Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto článku vám poskytneme stručný přehled o tom, jaké druhy identit a metod ověřování můžete použít ve službě Azure Virtual Desktop.
Identit
Azure Virtual Desktop podporuje různé typy identit v závislosti na zvolené konfiguraci. Tato část vysvětluje, které identity můžete použít pro každou konfiguraci.
Důležité
Azure Virtual Desktop nepodporuje přihlášení k Microsoft Entra ID pomocí jednoho uživatelského účtu a přihlášení k Windows pomocí samostatného uživatelského účtu. Přihlášení pomocí dvou různých účtů současně může vést k opětovnému připojení uživatelů k nesprávnému hostiteli relace, nesprávné nebo chybějící informace v Azure Portal a zobrazování chybových zpráv při používání připojení aplikace.
Místní identita
Vzhledem k tomu, že uživatelé musí být zjistitelné prostřednictvím Microsoft Entra ID pro přístup k Azure Virtual Desktopu, identity uživatelů, které existují pouze v Active Directory Domain Services (AD DS), se nepodporují. To zahrnuje samostatná nasazení služby Active Directory s Active Directory Federation Services (AD FS) (AD FS).
Hybridní identita
Azure Virtual Desktop podporuje hybridní identity prostřednictvím Microsoft Entra ID, včetně identit federovaných pomocí služby AD FS. Tyto identity uživatelů můžete spravovat ve službě AD DS a synchronizovat je s Microsoft Entra ID pomocí nástroje Microsoft Entra Connect. Můžete také použít Microsoft Entra ID ke správě těchto identit a jejich synchronizaci s Microsoft Entra Doménové služby.
Při přístupu k Azure Virtual Desktopu pomocí hybridních identit se někdy hlavní název uživatele (UPN) nebo identifikátor zabezpečení (SID) pro uživatele ve službě Active Directory (AD) a Microsoft Entra ID neshodují. Účet AD user@contoso.local může například odpovídat user@contoso.com v Microsoft Entra ID. Azure Virtual Desktop podporuje tento typ konfigurace pouze v případě, že se hlavní název uživatele (UPN) nebo IDENTIFIKÁTOR SID pro účty AD i Microsoft Entra ID shodují. IDENTIFIKÁTOR SID odkazuje na vlastnost objektu uživatele ObjectSID ve službě AD a "OnPremisesSecurityIdentifier" v Microsoft Entra ID.
Identita jenom v cloudu
Azure Virtual Desktop při použití virtuálních počítačů připojených k Microsoft Entra podporuje výhradně cloudové identity. Tito uživatelé se vytvářejí a spravují přímo v Microsoft Entra ID.
Poznámka
Hybridní identity můžete také přiřadit Azure skupinám aplikací virtuálních klientských počítačů, které hostují hostitele relací typu join Microsoft Entra join.
Federovaná identita
Pokud ke správě uživatelských účtů používáte jiného zprostředkovatele identity (IdP) než Microsoft Entra ID nebo Active Directory Domain Services, musíte zajistit, aby:
- Váš zprostředkovatel identity je federovaný pomocí Microsoft Entra ID.
- Hostitelé relací jsou Microsoft Entra připojeni nebo Microsoft Entra hybridně připojeni.
- Povolíte Microsoft Entra ověřování na hostiteli relace.
Externí identita
Podpora externích identit umožňuje pozvat uživatele do tenanta Entra ID a poskytnout jim Azure prostředky služby Virtual Desktop. Při poskytování prostředků externím identitám existuje několik požadavků a omezení:
- Požadavky
-
Hostitelský operační systém relace: Na hostiteli relace musí běžet některý z následujících operačních systémů:
- Windows 11 Enterprise verze 24H2 nebo novější s nainstalovanou kumulativní Aktualizace 2025-09 pro Windows 11 (KB5065789) nebo novější.
- Windows Server 2025 s nainstalovanou kumulativní Aktualizace z 1. 2026 pro Windows Server 2025 (KB5073379) nebo novější.
- Typ připojení k hostiteli relace: Hostitel relace musí být připojený k Entra.
- Jednotné přihlašování: Pro fond hostitelů musí být nakonfigurované jednotné přihlašování .
- Windows App klienta: Externí identita se musí připojit z Windows App ve Windows nebo z webového prohlížeče.
-
Hostitelský operační systém relace: Na hostiteli relace musí běžet některý z následujících operačních systémů:
- Omezení
FSLogix: Podpora FSLogix je ve verzi Preview pro externí identity. Přečtěte si další informace o ukládání kontejnerů profilů FSLogix na Azure Files pomocí Microsoft Entra ID.
Intune zásady konfigurace zařízení: Zásady konfigurace zařízení přiřazené externí identitě se na uživatele na hostiteli relace nepoužijí. Místo toho přiřaďte k zařízení zásady konfigurace zařízení.
Dostupnost v cloudu: Tato funkce je dostupná v Azure veřejném cloudu a Azure pro státní správu USA, ale ne v Azure provozovaných společností 21Vianet. Připojení jako externí identita k tenantovi v Azure pro státní správu USA se podporuje v klientovi Vzdálené plochy.
Pozvánky napříč cloudy: Uživatelé napříč cloudy se nepodporují. Přístup k prostředkům Azure Virtual Desktopu můžete poskytnout jenom uživatelům, které pozvete od poskytovatelů sociálních identit, Microsoft Entra uživatelů z komerčního cloudu Microsoftu Azure nebo jiných poskytovatelů identit registrovaných ve vašem tenantovi pracovních sil. Uživatelům, které pozvete z Microsoftu Azure Government nebo Microsoftu Azure provozovaným společností 21Vianet, nemůžete přiřadit prostředky Azure Virtual Desktopu.
Ochrana tokenů: Microsoft Entra má určitá omezení pro ochranu pomocí tokenů pro externí identity. Přečtěte si další informace o podpoře Windows App ochrany tokenů podle platformy.
Ověřování protokolem Kerberos: Externí identity se nemůžou ověřovat k místním prostředkům pomocí protokolů Kerberos nebo NTLM.
Aplikace Microsoft 365: K desktopové verzi aplikací Microsoft 365 pro Windows se můžete přihlásit jenom v těchto případech:
- Pozvaný uživatel je účet založený na entra nebo účet Microsoft, který je licencovaný pro Microsoft 365 Apps.
- Pozvaný uživatel nemá přístup k aplikacím Microsoft 365 blokován zásadami podmíněného přístupu z domovské organizace.
Bez ohledu na pozvaný účet můžete přistupovat k souborům Microsoft 365, které s vámi někdo sdílí, pomocí příslušné aplikace Microsoft 365 ve webovém prohlížeči hostitele relace.
Doporučení ke konfiguraci prostředí pro externí identity a licencování najdete v tématu osvědčené postupy Microsoft Entra B2B. Pokyny k licencování najdete v tématu o osvědčených postupech B2B.
Metody ověřování
Při přístupu k prostředkům Azure Virtual Desktopu existují tři samostatné fáze ověřování:
- Ověřování cloudové služby: Ověřování ve službě Azure Virtual Desktop, která zahrnuje přihlášení k odběru prostředků a ověřování v bráně, je s Microsoft Entra ID.
- Ověřování vzdálené relace: Ověřování na vzdáleném virtuálním počítači. Existuje několik způsobů, jak se ověřit ve vzdálené relaci, včetně doporučeného jednotného přihlašování (SSO).
- Ověřování v relaci: Ověřování pro aplikace a weby v rámci vzdálené relace.
Seznam přihlašovacích údajů dostupných v různých klientech pro každou fázi ověřování najdete v porovnání klientů napříč platformami.
Důležité
Aby ověřování fungovalo správně, musí mít místní počítač také přístup k požadovaným adresám URL pro klienty Vzdálené plochy.
Další informace o těchto fázích ověřování najdete v následujících částech.
Ověřování cloudové služby
Pokud chcete získat přístup k prostředkům Azure Virtual Desktopu, musíte se nejprve ověřit ve službě přihlášením pomocí účtu Microsoft Entra ID. Ověřování se provádí, když se přihlásíte k odběru pro načtení prostředků, připojíte se k bráně při spuštění připojení nebo při odesílání diagnostických informací do služby. Prostředek Microsoft Entra ID použitý pro toto ověřování je Azure Virtual Desktop (ID aplikace 9cdead84-a844-4324-93f2-b2e6bb768d07).
Vícefaktorové ověřování
Postupujte podle pokynů v tématu Vynucení Microsoft Entra vícefaktorového ověřování pro Azure Virtual Desktop pomocí podmíněného přístupu a zjistěte, jak vynutit Microsoft Entra vícefaktorové ověřování pro vaše nasazení. V tomto článku se také dozvíte, jak nakonfigurovat, jak často se uživatelům zobrazí výzva k zadání přihlašovacích údajů. Při nasazování Microsoft Entra připojených virtuálních počítačů si poznamenejte další kroky pro virtuální počítače hostitele Microsoft Entra připojených relací.
Ověřování bez hesla
K ověření ve službě můžete použít jakýkoli typ ověřování podporovaný Microsoft Entra ID, například Windows Hello pro firmy a další možnosti ověřování bez hesla (například klíče FIDO).
Ověřování pomocí čipové karty
Pokud chcete k ověření Microsoft Entra ID použít čipovou kartu, musíte nejprve nakonfigurovat Microsoft Entra ověřování na základě certifikátu nebo nakonfigurovat službu AD FS pro ověřování uživatelských certifikátů.
Zprostředkovatelé identit třetích stran
Můžete použít zprostředkovatele identity třetích stran, pokud se federují s Microsoft Entra ID.
