Támogatott identitások és hitelesítési módszerek

Ebben a cikkben rövid áttekintést adunk arról, hogy milyen identitásokat és hitelesítési módszereket használhat Azure Virtual Desktopban.

Identitások

Azure Virtual Desktop különböző típusú identitásokat támogat attól függően, hogy melyik konfigurációt választja. Ez a szakasz az egyes konfigurációkhoz használható identitásokat ismerteti.

Fontos

Azure Virtual Desktop nem támogatja a bejelentkezést Microsoft Entra ID egy felhasználói fiókkal, majd egy külön felhasználói fiókkal történő bejelentkezést a Windowsba. Ez magában foglalja a munkamenetgazdákba való bejelentkezéshez a helyi Windows-fiókokat vagy az Microsoft Entra ID-ben nem szereplő egyéb identitásokat. Ha egyszerre több identitással jelentkezik be, az azt eredményezheti, hogy a felhasználók nem a megfelelő munkamenetgazdához csatlakoznak, helytelen vagy hiányzó információk jelennek meg a Azure Portal, hibaüzenetek jelennek meg az alkalmazás csatolása használatakor, és megkerülik Microsoft Entra ID hitelesítést és a feltételes hozzáférés kényszerítését. Azure Virtual Desktop olyan forgatókönyveket támogat, amelyekben ugyanazt a Microsoft Entra ID identitást használják a szolgáltatásban való hitelesítéshez és a munkamenet-gazdagépre való bejelentkezéshez. A Microsoft az egyszeri bejelentkezés (SSO) használatát javasolja Microsoft Entra hitelesítéssel.

Helyszíni identitás

Mivel a felhasználóknak Microsoft Entra ID kell felderíteni a Azure Virtual Desktop eléréséhez, a csak Active Directory tartományi szolgáltatások (AD DS) felhasználói identitások nem támogatottak. Ez magában foglalja az önálló Active Directory-telepítéseket Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltatással.

Hibrid identitás

Azure Virtual Desktop támogatja a hibrid identitásokat Microsoft Entra ID keresztül, beleértve az AD FS-sel összevont identitásokat is. Ezeket a felhasználói identitásokat kezelheti az AD DS-ben, és szinkronizálhatja őket Microsoft Entra ID a Microsoft Entra Connect használatával. Ezeket az identitásokat a Microsoft Entra ID is használhatja, és szinkronizálhatja őket a Microsoft Entra tartományi szolgáltatások.

Ha Azure Virtual Desktopot hibrid identitásokkal éri el, előfordulhat, hogy a felhasználó egyszerű felhasználóneve (UPN) vagy biztonsági azonosítója (SID) az Active Directoryban (AD) és Microsoft Entra ID nem egyezik. Az AD-fiók user@contoso.local például megfelelhet user@contoso.com Microsoft Entra ID. Azure Virtual Desktop csak akkor támogatja ezt a konfigurációtípust, ha az AD- és Microsoft Entra ID-fiókok UPN-je vagy SID-je megegyezik. A SID az AD -ben az "ObjectSID" felhasználói objektumtulajdonságra és az "OnPremisesSecurityIdentifier" tulajdonságra hivatkozik Microsoft Entra ID.

Csak felhőalapú identitás

Azure Virtual Desktop csak felhőalapú identitásokat támogat Microsoft Entra csatlakoztatott virtuális gépek használatakor. Ezeket a felhasználókat közvetlenül a Microsoft Entra ID hozza létre és kezeli.

Megjegyzés:

Hibrid identitásokat is hozzárendelhet Azure olyan virtuális asztali alkalmazáscsoportokhoz, amelyek illesztés típusú munkamenetgazdákat üzemeltetnek, Microsoft Entra csatlakoznak.

Összevont identitás

Ha Microsoft Entra ID vagy Active Directory tartományi szolgáltatások kivételével külső identitásszolgáltatót (IdP) használ a felhasználói fiókok kezeléséhez, a következőkről kell gondoskodnia:

• Az identitásszolgáltatója Microsoft Entra ID van összevonva.
• A munkamenetgazdák Microsoft Entra csatlakoznak, vagy hibrid Microsoft Entra csatlakoznak.
• Engedélyezi Microsoft Entra hitelesítést a munkamenetgazda számára.

