Bagikan melalui


Mengonfigurasi akses menyeluruh untuk Azure Virtual Desktop menggunakan MICROSOFT Entra ID

Akses menyeluruh (SSO) untuk Azure Virtual Desktop menggunakan MICROSOFT Entra ID memberikan pengalaman masuk yang mulus bagi pengguna yang terhubung ke host sesi. Saat Anda mengaktifkan akses menyeluruh, pengguna mengautentikasi ke Windows menggunakan token ID Microsoft Entra. Token ini memungkinkan penggunaan autentikasi tanpa kata sandi dan penyedia identitas pihak ketiga yang bergabung dengan ID Microsoft Entra saat menyambungkan ke host sesi, membuat pengalaman masuk mulus.

Akses menyeluruh menggunakan ID Microsoft Entra juga memberikan pengalaman yang mulus untuk sumber daya berbasis ID Microsoft Entra dalam sesi. Untuk informasi selengkapnya tentang menggunakan autentikasi tanpa kata sandi dalam sesi, lihat Autentikasi tanpa kata sandi dalam sesi.

Untuk mengaktifkan akses menyeluruh menggunakan autentikasi ID Microsoft Entra, ada lima tugas yang harus Anda selesaikan:

  1. Aktifkan autentikasi Microsoft Entra untuk Protokol Desktop Jauh (RDP).

  2. Sembunyikan dialog permintaan persetujuan.

  3. Buat objek Kerberos Server, jika Active Directory Domain Services adalah bagian dari lingkungan Anda. Informasi selengkapnya tentang kriteria disertakan dalam bagiannya.

  4. Tinjau kebijakan akses bersyarat Anda.

  5. Konfigurasikan kumpulan host Anda untuk mengaktifkan akses menyeluruh.

Sebelum mengaktifkan akses menyeluruh

Sebelum Anda mengaktifkan akses menyeluruh, tinjau informasi berikut untuk menggunakannya di lingkungan Anda.

Perilaku kunci sesi

Saat akses menyeluruh menggunakan ID Microsoft Entra diaktifkan dan sesi jarak jauh dikunci, baik oleh pengguna atau berdasarkan kebijakan, Anda dapat memilih apakah sesi terputus atau layar kunci jarak jauh ditampilkan. Perilaku defaultnya adalah memutuskan sambungan sesi saat terkunci.

Saat perilaku kunci sesi diatur ke terputus, dialog ditampilkan untuk memberi tahu pengguna bahwa mereka terputus. Pengguna dapat memilih opsi Sambungkan kembali dari dialog saat mereka siap untuk tersambung lagi. Perilaku ini dilakukan untuk alasan keamanan dan untuk memastikan dukungan penuh autentikasi tanpa kata sandi. Memutuskan sambungan sesi memberikan manfaat berikut:

  • Pengalaman masuk yang konsisten melalui ID Microsoft Entra saat diperlukan.

  • Pengalaman akses menyeluruh dan koneksi ulang tanpa permintaan autentikasi saat diizinkan oleh kebijakan akses bersyarat.

  • Mendukung autentikasi tanpa kata sandi seperti kode akses dan perangkat FIDO2, bertentangan dengan layar kunci jarak jauh.

  • Kebijakan akses bersyarat, termasuk autentikasi multifaktor dan frekuensi masuk, dievaluasi kembali saat pengguna terhubung kembali ke sesi mereka.

  • Dapat memerlukan autentikasi multifaktor untuk kembali ke sesi dan mencegah pengguna membuka kunci dengan nama pengguna dan kata sandi sederhana.

Jika Anda ingin mengonfigurasi perilaku kunci sesi untuk menampilkan layar kunci jarak jauh alih-alih memutuskan sambungan sesi, lihat Mengonfigurasi perilaku kunci sesi.

Akun administrator domain Direktori Aktif dengan akses menyeluruh

Di lingkungan dengan Active Directory Domain Services (AD DS) dan akun pengguna hibrid, Kebijakan Replikasi Kata Sandi default pada pengontrol domain baca-saja menolak replikasi kata sandi untuk anggota grup keamanan Admin Domain dan Administrator. Kebijakan ini mencegah akun administrator ini masuk ke host gabungan hibrid Microsoft Entra dan mungkin terus meminta mereka untuk memasukkan kredensial mereka. Ini juga mencegah akun administrator mengakses sumber daya lokal yang menggunakan autentikasi Kerberos dari host yang bergabung dengan Microsoft Entra. Kami tidak menyarankan untuk menyambungkan ke sesi jarak jauh menggunakan akun yang merupakan administrator domain karena alasan keamanan.

Jika Anda perlu membuat perubahan pada host sesi sebagai administrator, masuk ke host sesi menggunakan akun non-administrator, lalu gunakan opsi Jalankan sebagai administrator atau alat runas dari perintah untuk mengubah ke administrator.

