انضم Microsoft Entra إلى مضيفي الجلسة في Azure Virtual Desktop
سترشدك هذه المقالة خلال عملية نشر الأجهزة الظاهرية المنضمة إلى Microsoft Entra والوصول إليها في Azure Virtual Desktop. تزيل الأجهزة الظاهرية المنضمة إلى Microsoft Entra الحاجة إلى وجود خط رؤية من الجهاز الظاهري إلى وحدة تحكم مجال Active Directory محلية أو ظاهرية (DC) أو لنشر خدمات مجال Microsoft Entra. في بعض الحالات، يمكن إزالة الحاجة إلى DC بالكامل، وتبسيط توزيع وإدارة البيئة. يمكن أيضًا تسجيل هذه الأجهزة الظاهرية تلقائيًا في Intune لتسهيل الإدارة.
القيود المعروفة
قد تؤثر القيود المعروفة التالية على الوصول إلى الموارد المحلية أو الموارد المرتبطة بمجال Active Directory ويجب مراعاتها عند تحديد ما إذا كانت الأجهزة الظاهرية المنضمة إلى Microsoft Entra مناسبة للبيئة الخاصة بك.
- لا يدعم Azure Virtual Desktop (الكلاسيكي) الأجهزة الظاهرية المنضمة إلى Microsoft Entra.
- لا تدعم الأجهزة الظاهرية المنضمة إلى Microsoft Entra حاليا الهويات الخارجية، مثل Microsoft Entra Business-to-Business (B2B) وMicrosoft Entra Business-to-Consumer (B2C).
- يمكن للأجهزة الظاهرية المنضمة إلى Microsoft Entra الوصول فقط إلى مشاركات ملفات Azure أو مشاركات Azure NetApp Files للمستخدمين المختلطين باستخدام Microsoft Entra Kerberos لملفات تعريف مستخدمي FSLogix.
- لا يدعم تطبيق سطح المكتب البعيد ل Windows الأجهزة الظاهرية المنضمة إلى Microsoft Entra.
نشر الأجهزة الظاهرية المنضمة إلى Microsoft Entra
يمكنك نشر الأجهزة الظاهرية المنضمة إلى Microsoft Entra مباشرة من مدخل Microsoft Azure عند إنشاء تجمع مضيف جديد أو توسيع تجمع مضيف موجود. لنشر جهاز ظاهري مرتبط ب Microsoft Entra، افتح علامة التبويب Virtual Machines ، ثم حدد ما إذا كنت تريد ضم الجهاز الظاهري إلى Active Directory أو Microsoft Entra ID. يمنحك تحديد معرف Microsoft Entra خيار تسجيل الأجهزة الظاهرية مع Intune تلقائيا، مما يتيح لك إدارة مضيفي الجلسة بسهولة. ضع في اعتبارك أن خيار معرف Microsoft Entra سينضم فقط إلى الأجهزة الظاهرية إلى نفس مستأجر Microsoft Entra مثل الاشتراك الذي أنت فيه.
إشعار
- يجب أن تحتوي مجموعات المضيف فقط على أجهزة ظاهرية من نفس نوع الصلة بالمجال. على سبيل المثال، يجب أن تكون الأجهزة الظاهرية المنضمة إلى Microsoft Entra فقط مع الأجهزة الظاهرية الأخرى المنضمة إلى Microsoft Entra، والعكس صحيح.
- يجب أن تكون الأجهزة الظاهرية في تجمع المضيف Windows 11 أو Windows 10 جلسة واحدة أو جلسة متعددة، أو الإصدار 2004 أو أحدث، أو Windows Server 2022 أو Windows Server 2019.
تعيين وصول المستخدم إلى تجمعات المضيفين
بعد إنشاء تجمع المضيف الخاص بك، يجب عليك تعيين وصول المستخدمين إلى مواردهم. لمنح حق الوصول إلى الموارد، أضف كل مستخدم إلى مجموعة التطبيقات. اتبع الإرشادات الواردة في إدارة مجموعات التطبيقات لتعيين وصول المستخدم إلى التطبيقات وأسطح المكتب. نوصي باستخدام مجموعات المستخدمين بدلاً من المستخدمين الفرديين كلما أمكن ذلك.
بالنسبة إلى الأجهزة الظاهرية المنضمة إلى Microsoft Entra، ستحتاج إلى القيام بأمرين إضافيين أعلى متطلبات عمليات النشر المستندة إلى خدمات مجال Active Directory أو Microsoft Entra Domain Services:
- عيّن للمستخدمين دور تسجيل دخول مستخدم الجهاز الظاهري حتى يتمكنوا من تسجيل الدخول إلى الأجهزة الظاهرية.
- عيّن دور تسجيل دخول مسؤول الجهاز الظاهري للمسؤولين الذين يحتاجون إلى امتيازات إدارية محلية.
لمنح المستخدمين حق الوصول إلى الأجهزة الظاهرية المنضمة إلى Microsoft Entra، يجب تكوين تعيينات الأدوار للجهاز الظاهري. يمكنك تعيين دور تسجيل دخول مستخدم الجهاز الظاهري أو تسجيل دخول مسؤول الجهاز الظاهري إما على الأجهزة الظاهرية، أو مجموعة الموارد التي تحتوي على الأجهزة الظاهرية، أو الاشتراك. نوصي بتعيين دور تسجيل دخول مستخدم الجهاز الظاهري لنفس مجموعة المستخدمين التي استخدمتها لمجموعة التطبيقات على مستوى مجموعة الموارد لجعلها تنطبق على جميع الأجهزة الظاهرية في تجمع المضيف.
