Támogatott identitások és hitelesítési módszerek
Ebben a cikkben röviden bemutatjuk, hogy milyen identitásokat és hitelesítési módszereket használhat az Azure Virtual Desktopban.
Identitások
Az Azure Virtual Desktop különböző típusú identitásokat támogat attól függően, hogy melyik konfigurációt választja. Ez a szakasz az egyes konfigurációkhoz használható identitásokat ismerteti.
Fontos
Az Azure Virtual Desktop nem támogatja a Microsoft Entra-azonosítóba való bejelentkezést egy felhasználói fiókkal, majd egy külön felhasználói fiókkal bejelentkezik a Windowsba. Ha egyszerre két különböző fiókkal jelentkezik be, az azt eredményezheti, hogy a felhasználók nem megfelelő munkamenet-gazdagéphez csatlakoznak, helytelen vagy hiányzó információk jelennek meg az Azure Portalon, és hibaüzenetek jelennek meg az MSIX-alkalmazás csatolása közben.
Helyszíni identitás
Mivel a felhasználókat a Microsoft Entra-azonosítón keresztül kell felderíteni az Azure Virtual Desktop eléréséhez, a csak Active Directory tartományi szolgáltatások (AD DS)-ben található felhasználói identitások nem támogatottak. Ez magában foglalja a Active Directory összevonási szolgáltatások (AD FS) (AD FS) különálló Active Directory-telepítéseket is.
Hibrid identitás
Az Azure Virtual Desktop a Microsoft Entra ID-n keresztül támogatja a hibrid identitásokat , beleértve az AD FS használatával összevont identitásokat is. Ezeket a felhasználói identitásokat az AD DS-ben kezelheti, és szinkronizálhatja őket a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás használatával. A Microsoft Entra ID-val is kezelheti ezeket az identitásokat, és szinkronizálhatja őket a Microsoft Entra Domain Services szolgáltatással.
Amikor hibrid identitásokkal fér hozzá az Azure Virtual Desktophoz, előfordulhat, hogy az Active Directory (AD) és a Microsoft Entra-azonosító felhasználójának egyszerű neve (UPN) vagy biztonsági azonosítója (SID) nem egyezik meg. Az AD-fiók user@contoso.local például megfelelhet user@contoso.com a Microsoft Entra-azonosítónak. Az Azure Virtual Desktop csak akkor támogatja ezt a konfigurációtípust, ha az AD- és a Microsoft Entra-azonosítós fiókokhoz tartozó UPN vagy SID megegyezik. A SID az AD-ben az "ObjectSID" felhasználói objektumtulajdonságra, a Microsoft Entra ID-ban pedig az "OnPremisesSecurityIdentifier" tulajdonságra hivatkozik.
Csak felhőalapú identitás
Az Azure Virtual Desktop csak felhőalapú identitásokat támogat a Microsoft Entra-hoz csatlakoztatott virtuális gépek használatakor. Ezeket a felhasználókat közvetlenül a Microsoft Entra ID-ban hozza létre és felügyeli.
Feljegyzés
Hibrid identitásokat is hozzárendelhet azokhoz az Azure Virtual Desktop-alkalmazáscsoportokhoz, amelyek a Microsoft Entra illesztés típusú munkamenet-gazdagépeket üzemeltetik.
Külső identitásszolgáltatók
Ha a Microsoft Entra-azonosítótól eltérő identitásszolgáltatót használ a felhasználói fiókok kezeléséhez, győződjön meg arról, hogy:
- Az identitásszolgáltató a Microsoft Entra-azonosítóval van összevonva.
- A munkamenet-gazdagépek a Microsoft Entra-hoz csatlakoznak, vagy a Microsoft Entra hibrid csatlakozik.
- Engedélyezi a Microsoft Entra-hitelesítést a munkamenet-gazdagépen.
Külső identitás
Az Azure Virtual Desktop jelenleg nem támogatja a külső identitásokat.
Hitelesítési módszerek
A távoli munkamenethez csatlakozó felhasználók számára három különböző hitelesítési pont létezik:
Szolgáltatáshitelesítés az Azure Virtual Desktopba: azoknak az erőforrásoknak a lekérése, amelyekhez a felhasználó hozzáféréssel rendelkezik az ügyfél elérésekor. A felhasználói élmény a Microsoft Entra-fiók konfigurációjától függ. Ha például a felhasználónak engedélyezve van a többtényezős hitelesítés, a rendszer a felhasználói fiókját és egy második hitelesítési módot kéri, ugyanúgy, mint a többi szolgáltatás elérése.
Munkamenet-gazdagép: távoli munkamenet indításakor. A munkamenet-gazdagéphez felhasználónév és jelszó szükséges, de ez zökkenőmentes a felhasználó számára, ha az egyszeri bejelentkezés (SSO) engedélyezve van.