Ověřování vzdálené relace
Pokud jste ještě nepovolili jednotné přihlašování nebo jste přihlašovací údaje uložili místně, budete se muset při spuštění připojení také ověřit u hostitele relace.
Jednotné přihlašování
Jednotné přihlašování umožňuje připojení přeskočit výzvu k zadání přihlašovacích údajů hostitele relace a automaticky přihlásit uživatele k Windows prostřednictvím ověřování Microsoft Entra. U hostitelů relací, kteří jsou Microsoft Entra připojeni nebo Microsoft Entra hybridně připojeni, doporučujeme povolit jednotné přihlašování pomocí Microsoft Entra ověřování. Microsoft Entra ověřování poskytuje další výhody, včetně ověřování bez hesla a podpory zprostředkovatelů identit třetích stran.
Azure Virtual Desktop také podporuje jednotné přihlašování pomocí služby Active Directory Federation Services (AD FS) (AD FS) pro desktopové a webové klienty Windows.
Bez jednotného přihlašování klient vyzve uživatele k zadání přihlašovacích údajů hostitele relace pro každé připojení. Jediným způsobem, jak se vyhnout zobrazení výzvy, je uložit přihlašovací údaje v klientovi. Doporučujeme ukládat přihlašovací údaje jenom na zabezpečených zařízeních, abyste ostatním uživatelům zabránili v přístupu k vašim prostředkům.
Čipová karta a Windows Hello pro firmy
Azure Virtual Desktop podporuje protokol NT LAN Manager (NTLM) i Kerberos pro ověřování hostitele relace, ale čipová karta a Windows Hello pro firmy můžou k přihlášení používat jenom protokol Kerberos. Pokud chce klient používat protokol Kerberos, musí získat lístky zabezpečení Protokolu Kerberos ze služby KDC (Key Distribution Center) spuštěné na řadiči domény. Aby klient získal lístky, potřebuje přímý síťový dohled na řadič domény. Když se připojíte přímo ve své podnikové síti, použijete připojení VPN nebo nastavíte proxy server KDC, můžete získat přehled.
Ověřování v relaci
Jakmile se připojíte k aplikaci RemoteApp nebo ploše, může se zobrazit výzva k ověření v rámci relace. Tato část vysvětluje, jak v tomto scénáři použít jiné přihlašovací údaje než uživatelské jméno a heslo.
Ověřování bez hesla v relaci
Azure Virtual Desktop podporuje ověřování bez hesla v relaci pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, jako jsou klíče FIDO, při použití desktopového klienta Windows. Ověřování bez hesla se povolí automaticky, když hostitel relace a místní počítač používají následující operační systémy:
- Windows 11 jednu nebo více relací s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 11 (KB5018418) nebo novější.
- Windows 10 jednu nebo více relací verze 20H2 nebo novější s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 10 (KB5018410) nebo novější.
- Windows Server 2022 s nainstalovanou kumulativní aktualizací 2022-10 pro serverový operační systém Microsoft (KB5018421) nebo novější.
Pokud chcete ve fondu hostitelů zakázat ověřování bez hesla, musíte přizpůsobit vlastnost protokolu RDP. Vlastnost Přesměrování WebAuthn najdete na kartě Přesměrování zařízení v Azure Portal nebo pomocí PowerShellu nastavte vlastnost redirectwebauthn na hodnotu 0.
Pokud je tato možnost povolená, všechny požadavky WebAuthn v relaci se přesměrují na místní počítač. K dokončení procesu ověřování můžete použít Windows Hello pro firmy nebo místně připojená zabezpečovací zařízení.
Pokud chcete získat přístup k Microsoft Entra prostředkům pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, musíte pro uživatele povolit klíč zabezpečení FIDO2 jako metodu ověřování. Pokud chcete tuto metodu povolit, postupujte podle kroků v tématu Povolení metody klíče zabezpečení FIDO2.
Ověřování čipovými kartami v relaci
Pokud chcete v relaci použít čipovou kartu, ujistěte se, že jste na hostiteli relace nainstalovali ovladače čipové karty a povolili přesměrování čipových karet. Projděte si srovnávací grafy pro Windows App a aplikaci Vzdálená plocha, abyste mohli používat přesměrování čipových karet.
Další kroky
- Zajímá vás další způsoby zabezpečení nasazení? Projděte si osvědčené postupy zabezpečení.
- Máte problémy s připojením k Microsoft Entra připojeným virtuálním počítačům? Projděte si řešení potíží s připojením k Microsoft Entra připojeným virtuálním počítačům.
- Máte problémy s ověřováním bez hesla v relaci? Viz Řešení potíží s přesměrováním WebAuthn.
- Chcete používat čipové karty mimo podnikovou síť? Přečtěte si, jak nastavit proxy server KDC.