تكوين تسجيل الدخول الأحادي ل Azure Virtual Desktop باستخدام مصادقة معرف Microsoft Entra

ترشدك هذه المقالة خلال عملية تكوين تسجيل الدخول الأحادي (SSO) ل Azure Virtual Desktop باستخدام مصادقة معرف Microsoft Entra. عند تمكين تسجيل الدخول الأحادي، يقوم المستخدمون بالمصادقة على Windows باستخدام رمز مميز لمعرف Microsoft Entra. يتيح هذا الرمز المميز استخدام المصادقة بدون كلمة مرور وموفري الهوية التابعين لجهة خارجية الذين يتحاذون مع معرف Microsoft Entra عند الاتصال بمضيف جلسة عمل، ما يجعل تجربة تسجيل الدخول سلسة.

يوفر تسجيل الدخول الأحادي باستخدام مصادقة معرف Microsoft Entra أيضا تجربة سلسة للموارد المستندة إلى معرف Microsoft Entra داخل جلسة العمل. لمزيد من المعلومات حول استخدام المصادقة بدون كلمة مرور داخل جلسة عمل، راجع المصادقة بدون كلمة مرور في جلسة العمل.

لتمكين تسجيل الدخول الأحادي باستخدام مصادقة معرف Microsoft Entra، هناك خمس مهام يجب إكمالها:

1. تمكين مصادقة Microsoft Entra لبروتوكول سطح المكتب البعيد (RDP).

2. تكوين مجموعات الأجهزة المستهدفة.

3. إنشاء كائن خادم Kerberos، إذا كان خدمات مجال Active Directory جزءا من بيئتك. يتم تضمين مزيد من المعلومات حول المعايير في قسمها.

4. راجع نُهج الوصول المشروط الخاصة بك.

5. تكوين تجمع المضيف لتمكين تسجيل الدخول الأحادي.

قبل تمكين تسجيل الدخول الأحادي

قبل تمكين تسجيل الدخول الأحادي، راجع المعلومات التالية لاستخدامها في بيئتك.

قطع الاتصال عند تأمين جلسة العمل

عند تمكين تسجيل الدخول الأحادي، يمكنك تسجيل الدخول إلى Windows باستخدام رمز مصادقة معرف Microsoft Entra، والذي يوفر دعما للمصادقة بدون كلمة مرور إلى Windows. لا تدعم شاشة تأمين Windows في جلسة العمل البعيدة الرموز المميزة لمصادقة معرف Microsoft Entra أو أساليب المصادقة بدون كلمة مرور، مثل مفاتيح FIDO. يعني عدم دعم أساليب المصادقة هذه أنه لا يمكن للمستخدمين إلغاء تأمين شاشاتهم في جلسة عمل بعيدة. عند محاولة تأمين جلسة عمل بعيدة، إما من خلال إجراء المستخدم أو نهج النظام، يتم قطع اتصال جلسة العمل بدلا من ذلك وترسل الخدمة رسالة إلى المستخدم توضح أنه تم قطع اتصالها.

يضمن قطع اتصال الجلسة أيضا أنه عند إعادة تشغيل الاتصال بعد فترة من عدم النشاط، يعيد معرف Microsoft Entra تقييم أي نهج وصول مشروط قابلة للتطبيق.

استخدام حساب مسؤول مجال Active Directory مع تسجيل الدخول الأحادي

في البيئات التي بها خدمات مجال Active Directory (AD DS) وحسابات المستخدمين المختلطة، يرفض نهج النسخ المتماثل لكلمة المرور الافتراضي على وحدات التحكم بالمجال للقراءة فقط النسخ المتماثل لكلمة المرور لأعضاء مسؤولالمجال ومجموعات أمان مسؤول istrators. يمنع هذا النهج حسابات المسؤول هذه من تسجيل الدخول إلى مضيفي Microsoft Entra المنضمين المختلطين وقد يستمر في مطالبتهم بإدخال بيانات الاعتماد الخاصة بهم. كما يمنع حسابات المسؤول من الوصول إلى الموارد المحلية التي تستخدم مصادقة Kerberos من المضيفين المنضمين إلى Microsoft Entra.

للسماح لحسابات المسؤول هذه بالاتصال عند تمكين تسجيل الدخول الأحادي، راجع السماح لحسابات مسؤول مجال Active Directory بالاتصال.