Munkameneten belüli hitelesítés: csatlakozás más erőforrásokhoz egy távoli munkameneten belül.
A következő szakaszok részletesebben ismertetik ezeket a hitelesítési pontokat.
Szolgáltatáshitelesítés
Az Azure Virtual Desktop-erőforrások eléréséhez először hitelesítenie kell a szolgáltatást egy Microsoft Entra-fiókkal való bejelentkezéssel. A hitelesítés akkor történik, amikor előfizet egy munkaterületre az erőforrások lekéréséhez és alkalmazásokhoz vagy asztalokhoz való csatlakozáshoz. Használhat harmadik féltől származó identitásszolgáltatókat, ha azok összefonódnak a Microsoft Entra-azonosítóval.
Többtényezős hitelesítés
Kövesse a Microsoft Entra többtényezős hitelesítés kényszerítése az Azure Virtual Desktophoz feltételes hozzáféréssel című témakör utasításait, és ismerje meg, hogyan kényszerítheti ki a Microsoft Entra többtényezős hitelesítést az üzembe helyezéshez. Ez a cikk azt is ismerteti, hogyan konfigurálhatja, hogy a rendszer milyen gyakran kéri a felhasználóktól a hitelesítő adataik megadását. A Microsoft Entra-hoz csatlakoztatott virtuális gépek telepítésekor vegye figyelembe a Microsoft Entra-hoz csatlakoztatott munkamenetgazda virtuális gépek további lépéseit.
Jelszó nélküli hitelesítés
A szolgáltatásban való hitelesítéshez bármilyen, a Microsoft Entra-azonosító által támogatott hitelesítési típust használhat, például Vállalati Windows Hello és más jelszó nélküli hitelesítési lehetőségeket (például FIDO-kulcsokat).
Intelligens kártyás hitelesítés
Ahhoz, hogy intelligens kártyát használjon a Microsoft Entra-azonosító hitelesítéséhez, először konfigurálnia kell az AD FS-t a felhasználói tanúsítványok hitelesítéséhez , vagy konfigurálnia kell a Microsoft Entra tanúsítványalapú hitelesítést.
Munkamenet-gazdagép hitelesítése
Ha még nem engedélyezte az egyszeri bejelentkezést, vagy helyben mentette a hitelesítő adatait, akkor a kapcsolat indításakor hitelesítést is kell végeznie a munkamenet-gazdagépen. Az alábbi lista azt ismerteti, hogy az egyes Azure Virtual Desktop-ügyfelek jelenleg milyen típusú hitelesítést támogatnak. Egyes ügyfelek esetében szükség lehet egy adott verzióra, amelyet az egyes hitelesítési típusok hivatkozásában talál.
| Ügyfél | Támogatott hitelesítési típus(ok) |
|---|---|
| Windows asztali ügyfél | Felhasználónév és jelszó Intelligenskártya Vállalati Windows Hello tanúsítvány megbízhatósága Vállalati Windows Hello kulcsmegbízhatóság tanúsítványokkal Microsoft Entra hitelesítés |
| Azure Virtual Desktop Store-alkalmazás | Felhasználónév és jelszó Intelligenskártya Vállalati Windows Hello tanúsítvány megbízhatósága Vállalati Windows Hello kulcsmegbízhatóság tanúsítványokkal Microsoft Entra hitelesítés |
| Távoli asztali alkalmazás | Felhasználónév és jelszó |
| Webes ügyfél | Felhasználónév és jelszó Microsoft Entra hitelesítés |
| Android-ügyfél | Felhasználónév és jelszó Microsoft Entra hitelesítés |
| iOS-ügyfél | Felhasználónév és jelszó Microsoft Entra hitelesítés |
| macOS-ügyfél | Felhasználónév és jelszó Intelligens kártya: intelligenskártya-alapú bejelentkezés támogatása intelligenskártya-átirányítással a Winlogon parancssorában, ha az NLA-val nem tárgyalnak. Microsoft Entra hitelesítés |
Fontos
Ahhoz, hogy a hitelesítés megfelelően működjön, a helyi gépnek hozzá kell férnie a távoli asztali ügyfelekhez szükséges URL-címekhez is.
Egyszeri bejelentkezés (SSO)
Az egyszeri bejelentkezés lehetővé teszi, hogy a kapcsolat kihagyja a munkamenet-gazdagép hitelesítő adatait, és automatikusan bejelentkeztethesse a felhasználót a Windowsba. A Microsoft Entra által csatlakoztatott vagy a Microsoft Entra hibrid csatlakozású munkamenet-gazdagépek esetében ajánlott engedélyezni az egyszeri bejelentkezést a Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés további előnyöket nyújt, például a jelszó nélküli hitelesítést és a külső identitásszolgáltatók támogatását.
Az Azure Virtual Desktop támogatja az egyszeri bejelentkezést is a Windows Desktop és a webes ügyfelek Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával.
