Podporované identity a metody ověřování
V tomto článku vám poskytneme stručný přehled o typech identit a metod ověřování, které můžete použít ve službě Azure Virtual Desktop.
Identity
Azure Virtual Desktop podporuje různé typy identit podle toho, jakou konfiguraci zvolíte. Tato část vysvětluje, které identity můžete použít pro každou konfiguraci.
Důležité
Azure Virtual Desktop nepodporuje přihlášení k Microsoft Entra ID pomocí jednoho uživatelského účtu a následné přihlášení k Windows pomocí samostatného uživatelského účtu. Přihlášení pomocí dvou různých účtů současně může vést k tomu, že se uživatelé znovu připojí k nesprávnému hostiteli relace, nesprávné nebo chybějící informace na webu Azure Portal a zobrazí se chybové zprávy při připojení aplikace nebo připojení aplikace MSIX.
Místní identita
Vzhledem k tomu, že uživatelé musí být zjistitelné prostřednictvím ID Microsoft Entra pro přístup k Azure Virtual Desktopu, identity uživatelů, které existují pouze ve službě Doména služby Active Directory Services (AD DS), se nepodporují. To zahrnuje samostatná nasazení služby Active Directory s Active Directory Federation Services (AD FS) (AD FS).
Hybridní identita
Azure Virtual Desktop podporuje hybridní identity prostřednictvím ID Microsoft Entra, včetně identit federovaných pomocí služby AD FS. Tyto identity uživatelů můžete spravovat ve službě AD DS a synchronizovat je s MICROSOFT Entra ID pomocí služby Microsoft Entra Connect. K správě těchto identit a jejich synchronizaci se službou Microsoft Entra Domain Services můžete použít také MICROSOFT Entra ID.
Při přístupu k Azure Virtual Desktopu pomocí hybridních identit se někdy neshoduje hlavní název uživatele (UPN) nebo identifikátor zabezpečení (SID) pro uživatele ve službě Active Directory (AD) a Microsoft Entra ID. Například účet user@contoso.local AD může odpovídat user@contoso.com v Microsoft Entra ID. Azure Virtual Desktop podporuje tento typ konfigurace pouze v případě, že se shodují hlavní název uživatele (UPN) nebo IDENTIFIKÁTOR SID pro účty AD i Microsoft Entra ID. IDENTIFIKÁTOR SID odkazuje na vlastnost objektu uživatele ObjectSID v AD a OnPremisesSecurityIdentifier v Microsoft Entra ID.
Cloudová identita
Azure Virtual Desktop podporuje výhradně cloudové identity při použití virtuálních počítačů připojených k Microsoft Entra. Tito uživatelé se vytvářejí a spravují přímo v Microsoft Entra ID.
Poznámka:
Hybridní identity můžete také přiřadit skupinám aplikací služby Azure Virtual Desktop, které hostují hostitele relací typu Připojení typu Microsoft Entra.
Federovaná identita
Pokud ke správě uživatelských účtů používáte jiného zprostředkovatele identity třetí strany než Microsoft Entra ID nebo Doména služby Active Directory Services, musíte zajistit následující:
- Váš zprostředkovatele identity je federovaný s Microsoft Entra ID.
- Hostitelé relací jsou připojení k Microsoft Entra nebo hybridní připojení Microsoft Entra.
- Povolíte ověřování Microsoft Entra pro hostitele relace.
Externí identita
Azure Virtual Desktop v současné době nepodporuje externí identity.
Metody ověřování
Při přístupu k prostředkům Azure Virtual Desktopu existují tři samostatné fáze ověřování:
- Ověřování cloudovou službou: Ověřování ve službě Azure Virtual Desktop, které zahrnuje přihlášení k odběru prostředků a ověřování brány, je s ID Microsoft Entra.
- Vzdálené ověřování relace: Ověřování na vzdáleném virtuálním počítači Existuje několik způsobů, jak se ověřit ve vzdálené relaci, včetně doporučeného jednotného přihlašování (SSO).
- Ověřování v relaci: Ověřování v aplikacích a webech v rámci vzdálené relace
Pro seznam přihlašovacích údajů dostupných v různých klientech pro každou fázi ověřování porovnejte klienty napříč platformami.
Důležité
Aby ověřování fungovalo správně, musí mít místní počítač také přístup k požadovaným adresám URL pro klienty vzdálené plochy.
V následujících částech najdete další informace o těchto fázích ověřování.
Ověřování cloudových služeb
Pokud chcete získat přístup k prostředkům Azure Virtual Desktopu, musíte se nejprve ověřit ve službě přihlášením pomocí účtu Microsoft Entra ID. K ověřování dochází vždy, když se přihlásíte k odběru prostředků, připojíte se k bráně při spuštění připojení nebo při odesílání diagnostických informací do služby. Prostředek Microsoft Entra ID použitý pro toto ověřování je Azure Virtual Desktop (ID aplikace 9cdead84-a844-4324-93f2-b2e6bb768d07).
Vícefaktorové ověřování
Postupujte podle pokynů v tématu Vynucení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop pomocí podmíněného přístupu a zjistěte, jak pro vaše nasazení vynutit vícefaktorové ověřování Microsoft Entra. Tento článek vám také řekne, jak nakonfigurovat, jak často se uživatelům zobrazí výzva k zadání přihlašovacích údajů. Při nasazování virtuálních počítačů připojených k Microsoft Entra si všimněte dodatečných kroků pro hostitelské virtuální počítače relace připojené k Microsoft Entra.