المتطلبات الأساسية

قبل أن تتمكن من تمكين تسجيل الدخول الأحادي، يجب عليك تلبية المتطلبات الأساسية التالية:

• لتكوين مستأجر Microsoft Entra، يجب تعيين أحد الأدوار المضمنة التالية في Microsoft Entra:

  • مسؤول التطبيق
  • مسؤول تطبيق السحابة
  • مسؤول العمومي

• يجب أن يقوم مضيفو الجلسة بتشغيل أحد أنظمة التشغيل التالية مع تثبيت التحديث التراكمي ذي الصلة:

  • جلسة عمل واحدة أو متعددة ل Windows 11 Enterprise مع التحديثات التراكمي 2022-10 لنظام التشغيل Windows 11 (كيلوبايت 5018418) أو تثبيته لاحقا.
  • جلسة عمل واحدة أو متعددة ل Windows 10 Enterprise مع تثبيت التحديثات التراكمي 2022-10 لنظام التشغيل Windows 10 (كيلوبايت 5018410) أو إصدار أحدث.
  • Windows Server 2022 مع التحديث التراكمي 2022-10 لنظام تشغيل خادم Microsoft (كيلوبايت 5018421) أو تثبيته لاحقا.

• يجب أن يكون مضيفو الجلسة منضمين إلى Microsoft Entra أو منضمين إلى Microsoft Entra المختلط. لا يتم دعم مضيفي الجلسة الذين انضموا إلى Microsoft Entra Domain Services أو خدمات مجال Active Directory فقط.

  إذا كان مضيفو جلسة Microsoft Entra المختلطون في مجال Active Directory مختلف عن حسابات المستخدمين، فيجب أن تكون هناك ثقة ثنائية الاتجاه بين المجالين. بدون الثقة ثنائية الاتجاه، ستعود الاتصالات إلى بروتوكولات المصادقة القديمة.

• قم بتثبيت Microsoft Graph PowerShell SDK الإصدار 2.9.0 أو أحدث على جهازك المحلي أو في Azure Cloud Shell.

• عميل سطح مكتب بعيد معتمد للاتصال بجلسة عمل بعيدة. يتم دعم العملاء التالين:

  • عميل سطح مكتب Windows على أجهزة الكمبيوتر المحلية التي تعمل بنظام التشغيل Windows 10 أو أحدث. لا يوجد أي شرط لكي يتم ربط الكمبيوتر المحلي بمعرف Microsoft Entra أو مجال Active Directory.
  • عميل ويب.
  • عميل macOS، الإصدار 10.8.2 أو أحدث.
  • عميل iOS، الإصدار 10.5.1 أو أحدث.
  • عميل Android، الإصدار 10.0.16 أو أحدث.

• لتكوين السماح لحساب مسؤول مجال Active Directory بالاتصال عند تمكين تسجيل الدخول الأحادي، تحتاج إلى حساب عضو في مجموعة أمان المجال مسؤول s.

تمكين مصادقة Microsoft Entra ل RDP

يجب أولا السماح بمصادقة Microsoft Entra لنظام التشغيل Windows في مستأجر Microsoft Entra، والذي يتيح إصدار رموز وصول RDP المميزة التي تسمح للمستخدمين بتسجيل الدخول إلى مضيفي جلسة Azure Virtual Desktop. يمكنك تعيين الخاصية isRemoteDesktopProtocolEnabled إلى true على كائن كيان remoteDesktopSecurityConfiguration الخدمة لتطبيقات Microsoft Entra التالية:

اسم التطبيق	مُعرّف التطبيق
سطح المكتب البعيد لـ Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
تسجيل الدخول إلى Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45

هام

كجزء من التغيير القادم، سننتقل من سطح المكتب البعيد لـ Microsoft إلى تسجيل الدخول إلى Windows Cloud، بدءا من عام 2024. يضمن تكوين كلا التطبيقين الآن أنك جاهز للتغيير.

لتكوين كيان الخدمة، استخدم Microsoft Graph PowerShell SDK لإنشاء كائن remoteDesktopSecurityConfiguration جديد على كيان الخدمة وتعيين الخاصية isRemoteDesktopProtocolEnabled إلى true. يمكنك أيضا استخدام Microsoft Graph API مع أداة مثل Graph Explorer.

1. قم بتشغيل Azure Cloud Shell في مدخل Microsoft Azure باستخدام نوع المحطة الطرفية PowerShell، أو قم بتشغيل PowerShell على جهازك المحلي.

   1. إذا كنت تستخدم Cloud Shell، فتأكد من تعيين سياق Azure إلى الاشتراك الذي تريد استخدامه.

   2. إذا كنت تستخدم PowerShell محليا، فقم أولا بتسجيل الدخول باستخدام Azure PowerShell، ثم تأكد من تعيين سياق Azure إلى الاشتراك الذي تريد استخدامه.

2. تأكد من تثبيت Microsoft Graph PowerShell SDK من المتطلبات الأساسية، ثم استيراد وحدات المصادقة والتطبيقات Microsoft Graph والاتصال ب Microsoft Graph مع Application.Read.All النطاقات و Application-RemoteDesktopConfig.ReadWrite.All عن طريق تشغيل الأوامر التالية:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. احصل على معرف الكائن لكل كيان خدمة وقم بتخزينه في متغيرات عن طريق تشغيل الأوامر التالية:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. قم بتعيين الخاصية isRemoteDesktopProtocolEnabled إلى true عن طريق تشغيل الأوامر التالية. لا يوجد إخراج من هذه الأوامر.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. تأكد من تعيين الخاصية isRemoteDesktopProtocolEnabled إلى true عن طريق تشغيل الأوامر التالية:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   يجب أن يكون الإخراج:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

تكوين مجموعات الأجهزة المستهدفة

بعد تمكين مصادقة Microsoft Entra ل RDP، تحتاج إلى تكوين مجموعات الأجهزة المستهدفة. بشكل افتراضي عند تمكين تسجيل الدخول الأحادي، تتم مطالبة المستخدمين بالمصادقة على معرف Microsoft Entra والسماح باتصال سطح المكتب البعيد عند تشغيل اتصال بمضيف جلسة عمل جديد. يتذكر Microsoft Entra ما يصل إلى 15 مضيف لمدة 30 يوما قبل المطالبة مرة أخرى. إذا رأيت حوارا للسماح باتصال سطح المكتب البعيد، فحدد نعم للاتصال.

يمكنك إخفاء مربع الحوار هذا وتوفير تسجيل دخول أحادي للاتصالات بجميع مضيفي الجلسة عن طريق تكوين قائمة بالأجهزة الموثوق بها. تحتاج إلى إنشاء مجموعة واحدة أو أكثر في معرف Microsoft Entra الذي يحتوي على مضيفي الجلسة، ثم تعيين خاصية على أساسيات الخدمة لنفس سطح المكتب البعيد لـ Microsoftوتطبيقات تسجيل الدخول إلى Windows Cloud، كما هو مستخدم في القسم السابق، للمجموعة.

تلميح

نوصي باستخدام مجموعة ديناميكية وتكوين قواعد العضوية الديناميكية لتضمين جميع مضيفي جلسة Azure Virtual Desktop. يمكنك استخدام أسماء الأجهزة في هذه المجموعة، ولكن للحصول على خيار أكثر أمانا، يمكنك تعيين سمات ملحق الجهاز واستخدامها باستخدام Microsoft Graph API. بينما يتم تحديث المجموعات الديناميكية عادة في غضون 5-10 دقائق، يمكن أن يستغرق المستأجرون الكبار ما يصل إلى 24 ساعة.

تتطلب المجموعات الديناميكية ترخيص Microsoft Entra ID P1 أو ترخيص Intune للتعليم. لمزيد من المعلومات، راجع قواعد العضوية الديناميكية للمجموعات.

لتكوين كيان الخدمة، استخدم Microsoft Graph PowerShell SDK لإنشاء كائن targetDeviceGroup جديد على كيان الخدمة مع معرف عنصر المجموعة الديناميكية واسم العرض. يمكنك أيضا استخدام Microsoft Graph API مع أداة مثل Graph Explorer.

1. أنشئ مجموعة ديناميكية في Microsoft Entra ID تحتوي على مضيفي الجلسة الذين تريد إخفاء مربع الحوار من أجلهم. دون معرف الكائن للمجموعة للخطوة التالية.

2. في نفس جلسة عمل PowerShell، قم بإنشاء كائن targetDeviceGroup عن طريق تشغيل الأوامر التالية، واستبدال <placeholders> بالقيم الخاصة بك:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. أضف المجموعة إلى targetDeviceGroup الكائن عن طريق تشغيل الأوامر التالية:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   يجب أن يكون الإخراج مشابها:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   كرر الخطوتين 2 و3 لكل مجموعة تريد إضافتها إلى targetDeviceGroup العنصر، بحد أقصى 10 مجموعات.