Külső identitás

A külső identitástámogatással felhasználókat hívhat meg a Entra-azonosító bérlőjéhez, és Azure Virtual Desktop-erőforrásokat biztosíthat nekik. Az erőforrások külső identitásokhoz való biztosításakor több követelmény és korlátozás is fennáll:

• Követelmények
  • Munkamenetgazda operációs rendszere: A munkamenetgazdának a következő operációs rendszerek egyikét kell futtatnia:
    • Windows 11 Nagyvállalati verzió, 24H2 vagy újabb verziók a 2025–2029-es összegző Frissítések Windows 11 (KB5065789) vagy újabb verziójához.
    • Windows Server 2025-ben a 2026–2025-ös vagy újabb Windows Server (KB5073379) 2026–01-es kumulatív Frissítések.
  • Munkamenetgazdához való csatlakozás típusa: A munkamenetgazdának Entra kell csatlakoznia.
  • Egyszeri bejelentkezés: Az egyszeri bejelentkezést konfigurálni kell a gazdagépkészlethez.
  • Windows-alkalmazás-ügyfél: A külső identitás támogatása általánosan elérhető a Windows Windows-alkalmazás vagy webböngészőben. A külső identitások támogatása előzetes verzióban érhető el a macOS Windows-alkalmazás és az androidos Windows-alkalmazás. További részletekért tekintse meg Windows-alkalmazás dokumentáció Identitás szakaszát.
• Korlátozások

  • FSLogix: Az FSLogix támogatása előzetes verzióban érhető el a külső identitásokhoz. További információ az FSLogix-profiltárolók Azure Files való tárolásáról Microsoft Entra ID használatával.

  • Intune eszközkonfigurációs szabályzatok: A külső identitáshoz rendelt eszközkonfigurációs szabályzatok nem lesznek alkalmazva a munkamenetgazda felhasználójára. Ehelyett rendeljen eszközkonfigurációs szabályzatokat az eszközhöz.

  • Felhő rendelkezésre állása: Ez a funkció az usa közigazgatási szervei számára elérhető Azure nyilvános felhőben és Azure érhető el, de a 21Vianet által üzemeltetett Azure nem. A távoli asztali ügyfél és a Windows Windows-alkalmazás a 2.0.1069.0-s vagy újabb verzióval, egy beállításkulcs (EnableGovernmentNationalCloudSignInOption) beállításkulcsának beállításával csatlakozhat külső identitásként egy bérlőhöz az USA kormányzati szervei számára Azure. További információ a szükséges beállításkulcsról.

  • Felhők közötti meghívások: A többfelhős felhasználók nem támogatottak. Csak Azure Virtual Desktop-erőforráshoz biztosíthat hozzáférést a közösségi identitásszolgáltatóktól meghívott felhasználóknak, Microsoft Entra a microsoftos Azure felhőből származó felhasználókat, mint a Azure Virtual Desktop-környezet, illetve a munkaerő-bérlőben regisztrált egyéb identitásszolgáltatók. A 21Vianet által üzemeltetett Microsoft Azure által meghívott felhasználókhoz nem rendelhet Azure Virtual Desktop-erőforrásokat.

  • Jogkivonatok védelme: Microsoft Entra bizonyos korlátozásokkal rendelkezik a külső identitások jogkivonat-védelmére vonatkozóan. További információ Windows-alkalmazás jogkivonatok platform szerinti védelmének támogatásáról.

  • Kerberos-hitelesítés: A külső identitások nem tudnak Kerberos- vagy NTLM-protokollokkal hitelesíteni a helyszíni erőforrásokon.

