Mengonfigurasi akses menyeluruh untuk Azure Virtual Desktop menggunakan MICROSOFT Entra ID
Akses menyeluruh (SSO) untuk Azure Virtual Desktop menggunakan MICROSOFT Entra ID memberikan pengalaman masuk yang mulus bagi pengguna yang terhubung ke host sesi. Saat Anda mengaktifkan akses menyeluruh, pengguna mengautentikasi ke Windows menggunakan token ID Microsoft Entra. Token ini memungkinkan penggunaan autentikasi tanpa kata sandi dan penyedia identitas pihak ketiga yang bergabung dengan ID Microsoft Entra saat menyambungkan ke host sesi, membuat pengalaman masuk mulus.
Akses menyeluruh menggunakan ID Microsoft Entra juga memberikan pengalaman yang mulus untuk sumber daya berbasis ID Microsoft Entra dalam sesi. Untuk informasi selengkapnya tentang menggunakan autentikasi tanpa kata sandi dalam sesi, lihat Autentikasi tanpa kata sandi dalam sesi.
Untuk mengaktifkan akses menyeluruh menggunakan autentikasi ID Microsoft Entra, ada lima tugas yang harus Anda selesaikan:
Aktifkan autentikasi Microsoft Entra untuk Protokol Desktop Jauh (RDP).
Sembunyikan dialog permintaan persetujuan.
Buat objek Kerberos Server, jika Active Directory Domain Services adalah bagian dari lingkungan Anda. Informasi selengkapnya tentang kriteria disertakan dalam bagiannya.
Tinjau kebijakan akses bersyarat Anda.
Konfigurasikan kumpulan host Anda untuk mengaktifkan akses menyeluruh.
Sebelum mengaktifkan akses menyeluruh
Sebelum Anda mengaktifkan akses menyeluruh, tinjau informasi berikut untuk menggunakannya di lingkungan Anda.
Perilaku kunci sesi
Saat akses menyeluruh menggunakan ID Microsoft Entra diaktifkan dan sesi jarak jauh dikunci, baik oleh pengguna atau berdasarkan kebijakan, Anda dapat memilih apakah sesi terputus atau layar kunci jarak jauh ditampilkan. Perilaku defaultnya adalah memutuskan sambungan sesi saat terkunci.
Saat perilaku kunci sesi diatur ke terputus, dialog ditampilkan untuk memberi tahu pengguna bahwa mereka terputus. Pengguna dapat memilih opsi Sambungkan kembali dari dialog saat mereka siap untuk tersambung lagi. Perilaku ini dilakukan untuk alasan keamanan dan untuk memastikan dukungan penuh autentikasi tanpa kata sandi. Memutuskan sambungan sesi memberikan manfaat berikut:
Pengalaman masuk yang konsisten melalui ID Microsoft Entra saat diperlukan.
Pengalaman akses menyeluruh dan koneksi ulang tanpa permintaan autentikasi saat diizinkan oleh kebijakan akses bersyarat.
Mendukung autentikasi tanpa kata sandi seperti kode akses dan perangkat FIDO2, bertentangan dengan layar kunci jarak jauh.
Kebijakan akses bersyarat, termasuk autentikasi multifaktor dan frekuensi masuk, dievaluasi kembali saat pengguna terhubung kembali ke sesi mereka.
Dapat memerlukan autentikasi multifaktor untuk kembali ke sesi dan mencegah pengguna membuka kunci dengan nama pengguna dan kata sandi sederhana.
Jika Anda ingin mengonfigurasi perilaku kunci sesi untuk menampilkan layar kunci jarak jauh alih-alih memutuskan sambungan sesi, lihat Mengonfigurasi perilaku kunci sesi.
Akun administrator domain Direktori Aktif dengan akses menyeluruh
Di lingkungan dengan Active Directory Domain Services (AD DS) dan akun pengguna hibrid, Kebijakan Replikasi Kata Sandi default pada pengontrol domain baca-saja menolak replikasi kata sandi untuk anggota grup keamanan Admin Domain dan Administrator. Kebijakan ini mencegah akun administrator ini masuk ke host gabungan hibrid Microsoft Entra dan mungkin terus meminta mereka untuk memasukkan kredensial mereka. Ini juga mencegah akun administrator mengakses sumber daya lokal yang menggunakan autentikasi Kerberos dari host yang bergabung dengan Microsoft Entra. Kami tidak menyarankan untuk menyambungkan ke sesi jarak jauh menggunakan akun yang merupakan administrator domain karena alasan keamanan.
Jika Anda perlu membuat perubahan pada host sesi sebagai administrator, masuk ke host sesi menggunakan akun non-administrator, lalu gunakan opsi Jalankan sebagai administrator atau alat runas dari perintah untuk mengubah ke administrator.
Prasyarat
Sebelum dapat mengaktifkan akses menyeluruh, Anda harus memenuhi prasyarat berikut:
Untuk mengonfigurasi penyewa Microsoft Entra, Anda harus diberi salah satu peran bawaan Microsoft Entra berikut atau yang setara:
Host sesi Anda harus menjalankan salah satu sistem operasi berikut dengan pembaruan kumulatif yang relevan terinstal:
Windows 11 Enterprise tunggal atau multi-sesi dengan Pembaruan Kumulatif 2022-10 untuk Windows 11 (KB5018418) atau yang lebih baru diinstal.
Windows 10 Enterprise tunggal atau multi-sesi dengan Pembaruan Kumulatif 2022-10 untuk Windows 10 (KB5018410) atau yang lebih baru diinstal.
Windows Server 2022 dengan Pembaruan Kumulatif 2022-10 untuk sistem operasi server Microsoft (KB5018421) atau yang lebih baru diinstal.
Host sesi Anda harus bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra. Host sesi yang bergabung ke Microsoft Entra Domain Services atau ke Active Directory Domain Services saja tidak didukung.
Jika host sesi gabungan hibrid Microsoft Entra Anda berada di domain Direktori Aktif yang berbeda dari akun pengguna Anda, harus ada kepercayaan dua arah antara kedua domain. Tanpa kepercayaan dua arah, koneksi kembali ke protokol autentikasi yang lebih lama.
Instal Microsoft Graph PowerShell SDK versi 2.9.0 atau yang lebih baru di perangkat lokal Anda atau di Azure Cloud Shell.
Klien Desktop Jauh yang didukung untuk menyambungkan ke sesi jarak jauh. Klien berikut didukung:
Klien Windows Desktop pada PC lokal yang menjalankan Windows 10 atau yang lebih baru. Tidak ada persyaratan untuk PC lokal untuk digabungkan ke ID Microsoft Entra atau domain Direktori Aktif.
klien macOS, versi 10.8.2 atau yang lebih baru.
Klien iOS, versi 10.5.1 atau yang lebih baru.
Klien Android, versi 10.0.16 atau yang lebih baru.
Mengaktifkan autentikasi Microsoft Entra untuk RDP
Anda harus terlebih dahulu mengizinkan autentikasi Microsoft Entra untuk Windows di penyewa Microsoft Entra Anda, yang memungkinkan penerbitan token akses RDP yang memungkinkan pengguna untuk masuk ke host sesi Azure Virtual Desktop Anda. Anda mengatur isRemoteDesktopProtocolEnabled
properti ke true pada objek perwakilan remoteDesktopSecurityConfiguration
layanan untuk aplikasi Microsoft Entra berikut:
Nama Aplikasi | ID Aplikasi |
---|---|
Desktop Jarak Jauh Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
Windows Cloud Login | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Penting
Sebagai bagian dari perubahan yang akan datang, kami beralih dari Desktop Jauh Microsoft ke Windows Cloud Login, mulai tahun 2024. Mengonfigurasi kedua aplikasi sekarang memastikan Anda siap untuk perubahan.
Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek remoteDesktopSecurityConfiguration baru pada perwakilan layanan dan atur properti isRemoteDesktopProtocolEnabled
ke true
. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.
Buka Azure Cloud Shell di portal Azure dengan jenis terminal PowerShell, atau jalankan PowerShell di perangkat lokal Anda.
Jika Anda menggunakan Cloud Shell, pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.
Jika Anda menggunakan PowerShell secara lokal, pertama-tama masuk dengan Azure PowerShell, lalu pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.
Pastikan Anda menginstal Microsoft Graph PowerShell SDK dari prasyarat, lalu mengimpor modul Microsoft Graph Autentikasi dan Aplikasi dan menyambungkan ke Microsoft Graph dengan cakupan dan
Application-RemoteDesktopConfig.ReadWrite.All
denganApplication.Read.All
menjalankan perintah berikut:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
Dapatkan ID objek untuk setiap perwakilan layanan dan simpan dalam variabel dengan menjalankan perintah berikut:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
Atur properti
isRemoteDesktopProtocolEnabled
ketrue
dengan menjalankan perintah berikut. Tidak ada output dari perintah ini.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }
Konfirmasikan properti
isRemoteDesktopProtocolEnabled
diatur ketrue
dengan menjalankan perintah berikut:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
Output akan terlihat seperti:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Sembunyikan dialog permintaan persetujuan
Secara default saat akses menyeluruh diaktifkan, pengguna melihat dialog untuk mengizinkan koneksi Desktop Jauh saat menyambungkan ke host sesi baru. Microsoft Entra mengingat hingga 15 host selama 30 hari sebelum meminta lagi. Jika pengguna melihat dialog ini untuk mengizinkan koneksi Desktop Jauh, mereka dapat memilih Ya untuk tersambung.
Anda dapat menyembunyikan dialog ini dengan mengonfigurasi daftar perangkat tepercaya. Untuk mengonfigurasi daftar perangkat, buat satu atau beberapa grup di ID Microsoft Entra yang berisi host sesi Anda, lalu tambahkan ID grup ke properti pada perwakilan layanan SSO, Desktop Jauh Microsoft, dan Windows Cloud Login.
Tip
Kami sarankan Anda menggunakan grup dinamis dan mengonfigurasi aturan keanggotaan dinamis untuk menyertakan semua host sesi Azure Virtual Desktop Anda. Anda dapat menggunakan nama perangkat dalam grup ini, tetapi untuk opsi yang lebih aman, Anda dapat mengatur dan menggunakan atribut ekstensi perangkat menggunakan Microsoft Graph API. Meskipun grup dinamis biasanya diperbarui dalam waktu 5-10 menit, penyewa besar dapat memakan waktu hingga 24 jam.
Grup dinamis memerlukan lisensi Microsoft Entra ID P1 atau lisensi Intune for Education. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup.
Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek targetDeviceGroup baru pada perwakilan layanan dengan ID objek grup dinamis dan nama tampilan. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.
Buat grup dinamis di MICROSOFT Entra ID yang berisi host sesi yang ingin Anda sembunyikan dialognya. Catat ID objek grup untuk langkah berikutnya.
Dalam sesi PowerShell yang sama, buat
targetDeviceGroup
objek dengan menjalankan perintah berikut, mengganti<placeholders>
dengan nilai Anda sendiri:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"
Tambahkan grup ke
targetDeviceGroup
objek dengan menjalankan perintah berikut:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
Output harus mirip dengan contoh berikut:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
Ulangi langkah 2 dan 3 untuk setiap grup yang ingin Anda tambahkan ke
targetDeviceGroup
objek, hingga maksimum 10 grup.Jika nanti Anda perlu menghapus grup perangkat dari
targetDeviceGroup
objek, jalankan perintah berikut, ganti<placeholders>
dengan nilai Anda sendiri:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Membuat objek server Kerberos
Jika host sesi Anda memenuhi kriteria berikut, Anda harus membuat objek server Kerberos. Untuk informasi selengkapnya, lihat Mengaktifkan masuk kunci keamanan tanpa kata sandi ke sumber daya lokal dengan menggunakan ID Microsoft Entra, khususnya bagian untuk Membuat objek Kerberos Server:
Host sesi Anda bergabung dengan microsoft Entra hybrid. Anda harus memiliki objek server Kerberos untuk menyelesaikan autentikasi ke pengendali domain.
Host sesi Anda bergabung dengan Microsoft Entra dan lingkungan Anda berisi pengontrol domain Direktori Aktif. Anda harus memiliki objek server Kerberos bagi pengguna untuk mengakses sumber daya lokal, seperti berbagi SMB dan autentikasi terintegrasi Windows ke situs web.
Penting
Jika Anda mengaktifkan akses menyeluruh pada host sesi gabungan hibrid Microsoft Entra tanpa membuat objek server Kerberos, salah satu hal berikut dapat terjadi saat Anda mencoba menyambungkan ke sesi jarak jauh:
- Anda menerima pesan kesalahan yang mengatakan sesi tertentu tidak ada.
- Akses menyeluruh akan dilewati dan Anda melihat dialog autentikasi standar untuk host sesi.
Untuk mengatasi masalah ini, buat objek server Kerberos, lalu sambungkan lagi.
Tinjau kebijakan akses bersyarah Anda
Saat akses menyeluruh diaktifkan, aplikasi ID Microsoft Entra baru diperkenalkan untuk mengautentikasi pengguna ke host sesi. Jika Anda memiliki kebijakan akses bersyarat yang berlaku saat mengakses Azure Virtual Desktop, tinjau rekomendasi tentang menyiapkan autentikasi multifaktor untuk memastikan pengguna memiliki pengalaman yang diinginkan.
Mengonfigurasi kumpulan host Anda untuk mengaktifkan akses menyeluruh
Untuk mengaktifkan akses menyeluruh di kumpulan host, Anda harus mengonfigurasi properti RDP berikut, yang dapat Anda lakukan menggunakan portal Azure atau PowerShell. Anda dapat menemukan langkah-langkah untuk mengonfigurasi properti RDP di properti Sesuaikan Protokol Desktop Jauh (RDP) untuk kumpulan host.
Di portal Azure, atur akses menyeluruh Microsoft Entra ke Koneksi akan menggunakan autentikasi Microsoft Entra untuk menyediakan akses menyeluruh.
Untuk PowerShell, atur properti enablerdsaadauth ke 1.
Langkah berikutnya
Lihat Autentikasi tanpa kata sandi dalam sesi untuk mempelajari cara mengaktifkan autentikasi tanpa kata sandi.
Pelajari cara Mengonfigurasi perilaku kunci sesi untuk Azure Virtual Desktop.
Untuk informasi selengkapnya tentang Microsoft Entra Kerberos, lihat Mendalami: Cara kerja Microsoft Entra Kerberos.
Jika Anda mengalami masalah, buka Memecahkan masalah koneksi ke VM yang bergabung dengan Microsoft Entra.