Egyszeri bejelentkezés nélkül az ügyfél minden kapcsolathoz kérni fogja a felhasználóktól a munkamenet-gazdagép hitelesítő adatait. A rendszer csak úgy kerülheti el a kérést, ha menti a hitelesítő adatokat az ügyfélben. Javasoljuk, hogy csak biztonságos eszközökön mentse a hitelesítő adatokat, hogy más felhasználók ne férhessenek hozzá az erőforrásokhoz.
Intelligens kártya és Vállalati Windows Hello
Az Azure Virtual Desktop az NT LAN Managert (NTLM) és a Kerberost is támogatja a munkamenet-gazdagép-hitelesítéshez, de az intelligens kártya és a Vállalati Windows Hello csak a Kerberos használatával tudnak bejelentkezni. A Kerberos használatához az ügyfélnek kerberos biztonsági jegyeket kell beszereznie egy tartományvezérlőn futó kulcsterjesztési központ (KDC) szolgáltatásból. A jegyek beszerzéséhez az ügyfélnek közvetlen hálózatkezelési vonalra van szüksége a tartományvezérlőhöz. Ha közvetlenül a vállalati hálózaton belül csatlakozik, VPN-kapcsolattal vagy KDC proxykiszolgálót állít be, akkor a látóhatárt is elérheti.
Munkameneten belüli hitelesítés
Miután csatlakozott a RemoteApphoz vagy az asztalhoz, előfordulhat, hogy a rendszer a munkameneten belül kéri a hitelesítést. Ez a szakasz bemutatja, hogyan használhat más hitelesítő adatokat, mint a felhasználónevet és a jelszót ebben a forgatókönyvben.
Munkameneten belüli jelszó nélküli hitelesítés
Az Azure Virtual Desktop támogatja a munkameneten belüli jelszó nélküli hitelesítést Vállalati Windows Hello vagy biztonsági eszközök, például FIDO-kulcsok használatával a Windows Desktop-ügyfél használatakor. A jelszó nélküli hitelesítés automatikusan engedélyezve van, ha a munkamenetgazda és a helyi számítógép a következő operációs rendszereket használja:
- Windows 11 egyszeri vagy több munkamenet a Windows 11 2022–10-es kumulatív Frissítések (KB5018418) vagy újabb verziójával.
- Windows 10 egy- vagy több munkamenetes, 20H2-es vagy újabb verzió a Windows 10 2022-10 kumulatív Frissítések (KB5018410) vagy újabb verziójával.
- Windows Server 2022 a Microsoft server operációs rendszer (KB5018421) vagy újabb verziójának 2022–10-es kumulatív frissítésével.
Ha le szeretné tiltani a jelszó nélküli hitelesítést a gazdagépkészleten, testre kell szabnia egy RDP-tulajdonságot. A WebAuthn átirányítási tulajdonságot az Azure Portal Eszközátirányítás lapján találja, vagy a RedirectWebauthn tulajdonságot 0 értékre állíthatja a PowerShell használatával.
Ha engedélyezve van, a munkamenet összes WebAuthn-kérése átirányítva lesz a helyi számítógépre. A hitelesítési folyamat befejezéséhez használhat Vállalati Windows Hello vagy helyileg csatlakoztatott biztonsági eszközöket.
A Microsoft Entra-erőforrások Vállalati Windows Hello vagy biztonsági eszközökkel való eléréséhez engedélyeznie kell a FIDO2 biztonsági kulcsot hitelesítési módszerként a felhasználók számára. A módszer engedélyezéséhez kövesse a FIDO2 biztonsági kulcs engedélyezése módszer lépéseit.
Munkameneten belüli intelligens kártyahitelesítés
Ha intelligens kártyát szeretne használni a munkamenetben, győződjön meg arról, hogy telepítette az intelligenskártya-illesztőprogramokat a munkamenet-gazdagépen, és engedélyezte az intelligens kártya átirányítását. Tekintse át az ügyfél-összehasonlító diagramot , és győződjön meg arról, hogy az ügyfél támogatja az intelligens kártyák átirányítását.
Következő lépések
- Kíváncsi más módszerekre, amelyekkel biztonságossá teheti az üzembe helyezést? Tekintse meg a biztonsági ajánlott eljárásokat.
- Problémákat tapasztal a Microsoft Entra-hoz csatlakoztatott virtuális gépekhez való csatlakozáskor? Tekintse meg a Microsoft Entra-hoz csatlakoztatott virtuális gépek kapcsolatainak hibaelhárítását.
- Problémákat tapasztal a munkameneten belüli jelszó nélküli hitelesítéssel kapcsolatban? Lásd: WebAuthn-átirányítás hibaelhárítása.
- Szeretne intelligens kártyákat használni a vállalati hálózaton kívülről? Tekintse át, hogyan állíthat be KDC proxykiszolgálót.