Megosztás a következőn keresztül:

Egyszeri bejelentkezés konfigurálása az Azure Virtual Desktophoz a Microsoft Entra ID használatával

Az Azure Virtual Desktop egyszeri bejelentkezése (SSO) az Microsoft Entra ID használatával zökkenőmentes bejelentkezési élményt biztosít a munkamenetgazdákhoz csatlakozó felhasználók számára. Ha engedélyezi az egyszeri bejelentkezést, a felhasználók egy Microsoft Entra ID jogkivonattal hitelesítik magukat a Windowsban. Ez a jogkivonat lehetővé teszi a jelszó nélküli hitelesítést és a Microsoft Entra ID összevonó külső identitásszolgáltatók használatát a munkamenet-gazdagéphez való csatlakozáskor, így a bejelentkezési élmény zökkenőmentes lesz.

Az Microsoft Entra ID használatával történő egyszeri bejelentkezés zökkenőmentes felhasználói élményt biztosít a munkameneten belüli Microsoft Entra ID-alapú erőforrások számára. A jelszó nélküli hitelesítés munkameneten belüli használatával kapcsolatos további információkért lásd: Munkameneten belüli jelszó nélküli hitelesítés.

Az egyszeri bejelentkezés Microsoft Entra ID hitelesítéssel való engedélyezéséhez öt feladatot kell elvégeznie:

  1. Engedélyezze Microsoft Entra távoli asztali protokoll (RDP) hitelesítését.

  2. A hozzájárulást kérő párbeszédpanel elrejtése.

  3. Hozzon létre egy Kerberos Server-objektumot, ha Active Directory tartományi szolgáltatások a környezet része. A feltételekről további információt a szakasz tartalmaz.

  4. Tekintse át a feltételes hozzáférési szabályzatokat.

  5. Konfigurálja a gazdagépkészletet az egyszeri bejelentkezés engedélyezéséhez.

Az egyszeri bejelentkezés engedélyezése előtt

Az egyszeri bejelentkezés engedélyezése előtt tekintse át az alábbi információkat a környezetében való használathoz.

Munkamenet-zárolás viselkedése

Ha a Microsoft Entra ID használatával történő egyszeri bejelentkezés engedélyezve van, és a távoli munkamenetet a felhasználó vagy a szabályzat zárolja, megadhatja, hogy a munkamenet le van-e választva, vagy megjelenik-e a távoli zárolási képernyő. Az alapértelmezett viselkedés a munkamenet leválasztása zároláskor.

Ha a munkamenet-zárolási viselkedés leválasztásra van állítva, egy párbeszédpanel jelenik meg, amely tudatja a felhasználókat a kapcsolat bontásával. A felhasználók akkor választhatják az Újracsatlakozás lehetőséget a párbeszédpanelen, amikor készen állnak az újracsatlakozásra. Ez a viselkedés biztonsági okokból és a jelszó nélküli hitelesítés teljes körű támogatásának biztosítása érdekében történik. A munkamenet leválasztása a következő előnyöket nyújtja:

  • Konzisztens bejelentkezési élmény Microsoft Entra ID, ha szükséges.

  • Egyszeri bejelentkezés és újracsatlakozás hitelesítési kérés nélkül, ha a feltételes hozzáférési szabályzatok engedélyezik.

  • Támogatja a jelszó nélküli hitelesítést, például a hozzáférési kulcsokat és a FIDO2-eszközöket, ellentétben a távoli zárolási képernyővel.

  • A feltételes hozzáférési szabályzatok, beleértve a többtényezős hitelesítést és a bejelentkezési gyakoriságot, újraértékelódnak, amikor a felhasználó újra csatlakozik a munkamenethez.

  • Többtényezős hitelesítést igényelhet a munkamenethez való visszatéréshez, és megakadályozhatja, hogy a felhasználók egy egyszerű felhasználónévvel és jelszóval oldják fel a zárolást.

Ha úgy szeretné konfigurálni a munkamenet-zárolási viselkedést, hogy a munkamenet leválasztása helyett a távoli zárolási képernyő jelenjen meg, tekintse meg a munkamenet-zárolási viselkedés konfigurálását ismertető cikket.

Active Directory tartományi rendszergazdai fiókok egyszeri bejelentkezéssel

A Active Directory tartományi szolgáltatások (AD DS) és hibrid felhasználói fiókokkal rendelkező környezetekben az írásvédett tartományvezérlők alapértelmezett jelszóreplikációs házirendje letiltja a tartományi rendszergazdák és rendszergazdák biztonsági csoportok tagjainak jelszóreplikációját. Ez a szabályzat megakadályozza, hogy ezek a rendszergazdai fiókok bejelentkezhessenek Microsoft Entra hibrid csatlakoztatott gazdagépekre, és előfordulhat, hogy továbbra is a hitelesítő adataik megadására kérik őket. Emellett megakadályozza, hogy a rendszergazdai fiókok hozzáférjenek a Kerberos-hitelesítést használó helyszíni erőforrásokhoz Microsoft Entra csatlakoztatott gazdagépekről. Biztonsági okokból nem javasoljuk, hogy olyan fiókkal csatlakozzon távoli munkamenethez, amely tartományi rendszergazda.

Ha rendszergazdaként kell módosítania egy munkamenetgazdát, jelentkezzen be a munkamenetgazdára egy nem rendszergazdai fiókkal, majd használja a Futtatás rendszergazdaként lehetőséget vagy a futtató eszközt egy parancssorból a rendszergazdai fiókra való váltáshoz.

Előfeltételek

Az egyszeri bejelentkezés engedélyezése előtt meg kell felelnie a következő előfeltételeknek:

Microsoft Entra-hitelesítés engedélyezése RDP-hez

Először engedélyeznie kell Microsoft Entra windowsos hitelesítést a Microsoft Entra-bérlőben, amely lehetővé teszi az RDP-hozzáférési jogkivonatok kiállítását, amelyek lehetővé teszik a felhasználók számára, hogy bejelentkezhessenek az Azure Virtual Desktop-munkamenetgazdákba. A tulajdonságot true (igaz) értékre állítja isRemoteDesktopProtocolEnabled a szolgáltatásnév objektumán remoteDesktopSecurityConfiguration a következő Microsoft Entra alkalmazásokhoz:

Alkalmazás neve Alkalmazásazonosító
Microsoft Távoli asztal a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud-bejelentkezés 270efc09-cd0d-444b-a71f-39af4910ec45

Fontos

Egy közelgő változás részeként 2024-től áttérünk a Microsoft Távoli asztal-ről a Windows Cloud Login szolgáltatásra. Mindkét alkalmazás konfigurálása biztosítja, hogy készen álljon a módosításra.

A szolgáltatásnév konfigurálásához a Microsoft Graph PowerShell SDK-val hozzon létre egy új remoteDesktopSecurityConfiguration objektumot a szolgáltatásnéven, és állítsa a tulajdonságot isRemoteDesktopProtocolEnabled értékre true. A Microsoft Graph API egy olyan eszközzel is használhatja, mint a Graph Explorer.

  1. Nyissa meg az Azure Cloud Shell a Azure Portal PowerShell-termináltípussal, vagy futtassa a PowerShellt a helyi eszközön.

  1. Győződjön meg arról, hogy az előfeltételek közül telepítette a Microsoft Graph PowerShell SDK-t, majd importálja a Hitelesítés és alkalmazások Microsoft Graph modult, és csatlakozzon a Microsoft Graphhoz a és Application-RemoteDesktopConfig.ReadWrite.All hatókörökkel Application.Read.All az alábbi parancsok futtatásával:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Kérje le az egyes szolgáltatásnevek objektumazonosítóját, és tárolja őket változókban az alábbi parancsok futtatásával:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Állítsa a tulajdonságot isRemoteDesktopProtocolEnabled értékre true az alábbi parancsok futtatásával. Ezekből a parancsokból nincs kimenet.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. A következő parancsok futtatásával ellenőrizze, hogy a tulajdonság isRemoteDesktopProtocolEnabled értékre true van-e állítva:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    Mindkét parancs kimenetének a következőnek kell lennie:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Ha az egyszeri bejelentkezés engedélyezve van, a felhasználók alapértelmezés szerint egy párbeszédpanelen engedélyezik a távoli asztali kapcsolatot, amikor új munkamenetgazdához csatlakoznak. Microsoft Entra 30 napig legfeljebb 15 gazdagépet jegyez meg, mielőtt újra rákérdezne. Ha a felhasználók ezt a párbeszédablakot látják a távoli asztali kapcsolat engedélyezéséhez, az Igen lehetőséget választva csatlakozhatnak.

Ezt a párbeszédpanelt elrejtheti a megbízható eszközök listájának konfigurálásával. Az eszközök listájának konfigurálásához hozzon létre egy vagy több csoportot a munkamenetgazdákat tartalmazó Microsoft Entra ID, majd adja hozzá a csoportazonosítókat az SSO-szolgáltatásnevek, a Microsoft Távoli asztal és a Windows Cloud Login tulajdonságához.

Tipp

Javasoljuk, hogy használjon dinamikus csoportot, és konfigurálja a dinamikus tagsági szabályokat úgy, hogy az tartalmazza az összes Azure Virtual Desktop-munkamenetgazdát. Ebben a csoportban használhatja az eszközneveket, de biztonságosabb megoldásként beállíthatja és használhatja az eszközbővítmény-attribútumokat a Microsoft Graph API használatával. Míg a dinamikus csoportok általában 5–10 percen belül frissülnek, a nagy méretű bérlők akár 24 órát is igénybe vehetnek.

A dinamikus csoportokhoz Microsoft Entra ID P1 licencre vagy Intune oktatási licencre van szükség. További információ: Dinamikus tagsági szabályok csoportokhoz.

A szolgáltatásnév konfigurálásához a Microsoft Graph PowerShell SDK-val hozzon létre egy új targetDeviceGroup objektumot a szolgáltatásnéven a dinamikus csoport objektumazonosítójával és megjelenítendő nevével. A Microsoft Graph API egy olyan eszközzel is használhatja, mint a Graph Explorer.

  1. Hozzon létre egy dinamikus csoportot Microsoft Entra ID, amely tartalmazza azokat a munkamenetgazdákat, amelyeknek el szeretné rejteni a párbeszédpanelt. Jegyezze fel a csoport objektumazonosítóját a következő lépéshez.

  2. Ugyanabban a PowerShell-munkamenetben hozzon létre egy targetDeviceGroup objektumot a következő parancsok futtatásával, és cserélje le a <placeholders> értékét a saját értékeire:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Adja hozzá a csoportot az targetDeviceGroup objektumhoz a következő parancsok futtatásával:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    A kimenetnek az alábbi példához hasonlónak kell lennie:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Ismételje meg a 2. és a 3. lépést minden olyan csoport esetében, amelyet hozzá szeretne adni az targetDeviceGroup objektumhoz, legfeljebb 10 csoportig.

  4. Ha később el kell távolítania egy eszközcsoportot az targetDeviceGroup objektumból, futtassa a következő parancsokat, és cserélje le a <placeholders> értékét a saját értékeire:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Kerberos-kiszolgálóobjektum létrehozása

Ha a munkamenetgazdák megfelelnek a következő feltételeknek, létre kell hoznia egy Kerberos-kiszolgálóobjektumot. További információ: Jelszó nélküli biztonsági kulcsos bejelentkezés engedélyezése a helyszíni erőforrásokba a Microsoft Entra ID használatával, konkrétan a Kerberos Server-objektum létrehozása című szakasz:

  • A munkamenetgazda Microsoft Entra hibrid csatlakozású. A tartományvezérlő hitelesítésének befejezéséhez Kerberos-kiszolgálóobjektummal kell rendelkeznie.

  • A munkamenetgazda Microsoft Entra csatlakozik, és a környezete Active Directory-tartományvezérlőket tartalmaz. Rendelkeznie kell egy Kerberos-kiszolgálóobjektummal ahhoz, hogy a felhasználók hozzáférhessenek a helyszíni erőforrásokhoz, például az SMB-megosztásokhoz és a windowsos integrált webhelyekhez való hitelesítéshez.

Fontos

Ha kerberos-kiszolgálóobjektum létrehozása nélkül engedélyezi az egyszeri bejelentkezést Microsoft Entra hibrid csatlakoztatott munkamenetgazdákat, a távoli munkamenethez való csatlakozáskor az alábbiak egyike történhet:

  • Hibaüzenet jelenik meg, amely szerint az adott munkamenet nem létezik.
  • A rendszer kihagyja az egyszeri bejelentkezést, és megjelenik egy szabványos hitelesítési párbeszédpanel a munkamenetgazda számára.

A problémák megoldásához hozza létre a Kerberos-kiszolgálóobjektumot, majd csatlakozzon újra.

A feltételes hozzáférési szabályzatok áttekintése

Ha az egyszeri bejelentkezés engedélyezve van, egy új Microsoft Entra ID alkalmazás lesz bevezetve, amely hitelesíti a felhasználókat a munkamenetgazda számára. Ha olyan feltételes hozzáférési szabályzatokkal rendelkezik, amelyek az Azure Virtual Desktop elérésekor érvényesek, tekintse át a többtényezős hitelesítés beállításával kapcsolatos javaslatokat, hogy a felhasználók a kívánt felhasználói élményben legyenek része.

A gazdagépkészlet konfigurálása az egyszeri bejelentkezés engedélyezéséhez

A gazdagépkészlet egyszeri bejelentkezésének engedélyezéséhez konfigurálnia kell a következő RDP-tulajdonságot, amelyet a Azure Portal vagy a PowerShell használatával végezhet el. Az RDP-tulajdonságok konfigurálásának lépéseit a gazdagépkészlet RDP-tulajdonságainak testreszabása című cikkben találja.

  • A Azure Portal állítsa Microsoft Entra egyszeri bejelentkezést úgy, hogy Connections Microsoft Entra hitelesítést használ az egyszeri bejelentkezés biztosításához.

  • PowerShell esetén állítsa az enablerdsaadauth tulajdonságot 1-re.

Következő lépések