Egyszeri bejelentkezés konfigurálása az Azure Virtual Desktophoz Microsoft Entra ID-hitelesítéssel

Ez a cikk végigvezeti az egyszeri bejelentkezés (SSO) Konfigurálásának folyamatán az Azure Virtual Desktophoz a Microsoft Entra ID-hitelesítés használatával. Ha engedélyezi az egyszeri bejelentkezést, a felhasználók Microsoft Entra ID-jogkivonat használatával hitelesítik magukat a Windowsban. Ez a jogkivonat lehetővé teszi a jelszó nélküli hitelesítést és a Microsoft Entra-azonosítóval összevont külső identitásszolgáltatók használatát a munkamenet-gazdagéphez való csatlakozáskor, így a bejelentkezés zökkenőmentessé válik.

A Microsoft Entra ID-hitelesítést használó egyszeri bejelentkezés zökkenőmentes felületet biztosít a Microsoft Entra ID-alapú erőforrások számára a munkameneten belül. A jelszó nélküli hitelesítés munkameneten belüli használatával kapcsolatos további információkért lásd a munkameneten belüli jelszó nélküli hitelesítést.

Az egyszeri bejelentkezés Microsoft Entra ID-hitelesítéssel való engedélyezéséhez öt feladatot kell elvégeznie:

1. Engedélyezze a Microsoft Entra-hitelesítést távoli asztali protokollhoz (RDP).

2. Konfigurálja a céleszközcsoportokat.

3. Hozzon létre egy Kerberos Server-objektumot, ha Active Directory tartományi szolgáltatások a környezet része. A feltételekről további információt a szakasz tartalmaz.

4. Tekintse át a feltételes hozzáférési szabályzatokat.

5. Konfigurálja a gazdagépkészletet az egyszeri bejelentkezés engedélyezéséhez.

Az egyszeri bejelentkezés engedélyezése előtt

Az egyszeri bejelentkezés engedélyezése előtt tekintse át az alábbi információkat a környezetében való használatról.

Kapcsolat bontása a munkamenet zárolt állapotában

Ha engedélyezve van az egyszeri bejelentkezés, microsoft Entra ID hitelesítési jogkivonattal jelentkezik be a Windowsba, amely támogatja a Windows jelszó nélküli hitelesítését. A Távoli munkamenet Windows-zárolási képernyője nem támogatja a Microsoft Entra ID hitelesítési jogkivonatait vagy a jelszó nélküli hitelesítési módszereket, például a FIDO-kulcsokat. A hitelesítési módszerek támogatásának hiánya azt jelenti, hogy a felhasználók nem tudják feloldani a képernyőjük zárolását egy távoli munkamenetben. Amikor megpróbál zárolni egy távoli munkamenetet, akár felhasználói művelettel, akár rendszerszabályzattal, a munkamenet le van választva, és a szolgáltatás üzenetet küld a felhasználónak, amely elmagyarázza, hogy megszakadtak.

A munkamenet leválasztása azt is biztosítja, hogy amikor a kapcsolat inaktivitási időszak után újraindul, a Microsoft Entra ID újraértékeli a vonatkozó feltételes hozzáférési szabályzatokat.

Active Directory tartományi rendszergazdai fiókok egyszeri bejelentkezéssel

Az Active Directory tartományi szolgáltatások (AD DS) és hibrid felhasználói fiókokkal rendelkező környezetekben az írásvédett tartományvezérlők alapértelmezett jelszóreplikációs szabályzata letiltja a tartományi rendszergazdák és rendszergazdák biztonsági csoportok tagjainak jelszóreplikálását. Ez a szabályzat megakadályozza, hogy ezek a rendszergazdai fiókok bejelentkezhessenek a Hibrid Microsoft Entra-gazdagépekre, és előfordulhat, hogy továbbra is kérik őket a hitelesítő adataik megadására. Azt is megakadályozza, hogy a rendszergazdai fiókok hozzáférjenek a Microsoft Entra-hoz csatlakoztatott gazdagépek Kerberos-hitelesítést használó helyszíni erőforrásaihoz. Nem javasoljuk, hogy tartományi rendszergazdai fiókkal csatlakozzon egy távoli munkamenethez.

Ha rendszergazdaként módosítania kell egy munkamenet-gazdagépet, jelentkezzen be a munkamenet-gazdagépre egy nem rendszergazdai fiókkal, majd használja a Futtatás rendszergazdaként lehetőséget vagy a parancssorból származó futtatás lehetőséget, hogy rendszergazdai fiókra váltson.

Előfeltételek

Az egyszeri bejelentkezés engedélyezése előtt meg kell felelnie a következő előfeltételeknek:

• A Microsoft Entra-bérlő konfigurálásához az alábbi beépített Microsoft Entra-szerepkörök egyikét kell hozzárendelnie:

  • Alkalmazás-rendszergazda
  • Felhőalkalmazás-rendszergazda
  • Globális rendszergazda

• A munkamenet-gazdagépeknek az alábbi operációs rendszerek egyikét kell futtatniuk a megfelelő kumulatív frissítéssel:

  • Windows 11 Nagyvállalati verzió egy vagy több munkamenetet a Windows 11 2022–10-es kumulatív frissítéseivel (KB5018418) vagy újabb verziójával.
  • Windows 10 Enterprise egy- vagy több munkamenet a Windows 10 2022–10-es kumulatív frissítéseivel (KB5018410) vagy újabb verziójával.
  • Windows Server 2022 a Microsoft server operációs rendszer (KB5018421) vagy újabb verziójának 2022–10-es kumulatív frissítésével.

• A munkamenet-gazdagépeknek a Microsoft Entra-hoz vagy a Hibrid Microsoft Entra-hoz kell csatlakozniuk. A Microsoft Entra Domain Serviceshez vagy Active Directory tartományi szolgáltatások csak a munkamenet-gazdagépek nem támogatottak.

  Ha a Microsoft Entra hibrid csatlakoztatott munkamenet-gazdagépei más Active Directory-tartományban vannak, mint a felhasználói fiókok, kétirányú megbízhatósági kapcsolatnak kell lennie a két tartomány között. A kétirányú megbízhatóság nélkül a kapcsolatok vissza fognak esni a régebbi hitelesítési protokollokra.

• Telepítse a Microsoft Graph PowerShell SDK 2.9.0-s vagy újabb verzióját a helyi eszközön vagy az Azure Cloud Shellben.

• Támogatott távoli asztali ügyfél távoli munkamenethez való csatlakozáshoz. A következő ügyfelek támogatottak:

  • Windows Desktop-ügyfél windows 10 vagy újabb rendszerű helyi számítógépeken. Nincs szükség arra, hogy a helyi számítógép csatlakozzon a Microsoft Entra-azonosítóhoz vagy egy Active Directory-tartományhoz.
  • Webes ügyfél.
  • macOS-ügyfél, 10.8.2-es vagy újabb verzió.
  • iOS-ügyfél, 10.5.1-es vagy újabb verzió.
  • Android-ügyfél, 10.0.16-os vagy újabb verzió.

• Ha engedélyezni szeretné, hogy az Active Directory tartományi rendszergazdai fiók csatlakozzon az egyszeri bejelentkezés engedélyezésekor, szüksége van egy olyan fiókra, amely tagja a Tartománygazdák biztonsági csoportnak.

Microsoft Entra-hitelesítés engedélyezése RDP-hez

Először engedélyeznie kell a Microsoft Entra-hitelesítést a Windowshoz a Microsoft Entra-bérlőben, amely lehetővé teszi az RDP-hozzáférési jogkivonatok kiállítását, amelyek lehetővé teszik a felhasználók számára, hogy bejelentkezhessenek az Azure Virtual Desktop-munkamenet-gazdagépekre. A tulajdonságot isRemoteDesktopProtocolEnabled igaz értékre állítja remoteDesktopSecurityConfiguration a szolgáltatásnév objektumán a következő Microsoft Entra-alkalmazásokhoz:

Alkalmazásnév	Pályázat azonosítója
Microsoft Távoli asztal	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud-bejelentkezés	270efc09-cd0d-444b-a71f-39af4910ec45

Fontos

Egy közelgő változás részeként 2024-től áttérünk a Microsoft Távoli asztal-ról a Windows Cloud Login szolgáltatásra. Ha mindkét alkalmazást konfigurálja, már készen áll a módosításra.

A szolgáltatásnév konfigurálásához a Microsoft Graph PowerShell SDK-val hozzon létre egy új remoteDesktopSecurityConfiguration objektumot a szolgáltatásnéven, és állítsa a tulajdonságot isRemoteDesktopProtocolEnabled a következőre true. A Microsoft Graph API-t egy olyan eszközzel is használhatja, mint a Graph Explorer.

1. Indítsa el az Azure Cloud Shellt az Azure Portalon a PowerShell-termináltípussal , vagy futtassa a PowerShellt a helyi eszközön.

   1. Ha Cloud Shellt használ, győződjön meg arról, hogy az Azure-környezet a használni kívánt előfizetésre van állítva.

   2. Ha helyileg használja a PowerShellt, először jelentkezzen be az Azure PowerShell-lel, majd győződjön meg arról, hogy az Azure-környezet a használni kívánt előfizetésre van állítva.

2. Győződjön meg arról, hogy az előfeltételek közül telepítette a Microsoft Graph PowerShell SDK-t, majd importálja a Hitelesítés és alkalmazások Microsoft Graph-modulokat, és az alábbi parancsok futtatásával csatlakozzon a Microsoft Graphhoz a hatókörökkel és Application-RemoteDesktopConfig.ReadWrite.All a Application.Read.All hatókörökkel:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Kérje le az egyes szolgáltatásnevek objektumazonosítóját, és tárolja őket változókban az alábbi parancsok futtatásával:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Állítsa be a tulajdonságot isRemoteDesktopProtocolEnabledtrue az alábbi parancsok futtatásával. Ezekből a parancsokból nincs kimenet.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Győződjön meg arról, hogy true a tulajdonság isRemoteDesktopProtocolEnabled a következő parancsok futtatásával van beállítva:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   A kimenetnek a következőnek kell lennie:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

A céleszközcsoportok konfigurálása

Miután engedélyezte a Microsoft Entra-hitelesítést AZ RDP-hez, konfigurálnia kell a céleszközcsoportokat. Az egyszeri bejelentkezés engedélyezésekor a rendszer alapértelmezés szerint arra kéri a felhasználókat, hogy hitelesítsék magukat a Microsoft Entra-azonosítóban, és engedélyezze a távoli asztali kapcsolatot egy új munkamenet-gazdagéphez való csatlakozás indításakor. A Microsoft Entra 30 napig legfeljebb 15 gazdagépet jegyez meg, mielőtt újra rákérdez. Ha párbeszédet lát a távoli asztali kapcsolat engedélyezéséhez, válassza az Igen lehetőséget a csatlakozáshoz.

Ezt a párbeszédpanelt elrejtheti, és a megbízható eszközök listájának konfigurálásával egyszeri bejelentkezést biztosíthat az összes munkamenet-gazdagéphez való csatlakozáshoz. Létre kell hoznia egy vagy több csoportot a Microsoft Entra-azonosítóban, amely tartalmazza a munkamenet-gazdagépeket, majd be kell állítania egy tulajdonságot a szolgáltatásneveken ugyanazon Microsoft Távoli asztal és Windows Cloud Login-alkalmazásokhoz, az előző szakaszban használt módon a csoport számára.

Tipp.

Javasoljuk, hogy dinamikus csoportot használjon, és konfigurálja a dinamikus tagsági szabályokat, hogy az tartalmazza az összes Azure Virtual Desktop-munkamenet-gazdagépet. Ebben a csoportban használhatja az eszközneveket, de biztonságosabb megoldásként beállíthatja és használhatja az eszközbővítmény-attribútumokat a Microsoft Graph API-val. Bár a dinamikus csoportok általában 5–10 percen belül frissülnek, a nagy bérlők akár 24 órát is igénybe vehetnek.

A dinamikus csoportokhoz a Microsoft Entra ID P1 licenc vagy az Intune for Education licenc szükséges. További információ: Dinamikus tagsági szabályok csoportokhoz.

A szolgáltatásnév konfigurálásához a Microsoft Graph PowerShell SDK használatával hozzon létre egy új targetDeviceGroup objektumot a szolgáltatásnéven a dinamikus csoport objektumazonosítójával és megjelenítendő nevével. A Microsoft Graph API-t egy olyan eszközzel is használhatja, mint a Graph Explorer.

1. Hozzon létre egy dinamikus csoportot a Microsoft Entra-azonosítóban, amely tartalmazza azokat a munkamenet-gazdagépeket, amelyeknek el szeretné rejteni a párbeszédpanelt. Jegyezze fel a csoport objektumazonosítóját a következő lépéshez.

