Bagikan melalui


Mengonfigurasi akses menyeluruh untuk Azure Virtual Desktop menggunakan autentikasi ID Microsoft Entra

Artikel ini memancarkan Anda melalui proses konfigurasi akses menyeluruh (SSO) untuk Azure Virtual Desktop menggunakan autentikasi ID Microsoft Entra. Saat Anda mengaktifkan akses menyeluruh, pengguna mengautentikasi ke Windows menggunakan token ID Microsoft Entra. Token ini memungkinkan penggunaan autentikasi tanpa kata sandi dan penyedia identitas pihak ketiga yang bergabung dengan ID Microsoft Entra saat menyambungkan ke host sesi, membuat pengalaman masuk mulus.

Akses menyeluruh menggunakan autentikasi ID Microsoft Entra juga memberikan pengalaman yang mulus untuk sumber daya berbasis ID Microsoft Entra di dalam sesi. Untuk informasi selengkapnya tentang menggunakan autentikasi tanpa kata sandi dalam sesi, lihat Autentikasi tanpa kata sandi dalam sesi.

Untuk mengaktifkan akses menyeluruh menggunakan autentikasi ID Microsoft Entra, ada lima tugas yang harus Anda selesaikan:

  1. Aktifkan autentikasi Microsoft Entra untuk Protokol Desktop Jauh (RDP).

  2. Konfigurasikan grup perangkat target.

  3. Buat objek Kerberos Server, jika Active Directory Domain Services adalah bagian dari lingkungan Anda. Informasi selengkapnya tentang kriteria disertakan dalam bagiannya.

  4. Tinjau kebijakan akses bersyarat Anda.

  5. Konfigurasikan kumpulan host Anda untuk mengaktifkan akses menyeluruh.

Sebelum mengaktifkan akses menyeluruh

Sebelum Anda mengaktifkan akses menyeluruh, tinjau informasi berikut untuk menggunakannya di lingkungan Anda.

Pemutusan sambungan saat sesi dikunci

Ketika akses menyeluruh diaktifkan, Anda masuk ke Windows menggunakan token autentikasi ID Microsoft Entra, yang menyediakan dukungan untuk autentikasi tanpa kata sandi ke Windows. Layar kunci Windows dalam sesi jarak jauh tidak mendukung token autentikasi ID Microsoft Entra atau metode autentikasi tanpa kata sandi, seperti kunci FIDO. Kurangnya dukungan untuk metode autentikasi ini berarti bahwa pengguna tidak dapat membuka kunci layar mereka dalam sesi jarak jauh. Ketika Anda mencoba mengunci sesi jarak jauh, baik melalui tindakan pengguna atau kebijakan sistem, sesi malah terputus dan layanan mengirimkan pesan kepada pengguna yang menjelaskan bahwa sesi terputus.

Memutus sesi juga memastikan bahwa ketika koneksi diluncurkan kembali setelah periode tidak aktif, ID Microsoft Entra merevalidasi kebijakan akses bersyarat yang berlaku.

Akun administrator domain Direktori Aktif dengan akses menyeluruh

Di lingkungan dengan Active Directory Domain Services (AD DS) dan akun pengguna hibrid, Kebijakan Replikasi Kata Sandi default pada pengontrol domain baca-saja menolak replikasi kata sandi untuk anggota grup keamanan Admin Domain dan Administrator. Kebijakan ini mencegah akun administrator ini masuk ke host gabungan hibrid Microsoft Entra dan mungkin terus meminta mereka untuk memasukkan kredensial mereka. Ini juga mencegah akun administrator mengakses sumber daya lokal yang menggunakan autentikasi Kerberos dari host yang bergabung dengan Microsoft Entra. Kami tidak menyarankan untuk menyambungkan ke sesi jarak jauh menggunakan akun yang merupakan administrator domain.

Jika Anda perlu membuat perubahan pada host sesi sebagai administrator, masuk ke host sesi menggunakan akun non-administrator, lalu gunakan opsi Jalankan sebagai administrator atau runas dari perintah untuk mengubah ke administrator.