  • Microsoft 365-alkalmazások: Csak akkor jelentkezhet be a Microsoft 365-alkalmazások asztali Windows-verziójába, ha:

    1. A meghívott felhasználó egy Entra-alapú fiók vagy Microsoft 365-alkalmazások licencelt Microsoft-fiók.
    2. A meghívott felhasználót az otthoni szervezet feltételes hozzáférési szabályzata nem tiltja le a Microsoft 365-alkalmazásokhoz való hozzáférésben.

    A meghívott fióktól függetlenül a munkamenetgazda webböngészőjében a megfelelő Microsoft 365-alkalmazással érheti el az Önnel megosztott Microsoft 365-fájlokat.

  • Identitásszolgáltatók: A felsorolt identitásszolgáltatók bármelyikével bejelentkezhet külső identitásként, az egyszeri pin-kódos bejelentkezés kivételével. Az alábbi Windows-alkalmazás ügyfelekre további korlátozások vonatkoznak:

    • Android: Az egyetlen támogatott közösségi identitásszolgáltató, amellyel bejelentkezhet, az a Microsoft-fiók, amely csatlakoztatott fiókként van konfigurálva az ügyféllel azonos eszközön futó Microsoft Authenticator alkalmazásban. Nem tud bejelentkezni a Facebook vagy a Google használatával.

A környezet külső identitásokhoz való konfigurálásával kapcsolatos javaslatokért tekintse meg Microsoft Entra B2B ajánlott eljárásait, licencelési útmutatásért pedig a licencelést ismertető útmutatót.

Hitelesítési módszerek

Azure Virtual Desktop-erőforrások elérésekor három különböző hitelesítési fázis létezik:

• Felhőszolgáltatás hitelesítése: A Azure Virtual Desktop szolgáltatás hitelesítése, amely magában foglalja az erőforrásokra való feliratkozást és az átjáróra való hitelesítést, Microsoft Entra ID. Itt kényszerítheti Entra id feltételes hozzáférési szabályzatokat. Emellett itt egyesítheti Entra azonosítót egy harmadik féltől származó identitásszolgáltatóhoz.
• Távoli munkamenet hitelesítése: Hitelesítés a távoli virtuális gépen. A távoli munkamenetben többféleképpen is hitelesítheti magát, beleértve az ajánlott egyszeri bejelentkezést (SSO).
• Munkameneten belüli hitelesítés: Hitelesítés a távoli munkameneten belüli alkalmazások és webhelyek számára.

Íme egy rövid összehasonlítás a felhasználói hitelesítési lehetőségekről az egyes hitelesítési fázisok esetében:

Felhőszolgáltatás-hitelesítés	Távoli munkamenet-hitelesítés	Munkameneten belüli hitelesítés
Jelszó nélküli hitelesítés (beleértve a FIDO biztonsági kulcsokat, Vállalati Windows Hello a Cloud Kerberos vagy a Kulcsmegbízhatóság, a Microsoft Authenticator többtényezős hitelesítése stb.) Összevonás külső identitásszolgáltatóval Intelligens kártya (beleértve Entra tanúsítványalapú hitelesítést és Vállalati Windows Hello tanúsítványmegbízhatóságot) Password	Bármely felhőszolgáltatás hitelesítési módszere, ha egyszeri bejelentkezéssel van konfigurálva Intelligens kártya (Vállalati Windows Hello tanúsítványmegbízhatóságot is beleértve) Password	Jelszó nélküli hitelesítés, ha munkameneten belüli jelszó nélküli hitelesítésre van konfigurálva Intelligens kártya (Vállalati Windows Hello tanúsítványmegbízhatóságot is beleértve) Password

Ezek a hitelesítési fázisonkénti hitelesítési lehetőségek felülírása. A különböző ügyfeleken az egyes hitelesítési fázisokhoz elérhető hitelesítő adatok listájához hasonlítsa össze az ügyfeleket a különböző platformokon.

Fontos

A hitelesítés megfelelő működéséhez a helyi gépnek is hozzá kell tudnia férni a távoli asztali ügyfelekhez szükséges URL-címekhez.

A következő szakaszok további információkat nyújtanak ezekről a hitelesítési fázisokról.

