Podporované identity a metody ověřování

  • Článek

V tomto článku vám poskytneme stručný přehled o typech identit a metod ověřování, které můžete použít ve službě Azure Virtual Desktop.

Identity

Azure Virtual Desktop podporuje různé typy identit podle toho, jakou konfiguraci zvolíte. Tato část vysvětluje, které identity můžete použít pro každou konfiguraci.

Důležité

Azure Virtual Desktop nepodporuje přihlášení k Microsoft Entra ID pomocí jednoho uživatelského účtu a následné přihlášení k Windows pomocí samostatného uživatelského účtu. Přihlášení pomocí dvou různých účtů současně může vést k tomu, že se uživatelé znovu připojí k nesprávnému hostiteli relace, nesprávné nebo chybějící informace na webu Azure Portal a zobrazí se chybové zprávy při připojování aplikace MSIX.

Místní identita

Vzhledem k tomu, že uživatelé musí být zjistitelné prostřednictvím ID Microsoft Entra pro přístup k Azure Virtual Desktopu, identity uživatelů, které existují pouze ve službě Doména služby Active Directory Services (AD DS), se nepodporují. To zahrnuje samostatná nasazení služby Active Directory s Active Directory Federation Services (AD FS) (AD FS).

Hybridní identita

Azure Virtual Desktop podporuje hybridní identity prostřednictvím ID Microsoft Entra, včetně identit federovaných pomocí služby AD FS. Tyto identity uživatelů můžete spravovat ve službě AD DS a synchronizovat je s ID Microsoft Entra pomocí microsoft Entra Připojení. K správě těchto identit a jejich synchronizaci se službou Microsoft Entra Domain Services můžete použít také MICROSOFT Entra ID.

Při přístupu k Azure Virtual Desktopu pomocí hybridních identit se někdy neshoduje hlavní název uživatele (UPN) nebo identifikátor zabezpečení (SID) pro uživatele ve službě Active Directory (AD) a Microsoft Entra ID. Například účet user@contoso.local AD může odpovídat user@contoso.com v Microsoft Entra ID. Azure Virtual Desktop podporuje tento typ konfigurace pouze v případě, že se shodují hlavní název uživatele (UPN) nebo IDENTIFIKÁTOR SID pro účty AD i Microsoft Entra ID. IDENTIFIKÁTOR SID odkazuje na vlastnost objektu uživatele ObjectSID v AD a OnPremisesSecurityIdentifier v Microsoft Entra ID.

Cloudová identita

Azure Virtual Desktop podporuje výhradně cloudové identity při použití virtuálních počítačů připojených k Microsoft Entra. Tito uživatelé se vytvářejí a spravují přímo v Microsoft Entra ID.

Poznámka:

Hybridní identity můžete také přiřadit skupinám aplikací služby Azure Virtual Desktop, které hostují hostitele relací typu Připojení typu Microsoft Entra.

Zprostředkovatelé identity třetích stran

Pokud ke správě uživatelských účtů používáte jiného zprostředkovatele identity než Microsoft Entra ID, musíte zajistit následující:

Externí identita

Azure Virtual Desktop v současné době nepodporuje externí identity.

Metody ověřování

Pro uživatele připojující se ke vzdálené relaci existují tři samostatné ověřovací body:

  • Ověřování služby pro Azure Virtual Desktop: Načtení seznamu prostředků, ke které má uživatel přístup při přístupu k klientovi. Prostředí závisí na konfiguraci účtu Microsoft Entra. Pokud má uživatel například povolené vícefaktorové ověřování, zobrazí se uživateli výzva k zadání uživatelského účtu a druhé formy ověřování stejným způsobem jako při přístupu k jiným službám.

  • Hostitel relace: při spuštění vzdálené relace. Pro hostitele relace se vyžaduje uživatelské jméno a heslo, ale to je pro uživatele bezproblémové, pokud je povolené jednotné přihlašování (SSO).

  • Ověřování v relaci: Připojení k jiným prostředkům ve vzdálené relaci

V následujících částech najdete podrobnější vysvětlení každého z těchto bodů ověřování.

Ověřování služby

Pokud chcete získat přístup k prostředkům Azure Virtual Desktopu, musíte se nejprve ověřit ve službě přihlášením pomocí účtu Microsoft Entra. Ověřování probíhá vždy, když se přihlásíte k odběru pracovního prostoru, abyste získali prostředky a připojili se k aplikacím nebo desktopům. Zprostředkovatele identity třetích stran můžete použít, pokud se federují s ID Microsoft Entra.

Vícefaktorové ověřování

Postupujte podle pokynů v tématu Vynucení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop pomocí podmíněného přístupu a zjistěte, jak pro vaše nasazení vynutit vícefaktorové ověřování Microsoft Entra. Tento článek vám také řekne, jak nakonfigurovat, jak často se uživatelům zobrazí výzva k zadání přihlašovacích údajů. Při nasazování virtuálních počítačů připojených k Microsoft Entra si všimněte dodatečných kroků pro hostitelské virtuální počítače relace připojené k Microsoft Entra.

Ověřování bez hesla

K ověření ve službě můžete použít libovolný typ ověřování podporovaný ID Microsoft Entra, jako je Windows Hello pro firmy a další možnosti ověřování bez hesla (například klíče FIDO).

Ověřování čipovou kartou

Pokud chcete použít čipovou kartu k ověření v Microsoft Entra ID, musíte nejprve nakonfigurovat službu AD FS pro ověřování uživatelských certifikátů nebo nakonfigurovat ověřování založené na certifikátech Microsoft Entra.

