Konfigurace jednotného přihlašování pro Azure Virtual Desktop pomocí Microsoft Entra ID

Jednotné přihlašování (SSO) pro službu Azure Virtual Desktop pomocí Microsoft Entra ID poskytuje uživatelům připojujícím se k hostitelům relací bezproblémové přihlašování. Když povolíte jednotné přihlašování, uživatelé se ve Windows ověřují pomocí tokenu Microsoft Entra ID. Tento token umožňuje používat ověřování bez hesla a zprostředkovatele identity třetích stran, kteří se při připojování k hostiteli relace federují s Microsoft Entra ID, takže přihlašování je bezproblémové.

Jednotné přihlašování pomocí Microsoft Entra ID také poskytuje bezproblémové prostředí pro prostředky založené na Microsoft Entra ID v rámci relace. Další informace o používání ověřování bez hesla v rámci relace najdete v tématu Ověřování bez hesla v relaci.

Pokud chcete povolit jednotné přihlašování pomocí ověřování Microsoft Entra ID, musíte provést pět úloh:

1. Povolte ověřování Microsoft Entra pro protokol RDP (Remote Desktop Protocol).

2. Skryjte dialogové okno výzvy k vyjádření souhlasu.

3. Pokud je Active Directory Domain Services součástí vašeho prostředí, vytvořte objekt serveru Kerberos. Další informace o kritériích najdete v jeho části.

4. Zkontrolujte zásady podmíněného přístupu.

5. Nakonfigurujte fond hostitelů tak, aby umožňoval jednotné přihlašování.

Před povolením jednotného přihlašování

Než povolíte jednotné přihlašování, projděte si následující informace o jeho použití ve vašem prostředí.

Chování zámku relace

Pokud je zapnuté jednotné přihlašování pomocí Microsoft Entra ID a vzdálená relace je uzamčena uživatelem nebo zásadami, můžete zvolit, jestli se relace odpojí, nebo se zobrazí vzdálená zamykací obrazovka. Výchozím chováním je odpojit relaci, když se zamkne.

Když je chování uzamčení relace nastaveno na odpojení, zobrazí se dialogové okno, které uživatele upozorní, že se odpojili. Uživatelé můžou v dialogovém okně zvolit možnost Znovu připojit , až budou připravení se znovu připojit. Toto chování se provádí z bezpečnostních důvodů a kvůli zajištění plné podpory ověřování bez hesla. Odpojení relace přináší následující výhody:

• Konzistentní přihlašování prostřednictvím Microsoft Entra ID v případě potřeby

• Prostředí jednotného přihlašování a opětovné připojení bez výzvy k ověření, pokud to umožňují zásady podmíněného přístupu.

• Na rozdíl od vzdálené zamykací obrazovky podporuje ověřování bez hesla, jako jsou klíče a zařízení FIDO2.

• Zásady podmíněného přístupu, včetně vícefaktorového ověřování a frekvence přihlašování, se znovu vyhodnocují, když se uživatel znovu připojí ke své relaci.

• Může vyžadovat vícefaktorové ověřování pro návrat do relace a zabránit uživatelům v odemknutí jednoduchým uživatelským jménem a heslem.

Pokud chcete nakonfigurovat chování zámku relace tak, aby se místo odpojení relace zobrazila vzdálená zamykací obrazovka, přečtěte si téma Konfigurace chování zámku relace.

Účty správce domény Active Directory s jednotným přihlašováním

V prostředích s Active Directory Domain Services (AD DS) a hybridními uživatelskými účty výchozí zásady replikace hesel na řadičích domény jen pro čtení zamítnou replikaci hesel pro členy skupin zabezpečení Domain Admins a Administrators. Tato zásada brání těmto účtům správců v přihlášení k Microsoft Entra hostitelům připojeným k hybridním připojením a může je dál vyzývat k zadání svých přihlašovacích údajů. Brání také účtům správců v přístupu k místním prostředkům, které používají ověřování kerberos z Microsoft Entra připojených hostitelů. Z bezpečnostních důvodů nedoporučujeme připojovat se ke vzdálené relaci pomocí účtu, který je správcem domény.

Pokud potřebujete v hostiteli relace provést změny jako správce, přihlaste se k hostiteli relace pomocí účtu bez oprávnění správce a pak pomocí možnosti Spustit jako správce nebo nástroje Runas z příkazového řádku přejděte na správce.

Požadavky

Abyste mohli povolit jednotné přihlašování, musíte splňovat následující požadavky:

• Pokud chcete nakonfigurovat tenanta Microsoft Entra, musíte mít přiřazenou jednu z následujících Microsoft Entra předdefinovaných rolí nebo ekvivalentních rolí:

  • Správce aplikací
  • Správce cloudových aplikací

• Na hostitelích relací musí běžet jeden z následujících operačních systémů s nainstalovanou příslušnou kumulativní aktualizací:

  • Windows 11 Enterprise jednu nebo více relací s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 11 (KB5018418) nebo novější.

