Hostitelé relací připojených k Microsoft Entra ve službě Azure Virtual Desktop

Tento článek vás provede procesem nasazení a přístupu k virtuálním počítačům připojeným k Microsoft Entra ve službě Azure Virtual Desktop. Virtuální počítače připojené k Microsoftu Entra odeberou nutnost mít z virtuálního počítače přehled o místním nebo virtualizovaném řadiči Doména služby Active Directory (DC) nebo k nasazení služby Microsoft Entra Domain Services. V některých případech může zcela odebrat potřebu řadiče domény a zjednodušit nasazení a správu prostředí. Tyto virtuální počítače se také dají automaticky zaregistrovat do Intune, aby se usnadnila správa.

Známá omezení

Následující známá omezení můžou ovlivnit přístup k místním prostředkům nebo prostředkům připojeným k doméně služby Active Directory a měli byste je zvážit při rozhodování, jestli jsou virtuální počítače připojené k Microsoftu entra pro vaše prostředí vhodné.

  • Azure Virtual Desktop (classic) nepodporuje virtuální počítače připojené k Microsoftu Entra.
  • Virtuální počítače připojené k Microsoftu entra v současné době nepodporují externí identity, jako jsou Microsoft Entra Business-to-Business (B2B) a Microsoft Entra Business-to-Consumer (B2C).
  • Virtuální počítače připojené k Microsoft Entra mají přístup pouze ke sdíleným složkám Azure Files nebo sdíleným složkám Azure NetApp Files pro hybridní uživatele pomocí protokolu Microsoft Entra Kerberos pro profily uživatelů FSLogix.
  • Aplikace Vzdálená plocha pro Windows nepodporuje virtuální počítače připojené k Microsoft Entra.

Nasazení virtuálních počítačů připojených k Microsoft Entra

Virtuální počítače připojené k Microsoft Entra můžete nasadit přímo z webu Azure Portal, když vytvoříte nový fond hostitelů nebo rozbalíte existující fond hostitelů. Pokud chcete nasadit virtuální počítač připojený k Microsoft Entra, otevřete kartu Virtuální počítače a pak vyberte, jestli se má virtuální počítač připojit ke službě Active Directory nebo Microsoft Entra ID. Když vyberete Microsoft Entra ID , budete mít možnost automaticky zaregistrovat virtuální počítače v Intune, což vám umožní snadno spravovat hostitele relací. Mějte na paměti, že možnost Microsoft Entra ID připojí virtuální počítače pouze ke stejnému tenantovi Microsoft Entra jako předplatné, ve kterém jste.

Poznámka:

  • Fondy hostitelů by měly obsahovat pouze virtuální počítače stejného typu připojení k doméně. Například virtuální počítače připojené k Microsoft Entra by měly být pouze s jinými virtuálními počítači připojenými k Microsoft Entra a naopak.
  • Virtuální počítače ve fondu hostitelů musí být Windows 11 nebo Windows 10 s jednou relací nebo více relací, verze 2004 nebo novější nebo Windows Server 2022 nebo Windows Server 2019.

Přiřazení uživatelského přístupu k fondům hostitelů

Po vytvoření fondu hostitelů musíte přiřadit uživatelům přístup k jejich prostředkům. Pokud chcete udělit přístup k prostředkům, přidejte každého uživatele do skupiny aplikací. Postupujte podle pokynů v části Správa skupin aplikací a přiřaďte uživatelům přístup k aplikacím a desktopům. Doporučujeme používat skupiny uživatelů místo jednotlivých uživatelů všude, kde je to možné.

U virtuálních počítačů připojených k Microsoft Entra budete muset udělat dvě další věci nad rámec požadavků na nasazení služby Active Directory nebo Microsoft Entra Domain Services:

  • Přiřaďte uživatelům roli Přihlášení uživatele virtuálního počítače, aby se mohli přihlásit k virtuálním počítačům.
  • Přiřaďte správcům, kteří potřebují oprávnění místního správce, roli přihlášení k virtuálnímu počítači Správa istrator.

Pokud chcete uživatelům udělit přístup k virtuálním počítačům připojeným k Microsoft Entra, musíte pro virtuální počítač nakonfigurovat přiřazení rolí. Můžete přiřadit roli přihlášení uživatele virtuálního počítače nebo virtuálního počítače Správa istrator Login buď na virtuálních počítačích, ve skupině prostředků obsahující virtuální počítače nebo předplatném. Doporučujeme přiřadit roli přihlášení uživatele virtuálního počítače ke stejné skupině uživatelů, kterou jste použili pro skupinu aplikací na úrovni skupiny prostředků, aby se použila pro všechny virtuální počítače ve fondu hostitelů.