Ověřování hostitele relace

Pokud jste ještě nepovolili jednotné přihlašování nebo jste přihlašovací údaje uložili místně, budete se také muset ověřit u hostitele relace při spuštění připojení. Následující seznam popisuje, jaké typy ověřování aktuálně podporuje každý klient služby Azure Virtual Desktop. Někteří klienti můžou vyžadovat použití konkrétní verze, kterou najdete na odkazu pro každý typ ověřování.

Klient Podporované typy ověřování
Desktopový klient Windows Uživatelské jméno a heslo
Čipová karta
důvěryhodnost certifikátu Windows Hello pro firmy
důvěryhodnost klíče Windows Hello pro firmy s certifikáty
Ověřování Microsoft Entra
Aplikace Azure Virtual Desktop Store Uživatelské jméno a heslo
Čipová karta
důvěryhodnost certifikátu Windows Hello pro firmy
důvěryhodnost klíče Windows Hello pro firmy s certifikáty
Ověřování Microsoft Entra
Aplikace Vzdálená plocha Uživatelské jméno a heslo
Webový klient Uživatelské jméno a heslo
Ověřování Microsoft Entra
Klient pro Android Uživatelské jméno a heslo
Ověřování Microsoft Entra
Klient pro iOS Uživatelské jméno a heslo
Ověřování Microsoft Entra
Klient pro macOS Uživatelské jméno a heslo
Čipová karta: Podpora přihlášení založeného na čipové kartě pomocí přesměrování čipové karty na příkazovém řádku Winlogon, pokud nlA není vyjednáno.
Ověřování Microsoft Entra

Důležité

Aby ověřování fungovalo správně, musí mít místní počítač také přístup k požadovaným adresám URL pro klienty vzdálené plochy.

Jednotné přihlašování (SSO)

Jednotné přihlašování umožňuje připojení přeskočit výzvu k zadání přihlašovacích údajů hostitele relace a automaticky přihlásit uživatele do Windows. U hostitelů relací, kteří jsou připojeni k Microsoft Entra nebo hybridnímu připojení Microsoft Entra, se doporučuje povolit jednotné přihlašování pomocí ověřování Microsoft Entra. Ověřování Microsoft Entra poskytuje další výhody, včetně ověřování bez hesla a podpory zprostředkovatelů identity třetích stran.

Azure Virtual Desktop také podporuje jednotné přihlašování pomocí Active Directory Federation Services (AD FS) (AD FS) pro desktopové a webové klienty Windows.

Bez jednotného přihlašování klient vyzve uživatele k zadání přihlašovacích údajů hostitele relace pro každé připojení. Jediným způsobem, jak se vyhnout zobrazení výzvy, je uložit přihlašovací údaje v klientovi. Doporučujeme ukládat přihlašovací údaje jenom na zabezpečených zařízeních, abyste ostatním uživatelům zabránili v přístupu k vašim prostředkům.

Čipová karta a Windows Hello pro firmy

Azure Virtual Desktop podporuje protokol NT LAN Manager (NTLM) i Kerberos pro ověřování hostitelů relací, ale čipová karta a Windows Hello pro firmy můžou k přihlášení používat protokol Kerberos. Pokud chcete používat Protokol Kerberos, musí klient získat lístky zabezpečení Kerberos ze služby KDC (Key Distribution Center) spuštěné na řadiči domény. Aby klient získal lístky, potřebuje přímý síťový dohled na řadič domény. Můžete získat přehled o tom, že se připojíte přímo v podnikové síti pomocí připojení VPN nebo nastavíte proxy server služby KDC.

Ověřování v relaci

Po připojení k RemoteAppu nebo ploše se může zobrazit výzva k ověření v rámci relace. Tato část vysvětluje, jak v tomto scénáři používat jiné přihlašovací údaje než uživatelské jméno a heslo.

Ověřování bez hesla v relaci

Azure Virtual Desktop podporuje ověřování bez hesla v relaci pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, jako jsou klíče FIDO při použití klienta Windows Desktop. Ověřování bez hesla se povolí automaticky, když hostitel relace a místní počítač používají následující operační systémy:

Pokud chcete ve fondu hostitelů zakázat ověřování bez hesla, musíte přizpůsobit vlastnost RDP. Vlastnost přesměrování WebAuthn najdete na kartě Přesměrování zařízení na webu Azure Portal nebo nastavte vlastnost redirectwebauthn na hodnotu 0 pomocí PowerShellu.

Pokud je tato možnost povolená, všechny požadavky WebAuthn v relaci se přesměrují na místní počítač. K dokončení procesu ověřování můžete použít Windows Hello pro firmy nebo místně připojená bezpečnostní zařízení.

Pokud chcete získat přístup k prostředkům Microsoft Entra pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, musíte pro uživatele povolit klíč zabezpečení FIDO2 jako metodu ověřování. Pokud chcete tuto metodu povolit, postupujte podle kroků v části Povolení metody klíče zabezpečení FIDO2.

Ověřování čipovou kartou v relaci

Pokud chcete v relaci použít čipovou kartu, ujistěte se, že jste na hostiteli relace nainstalovali ovladače čipových karet a povolili přesměrování čipové karty. Zkontrolujte srovnávací graf klienta a ujistěte se, že váš klient podporuje přesměrování čipových karet.

Další kroky