الهويات المدعومة وطرق المصادقة
في هذه المقالة، سنقدم لك نظرة عامة موجزة حول أنواع الهويات وطرق المصادقة التي يمكنك استخدامها في Azure Virtual Desktop.
الهويات
يدعم سطح المكتب الظاهري من Azure أنواعًا مختلفة من الهويات بناءً على التكوين الذي تختاره. يوضّح هذا القسم الهويات التي يمكنك استخدامها لكل تكوين.
هام
لا يدعم Azure Virtual Desktop تسجيل الدخول إلى معرف Microsoft Entra باستخدام حساب مستخدم واحد، ثم تسجيل الدخول إلى Windows باستخدام حساب مستخدم منفصل. يمكن أن يؤدي تسجيل الدخول باستخدام حسابين مختلفين في نفس الوقت إلى إعادة اتصال المستخدمين بمضيف جلسة العمل الخطأ، ومعلومات غير صحيحة أو مفقودة في مدخل Microsoft Azure، ورسائل الخطأ التي تظهر أثناء استخدام إرفاق تطبيق MSIX.
هوية محلية
نظرا لأنه يجب أن يكون المستخدمون قابلين للاكتشاف من خلال معرف Microsoft Entra للوصول إلى Azure Virtual Desktop، فإن هويات المستخدمين الموجودة فقط في خدمات مجال Active Directory (AD DS) غير مدعومة. يتضمن ذلك عمليات نشر Active Directory المستقلة مع خدمات الأمان المشترك لـ Active Directory (AD FS).
الهوية المختلطة
يدعم Azure Virtual Desktop الهويات المختلطة من خلال معرف Microsoft Entra، بما في ذلك تلك الموحدة باستخدام AD FS. يمكنك إدارة هويات المستخدمين هذه في AD DS ومزامنتها مع معرف Microsoft Entra باستخدام Microsoft Entra الاتصال. يمكنك أيضا استخدام معرف Microsoft Entra لإدارة هذه الهويات ومزامنتها مع Microsoft Entra Domain Services.
عند الوصول إلى Azure Virtual Desktop باستخدام الهويات المختلطة، في بعض الأحيان لا يتطابق اسم المستخدم الأساسي (UPN) أو معرف الأمان (SID) للمستخدم في Active Directory (AD) ومعرف Microsoft Entra. على سبيل المثال، قد يتوافق حساب user@contoso.local AD مع user@contoso.com في معرف Microsoft Entra. يدعم Azure Virtual Desktop هذا النوع من التكوين فقط إذا تطابق UPN أو SID لكل من حسابات AD وMicrosoft Entra ID. يشير SID إلى خاصية كائن المستخدم "ObjectSID" في AD و"OnPremisesSecurityIdentifier" في معرف Microsoft Entra.
هوية السحابة فقط
يدعم Azure Virtual Desktop هويات السحابة فقط عند استخدام الأجهزة الظاهرية المنضمة إلى Microsoft Entra. يتم إنشاء هؤلاء المستخدمين وإدارتهم مباشرة في معرف Microsoft Entra.
إشعار
يمكنك أيضا تعيين هويات مختلطة لمجموعات تطبيقات Azure Virtual Desktop التي تستضيف مضيفي جلسة العمل من نوع الانضمام الذي انضم إليه Microsoft Entra.
موفرو هوية الجهات الخارجية
إذا كنت تستخدم موفر هوية (IdP) غير معرف Microsoft Entra لإدارة حسابات المستخدمين، فيجب عليك التأكد من:
- يتم توحيد IdP الخاص بك مع معرف Microsoft Entra.
- مضيفو الجلسة هم منضمون إلى Microsoft Entra أو Microsoft Entra مختلط منضمون.
- يمكنك تمكين مصادقة Microsoft Entra إلى مضيف الجلسة.
الهوية الخارجية
لا يدعم Azure Virtual Desktop حاليًا الهويات الخارجية.
طرق المصادقة
بالنسبة للمستخدمين المتصلين بجلسة عمل بعيدة، هناك ثلاث نقاط مصادقة منفصلة:
مصادقة الخدمة إلى Azure Virtual Desktop: استرداد قائمة بالموارد التي يمكن للمستخدم الوصول إليها عند الوصول إلى العميل. تعتمد التجربة على تكوين حساب Microsoft Entra. على سبيل المثال، إذا كان لدى المستخدم مصادقة متعددة العوامل ممكنة، تتم مطالبة المستخدم بحساب المستخدم الخاص به ونموذج ثان للمصادقة، بنفس الطريقة التي يتم بها الوصول إلى الخدمات الأخرى.
مضيف جلسة العمل: عند بدء جلسة عمل بعيدة. مطلوب اسم مستخدم وكلمة مرور لمضيف جلسة عمل، ولكن هذا سلس للمستخدم إذا تم تمكين تسجيل الدخول الأحادي (SSO).
المصادقة في جلسة العمل: الاتصال بموارد أخرى داخل جلسة عمل بعيدة.
