoletos, o puede garantizar la exclusividad del nombre del dispositivo mediante algún patrón en la nomenclatura de dispositivos.
En este artículo se proporcionan instrucciones para administrar identidades de dispositivo en entornos de VDI. Para más información sobre la identidad del dispositivo, consulte el artículo ¿Qué es una identidad de dispositivo?
Escenarios admitidos
Antes de configurar identidades de dispositivo en Microsoft Entra ID para el entorno de VDI, familiarícese con los escenarios admitidos. En la tabla siguiente se muestran los escenarios de aprovisionamiento que se admiten. El aprovisionamiento en este contexto implica que un administrador puede configurar identidades de dispositivo a escala sin requerir ninguna interacción del usuario final.
Windows actuales los dispositivos representan Windows 10 o más reciente, Windows Server 2016 v1803 o más reciente y Windows Server 2019 o superior.
| Tipo de identidad del dispositivo | Infraestructura de identidades | Dispositivos Windows | Versión de la plataforma de VDI | Compatible |
|---|---|---|---|---|
| Unión híbrida a Microsoft Entra | Federado1 | Windows actual | Persistente | Sí |
| Windows actual | No persistente | Sí2 | ||
| Administrado3 | Windows actual | Persistente | Sí | |
| Windows actual | No persistente | Limitado4 | ||
| Unido a Microsoft Entra | Federado | Windows actual | Persistente | Limitado |
| No persistente | No | |||
| Administrado | Windows actual | Persistente | Limitado5 | |
| No persistente | No | |||
| Microsoft Entra registrado | Federada/administrada | Windows actual | Persistente/no persistente | No es aplicable |
Importante
Al implementar una granja de VDI (persistente o no persistente), los clientes deben tener en cuenta los límites de gestión de operaciones de dispositivos Entra. Microsoft recomienda que las solicitudes de registro de dispositivos se programen a una tasa de 500 solicitudes por cada 2 minutos y 30 segundos. Si no se gestionan adecuadamente estas solicitudes, se pueden producir errores de limitación, lo que puede provocar fallos en el registro de dispositivos y retrasos más prolongados en completar el registro de dispositivos.
1 Un entorno de infraestructura de identidad federada representa un entorno con un proveedor de identidades (IdP), como AD FS u otro IdP que no sea de Microsoft. En un entorno de infraestructura de identidad federada, los equipos siguen el flujo de registro de dispositivos federados en función de la configuración del Punto de Conexión de Servicio (SCP) de Microsoft Windows Server Active Directory.
2La compatibilidad sin persistencia para la versión actual de Windows requiere otro tipo de consideración como se documenta en la sección de instrucciones. Este escenario requiere Windows 10 1803 o posterior, Windows Server 2019 o Windows Server (canal semianual) a partir de la versión 1803.
3 Un entorno de infraestructura de identidad gestionado representa un entorno con Microsoft Entra ID como proveedor de identidades implementado con sincronización de hash de contraseña (PHS) o autenticación de paso a través (PTA) con inicio de sesión único sin interrupciones.
4 Lacompatibilidad sin persistencia para Windows actual en un entorno de infraestructura de identidad administrada solo está disponible con los siguientes proveedores:
- Entornos administrados por el cliente local de Omnissa Horizon 8 y los entornos administrados por Horizon Cloud Service. Para cualquier consulta relacionada con el soporte técnico, póngase en contacto directamente con el soporte técnico de Omnissa .
- Citrix cliente local administrado y servicio en la nube administrado. Para cualquier consulta relacionada con el soporte técnico, póngase en contacto directamente con el soporte técnico de Citrix.
5Microsoft Entra join support está disponible con Azure Virtual Desktop, Windows 365 y Amazon WorkSpaces. Para cualquier consulta relacionada con la integración de Amazon WorkSpaces y Microsoft Entra, contacta directamente con soporte técnico de Amazon.
Guías de Microsoft
Los administradores deben consultar los artículos siguientes, en función de su infraestructura de identidad, para aprender a configurar la unión híbrida a Microsoft Entra.