Felhőszolgáltatás-hitelesítés

Azure Virtual Desktop-erőforrások eléréséhez először hitelesítenie kell magát a szolgáltatásban egy Microsoft Entra ID-fiókkal való bejelentkezéssel. A hitelesítés akkor történik, amikor előfizet az erőforrások lekérésére, az átjáróhoz való csatlakozásra, amikor elindít egy kapcsolatot, vagy diagnosztikai adatokat küld a szolgáltatásnak. A hitelesítéshez használt Microsoft Entra ID erőforrás Azure Virtual Desktop (alkalmazásazonosító: 9cdead84-a844-4324-93f2-b2e6bb768d07).

Többtényezős hitelesítés

A Azure Virtual Desktop Microsoft Entra többtényezős hitelesítésének kényszerítése feltételes hozzáféréssel című cikk útmutatását követve megtudhatja, hogyan kényszerítheti Microsoft Entra többtényezős hitelesítést az üzemelő példányhoz. Ez a cikk azt is ismerteti, hogyan konfigurálhatja, hogy a rendszer milyen gyakran kérje a felhasználókat a hitelesítő adataik megadására. Microsoft Entra csatlakoztatott virtuális gépek üzembe helyezésekor vegye figyelembe az Microsoft Entra csatlakoztatott munkamenetgazda virtuális gépek további lépéseit.

Jelszó nélküli hitelesítés

Az Microsoft Entra ID által támogatott bármely hitelesítési típust használhatja, például Vállalati Windows Hello és más jelszó nélküli hitelesítési lehetőségeket (például FIDO-kulcsokat) a szolgáltatásban való hitelesítéshez.

Intelligens kártyás hitelesítés

Ahhoz, hogy intelligens kártyát használjon a Microsoft Entra ID hitelesítéséhez, először konfigurálnia kell Microsoft Entra tanúsítványalapú hitelesítést, vagy konfigurálnia kell az AD FS-t a felhasználói tanúsítványok hitelesítéséhez.

Külső identitásszolgáltatók

Használhat külső identitásszolgáltatókat mindaddig, amíg összevonják a Microsoft Entra ID.

Távoli munkamenet-hitelesítés

Ha még nem engedélyezte az egyszeri bejelentkezést , vagy helyben mentette a hitelesítő adatait, akkor a kapcsolat indításakor a munkamenetgazdán is hitelesítenie kell magát.

Egyszeri bejelentkezés

Az egyszeri bejelentkezés lehetővé teszi, hogy a kapcsolat kihagyja a munkamenetgazda hitelesítőadat-kérését, és Microsoft Entra hitelesítéssel automatikusan bejelentkeztethesse a felhasználót a Windowsba. A hibrid csatlakozással Microsoft Entra vagy Microsoft Entra munkamenetgazdák esetében ajánlott engedélyezni az egyszeri bejelentkezést Microsoft Entra hitelesítéssel. Microsoft Entra hitelesítés további előnyöket is nyújt, beleértve a jelszó nélküli hitelesítést és a külső identitásszolgáltatók támogatását.

Azure A Virtual Desktop az SSO-t is támogatja a windowsos asztali és webes ügyfelek Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával.

Egyszeri bejelentkezés nélkül az ügyfél minden kapcsolathoz kéri a felhasználóktól a munkamenetgazda hitelesítő adatait. A rendszer csak úgy kerülheti el a kérést, ha menti a hitelesítő adatokat az ügyfélen. Azt javasoljuk, hogy csak biztonságos eszközökön mentse a hitelesítő adatokat, hogy más felhasználók ne férhessenek hozzá az erőforrásokhoz.