4. إذا كنت بحاجة لاحقا إلى إزالة مجموعة أجهزة من targetDeviceGroup الكائن، فقم بتشغيل الأوامر التالية، واستبدال <placeholders> بالقيم الخاصة بك:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

إنشاء كائن خادم Kerberos

إذا كان مضيفو جلسة العمل يستوفون المعايير التالية، يجب إنشاء كائن Kerberos Server:

• مضيف جلسة العمل الخاص بك هو Microsoft Entra hybrid joined. يجب أن يكون لديك كائن Kerberos Server لإكمال المصادقة إلى وحدة تحكم المجال.
• مضيف جلسة العمل الخاص بك هو Microsoft Entra الذي انضم إليه وتحتوي بيئتك على وحدات تحكم مجال Active Directory. يجب أن يكون لديك كائن Kerberos Server للمستخدمين للوصول إلى الموارد المحلية، مثل مشاركات SMB، والمصادقة المتكاملة ل Windows لمواقع الويب.

هام

إذا قمت بتمكين تسجيل الدخول الأحادي على مضيفي الجلسة المختلطين المنضمين إلى Microsoft Entra قبل إنشاء كائن خادم Kerberos، يمكن أن يحدث أحد الأشياء التالية:

• تتلقى رسالة خطأ تفيد بأن جلسة العمل المحددة غير موجودة.
• سيتم تخطي تسجيل الدخول الأحادي وسترى مربع حوار مصادقة قياسي لمضيف الجلسة.

لحل هذه المشكلات، قم بإنشاء كائن Kerberos Server، ثم الاتصال مرة أخرى.

مراجعة نهج الوصول المشروط

عند تمكين تسجيل الدخول الأحادي، يتم تقديم تطبيق معرف Microsoft Entra جديد لمصادقة المستخدمين على مضيف الجلسة. إذا كان لديك نهج وصول مشروط تنطبق عند الوصول إلى Azure Virtual Desktop، فراجع التوصيات المتعلقة بإعداد المصادقة متعددة العوامل لضمان حصول المستخدمين على التجربة المطلوبة.

تكوين تجمع المضيف لتمكين تسجيل الدخول الأحادي

لتمكين تسجيل الدخول الأحادي على تجمع المضيف، يجب تكوين خاصية RDP التالية، والتي يمكنك القيام بها باستخدام مدخل Microsoft Azure أو PowerShell. يمكنك العثور على الخطوات التي يجب القيام بها لتكوين خصائص RDP في تخصيص خصائص بروتوكول سطح المكتب البعيد (RDP) لتجمع مضيف.

• في مدخل Microsoft Azure، قم بتعيين تسجيل الدخول الأحادي من Microsoft Entra إلى الاتصال استخدم مصادقة Microsoft Entra لتوفير تسجيل دخول أحادي.
• بالنسبة إلى PowerShell، قم بتعيين الخاصية enablerdsaadauth إلى 1.

السماح لحسابات مسؤول مجال Active Directory بالاتصال

للسماح لحسابات مسؤول مجال Active Directory بالاتصال عند تمكين تسجيل الدخول الأحادي:

1. على جهاز تستخدمه لإدارة مجال Active Directory، افتح وحدة تحكم Active Directory Users and Computers باستخدام حساب عضو في مجموعة أمان Domain مسؤول s.

2. افتح الوحدة التنظيمية لوحدات تحكم المجال لمجالك.

3. ابحث عن كائن AzureADKerberos ، وانقر بزر الماوس الأيمن فوقه، ثم حدد خصائص.

4. حدد علامة التبويب نهج النسخ المتماثل لكلمة المرور.

5. تغيير نهج مسؤول المجال من رفض إلى السماح.

6. حذف نهج مسؤول istrators. مجموعة مسؤول المجال هي عضو في مجموعة مسؤول istrators، لذا فإن رفض النسخ المتماثل للمسؤولين يرفضه أيضا لمسؤولي المجال.

7. حدد موافق لحفظ تغييراتك.

الخطوات التالية

• تحقق من المصادقة بدون كلمة مرور في جلسة العمل لمعرفة كيفية تمكين المصادقة بدون كلمة مرور.
• لمزيد من المعلومات حول Microsoft Entra Kerberos، راجع الغوص العميق: كيفية عمل Microsoft Entra Kerberos
• إذا كنت تقوم بالوصول إلى Azure Virtual Desktop من عميل سطح مكتب Windows، فراجع الاتصال بعميل سطح مكتب Windows.
• إذا كنت تقوم بالوصول إلى Azure Virtual Desktop من عميل الويب الخاص بنا، فشاهد الاتصال مع عميل الويب.
• إذا واجهت أي مشكلات، فانتقل إلى استكشاف أخطاء الاتصالات بالأجهزة الظاهرية المنضمة إلى Microsoft Entra وإصلاحها.