الوصول إلى الأجهزة الظاهرية المنضمة إلى Microsoft Entra
يشرح هذا القسم كيفية الوصول إلى الأجهزة الظاهرية المنضمة إلى Microsoft Entra من عملاء Azure Virtual Desktop المختلفين.
تسجيل الدخول الأحادي
للحصول على أفضل تجربة عبر جميع الأنظمة الأساسية، يجب تمكين تجربة تسجيل دخول واحدة باستخدام مصادقة Microsoft Entra عند الوصول إلى الأجهزة الظاهرية المنضمة إلى Microsoft Entra. اتبع الخطوات لتكوين تسجيل الدخول الأحادي لتوفير تجربة اتصال سلسة.
الاتصال باستخدام بروتوكولات المصادقة القديمة
إذا كنت تفضل عدم تمكين تسجيل الدخول الأحادي، يمكنك استخدام التكوين التالي لتمكين الوصول إلى الأجهزة الظاهرية المنضمة إلى Microsoft Entra.
الاتصال باستخدام عميل سطح مكتب Windows
يدعم التكوين الافتراضي الاتصالات من Windows 11 أو Windows 10 باستخدام عميل سطح مكتب Windows. يمكنك استخدام بيانات الاعتماد أو البطاقة الذكية أو الثقة في شهادة Windows Hello للأعمال أو الثقة بمفتاح Windows Hello for Business مع الشهادات لتسجيل الدخول إلى مضيف الجلسة. ومع ذلك، للوصول إلى مضيف الجلسة، يجب أن يفي جهاز الكمبيوتر المحلي بأحد الشروط التالية:
- الكمبيوتر المحلي هو Microsoft Entra مرتبط بنفس مستأجر Microsoft Entra كمضيف الجلسة
- الكمبيوتر المحلي هو Microsoft Entra المختلط المرتبط بنفس مستأجر Microsoft Entra كمضيف الجلسة
- يعمل الكمبيوتر المحلي بنظام التشغيل Windows 11 أو Windows 10، الإصدار 2004 أو أحدث، وهو Microsoft Entra مسجل في نفس مستأجر Microsoft Entra كمضيف الجلسة
إذا لم يفي الكمبيوتر المحلي بأحد هذه الشروط، أضف targetisaadjoined:i:1 كخاصية RDP مخصصة إلى تجمع المضيف. تقتصر هذه الاتصالات على إدخال بيانات اعتماد اسم المستخدم وكلمة المرور عند تسجيل الدخول إلى مضيف جلسة العمل.
الاتصال باستخدام العملاء الآخرين
للوصول إلى الأجهزة الظاهرية المنضمة إلى Microsoft Entra باستخدام عملاء الويب وAndroid وmacOS وiOS، يجب إضافة targetisaadjoined:i:1 كخاصيةRDP مخصصة إلى تجمع المضيف. تقتصر هذه الاتصالات على إدخال بيانات اعتماد اسم المستخدم وكلمة المرور عند تسجيل الدخول إلى مضيف جلسة العمل.
فرض مصادقة Microsoft Entra متعددة العوامل للأجهزة الظاهرية لجلسة Microsoft Entra المنضمة
يمكنك استخدام مصادقة Microsoft Entra متعددة العوامل مع الأجهزة الظاهرية المنضمة إلى Microsoft Entra. اتبع الخطوات لفرض مصادقة Microsoft Entra متعددة العوامل ل Azure Virtual Desktop باستخدام الوصول المشروط ولاحظ الخطوات الإضافية للأجهزة الظاهرية لمضيف الجلسة المنضمة إلى Microsoft Entra.
إذا كنت تستخدم مصادقة Microsoft Entra متعددة العوامل ولا تريد تقييد تسجيل الدخول إلى أساليب مصادقة قوية مثل Windows Hello للأعمال، فستحتاج إلى استبعاد تطبيق تسجيل الدخول إلى Azure Windows VM من نهج الوصول المشروط.
ملفات تعريف المستخدمين
يمكنك استخدام حاويات ملف تعريف FSLogix مع الأجهزة الظاهرية المنضمة إلى Microsoft Entra عند تخزينها على ملفات Azure أو Azure NetApp Files أثناء استخدام حسابات المستخدمين المختلطة. لمزيد من المعلومات، راجع إنشاء حاوية ملف تعريف باستخدام ملفات Azure ومعرف Microsoft Entra.
الوصول إلى الموارد المحلية
في حين أنك لا تحتاج إلى Active Directory لنشر الأجهزة الظاهرية المنضمة إلى Microsoft Entra أو الوصول إليها، هناك حاجة إلى Active Directory وخط الرؤية إليه للوصول إلى الموارد المحلية من تلك الأجهزة الظاهرية. لمعرفة المزيد حول الوصول إلى الموارد المحلية، راجع كيفية عمل تسجيل الدخول الأحادي إلى الموارد المحلية على الأجهزة المنضمة إلى Microsoft Entra.
الخطوات التالية
الآن بعد أن قمت بنشر بعض الأجهزة الظاهرية المنضمة إلى Microsoft Entra، نوصي بتمكين تسجيل الدخول الأحادي قبل الاتصال بعميل Azure Virtual Desktop المدعوم لاختباره كجزء من جلسة عمل المستخدم. لمعرفة المزيد، تحقق من هذه المقالات: