Mengonfigurasi akses menyeluruh untuk Azure Virtual Desktop menggunakan autentikasi ID Microsoft Entra

Artikel ini memancarkan Anda melalui proses konfigurasi akses menyeluruh (SSO) untuk Azure Virtual Desktop menggunakan autentikasi ID Microsoft Entra. Saat Anda mengaktifkan akses menyeluruh, pengguna mengautentikasi ke Windows menggunakan token ID Microsoft Entra. Token ini memungkinkan penggunaan autentikasi tanpa kata sandi dan penyedia identitas pihak ketiga yang bergabung dengan ID Microsoft Entra saat menyambungkan ke host sesi, membuat pengalaman masuk mulus.

Akses menyeluruh menggunakan autentikasi ID Microsoft Entra juga memberikan pengalaman yang mulus untuk sumber daya berbasis ID Microsoft Entra di dalam sesi. Untuk informasi selengkapnya tentang menggunakan autentikasi tanpa kata sandi dalam sesi, lihat Autentikasi tanpa kata sandi dalam sesi.

Untuk mengaktifkan akses menyeluruh menggunakan autentikasi ID Microsoft Entra, ada lima tugas yang harus Anda selesaikan:

1. Aktifkan autentikasi Microsoft Entra untuk Protokol Desktop Jauh (RDP).

2. Konfigurasikan grup perangkat target.

3. Buat objek Kerberos Server, jika Active Directory Domain Services adalah bagian dari lingkungan Anda. Informasi selengkapnya tentang kriteria disertakan dalam bagiannya.

4. Tinjau kebijakan akses bersyarat Anda.

5. Konfigurasikan kumpulan host Anda untuk mengaktifkan akses menyeluruh.

Sebelum mengaktifkan akses menyeluruh

Sebelum Anda mengaktifkan akses menyeluruh, tinjau informasi berikut untuk menggunakannya di lingkungan Anda.

Pemutusan sambungan saat sesi dikunci

Ketika akses menyeluruh diaktifkan, Anda masuk ke Windows menggunakan token autentikasi ID Microsoft Entra, yang menyediakan dukungan untuk autentikasi tanpa kata sandi ke Windows. Layar kunci Windows dalam sesi jarak jauh tidak mendukung token autentikasi ID Microsoft Entra atau metode autentikasi tanpa kata sandi, seperti kunci FIDO. Kurangnya dukungan untuk metode autentikasi ini berarti bahwa pengguna tidak dapat membuka kunci layar mereka dalam sesi jarak jauh. Ketika Anda mencoba mengunci sesi jarak jauh, baik melalui tindakan pengguna atau kebijakan sistem, sesi malah terputus dan layanan mengirimkan pesan kepada pengguna yang menjelaskan bahwa sesi terputus.

Memutus sesi juga memastikan bahwa ketika koneksi diluncurkan kembali setelah periode tidak aktif, ID Microsoft Entra merevalidasi kebijakan akses bersyarat yang berlaku.

Akun administrator domain Direktori Aktif dengan akses menyeluruh

Di lingkungan dengan Active Directory Domain Services (AD DS) dan akun pengguna hibrid, Kebijakan Replikasi Kata Sandi default pada pengontrol domain baca-saja menolak replikasi kata sandi untuk anggota grup keamanan Admin Domain dan Administrator. Kebijakan ini mencegah akun administrator ini masuk ke host gabungan hibrid Microsoft Entra dan mungkin terus meminta mereka untuk memasukkan kredensial mereka. Ini juga mencegah akun administrator mengakses sumber daya lokal yang menggunakan autentikasi Kerberos dari host yang bergabung dengan Microsoft Entra. Kami tidak menyarankan untuk menyambungkan ke sesi jarak jauh menggunakan akun yang merupakan administrator domain.

Jika Anda perlu membuat perubahan pada host sesi sebagai administrator, masuk ke host sesi menggunakan akun non-administrator, lalu gunakan opsi Jalankan sebagai administrator atau runas dari perintah untuk mengubah ke administrator.

Prasyarat

Sebelum dapat mengaktifkan akses menyeluruh, Anda harus memenuhi prasyarat berikut:

• Untuk mengonfigurasi penyewa Microsoft Entra, Anda harus diberi salah satu peran bawaan Microsoft Entra berikut:

  • Administrator Aplikasi
  • Administrator Aplikasi Cloud
  • Administrator Global

• Host sesi Anda harus menjalankan salah satu sistem operasi berikut dengan pembaruan kumulatif yang relevan terinstal:

  • Windows 11 Enterprise tunggal atau multi-sesi dengan Pembaruan Kumulatif 2022-10 untuk Windows 11 (KB5018418) atau yang lebih baru diinstal.
  • Windows 10 Enterprise tunggal atau multi-sesi dengan Pembaruan Kumulatif 2022-10 untuk Windows 10 (KB5018410) atau yang lebih baru diinstal.
  • Windows Server 2022 dengan Pembaruan Kumulatif 2022-10 untuk sistem operasi server Microsoft (KB5018421) atau yang lebih baru diinstal.

• Host sesi Anda harus bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra. Host sesi yang bergabung ke Microsoft Entra Domain Services atau ke Active Directory Domain Services saja tidak didukung.

  Jika host sesi gabungan hibrid Microsoft Entra Anda berada di domain Direktori Aktif yang berbeda dari akun pengguna Anda, harus ada kepercayaan dua arah antara kedua domain. Tanpa kepercayaan dua arah, koneksi akan kembali ke protokol autentikasi yang lebih lama.

• Instal Microsoft Graph PowerShell SDK versi 2.9.0 atau yang lebih baru di perangkat lokal Anda atau di Azure Cloud Shell.

• Klien Desktop Jauh yang didukung untuk menyambungkan ke sesi jarak jauh. Klien berikut didukung:

  • Klien Windows Desktop pada PC lokal yang menjalankan Windows 10 atau yang lebih baru. Tidak ada persyaratan untuk PC lokal untuk digabungkan ke ID Microsoft Entra atau domain Direktori Aktif.
  • Klien web.
  • klien macOS, versi 10.8.2 atau yang lebih baru.
  • Klien iOS, versi 10.5.1 atau yang lebih baru.
  • Klien Android, versi 10.0.16 atau yang lebih baru.

• Untuk mengonfigurasi mengizinkan akun administrator domain Direktori Aktif tersambung saat akses menyeluruh diaktifkan, Anda memerlukan akun yang merupakan anggota grup keamanan Admin Domain.

Mengaktifkan autentikasi Microsoft Entra untuk RDP

Anda harus terlebih dahulu mengizinkan autentikasi Microsoft Entra untuk Windows di penyewa Microsoft Entra Anda, yang memungkinkan penerbitan token akses RDP yang memungkinkan pengguna untuk masuk ke host sesi Azure Virtual Desktop Anda. Anda mengatur isRemoteDesktopProtocolEnabled properti ke true pada objek perwakilan remoteDesktopSecurityConfiguration layanan untuk aplikasi Microsoft Entra berikut:

Nama Aplikasi	ID Aplikasi
Desktop Jarak Jauh Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login	270efc09-cd0d-444b-a71f-39af4910ec45

Penting

Sebagai bagian dari perubahan yang akan datang, kami beralih dari Desktop Jauh Microsoft ke Windows Cloud Login, mulai tahun 2024. Mengonfigurasi kedua aplikasi sekarang memastikan Anda siap untuk perubahan.

Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek remoteDesktopSecurityConfiguration baru pada perwakilan layanan dan atur properti isRemoteDesktopProtocolEnabled ke true. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.

1. Luncurkan Azure Cloud Shell di portal Azure dengan jenis terminal PowerShell, atau jalankan PowerShell di perangkat lokal Anda.

   1. Jika Anda menggunakan Cloud Shell, pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

   2. Jika Anda menggunakan PowerShell secara lokal, pertama-tama Masuk dengan Azure PowerShell, lalu pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

2. Pastikan Anda menginstal Microsoft Graph PowerShell SDK dari prasyarat, lalu mengimpor modul Microsoft Graph Autentikasi dan Aplikasi dan menyambungkan ke Microsoft Graph dengan cakupan dan Application-RemoteDesktopConfig.ReadWrite.All dengan Application.Read.All menjalankan perintah berikut:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Dapatkan ID objek untuk setiap perwakilan layanan dan simpan dalam variabel dengan menjalankan perintah berikut:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Atur properti isRemoteDesktopProtocolEnabled ke true dengan menjalankan perintah berikut. Tidak ada output dari perintah ini.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Konfirmasikan properti isRemoteDesktopProtocolEnabled diatur ke true dengan menjalankan perintah berikut:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Output akan terlihat seperti:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Mengonfigurasi grup perangkat target

Setelah mengaktifkan autentikasi Microsoft Entra untuk RDP, Anda perlu mengonfigurasi grup perangkat target. Secara default saat mengaktifkan akses menyeluruh, pengguna diminta untuk mengautentikasi ke ID Microsoft Entra dan mengizinkan koneksi Desktop Jauh saat meluncurkan koneksi ke host sesi baru. Microsoft Entra mengingat hingga 15 host selama 30 hari sebelum meminta lagi. Jika Anda melihat dialog untuk mengizinkan koneksi Desktop Jauh, pilih Ya untuk menyambungkan.

Anda dapat menyembunyikan dialog ini dan menyediakan akses menyeluruh untuk koneksi ke semua host sesi Anda dengan mengonfigurasi daftar perangkat tepercaya. Anda perlu membuat satu atau beberapa grup di ID Microsoft Entra yang berisi host sesi Anda, lalu mengatur properti pada perwakilan layanan untuk aplikasi Desktop Jauh Microsoft dan Windows Cloud Login yang sama, seperti yang digunakan di bagian sebelumnya, untuk grup.

Tip

Kami sarankan Anda menggunakan grup dinamis dan mengonfigurasi aturan keanggotaan dinamis untuk menyertakan semua host sesi Azure Virtual Desktop Anda. Anda dapat menggunakan nama perangkat dalam grup ini, tetapi untuk opsi yang lebih aman, Anda dapat mengatur dan menggunakan atribut ekstensi perangkat menggunakan Microsoft Graph API. Meskipun grup dinamis biasanya diperbarui dalam waktu 5-10 menit, penyewa besar dapat memakan waktu hingga 24 jam.

Grup dinamis memerlukan lisensi Microsoft Entra ID P1 atau lisensi Intune for Education. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup.

Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek targetDeviceGroup baru pada perwakilan layanan dengan ID objek grup dinamis dan nama tampilan. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.

1. Buat grup dinamis di MICROSOFT Entra ID yang berisi host sesi yang ingin Anda sembunyikan dialognya. Catat ID objek grup untuk langkah berikutnya.

2. Dalam sesi PowerShell yang sama, buat targetDeviceGroup objek dengan menjalankan perintah berikut, mengganti <placeholders> dengan nilai Anda sendiri:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Tambahkan grup ke targetDeviceGroup objek dengan menjalankan perintah berikut:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Outputnya harus serupa:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Ulangi langkah 2 dan 3 untuk setiap grup yang ingin Anda tambahkan ke targetDeviceGroup objek, hingga maksimum 10 grup.

4. Jika nanti Anda perlu menghapus grup perangkat dari targetDeviceGroup objek, jalankan perintah berikut, ganti <placeholders> dengan nilai Anda sendiri:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Membuat objek Kerberos Server

Jika host sesi Anda memenuhi kriteria berikut, Anda harus Membuat objek Kerberos Server:

• Host sesi Anda bergabung dengan microsoft Entra hybrid. Anda harus memiliki objek Kerberos Server untuk menyelesaikan autentikasi ke pengendali domain.
• Host sesi Anda bergabung dengan Microsoft Entra dan lingkungan Anda berisi pengontrol domain Direktori Aktif. Anda harus memiliki objek Kerberos Server bagi pengguna untuk mengakses sumber daya lokal, seperti berbagi SMB, dan autentikasi terintegrasi Windows ke situs web.

Penting

Jika Anda mengaktifkan akses menyeluruh pada host sesi gabungan hibrid Microsoft Entra sebelum Anda membuat objek server Kerberos, salah satu hal berikut dapat terjadi:

• Anda menerima pesan kesalahan yang mengatakan sesi tertentu tidak ada.
• Akses menyeluruh akan dilewati dan Anda melihat dialog autentikasi standar untuk host sesi.

Untuk mengatasi masalah ini, buat objek Kerberos Server, lalu sambungkan lagi.

Tinjau kebijakan akses bersyarah Anda

Saat akses menyeluruh diaktifkan, aplikasi ID Microsoft Entra baru diperkenalkan untuk mengautentikasi pengguna ke host sesi. Jika Anda memiliki kebijakan akses bersyarat yang berlaku saat mengakses Azure Virtual Desktop, tinjau rekomendasi tentang menyiapkan autentikasi multifaktor untuk memastikan pengguna memiliki pengalaman yang diinginkan.

Mengonfigurasi kumpulan host Anda untuk mengaktifkan akses menyeluruh

Untuk mengaktifkan akses menyeluruh di kumpulan host, Anda harus mengonfigurasi properti RDP berikut, yang dapat Anda lakukan menggunakan portal Azure atau PowerShell. Anda dapat menemukan langkah-langkah untuk mengonfigurasi properti RDP di properti Sesuaikan Protokol Desktop Jauh (RDP) untuk kumpulan host.

• Di portal Azure, atur akses menyeluruh Microsoft Entra ke Koneksi akan menggunakan autentikasi Microsoft Entra untuk menyediakan akses menyeluruh.
• Untuk PowerShell, atur properti enablerdsaadauth ke 1.

Langkah berikutnya

• Lihat Autentikasi tanpa kata sandi dalam sesi untuk mempelajari cara mengaktifkan autentikasi tanpa kata sandi.
• Untuk informasi selengkapnya tentang Microsoft Entra Kerberos, lihat Mendalami: Cara kerja Microsoft Entra Kerberos
• Jika Anda mengakses Azure Virtual Desktop dari klien Desktop Windows kami, lihat Menyambungkan dengan klien Desktop Windows.
• Jika Anda mengakses Azure Virtual Desktop dari klien web kami, lihat Menyambungkan dengan klien web.
• Jika Anda mengalami masalah, buka Memecahkan masalah koneksi ke VM yang bergabung dengan Microsoft Entra.