2. Ugyanabban a PowerShell-munkamenetben hozzon létre egy targetDeviceGroup objektumot az alábbi parancsok futtatásával, és cserélje le a <placeholders> saját értékeire:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Adja hozzá a csoportot az targetDeviceGroup objektumhoz az alábbi parancsok futtatásával:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   A kimenetnek hasonlónak kell lennie:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Ismételje meg a 2. és a 3. lépést minden olyan csoportnál, amelyet hozzá szeretne adni az targetDeviceGroup objektumhoz, legfeljebb 10 csoportig.

4. Ha később el kell távolítania egy eszközcsoportot az targetDeviceGroup objektumból, futtassa a következő parancsokat, és cserélje le a <placeholders> saját értékeire:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Kerberos Server-objektum létrehozása

Ha a munkamenet-gazdagépek megfelelnek a következő feltételeknek, létre kell hoznia egy Kerberos Server-objektumot:

• A munkamenet-gazdagép a Microsoft Entra hibrid csatlakoztatása. Kerberos Server-objektummal kell rendelkeznie a tartományvezérlő hitelesítésének befejezéséhez.
• A munkamenet-gazdagéphez a Microsoft Entra csatlakozik, és a környezete Active Directory-tartományvezérlőket tartalmaz. Kerberos Server-objektummal kell rendelkeznie ahhoz, hogy a felhasználók hozzáférhessenek a helyszíni erőforrásokhoz, például az SMB-megosztásokhoz és a Windows által integrált webhelyekhez való hitelesítéshez.

Fontos

Ha kerberos-kiszolgálóobjektum létrehozása előtt engedélyezi az egyszeri bejelentkezést a Microsoft Entra hibrid csatlakoztatott munkamenet-gazdagépeken, az alábbi műveletek egyike történhet:

• Hibaüzenet jelenik meg arról, hogy az adott munkamenet nem létezik.
• A rendszer kihagyja az egyszeri bejelentkezést, és megjelenik egy szabványos hitelesítési párbeszédpanel a munkamenetgazda számára.

A problémák megoldásához hozza létre a Kerberos Server-objektumot, majd csatlakozzon újra.

A feltételes hozzáférési szabályzatok áttekintése

Ha engedélyezve van az egyszeri bejelentkezés, egy új Microsoft Entra-azonosító alkalmazás jön létre a felhasználók hitelesítéséhez a munkamenet-gazdagépen. Ha az Azure Virtual Desktop elérésekor érvényes feltételes hozzáférési szabályzatokkal rendelkezik, tekintse át a többtényezős hitelesítés beállítására vonatkozó javaslatokat, hogy a felhasználók a kívánt felhasználói élményt biztosíthassák.

A gazdagépkészlet konfigurálása az egyszeri bejelentkezés engedélyezéséhez

A gazdagépkészlet egyszeri bejelentkezésének engedélyezéséhez konfigurálnia kell a következő RDP-tulajdonságot, amelyet az Azure Portal vagy a PowerShell használatával tehet meg. Az RDP-tulajdonságok konfigurálásához szükséges lépéseket a gazdagépkészlet Távoli asztali protokoll (RDP) tulajdonságainak testreszabása című témakörben találja.

• Az Azure Portalon állítsa be a Microsoft Entra egyszeri bejelentkezését a kapcsolatokra , és a Microsoft Entra-hitelesítés használatával biztosítja az egyszeri bejelentkezést.
• PowerShell esetén állítsa az enablerdsaadauth tulajdonságot 1 értékre.

Következő lépések

• A jelszó nélküli hitelesítés engedélyezéséhez tekintse meg a munkameneten belüli jelszó nélküli hitelesítést .
• További információ a Microsoft Entra Kerberosról: Részletes útmutató: A Microsoft Entra Kerberos működése
• Ha a Windows Desktop-ügyfélről éri el az Azure Virtual Desktopot, olvassa el a Csatlakozás a Windows Desktop-ügyféllel című témakört.
• Ha az Azure Virtual Desktopot a webes ügyfélről éri el, olvassa el a Kapcsolódás a webes ügyféllel című témakört.
• Ha bármilyen probléma merül fel, lépjen a Microsoft Entra-hoz csatlakoztatott virtuális gépek kapcsolatainak hibaelhárítására.