Prasyarat

Sebelum dapat mengaktifkan akses menyeluruh, Anda harus memenuhi prasyarat berikut:

Mengaktifkan autentikasi Microsoft Entra untuk RDP

Anda harus terlebih dahulu mengizinkan autentikasi Microsoft Entra untuk Windows di penyewa Microsoft Entra Anda, yang memungkinkan penerbitan token akses RDP yang memungkinkan pengguna untuk masuk ke host sesi Azure Virtual Desktop Anda. Anda mengatur isRemoteDesktopProtocolEnabled properti ke true pada objek perwakilan remoteDesktopSecurityConfiguration layanan untuk aplikasi Microsoft Entra berikut:

Nama Aplikasi ID Aplikasi
Desktop Jarak Jauh Microsoft a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login 270efc09-cd0d-444b-a71f-39af4910ec45

Penting

Sebagai bagian dari perubahan yang akan datang, kami beralih dari Desktop Jauh Microsoft ke Windows Cloud Login, mulai tahun 2024. Mengonfigurasi kedua aplikasi sekarang memastikan Anda siap untuk perubahan.

Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek remoteDesktopSecurityConfiguration baru pada perwakilan layanan dan atur properti isRemoteDesktopProtocolEnabled ke true. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.

  1. Luncurkan Azure Cloud Shell di portal Azure dengan jenis terminal PowerShell, atau jalankan PowerShell di perangkat lokal Anda.

    1. Jika Anda menggunakan Cloud Shell, pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

    2. Jika Anda menggunakan PowerShell secara lokal, pertama-tama Masuk dengan Azure PowerShell, lalu pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

  1. Pastikan Anda menginstal Microsoft Graph PowerShell SDK dari prasyarat, lalu mengimpor modul Microsoft Graph Autentikasi dan Aplikasi dan menyambungkan ke Microsoft Graph dengan cakupan dan Application-RemoteDesktopConfig.ReadWrite.All dengan Application.Read.All menjalankan perintah berikut:

    Import-Module Microsoft.Graph.Authentication
    Import-Module Microsoft.Graph.Applications
    
    Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
    
  2. Dapatkan ID objek untuk setiap perwakilan layanan dan simpan dalam variabel dengan menjalankan perintah berikut:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
    $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
    
  3. Atur properti isRemoteDesktopProtocolEnabled ke true dengan menjalankan perintah berikut. Tidak ada output dari perintah ini.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
        Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
    }
    
    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
        Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
    }
    
  4. Konfirmasikan properti isRemoteDesktopProtocolEnabled diatur ke true dengan menjalankan perintah berikut:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
    

    Output akan terlihat seperti:

    Id IsRemoteDesktopProtocolEnabled
    -- ------------------------------
    id True
    

Mengonfigurasi grup perangkat target

Setelah mengaktifkan autentikasi Microsoft Entra untuk RDP, Anda perlu mengonfigurasi grup perangkat target. Secara default saat mengaktifkan akses menyeluruh, pengguna diminta untuk mengautentikasi ke ID Microsoft Entra dan mengizinkan koneksi Desktop Jauh saat meluncurkan koneksi ke host sesi baru. Microsoft Entra mengingat hingga 15 host selama 30 hari sebelum meminta lagi. Jika Anda melihat dialog untuk mengizinkan koneksi Desktop Jauh, pilih Ya untuk menyambungkan.

Anda dapat menyembunyikan dialog ini dan menyediakan akses menyeluruh untuk koneksi ke semua host sesi Anda dengan mengonfigurasi daftar perangkat tepercaya. Anda perlu membuat satu atau beberapa grup di ID Microsoft Entra yang berisi host sesi Anda, lalu mengatur properti pada perwakilan layanan untuk aplikasi Desktop Jauh Microsoft dan Windows Cloud Login yang sama, seperti yang digunakan di bagian sebelumnya, untuk grup.

Tip

Kami sarankan Anda menggunakan grup dinamis dan mengonfigurasi aturan keanggotaan dinamis untuk menyertakan semua host sesi Azure Virtual Desktop Anda. Anda dapat menggunakan nama perangkat dalam grup ini, tetapi untuk opsi yang lebih aman, Anda dapat mengatur dan menggunakan atribut ekstensi perangkat menggunakan Microsoft Graph API. Meskipun grup dinamis biasanya diperbarui dalam waktu 5-10 menit, penyewa besar dapat memakan waktu hingga 24 jam.

Grup dinamis memerlukan lisensi Microsoft Entra ID P1 atau lisensi Intune for Education. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup.

Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek targetDeviceGroup baru pada perwakilan layanan dengan ID objek grup dinamis dan nama tampilan. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.

  1. Buat grup dinamis di MICROSOFT Entra ID yang berisi host sesi yang ingin Anda sembunyikan dialognya. Catat ID objek grup untuk langkah berikutnya.

  2. Dalam sesi PowerShell yang sama, buat targetDeviceGroup objek dengan menjalankan perintah berikut, mengganti <placeholders> dengan nilai Anda sendiri:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
    $tdg.Id = "<Group object ID>"
    $tdg.DisplayName = "<Group display name>"
    
  3. Tambahkan grup ke targetDeviceGroup objek dengan menjalankan perintah berikut:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
    

    Outputnya harus serupa:

    Id                                   DisplayName
    --                                   -----------
    12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
    

    Ulangi langkah 2 dan 3 untuk setiap grup yang ingin Anda tambahkan ke targetDeviceGroup objek, hingga maksimum 10 grup.

  4. Jika nanti Anda perlu menghapus grup perangkat dari targetDeviceGroup objek, jalankan perintah berikut, ganti <placeholders> dengan nilai Anda sendiri:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
    

Membuat objek Kerberos Server

Jika host sesi Anda memenuhi kriteria berikut, Anda harus Membuat objek Kerberos Server:

  • Host sesi Anda bergabung dengan microsoft Entra hybrid. Anda harus memiliki objek Kerberos Server untuk menyelesaikan autentikasi ke pengendali domain.
  • Host sesi Anda bergabung dengan Microsoft Entra dan lingkungan Anda berisi pengontrol domain Direktori Aktif. Anda harus memiliki objek Kerberos Server bagi pengguna untuk mengakses sumber daya lokal, seperti berbagi SMB, dan autentikasi terintegrasi Windows ke situs web.

Penting

Jika Anda mengaktifkan akses menyeluruh pada host sesi gabungan hibrid Microsoft Entra sebelum Anda membuat objek server Kerberos, salah satu hal berikut dapat terjadi:

  • Anda menerima pesan kesalahan yang mengatakan sesi tertentu tidak ada.
  • Akses menyeluruh akan dilewati dan Anda melihat dialog autentikasi standar untuk host sesi.

Untuk mengatasi masalah ini, buat objek Kerberos Server, lalu sambungkan lagi.

Tinjau kebijakan akses bersyarah Anda

Saat akses menyeluruh diaktifkan, aplikasi ID Microsoft Entra baru diperkenalkan untuk mengautentikasi pengguna ke host sesi. Jika Anda memiliki kebijakan akses bersyarat yang berlaku saat mengakses Azure Virtual Desktop, tinjau rekomendasi tentang menyiapkan autentikasi multifaktor untuk memastikan pengguna memiliki pengalaman yang diinginkan.

Mengonfigurasi kumpulan host Anda untuk mengaktifkan akses menyeluruh

Untuk mengaktifkan akses menyeluruh di kumpulan host, Anda harus mengonfigurasi properti RDP berikut, yang dapat Anda lakukan menggunakan portal Azure atau PowerShell. Anda dapat menemukan langkah-langkah untuk mengonfigurasi properti RDP di properti Sesuaikan Protokol Desktop Jauh (RDP) untuk kumpulan host.

  • Di portal Azure, atur akses menyeluruh Microsoft Entra ke Koneksi akan menggunakan autentikasi Microsoft Entra untuk menyediakan akses menyeluruh.
  • Untuk PowerShell, atur properti enablerdsaadauth ke 1.

Langkah berikutnya