تشرح الأقسام التالية كل نقطة من نقاط المصادقة هذه بمزيد من التفصيل.
مصادقة الخدمة
للوصول إلى موارد Azure Virtual Desktop، يجب أولا المصادقة على الخدمة عن طريق تسجيل الدخول باستخدام حساب Microsoft Entra. تحدث المصادقة عندما تشترك في مساحة عمل لاسترداد مواردك والاتصال بالتطبيقات أو أجهزة سطح المكتب. يمكنك استخدام موفري الهوية التابعين لجهة خارجية طالما أنهم متحدون مع معرف Microsoft Entra.
المصادقة متعددة العوامل
اتبع الإرشادات الواردة في فرض مصادقة Microsoft Entra متعددة العوامل ل Azure Virtual Desktop باستخدام الوصول المشروط لمعرفة كيفية فرض مصادقة Microsoft Entra متعددة العوامل لنشرك. ستطلعك هذه المقالة أيضًا على كيفية تكوين عدد المرات التي تتم فيها مطالبة المستخدمين بإدخال بيانات الاعتماد الخاصة بهم. عند نشر الأجهزة الظاهرية المنضمة إلى Microsoft Entra، لاحظ الخطوات الإضافية للأجهزة الظاهرية لمضيف الجلسة المنضمة إلى Microsoft Entra.
مصادقة لا تتطلب كلمة مرور
يمكنك استخدام أي نوع مصادقة يدعمه معرف Microsoft Entra، مثل Windows Hello للأعمال وخيارات المصادقة الأخرى بدون كلمة مرور (على سبيل المثال، مفاتيح FIDO)، للمصادقة على الخدمة.
مصادقة البطاقة الذكية
لاستخدام بطاقة ذكية للمصادقة على معرف Microsoft Entra، يجب أولا تكوين AD FS لمصادقة شهادة المستخدم أو تكوين المصادقة المستندة إلى شهادة Microsoft Entra.
مصادقة مضيف جلسة العمل
إذا لم تكن قد قمت بالفعل بتمكين تسجيل الدخول الأحادي أو حفظ بيانات الاعتماد محليًا، فستحتاج أيضًا إلى المصادقة على مضيف الجلسة عند بدء تشغيل الاتصال. توضح القائمة التالية أنواع المصادقة التي يدعمها كل عميل سطح المكتب الظاهري من Azure حاليا. قد يتطلب بعض العملاء إصدارا معينا لاستخدامه، والذي يمكنك العثور عليه في الارتباط لكل نوع مصادقة.
| العميل | نوع (أنواع) المصادقة المدعومة |
|---|---|
| عميل سطح المكتب لـ Windows | اسم المستخدم وكلمة المرور البطاقة الذكية شهادة ثقة Windows Hello للأعمال مفتاح الثقة Windows Hello للأعمال مع الشهادات مصادقة Microsoft Entra |
| تطبيق Azure Virtual Desktop Store | اسم المستخدم وكلمة المرور البطاقة الذكية شهادة ثقة Windows Hello للأعمال مفتاح الثقة Windows Hello للأعمال مع الشهادات مصادقة Microsoft Entra |
| تطبيق سطح المكتب البعيد | اسم المستخدم وكلمة المرور |
| عميل الويب | اسم المستخدم وكلمة المرور مصادقة Microsoft Entra |
| عميل Android | اسم المستخدم وكلمة المرور مصادقة Microsoft Entra |
| عميل iOS | اسم المستخدم وكلمة المرور مصادقة Microsoft Entra |
| عميل macOS | اسم المستخدم وكلمة المرور البطاقة الذكية: دعم تسجيل الدخول المستند إلى البطاقة الذكية باستخدام إعادة توجيه البطاقة الذكية في موجه Winlogon عندما لا يتم التفاوض على NLA. مصادقة Microsoft Entra |
هام
لكي تعمل المصادقة بشكل صحيح، يجب أن يكون جهازك المحلي أيضًا قادرًا على الوصول إلى عناوين URL المطلوبة لعملاء سطح المكتب البعيد.
تسجيل الدخول الأحادي (SSO)
يسمح SSO بالاتصال بتخطي مطالبة بيانات اعتماد مضيف جلسة العمل وتسجيل دخول المستخدم تلقائيا إلى Windows. بالنسبة لمضيفي الجلسة المنضمين إلى Microsoft Entra أو Microsoft Entra المختلطين، يوصى بتمكين تسجيل الدخول الأحادي باستخدام مصادقة Microsoft Entra. توفر مصادقة Microsoft Entra مزايا أخرى بما في ذلك المصادقة بدون كلمة مرور والدعم لموفري الهوية التابعين لجهة خارجية.
يدعم سطح المكتب الظاهري من Azure أيضًا تسجيل الدخول الأحادي باستخدام خدمات الأمان المشترك لـ Active Directory (AD FS) لعملاء سطح مكتب Windows والويب.