Přístup k virtuálním počítačům připojeným k Microsoft Entra

Tato část vysvětluje, jak přistupovat k virtuálním počítačům připojeným k Microsoft Entra z různých klientů Služby Azure Virtual Desktop.

Jednotné přihlášení

Pro zajištění co nejlepšího prostředí na všech platformách byste měli povolit jednotné přihlašování pomocí ověřování Microsoft Entra při přístupu k virtuálním počítačům připojeným k Microsoft Entra. Pokud chcete zajistit bezproblémové připojení, postupujte podle pokynů ke konfiguraci jednotného přihlašování .

Připojení s využitím starších ověřovacích protokolů

Pokud nechcete povolit jednotné přihlašování, můžete pomocí následující konfigurace povolit přístup k virtuálním počítačům připojeným k Microsoft Entra.

Připojení pomocí desktopového klienta Windows

Výchozí konfigurace podporuje připojení z Windows 11 nebo Windows 10 pomocí desktopového klienta Windows. K přihlášení k hostiteli relace můžete použít přihlašovací údaje, čipovou kartu, Windows Hello pro firmy důvěryhodnost certifikátu nebo důvěryhodnost klíče Windows Hello pro firmy s certifikáty. Pro přístup k hostiteli relace však musí místní počítač splňovat jednu z následujících podmínek:

  • Místní počítač je prostřednictvím Microsoft Entra připojený ke stejnému hostiteli Microsoft Entra jako hostitel relace.
  • Místní počítač je prostřednictvím Microsoft Entra hybridně připojený ke stejnému hostiteli Microsoft Entra jako hostitel relace.
  • Na místním počítači běží Windows 11 nebo Windows 10 verze 2004 nebo novější a microsoft Entra je zaregistrovaný ve stejném tenantovi Microsoft Entra jako hostitel relace.

Pokud místní počítač nesplňuje jednu z těchto podmínek, přidejte do fondu hostitelů vlastnost targetisaadjoined:i:1. Tato připojení jsou omezena tak, aby při přihlašování k hostiteli relace zadala uživatelské jméno a heslo.

Připojení používat ostatní klienty

Pokud chcete získat přístup k virtuálním počítačům připojeným k Microsoft Entra pomocí webových klientů, Androidu, macOS a iOS, musíte do fondu hostitelů přidat targetisaadjoined:i:1 jako vlastní vlastnost RDP. Tato připojení jsou omezena tak, aby při přihlašování k hostiteli relace zadala uživatelské jméno a heslo.

Vynucení vícefaktorového ověřování Microsoft Entra pro virtuální počítače relace připojené k Microsoft Entra

Vícefaktorové ověřování Microsoft Entra můžete použít s virtuálními počítači připojenými k Microsoft Entra. Postupujte podle pokynů k vynucení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop pomocí podmíněného přístupu a všimněte si dodatečných kroků pro hostitelské virtuální počítače relace připojené k Microsoft Entra.

Pokud používáte vícefaktorové ověřování Microsoft Entra a nechcete omezit přihlašování na metody silného ověřování, jako je Windows Hello pro firmy, budete muset vyloučit aplikaci pro přihlášení k virtuálnímu počítači Azure s Windows ze zásad podmíněného přístupu.

Profily uživatelů

Kontejnery profilů FSLogix můžete použít s virtuálními počítači připojenými k Microsoft Entra, když je ukládáte ve službě Azure Files nebo Azure NetApp Files při používání hybridních uživatelských účtů. Další informace najdete v tématu Vytvoření kontejneru profilu se službou Azure Files a ID Microsoft Entra.

Přístup k místním prostředkům

I když k nasazení nebo přístupu k virtuálním počítačům připojeným k Microsoft Entra nepotřebujete Active Directory, k přístupu k místním prostředkům z těchto virtuálních počítačů je potřeba active directory a přehled. Další informace o přístupu k místním prostředkům najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Microsoft Entra.

Další kroky

Teď, když jste nasadili některé virtuální počítače připojené k Microsoft Entra, doporučujeme povolit jednotné přihlašování, než se připojíte k podporovanému klientovi Azure Virtual Desktopu a otestujete ho jako součást uživatelské relace. Další informace najdete v těchto článcích: