Metode autentikasi dan identitas yang didukung

  • Artikel

Dalam artikel ini, kami akan memberi Anda ringkasan terkait jenis identitas dan metode autentikasi apa yang dapat Anda gunakan di Azure Virtual Desktop.

Identitas

Azure Virtual Desktop mendukung berbagai jenis identitas bergantung pada konfigurasi yang Anda pilih. Bagian ini menjelaskan identitas mana yang dapat Anda gunakan untuk setiap konfigurasi.

Penting

Azure Virtual Desktop tidak mendukung masuk ke MICROSOFT Entra ID dengan satu akun pengguna, lalu masuk ke Windows dengan akun pengguna terpisah. Masuk dengan dua akun berbeda secara bersamaan dapat menyebabkan pengguna terhubung kembali ke host sesi yang salah, informasi yang salah atau hilang di portal Azure, dan pesan kesalahan muncul saat menggunakan lampiran aplikasi MSIX.

Identitas lokal

Karena pengguna harus dapat ditemukan melalui ID Microsoft Entra untuk mengakses Azure Virtual Desktop, identitas pengguna yang hanya ada di Active Directory Domain Services (AD DS) tidak didukung. Hal ini termasuk penyebaran Active Directory mandiri dengan Layanan Federasi Direktori Aktif (AD FS).

Identitas hibrida

Azure Virtual Desktop mendukung identitas hibrid melalui ID Microsoft Entra, termasuk yang digabungkan menggunakan Layanan Federasi Direktori Aktif. Anda dapat mengelola identitas pengguna ini di AD DS dan menyinkronkannya ke ID Microsoft Entra menggunakan Microsoft Entra Koneksi. Anda juga dapat menggunakan ID Microsoft Entra untuk mengelola identitas ini dan menyinkronkannya ke Microsoft Entra Domain Services.

Saat mengakses Azure Virtual Desktop menggunakan identitas hibrid, terkadang Nama Prinsipal Pengguna (UPN) atau Pengidentifikasi Keamanan (SID) untuk pengguna di Direktori Aktif (AD) dan ID Microsoft Entra tidak cocok. Misalnya, akun user@contoso.local AD mungkin sesuai dengan user@contoso.com di ID Microsoft Entra. Azure Virtual Desktop hanya mendukung jenis konfigurasi ini jika UPN atau SID untuk akun AD dan Microsoft Entra ID Anda cocok. SID mengacu pada properti objek pengguna "ObjectSID" di AD dan "OnPremisesSecurityIdentifier" di MICROSOFT Entra ID.

Identitas hanya cloud

Azure Virtual Desktop mendukung identitas khusus cloud saat menggunakan VM yang bergabung dengan Microsoft Entra. Pengguna ini dibuat dan dikelola langsung di MICROSOFT Entra ID.

Catatan

Anda juga dapat menetapkan identitas hibrid ke grup Aplikasi Azure Virtual Desktop yang menghosting host Sesi dengan jenis gabungan Microsoft Entra.

Penyedia identitas pihak ketiga

Jika Anda menggunakan Penyedia Identitas (IdP) selain ID Microsoft Entra untuk mengelola akun pengguna, Anda harus memastikan bahwa:

  • IdP Anda digabungkan dengan ID Microsoft Entra.
  • Host sesi Anda bergabung dengan Microsoft Entra atau Gabungan hibrid Microsoft Entra.
  • Anda mengaktifkan autentikasi Microsoft Entra ke host sesi.

Identitas Eksternal

Azure Virtual Desktop saat ini tidak mendukung identitas eksternal.

Metode autentikasi

Untuk pengguna yang terhubung ke sesi jarak jauh, ada tiga titik autentikasi terpisah:

  • Autentikasi layanan ke Azure Virtual Desktop: mengambil daftar sumber daya yang dapat diakses pengguna saat mengakses klien. Pengalaman tergantung pada konfigurasi akun Microsoft Entra. Misalnya, jika pengguna mengaktifkan autentikasi multifaktor, pengguna diminta untuk akun pengguna mereka dan bentuk autentikasi kedua, dengan cara yang sama seperti mengakses layanan lain.