- Configuración de la unión híbrida a Microsoft Entra para un entorno federado
- Configuración de la unión híbrida a Microsoft Entra para un entorno administrado
VDI no persistente
Al implementar VDI no persistente, Microsoft recomienda las instrucciones siguientes. No seguir estos pasos hará que se acumulen en su directorio dispositivos obsoletos unidos de forma híbrida a Microsoft Entra de su plataforma VDI no persistente.
- Si confía en la Herramienta de preparación del sistema (sysprep.exe) y está utilizando una imagen anterior a Windows 10 1809 para la instalación, asegúrese de que la imagen no proceda de un dispositivo que ya esté registrado con Microsoft Entra ID como unido de forma híbrida a Microsoft Entra.
- Si confía en una instantánea de máquina virtual (VM) para crear más máquinas virtuales, asegúrese de que la instantánea no procede de una máquina virtual que ya esté registrada con Microsoft Entra ID como unión híbrida con Microsoft Entra.
- Servicios de federación de Active Directory (AD FS) (AD FS) admite la unión instantánea para la VDI no persistente y la unión híbrida de Microsoft Entra.
- Cree un prefijo asociado al nombre para mostrar del equipo (por ejemplo, NPVDI-) y utilícelo para indicar que se trata de un escritorio basado en VDI no persistente.
- Para dispositivos Windows en un entorno federado (por ejemplo, AD FS):
- Implemente dsregcmd /join como parte de la secuencia u orden de arranque de la máquina virtual y antes de que el usuario inicie sesión.
- NO ejecute el comando dsregcmd /leave como parte del proceso de apagado o reinicio de la máquina virtual.
- Defina e implemente el proceso para administrar dispositivos obsoletos.
- Una vez que disponga de una estrategia para identificar los dispositivos no persistentes con unión híbrida a Microsoft Entra (por ejemplo, usar un prefijo de nombre para mostrar del equipo), puede efectuar una limpieza más concienzuda de estos dispositivos para garantizar que su directorio no se quede sin espacio debido al acceso de muchos dispositivos obsoletos.
- En el caso de las implementaciones de VDI no persistentes, debe eliminar los dispositivos que tengan ApproximateLastLogonTimestamp que sean de hace más de 15 días.
Nota
Al usar VDI no persistente, si quiere evitar la incorporación de una cuenta profesional o educativa, asegúrese de que la siguiente clave del Registro esté establecida: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
Asegúrese de que está ejecutando Windows 10, versión 1803 o posterior.
No se admite la itinerancia de datos en la ruta de acceso %localappdata%. Si decide mover el contenido de %localappdata%, asegúrese de que el contenido de las siguientes carpetas y claves del Registro no deje nunca el dispositivo, bajo ningún concepto. Por ejemplo: las herramientas de migración de perfiles deben omitir las siguientes carpetas y claves:
%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy%localappdata%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy%localappdata%\Packages\<any app package>\AC\TokenBroker%localappdata%\Microsoft\TokenBroker%localappdata%\Microsoft\OneAuth%localappdata%\Microsoft\IdentityCacheHKEY_CURRENT_USER\SOFTWARE\Microsoft\IdentityCRLHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AADHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoinHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TokenBroker
No se admite la movilidad del certificado de dispositivo de la cuenta profesional. El certificado, emitido por "MS-Organization-Access", se almacena en el almacén de certificados Personal (MY) del usuario actual y en el equipo local.
VDI persistente
Al implementar VDI persistente, Microsoft recomienda las instrucciones siguientes. Si no se siguen estos pasos, se producirán problemas de implementación y autenticación.
- Si confía en la Herramienta de preparación del sistema (sysprep.exe) y está utilizando una imagen anterior a Windows 10 1809 para la instalación, asegúrese de que la imagen no proceda de un dispositivo que ya esté registrado con Microsoft Entra ID como unido de forma híbrida a Microsoft Entra.
- Si confía en una instantánea de máquina virtual (VM) para crear más máquinas virtuales, asegúrese de que la instantánea no procede de una máquina virtual que ya esté registrada con Microsoft Entra ID como unión híbrida con Microsoft Entra.
Se recomienda implementar un proceso para administrar dispositivos obsoletos. Este proceso garantiza que el directorio no acumula dispositivos obsoletos si restablece periódicamente las máquinas virtuales.
Pasos siguientes
Configuración de la unión híbrida a Microsoft Entra para un entorno federado