Ověřování bez hesla
K ověření ve službě můžete použít libovolný typ ověřování podporovaný ID Microsoft Entra, jako je Windows Hello pro firmy a další možnosti ověřování bez hesla (například klíče FIDO).
Ověřování čipovou kartou
Chcete-li použít čipovou kartu k ověření v Microsoft Entra ID, musíte nejprve nakonfigurovat ověřování na základě certifikátu microsoft Entra nebo nakonfigurovat službu AD FS pro ověřování uživatelských certifikátů.
Zprostředkovatelé identity třetích stran
Zprostředkovatele identity třetích stran můžete použít, pokud se federují s ID Microsoft Entra.
Vzdálené ověřování relace
Pokud jste ještě nepovolili jednotné přihlašování nebo jste přihlašovací údaje uložili místně, budete se také muset ověřit u hostitele relace při spuštění připojení.
Jednotné přihlašování (SSO)
Jednotné přihlašování umožňuje připojení přeskočit výzvu k zadání přihlašovacích údajů hostitele relace a automaticky přihlásit uživatele k Systému Windows prostřednictvím ověřování Microsoft Entra. U hostitelů relací, kteří jsou připojeni k Microsoft Entra nebo hybridnímu připojení Microsoft Entra, se doporučuje povolit jednotné přihlašování pomocí ověřování Microsoft Entra. Ověřování Microsoft Entra poskytuje další výhody, včetně ověřování bez hesla a podpory zprostředkovatelů identity třetích stran.
Azure Virtual Desktop také podporuje jednotné přihlašování pomocí Active Directory Federation Services (AD FS) (AD FS) pro desktopové a webové klienty Windows.
Bez jednotného přihlašování klient vyzve uživatele k zadání přihlašovacích údajů hostitele relace pro každé připojení. Jediným způsobem, jak se vyhnout zobrazení výzvy, je uložit přihlašovací údaje v klientovi. Doporučujeme ukládat přihlašovací údaje jenom na zabezpečených zařízeních, abyste ostatním uživatelům zabránili v přístupu k vašim prostředkům.
Čipová karta a Windows Hello pro firmy
Azure Virtual Desktop podporuje protokol NT LAN Manager (NTLM) i Kerberos pro ověřování hostitelů relací, ale čipová karta a Windows Hello pro firmy můžou k přihlášení používat protokol Kerberos. Pokud chcete používat Protokol Kerberos, musí klient získat lístky zabezpečení Kerberos ze služby KDC (Key Distribution Center) spuštěné na řadiči domény. Aby klient získal lístky, potřebuje přímý síťový dohled na řadič domény. Můžete získat přehled o tom, že se připojíte přímo v podnikové síti pomocí připojení VPN nebo nastavíte proxy server služby KDC.
Ověřování v relaci
Po připojení k RemoteAppu nebo ploše se může zobrazit výzva k ověření v rámci relace. Tato část vysvětluje, jak v tomto scénáři používat jiné přihlašovací údaje než uživatelské jméno a heslo.
Ověřování bez hesla v relaci
Azure Virtual Desktop podporuje ověřování bez hesla v relaci pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, jako jsou klíče FIDO při použití klienta Windows Desktop. Ověřování bez hesla se povolí automaticky, když hostitel relace a místní počítač používají následující operační systémy:
- Windows 11 – jedna nebo více relací s nainstalovanými kumulativními aktualizacemi 2022–10 pro Windows 11 (KB5018418) nebo novějšími.
- Windows 10 s jednou nebo více relacemi, verze 20H2 nebo novější s nainstalovanými kumulativními aktualizacemi 2022-10 pro Windows 10 (KB5018410) nebo novější.
- Windows Server 2022 s kumulativní aktualizací 2022-10 pro operační systém microsoft serveru (KB5018421) nebo novější.
Pokud chcete ve fondu hostitelů zakázat ověřování bez hesla, musíte přizpůsobit vlastnost RDP. Vlastnost přesměrování WebAuthn najdete na kartě Přesměrování zařízení na webu Azure Portal nebo nastavte vlastnost redirectwebauthn na hodnotu 0 pomocí PowerShellu.
Pokud je tato možnost povolená, všechny požadavky WebAuthn v relaci se přesměrují na místní počítač. K dokončení procesu ověřování můžete použít Windows Hello pro firmy nebo místně připojená bezpečnostní zařízení.
Pokud chcete získat přístup k prostředkům Microsoft Entra pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, musíte pro uživatele povolit klíč zabezpečení FIDO2 jako metodu ověřování. Pokud chcete tuto metodu povolit, postupujte podle kroků v části Povolení metody klíče zabezpečení FIDO2.
Ověřování čipovou kartou v relaci
Pokud chcete v relaci použít čipovou kartu, ujistěte se, že jste na hostiteli relace nainstalovali ovladače čipových karet a povolili přesměrování čipové karty. Projděte si srovnávací grafy pro aplikaci pro Windows a aplikaci Vzdálená plocha, abyste mohli použít přesměrování čipové karty.
Další kroky
- Zajímá vás další způsoby zabezpečení nasazení? Projděte si osvědčené postupy zabezpečení.
- Máte problémy s připojením k virtuálním počítačům připojeným k Microsoft Entra? Podívejte se na řešení potíží s připojeními k virtuálním počítačům připojeným k Microsoft Entra.
- Máte problémy s ověřováním bez hesla v relaci? Viz Řešení potíží s přesměrováním webAuthn.
- Chcete používat čipové karty mimo podnikovou síť? Přečtěte si, jak nastavit proxy server služby KDC.