  • Host sesi: saat memulai sesi jarak jauh. Nama pengguna dan kata sandi diperlukan untuk host sesi, tetapi ini mulus bagi pengguna jika akses menyeluruh (SSO) diaktifkan.

  • Autentikasi dalam sesi: menyambungkan ke sumber daya lain dalam sesi jarak jauh.

Bagian berikut menjelaskan masing-masing titik autentikasi ini secara lebih rinci.

Autentikasi layanan

Untuk mengakses sumber daya Azure Virtual Desktop, Anda harus terlebih dahulu mengautentikasi ke layanan dengan masuk dengan akun Microsoft Entra. Autentikasi terjadi setiap kali Anda berlangganan ke ruang kerja untuk mengambil sumber daya dan terhubung ke aplikasi atau desktop. Anda dapat menggunakan penyedia identitas pihak ketiga selama mereka bergabung dengan ID Microsoft Entra.

Autentikasi multifaktor

Ikuti instruksi di Terapkan autentikasi multifaktor Microsoft Entra untuk Azure Virtual Desktop menggunakan Akses Bersyarah untuk mempelajari cara menerapkan autentikasi multifaktor Microsoft Entra untuk penyebaran Anda. Artikel itu juga akan memberi tahu Anda cara mengonfigurasi seberapa sering pengguna Anda diminta untuk memasukkan info masuk mereka. Saat menyebarkan VM yang bergabung dengan Microsoft Entra, perhatikan langkah tambahan untuk VM host sesi gabungan Microsoft Entra.

Autentikasi tanpa kata sandi

Anda dapat menggunakan jenis autentikasi apa pun yang didukung oleh ID Microsoft Entra, seperti Windows Hello untuk Bisnis dan opsi autentikasi tanpa kata sandi lainnya (misalnya, kunci FIDO), untuk mengautentikasi ke layanan.

Mengonfigurasi Autentikasi Kartu Pintar

Untuk menggunakan kartu pintar untuk mengautentikasi ke ID Microsoft Entra, Anda harus terlebih dahulu mengonfigurasi AD FS untuk autentikasi sertifikat pengguna atau mengonfigurasi autentikasi berbasis sertifikat Microsoft Entra.

Autentikasi host sesi

Jika Anda belum mengaktifkan akses menyeluruh atau menyimpan info masuk Anda secara lokal, Anda juga harus mengautentikasi ke host sesi saat membuat koneksi. Daftar berikut ini menjelaskan jenis autentikasi mana yang saat ini didukung oleh setiap klien Azure Virtual Desktop. Beberapa klien mungkin memerlukan versi tertentu untuk digunakan, yang dapat Anda temukan di tautan untuk setiap jenis autentikasi.

Klien Jenis autentikasi yang didukung
Klien Desktop Windows Nama pengguna dan kata sandi
Kartu pintar
Kepercayaan sertifikat Windows Hello untuk Business
Kepercayaan kunci Windows Hello untuk Business dengan sertifikat
Autentikasi Microsoft Entra
Aplikasi Azure Virtual Desktop Store Nama pengguna dan kata sandi
Kartu pintar
Kepercayaan sertifikat Windows Hello untuk Business
Kepercayaan kunci Windows Hello untuk Business dengan sertifikat
Autentikasi Microsoft Entra
Aplikasi Desktop Jauh Nama pengguna dan kata sandi
Klien web Nama pengguna dan kata sandi
Autentikasi Microsoft Entra
Klien Android Nama pengguna dan kata sandi
Autentikasi Microsoft Entra
Klien iOS Nama pengguna dan kata sandi
Autentikasi Microsoft Entra
Klien macOS Nama pengguna dan kata sandi
Kartu pintar: dukungan untuk akses masuk berbasis kartu pintar menggunakan pengalihan kartu pintar saat diminta Winlogon jika NLA tidak dinegosiasikan.
Autentikasi Microsoft Entra

Penting

Agar autentikasi berfungsi baik, komputer lokal harus dapat mengakses URL yang diperlukan untuk klien Desktop Jauh.

Akses menyeluruh (SSO)

SSO memungkinkan koneksi untuk melewati permintaan kredensial host sesi dan otomatis memasukkan pengguna ke Windows. Untuk host sesi yang bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra, disarankan untuk mengaktifkan SSO menggunakan autentikasi Microsoft Entra. Autentikasi Microsoft Entra memberikan manfaat lain termasuk autentikasi tanpa kata sandi dan dukungan untuk penyedia identitas pihak ketiga.

Azure Virtual Desktop juga mendukung SSO menggunakan Layanan Federasi Direktori Aktif (ADFS) untuk klien Desktop Windows dan web.

Tanpa SSO, klien akan meminta kredensial host sesi mereka untuk setiap koneksi. Satu-satunya cara agar tidak diminta adalah untuk menyimpan kredensial di klien. Sebaiknya hanya simpan info masuk pada perangkat yang aman untuk mencegah pengguna lain mengakses sumber daya Anda.

Kartu pintar dan Windows Hello untuk Bisnis

Azure Virtual Desktop mendukung NT LAN Manager (NTLM) dan Kerberos untuk autentikasi host sesi, tetapi Kartu pintar dan Windows Hello untuk Bisnis hanya dapat menggunakan Kerberos untuk masuk. Untuk menggunakan Kerberos, klien perlu mendapatkan tiket keamanan Kerberos dari layanan Pusat Distribusi Kunci (KDC) yang berjalan di pengontrol domain. Untuk mendapatkan tiket, klien memerlukan garis pandang jaringan langsung ke pengontrol domain. Anda bisa mendapatkan garis pandang dengan menghubungkan langsung dalam jaringan perusahaan Anda, menggunakan koneksi VPN atau menyiapkan Server Proksi KDC.

Autentikasi dalam sesi

Setelah tersambung ke RemoteApp atau desktop, Anda mungkin diminta untuk autentikasi di dalam sesi. Bagian ini menjelaskan cara menggunakan info masuk selain nama pengguna dan kata sandi dalam skenario ini.

Autentikasi tanpa kata sandi dalam sesi

Azure Virtual Desktop mendukung autentikasi tanpa kata sandi dalam sesi menggunakan Windows Hello untuk Bisnis atau perangkat keamanan seperti kunci FIDO saat menggunakan klien Windows Desktop. Autentikasi tanpa kata sandi diaktifkan secara otomatis ketika host sesi dan PC lokal menggunakan sistem operasi berikut:

Untuk menonaktifkan autentikasi tanpa kata sandi pada kumpulan host, Anda harus menyesuaikan properti RDP. Anda dapat menemukan properti pengalihan WebAuthn di bawah tab Pengalihan perangkat di portal Azure atau mengatur properti redirectwebauthn ke 0 menggunakan PowerShell.

Saat diaktifkan, semua permintaan WebAuthn dalam sesi dialihkan ke PC lokal. Anda dapat menggunakan Windows Hello untuk Bisnis atau perangkat keamanan yang terpasang secara lokal untuk menyelesaikan proses autentikasi.

Untuk mengakses sumber daya Microsoft Entra dengan Windows Hello untuk Bisnis atau perangkat keamanan, Anda harus mengaktifkan Kunci Keamanan FIDO2 sebagai metode autentikasi untuk pengguna Anda. Untuk mengaktifkan metode ini, ikuti langkah-langkah dalam Mengaktifkan metode kunci keamanan FIDO2.

Autentikasi kartu pintar dalam sesi

Untuk menggunakan kartu pintar dalam sesi Anda, pastikan Anda telah memasang driver kartu pintar pada host sesi dan mengaktifkan pengalihan kartu cerdas. Ulas bagan perbandingan klien untuk memastikan klien Anda mendukung pengalihan kartu pintar.

Langkah berikutnya