Microsoft Entra-hoz csatlakoztatott munkamenet-gazdagépek az Azure Virtual Desktopban

Ez a cikk végigvezeti a Microsoft Entra-hoz csatlakoztatott virtuális gépek üzembe helyezésének és elérésének folyamatán az Azure Virtual Desktopban. A Microsoft Entra-hoz csatlakoztatott virtuális gépek nem igénylik a helyszíni vagy virtualizált Active Directory-tartomány vezérlő (DC) használatát, illetve a Microsoft Entra Domain Services üzembe helyezését. Bizonyos esetekben teljesen megszüntetheti a tartományvezérlő szükségességét, ami leegyszerűsíti a környezet üzembe helyezését és felügyeletét. Ezek a virtuális gépek automatikusan regisztrálhatók az Intune-ban a könnyű kezelés érdekében.

Ismert korlátozások

Az alábbi ismert korlátozások hatással lehetnek a helyszíni vagy az Active Directory tartományhoz csatlakoztatott erőforrásokhoz való hozzáférésre, és érdemes megfontolni őket, amikor eldönti, hogy a Microsoft Entra-hoz csatlakoztatott virtuális gépek megfelelőek-e a környezetéhez.

• Az Azure Virtual Desktop (klasszikus) nem támogatja a Microsoft Entra-hoz csatlakoztatott virtuális gépeket.
• A Microsoft Entra-hoz csatlakoztatott virtuális gépek jelenleg nem támogatják a külső identitásokat, például a Microsoft Entra Business-to-Business (B2B) és a Microsoft Entra Business-to-Consumer (B2C) identitásokat.
• A Microsoft Entra-hoz csatlakoztatott virtuális gépek csak az FSLogix-felhasználói profilokhoz készült Microsoft Entra Kerberos használatával férhetnek hozzá az Azure Files-megosztásokhoz vagy az Azure NetApp Files-megosztásokhoz hibrid felhasználók számára.
• A Windows Távoli asztal alkalmazás nem támogatja a Microsoft Entra-hoz csatlakoztatott virtuális gépeket.

A Microsoft Entra-hoz csatlakoztatott virtuális gépek üzembe helyezése

Új gazdagépkészlet létrehozásakor vagy meglévő gazdagépkészlet kibontásakor közvetlenül az Azure Portalról telepítheti a Microsoft Entra-hoz csatlakoztatott virtuális gépeket. A Microsoft Entra-hoz csatlakoztatott virtuális gépek üzembe helyezéséhez nyissa meg a Virtuális gépek lapot, majd válassza ki, hogy csatlakozni szeretne-e a virtuális géphez az Active Directoryhoz vagy a Microsoft Entra-azonosítóhoz. A Microsoft Entra ID kiválasztásával automatikusan regisztrálhat virtuális gépeket az Intune-ban, így egyszerűen kezelheti a munkamenet-gazdagépeket. Ne feledje, hogy a Microsoft Entra ID beállítás csak ugyanahhoz a Microsoft Entra-bérlőhöz csatlakozik a virtuális gépekhez, mint a használt előfizetés.

Megjegyzés:

• A gazdagépkészletek csak azonos tartományillesztés típusú virtuális gépeket tartalmazhatnak. A Microsoft Entra-hoz csatlakoztatott virtuális gépeknek például csak más Microsoft Entra-hez csatlakoztatott virtuális gépekkel kell lenniük, és fordítva.
• A gazdagépkészlet virtuális gépeinek Windows 11 vagy Windows 10 egy munkamenetes vagy több munkamenetes, 2004-es vagy újabb verziójú, illetve Windows Server 2022 vagy Windows Server 2019 rendszerűnek kell lenniük.

Felhasználói hozzáférés hozzárendelése gazdagépkészletekhez

Miután létrehozta a gazdagépkészletet, hozzá kell rendelnie a felhasználók hozzáférését az erőforrásaikhoz. Az erőforrásokhoz való hozzáférés biztosításához adja hozzá az egyes felhasználókat az alkalmazáscsoporthoz. Kövesse az alkalmazáscsoportok kezelése című témakör utasításait a felhasználói hozzáférés alkalmazásokhoz és asztalokhoz való hozzárendeléséhez. Javasoljuk, hogy az egyes felhasználók helyett felhasználói csoportokat használjon, ahol csak lehetséges.

A Microsoft Entra-hoz csatlakoztatott virtuális gépek esetében két további dolgot kell elvégeznie az Active Directory vagy a Microsoft Entra Domain Services-alapú üzemelő példányok követelményein felül:

• Rendelje hozzá a felhasználókhoz a virtuális gép felhasználói bejelentkezési szerepkörét, hogy bejelentkezhessenek a virtuális gépekre.
• Rendeljen hozzá olyan rendszergazdákat, akiknek helyi rendszergazdai jogosultságokra van szükségük a Virtuális gép Rendszergazda istrator bejelentkezési szerepkörhöz.

Ahhoz, hogy a felhasználók hozzáférjenek a Microsoft Entra-hoz csatlakoztatott virtuális gépekhez, konfigurálnia kell a virtuális gép szerepkör-hozzárendeléseit. A virtuális gép felhasználói bejelentkezési vagy virtuálisgép-Rendszergazda istrator bejelentkezési szerepkörét hozzárendelheti a virtuális gépekhez, a virtuális gépeket tartalmazó erőforráscsoporthoz vagy az előfizetéshez. Javasoljuk, hogy a virtuálisgép-felhasználói bejelentkezési szerepkört az erőforráscsoport szintjén az alkalmazáscsoporthoz használt felhasználói csoporthoz rendelje hozzá, hogy az a gazdagépkészlet összes virtuális gépére érvényes legyen.

Microsoft Entra-hoz csatlakoztatott virtuális gépek elérése

Ez a szakasz bemutatja, hogyan érheti el a Microsoft Entra által csatlakoztatott virtuális gépeket különböző Azure Virtual Desktop-ügyfelekről.

Egyszeri bejelentkezés

A legjobb felhasználói élmény érdekében minden platformon engedélyeznie kell az egyszeri bejelentkezést a Microsoft Entra-hitelesítéssel a Microsoft Entra-hez csatlakoztatott virtuális gépek elérésekor. Kövesse az egyszeri bejelentkezés konfigurálásához szükséges lépéseket, hogy zökkenőmentes kapcsolati élményt biztosítson.

Csatlakozás örökölt hitelesítési protokollok használata

Ha nem szeretné engedélyezni az egyszeri bejelentkezést, az alábbi konfigurációval engedélyezheti a Microsoft Entra-hoz csatlakoztatott virtuális gépekhez való hozzáférést.

Csatlakozás a Windows Desktop-ügyfél használatával

Az alapértelmezett konfiguráció támogatja a Windows 11-ből vagy a Windows 10-ből érkező kapcsolatokat a Windows Desktop-ügyféllel. Hitelesítő adatai, intelligens kártyája, Vállalati Windows Hello tanúsítványmegbízhatósága vagy Vállalati Windows Hello kulcsmegbízhatósága tanúsítványokkal való használatával bejelentkezhet a munkamenet-gazdagépre. A munkamenet-gazdagép eléréséhez azonban a helyi számítógépnek meg kell felelnie a következő feltételek egyikének:

• A helyi számítógép a Microsoft Entra által ugyanahhoz a Microsoft Entra-bérlőhöz van csatlakoztatva, mint a munkamenetgazda
• A helyi számítógép a Microsoft Entra hibrid által ugyanahhoz a Microsoft Entra-bérlőhöz van csatlakoztatva, mint a munkamenetgazda
• A helyi számítógép a Windows 11 vagy a Windows 10 2004-es vagy újabb verzióját futtatja, és a Microsoft Entra ugyanabban a Microsoft Entra-bérlőben van regisztrálva, mint a munkamenet-gazdagép

Ha a helyi számítógép nem felel meg ezeknek a feltételeknek, adja hozzá a targetisaadjoined:i:1 egyéni RDP-tulajdonságota gazdagépkészlethez. Ezek a kapcsolatok csak a felhasználónév és a jelszó hitelesítő adatainak megadására korlátozódnak a munkamenet-gazdagépre való bejelentkezéskor.

Csatlakozás a többi ügyfél használatával

A Microsoft Entra-hoz csatlakoztatott virtuális gépek webes, Android, macOS és iOS-ügyfelekkel való eléréséhez a targetisaadjoined:i:1 tulajdonságot egyéni RDP-tulajdonságként kell hozzáadnia a gazdagépkészlethez. Ezek a kapcsolatok csak a felhasználónév és a jelszó hitelesítő adatainak megadására korlátozódnak a munkamenet-gazdagépre való bejelentkezéskor.

A Microsoft Entra többtényezős hitelesítésének kényszerítése a Microsoft Entra által csatlakoztatott munkamenet-virtuális gépekhez

A Microsoft Entra többtényezős hitelesítést Microsoft Entra-hez csatlakoztatott virtuális gépekkel is használhatja. Kövesse a lépéseket a Microsoft Entra többtényezős hitelesítés kényszerítéséhez az Azure Virtual Desktophoz feltételes hozzáféréssel , és jegyezze fel a Microsoft Entra-hoz csatlakoztatott munkamenetgazda virtuális gépek további lépéseit.

Ha Többtényezős Microsoft Entra-hitelesítést használ, és nem szeretné korlátozni a bejelentkezést olyan erős hitelesítési módszerekre, mint a Vállalati Windows Hello, akkor ki kell zárnia az Azure Windows rendszerű virtuálisgép-bejelentkezési alkalmazást a feltételes hozzáférési szabályzatból.

Felhasználói profilok

Az FSLogix-profiltárolók a Microsoft Entra-hoz csatlakoztatott virtuális gépeken is használhatók, ha hibrid felhasználói fiókok használata közben az Azure Filesban vagy az Azure NetApp Filesban tárolja őket. További információ: Profiltároló létrehozása Az Azure Files és a Microsoft Entra ID használatával.

Helyszíni erőforrások elérése

Bár nincs szüksége Active Directoryra a Microsoft Entra-hoz csatlakoztatott virtuális gépek üzembe helyezéséhez vagy eléréséhez, a helyszíni erőforrások ezekből a virtuális gépekről való eléréséhez szükség van egy Active Directoryra és az ahhoz való hozzáférésre. A helyszíni erőforrások eléréséről további információt a Helyszíni erőforrások egyszeri bejelentkezése a Microsoft Entra-hoz csatlakoztatott eszközökön című témakörben talál.

További lépések

Most, hogy üzembe helyezett néhány Microsoft Entra-hoz csatlakoztatott virtuális gépet, javasoljuk, hogy engedélyezze az egyszeri bejelentkezést, mielőtt egy támogatott Azure Virtual Desktop-ügyféllel csatlakozik, hogy tesztelje azt egy felhasználói munkamenet részeként. További információért tekintse meg az alábbi cikkeket:

• Egyszeri bejelentkezés konfigurálása
• Profiltároló létrehozása az Azure Files és a Microsoft Entra-azonosító használatával
• Csatlakozás a Windows Desktop-ügyféllel
• Csatlakozás a webes ügyféllel
• Hibaelhárítás a Microsoft Entra csatlakozott VM-ekhez való kapcsolatokban
• Profiltároló létrehozása az Azure NetApp Files használatával