  • Windows 10 Enterprise jednu nebo více relací s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 10 (KB5018410) nebo novější.

  • Windows Server 2022 s nainstalovanou kumulativní aktualizací 2022-10 pro serverový operační systém Microsoft (KB5018421) nebo novější.

• Hostitelé relací musí být Microsoft Entra připojeni nebo Microsoft Entra hybridně připojeni. Hostitelé relací připojení k Microsoft Entra Doménové služby nebo jenom k Active Directory Domain Services se nepodporují.

  Pokud jsou hostitelé hybridních relací Microsoft Entra v jiné doméně služby Active Directory než uživatelské účty, musí být mezi těmito dvěma doménami obousměrný vztah důvěryhodnosti. Bez obousměrného vztahu důvěryhodnosti se připojení vrátí ke starším ověřovacím protokolům.

• Nainstalujte sadu Microsoft Graph PowerShell SDK verze 2.9.0 nebo novější na místní zařízení nebo v Azure Cloud Shell.

• Pro připojení ke vzdálené relaci použijte podporovanou verzi Windows App nebo klienta Vzdálené plochy. Podporují se následující platformy a verze:

  • Windows App:

    • Windows: Všechny verze Windows App. Místní počítač nemusí být připojený k Microsoft Entra ID nebo doméně Active Directory.
    • macOS: verze 10.9.10 nebo novější.
    • iOS/iPadOS: verze 10.5.2 nebo novější.
    • Webový prohlížeč.

  • Klient Vzdálené plochy:

    • Desktopový klient Windows na místních počítačích se systémem Windows 10 nebo novějším. Místní počítač nemusí být připojený k Microsoft Entra ID nebo doméně Active Directory.
    • Webový klient.
    • klient macOS verze 10.8.2 nebo novější.
    • Klient iOS verze 10.5.1 nebo novější.
    • Klient androidu verze 10.0.16 nebo novější.

Povolení ověřování Microsoft Entra pro protokol RDP

Nejprve musíte povolit ověřování Microsoft Entra pro Windows ve vašem Microsoft Entra tenantovi, které umožňuje vydávání přístupových tokenů RDP, které uživatelům umožní přihlásit se k hostitelům relací služby Azure Virtual Desktop. Vlastnost nastavte isRemoteDesktopProtocolEnabled na hodnotu true pro objekt instančního remoteDesktopSecurityConfiguration objektu pro následující aplikace Microsoft Entra:

Název aplikace	ID aplikace
Vzdálená plocha Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Přihlášení ke cloudu Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Důležité

V rámci chystané změny přecházíme ze Vzdálené plochy Microsoftu na Přihlášení ke cloudu Windows, a to od roku 2024. Konfigurace obou aplikací teď zajistí, že budete na změnu připraveni.

Pokud chcete nakonfigurovat instanční objekt, vytvořte v instančním objektu nový objekt remoteDesktopSecurityConfiguration pomocí sady Microsoft Graph PowerShell SDK a nastavte vlastnost isRemoteDesktopProtocolEnabled na true. Můžete také použít Microsoft Graph API s nástrojem, jako je Graph Explorer.

1. Otevřete Azure Cloud Shell v Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShell a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.

2. Ujistěte se, že jste nainstalovali sadu Microsoft Graph PowerShell SDK z požadavků, importujte moduly Microsoft Graphu Ověřování a aplikace a připojte se k Microsoft Graphu Application.Read.All s obory a Application-RemoteDesktopConfig.ReadWrite.All spuštěním následujících příkazů:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Spuštěním následujících příkazů získejte ID objektu pro každý instanční objekt a uložte je do proměnných:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Nastavte vlastnost isRemoteDesktopProtocolEnabled na hodnotu true spuštěním následujících příkazů. Z těchto příkazů není žádný výstup.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Spuštěním následujících příkazů ověřte, že je vlastnost isRemoteDesktopProtocolEnabled nastavená na true hodnotu :

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Výstup pro oba příkazy by měl být:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Skrytí dialogového okna výzvy k vyjádření souhlasu

Ve výchozím nastavení se uživatelům při připojování k novému hostiteli relace zobrazí dialogové okno pro povolení připojení ke vzdálené ploše. Microsoft Entra si po dobu 30 dnů pamatuje až 15 hostitelů, než se znovu zobrazí výzva. Pokud se uživatelům zobrazí toto dialogové okno pro povolení připojení ke vzdálené ploše, můžou se připojit výběrem možnosti Ano .

Toto dialogové okno můžete skrýt konfigurací seznamu důvěryhodných zařízení. Pokud chcete nakonfigurovat seznam zařízení, vytvořte v Microsoft Entra ID jednu nebo více skupin, které obsahují hostitele relací, a pak přidejte ID skupin do vlastnosti instančních objektů jednotného přihlašování, Vzdálené plochy Microsoftu a Přihlášení ke cloudu Windows.