Intelligens kártya és Vállalati Windows Hello

Azure Virtual Desktop az NT LAN Managert (NTLM) és a Kerberost is támogatja a munkamenetgazda-hitelesítéshez, az intelligens kártya és a Vállalati Windows Hello azonban csak a Kerberost használhatják a bejelentkezéshez. A Kerberos használatához az ügyfélnek kerberos biztonsági jegyeket kell beszereznie egy tartományvezérlőn futó Kulcsterjesztési központ (KDC) szolgáltatásból. A jegyek beszerzéséhez az ügyfélnek közvetlen hálózatkezelési vonalra van szüksége a tartományvezérlőhöz. A láthatóságot úgy érheti el, ha közvetlenül a vállalati hálózaton belül csatlakozik, VPN-kapcsolattal vagy egy KDC proxykiszolgáló beállításával.

Munkameneten belüli hitelesítés

Miután csatlakozott a RemoteApphoz vagy az asztalhoz, előfordulhat, hogy a rendszer hitelesítést kér a munkameneten belül. Ez a szakasz ismerteti, hogyan használhat más hitelesítő adatokat, mint a felhasználónév és a jelszó ebben a forgatókönyvben.

Munkameneten belüli jelszó nélküli hitelesítés

Azure A Virtual Desktop támogatja a munkameneten belüli jelszó nélküli hitelesítést Vállalati Windows Hello vagy olyan biztonsági eszközökkel, mint a FIDO-kulcsok a Windows asztali ügyfél használatakor. A jelszó nélküli hitelesítés automatikusan engedélyezve van, ha a munkamenetgazda és a helyi számítógép a következő operációs rendszereket használja:

• Windows 11 2022–2010-es kumulatív Frissítések Windows 11 (KB5018418) vagy újabb verziójával.
• Windows 10 egy- vagy több munkamenetes, 20H2-es vagy újabb verziót a 2022–10-es kumulatív Frissítések Windows 10 (KB5018410) vagy újabb verziójához.
• Windows Server 2022-ben a Microsoft server operációs rendszer (KB5018421) vagy újabb verziójának 2022–2010-es összegző frissítésével.

Ha le szeretné tiltani a jelszó nélküli hitelesítést a gazdagépkészleten, testre kell szabnia egy RDP-tulajdonságot. A WebAuthn átirányítási tulajdonságot a Azure Portal Eszközátirányítás lapján találja, vagy a PowerShell használatával állítsa a redirectwebauthn tulajdonságot 0-ra.

Ha engedélyezve van, a rendszer a munkamenet összes WebAuthn-kérését átirányítja a helyi számítógépre. A hitelesítési folyamat befejezéséhez használhat Vállalati Windows Hello vagy helyileg csatlakoztatott biztonsági eszközöket.

A Vállalati Windows Hello vagy biztonsági eszközökkel Microsoft Entra erőforrások eléréséhez engedélyeznie kell a FIDO2 biztonsági kulcsot hitelesítési módszerként a felhasználók számára. A módszer engedélyezéséhez kövesse a FIDO2 biztonsági kulcs metódusának engedélyezése című cikk lépéseit.

Munkameneten belüli intelligenskártya-hitelesítés

Ha intelligens kártyát szeretne használni a munkamenetben, győződjön meg arról, hogy telepítette az intelligenskártya-illesztőprogramokat a munkamenetgazdagépre, és engedélyezte az intelligens kártyák átirányítását. Tekintse át a Windows-alkalmazás és a Távoli asztal alkalmazás összehasonlítási diagramjait, hogy intelligenskártya-átirányítást használjon.

Következő lépések

• Kíváncsi más módszerekre, amelyekkel biztonságossá teheti az üzembe helyezést? Tekintse meg a biztonsággal kapcsolatos ajánlott eljárásokat.
• Problémákat tapasztal Microsoft Entra csatlakoztatott virtuális gépekhez való csatlakozáskor? Tekintse meg az Microsoft Entra csatlakoztatott virtuális gépek kapcsolatainak hibaelhárítását ismertető témakört.
• Problémákat tapasztal a munkameneten belüli jelszó nélküli hitelesítéssel kapcsolatban? Lásd: WebAuthn-átirányítás hibaelhárítása.
• A vállalati hálózaton kívülről származó intelligens kártyákat szeretne használni? Tekintse át a KDC proxykiszolgáló beállításának módját.