بدون تسجيل الدخول الأحادي، سيطالب العميل المستخدمين ببيانات اعتماد مضيف جلسة العمل الخاصة بهم لكل اتصال. الطريقة الوحيدة لتجنب المطالبة هي حفظ بيانات الاعتماد في العميل. نوصيك فقط بحفظ بيانات الاعتماد على الأجهزة الآمنة لمنع المستخدمين الآخرين من الوصول إلى مواردك.
البطاقة الذكية وWindows Hello للأعمال
يدعم سطح المكتب الظاهري من Azure كلا من NTLM (NTLM) وKerberos لمصادقة مضيف جلسة العمل، ولكن يمكن للبطاقة الذكية Windows Hello للأعمال استخدام Kerberos فقط لتسجيل الدخول. لاستخدام Kerberos، يحتاج العميل إلى الحصول على تذاكر أمان Kerberos من خدمة مركز توزيع المفاتيح (KDC) التي تعمل على وحدة تحكّم المجال. للحصول على تذاكر، يحتاج العميل إلى خط رؤية مباشر للشبكة إلى وحدة التحكم بالمجال. يمكنك الحصول على خط رؤية عن طريق الاتصال مباشرة داخل شبكة شركتك، باستخدام اتصال شبكة ظاهرية خاصة أو إعداد خادم وكيل KDC.
المصادقة في الجلسة
بمجرد الاتصال ب RemoteApp أو سطح المكتب، قد تتم مطالبتك بالمصادقة داخل الجلسة. يشرح هذا القسم كيفية استخدام بيانات الاعتماد بالإضافة إلى اسم المستخدم وكلمة المرور في هذا السيناريو.
مصادقة بدون كلمة مرور في جلسة العمل
يدعم Azure Virtual Desktop المصادقة بدون كلمة مرور في جلسة العمل باستخدام Windows Hello للأعمال أو أجهزة الأمان مثل مفاتيح FIDO عند استخدام عميل سطح مكتب Windows. يتم تمكين المصادقة بدون كلمة مرور تلقائيا عندما يستخدم مضيف الجلسة والكمبيوتر المحلي أنظمة التشغيل التالية:
- Windows 11 جلسة واحدة أو متعددة مع التحديثات التراكمي 2022-10 لنظام التشغيل Windows 11 (كيلوبايت 5018418) أو تثبيته لاحقا.
- الإصدارات 20H2 أو الأحدث من Windows 10 أحادية أو متعددة الجلسات مع تثبيت التحديثات التراكمي 2022-10 لنظام التشغيل Windows 10 (كيلوبايت 5018410) أو إصدار أحدث.
- Windows Server 2022 مع التحديث التراكمي 2022-10 لنظام تشغيل خادم Microsoft (كيلوبايت 5018421) أو تثبيته لاحقا.
لتعطيل المصادقة بدون كلمة مرور على تجمع المضيف، يجب تخصيص خاصية RDP. يمكنك العثور على خاصية إعادة توجيه WebAuthn ضمن علامة التبويب إعادة توجيه الجهاز في مدخل Microsoft Azure أو تعيين خاصية redirectwebauthn إلى 0 باستخدام PowerShell.
عند التمكين، تتم إعادة توجيه جميع طلبات WebAuthn في جلسة العمل إلى الكمبيوتر المحلي. يمكنك استخدام Windows Hello للأعمال أو أجهزة الأمان المرفقة محليا لإكمال عملية المصادقة.
للوصول إلى موارد Microsoft Entra مع أجهزة Windows Hello للأعمال أو الأمان، يجب تمكين مفتاح أمان FIDO2 كطريقة مصادقة للمستخدمين. لتمكين هذا الأسلوب، اتبع الخطوات الواردة في تمكين أسلوب مفتاح الأمان FIDO2.
مصادقة البطاقة الذكية في جلسة العمل
لاستخدام بطاقة ذكية في الجلسة، تأكد من تثبيت برامج تشغيل البطاقة الذكية على مضيف الجلسة وتمكين إعادة توجيه البطاقة الذكية. استعرض مخطط مقارنة العميل للتأكد من أن العميل يدعم إعادة توجيه البطاقة الذكية.
الخطوات التالية
- هل تشعر بالفضول حول طرق أخرى للحفاظ على أمان عملية التوزيع الخاصة بك؟ اطلع على أفضل الممارسات الأمنية لـ Microsoft.
- هل تواجه مشكلات في الاتصال بالأجهزة الظاهرية المنضمة إلى Microsoft Entra؟ انظر إلى استكشاف أخطاء الاتصالات بالأجهزة الظاهرية المنضمة إلى Microsoft Entra وإصلاحها.
- هل تواجه مشكلات في المصادقة بدون كلمة مرور في جلسة العمل؟ راجع استكشاف أخطاء إعادة توجيه WebAuthn وإصلاحها.
- هل تريد استخدام البطاقات الذكية من خارج شبكة شركتك؟ راجع كيفية إعداد خادم وكيل KDC.