Tip

Doporučujeme použít dynamickou skupinu a nakonfigurovat pravidla dynamického členství tak, aby zahrnovala všechny hostitele relací služby Azure Virtual Desktop. Názvy zařízení v této skupině můžete použít, ale pro bezpečnější možnost můžete nastavit a používat atributy rozšíření zařízení pomocí Microsoft Graph API. Zatímco dynamické skupiny se obvykle aktualizují během 5 až 10 minut, velkým tenantům může trvat až 24 hodin.

Dynamické skupiny vyžadují licenci Microsoft Entra ID P1 nebo licenci Intune for Education. Další informace najdete v tématu Pravidla dynamického členství pro skupiny.

Ke konfiguraci instančního objektu použijte sadu Microsoft Graph PowerShell SDK k vytvoření nového objektu targetDeviceGroup v instančním objektu s ID objektu dynamické skupiny a zobrazovaným názvem. Můžete také použít Microsoft Graph API s nástrojem, jako je Graph Explorer.

1. Vytvořte dynamickou skupinu v Microsoft Entra ID obsahující hostitele relací, pro které chcete dialogové okno skrýt. Poznamenejte si ID objektu skupiny pro další krok.

2. Ve stejné relaci PowerShellu targetDeviceGroup vytvořte objekt spuštěním následujících příkazů a nahraďte <placeholders> je vlastními hodnotami:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Přidejte skupinu do objektu targetDeviceGroup spuštěním následujících příkazů:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Výstup by měl být podobný následujícímu příkladu:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Opakujte kroky 2 a 3 pro každou skupinu, kterou chcete přidat do objektu targetDeviceGroup , až do maximálně 10 skupin.

4. Pokud později budete potřebovat odebrat skupinu zařízení z objektu targetDeviceGroup , spusťte následující příkazy a nahraďte <placeholders> je vlastními hodnotami:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Vytvoření objektu serveru Kerberos

Pokud hostitelé relace splňují následující kritéria, musíte vytvořit objekt serveru Kerberos. Další informace najdete v tématu Povolení přihlašování pomocí klíče zabezpečení bez hesla k místním prostředkům pomocí Microsoft Entra ID, konkrétně v části Věnované vytvoření objektu serveru Kerberos:

• Hostitel relace je Microsoft Entra připojen k hybridnímu připojení. K dokončení ověřování k řadiči domény musíte mít objekt serveru Kerberos.

• Hostitel relace je Microsoft Entra připojený a vaše prostředí obsahuje řadiče domény služby Active Directory. Aby uživatelé mohli přistupovat k místním prostředkům, jako jsou sdílené složky SMB a integrované ověřování na webech, musíte mít objekt serveru Kerberos.

Důležité

Pokud povolíte jednotné přihlašování Microsoft Entra hostitelích hybridních relací bez vytvoření objektu serveru Kerberos, může se při pokusu o připojení ke vzdálené relaci stát jedna z následujících věcí:

• Zobrazí se chybová zpráva s oznámením, že konkrétní relace neexistuje.
• Jednotné přihlašování se přeskočí a zobrazí se standardní dialogové okno ověřování pro hostitele relace.

Pokud chcete tyto problémy vyřešit, vytvořte objekt serveru Kerberos a pak se znovu připojte.

Kontrola zásad podmíněného přístupu

Když je povolené jednotné přihlašování, zavádí se nová aplikace Microsoft Entra ID, která bude ověřovat uživatele v hostiteli relace. Pokud máte zásady podmíněného přístupu, které se používají při přístupu ke službě Azure Virtual Desktop, projděte si doporučení k nastavení vícefaktorového ověřování a ujistěte se, že uživatelé mají požadované prostředí.

Konfigurace fondu hostitelů pro povolení jednotného přihlašování

Pokud chcete povolit jednotné přihlašování ve fondu hostitelů, musíte nakonfigurovat následující vlastnost protokolu RDP, kterou můžete provést pomocí Azure Portal nebo PowerShellu. Postup konfigurace vlastností protokolu RDP najdete v tématu Přizpůsobení vlastností protokolu RDP (Remote Desktop Protocol) pro fond hostitelů.

• V Azure Portal nastavte Microsoft Entra jednotné přihlašování naConnections k zajištění jednotného přihlašování použije Microsoft Entra ověřování.

• Pro PowerShell nastavte vlastnost enablerdsaadauth na hodnotu 1.

Další kroky

• Přečtěte si téma Ověřování bez hesla v relaci , kde se dozvíte, jak povolit ověřování bez hesla.

• Přečtěte si, jak nakonfigurovat chování uzamčení relace pro Azure Virtual Desktop.

• Další informace o Microsoft Entra Kerberos najdete v tématu Podrobné informace: Jak funguje Microsoft Entra Kerberos.

• Pokud narazíte na nějaké problémy, přejděte k řešení potíží s připojením k Microsoft Entra připojeným virtuálním počítačům.