Prasyarat

Sebelum dapat mengaktifkan akses menyeluruh, Anda harus memenuhi prasyarat berikut:

Mengaktifkan autentikasi Microsoft Entra untuk RDP

Anda harus terlebih dahulu mengizinkan autentikasi Microsoft Entra untuk Windows di penyewa Microsoft Entra Anda, yang memungkinkan penerbitan token akses RDP yang memungkinkan pengguna untuk masuk ke host sesi Azure Virtual Desktop Anda. Anda mengatur isRemoteDesktopProtocolEnabled properti ke true pada objek perwakilan remoteDesktopSecurityConfiguration layanan untuk aplikasi Microsoft Entra berikut:

Nama Aplikasi ID Aplikasi
Desktop Jarak Jauh Microsoft a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login 270efc09-cd0d-444b-a71f-39af4910ec45

Penting

Sebagai bagian dari perubahan yang akan datang, kami beralih dari Desktop Jauh Microsoft ke Windows Cloud Login, mulai tahun 2024. Mengonfigurasi kedua aplikasi sekarang memastikan Anda siap untuk perubahan.

Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek remoteDesktopSecurityConfiguration baru pada perwakilan layanan dan atur properti isRemoteDesktopProtocolEnabled ke true. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.

  1. Buka Azure Cloud Shell di portal Azure dengan jenis terminal PowerShell, atau jalankan PowerShell di perangkat lokal Anda.

  1. Pastikan Anda menginstal Microsoft Graph PowerShell SDK dari prasyarat, lalu mengimpor modul Microsoft Graph Autentikasi dan Aplikasi dan menyambungkan ke Microsoft Graph dengan cakupan dan Application-RemoteDesktopConfig.ReadWrite.All dengan Application.Read.All menjalankan perintah berikut:

    Import-Module Microsoft.Graph.Authentication
    Import-Module Microsoft.Graph.Applications
    
    Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
    
  2. Dapatkan ID objek untuk setiap perwakilan layanan dan simpan dalam variabel dengan menjalankan perintah berikut:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
    $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
    
  3. Atur properti isRemoteDesktopProtocolEnabled ke true dengan menjalankan perintah berikut. Tidak ada output dari perintah ini.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
        Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
    }
    
    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
        Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
    }
    
  4. Konfirmasikan properti isRemoteDesktopProtocolEnabled diatur ke true dengan menjalankan perintah berikut:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
    

    Output akan terlihat seperti:

    Id IsRemoteDesktopProtocolEnabled
    -- ------------------------------
    id True
    

Secara default saat akses menyeluruh diaktifkan, pengguna melihat dialog untuk mengizinkan koneksi Desktop Jauh saat menyambungkan ke host sesi baru. Microsoft Entra mengingat hingga 15 host selama 30 hari sebelum meminta lagi. Jika pengguna melihat dialog ini untuk mengizinkan koneksi Desktop Jauh, mereka dapat memilih Ya untuk tersambung.

Anda dapat menyembunyikan dialog ini dengan mengonfigurasi daftar perangkat tepercaya. Untuk mengonfigurasi daftar perangkat, buat satu atau beberapa grup di ID Microsoft Entra yang berisi host sesi Anda, lalu tambahkan ID grup ke properti pada perwakilan layanan SSO, Desktop Jauh Microsoft, dan Windows Cloud Login.

Tip

Kami sarankan Anda menggunakan grup dinamis dan mengonfigurasi aturan keanggotaan dinamis untuk menyertakan semua host sesi Azure Virtual Desktop Anda. Anda dapat menggunakan nama perangkat dalam grup ini, tetapi untuk opsi yang lebih aman, Anda dapat mengatur dan menggunakan atribut ekstensi perangkat menggunakan Microsoft Graph API. Meskipun grup dinamis biasanya diperbarui dalam waktu 5-10 menit, penyewa besar dapat memakan waktu hingga 24 jam.

Grup dinamis memerlukan lisensi Microsoft Entra ID P1 atau lisensi Intune for Education. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup.

Untuk mengonfigurasi perwakilan layanan, gunakan Microsoft Graph PowerShell SDK untuk membuat objek targetDeviceGroup baru pada perwakilan layanan dengan ID objek grup dinamis dan nama tampilan. Anda juga dapat menggunakan Microsoft Graph API dengan alat seperti Graph Explorer.

  1. Buat grup dinamis di MICROSOFT Entra ID yang berisi host sesi yang ingin Anda sembunyikan dialognya. Catat ID objek grup untuk langkah berikutnya.

  2. Dalam sesi PowerShell yang sama, buat targetDeviceGroup objek dengan menjalankan perintah berikut, mengganti <placeholders> dengan nilai Anda sendiri:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
    $tdg.Id = "<Group object ID>"
    $tdg.DisplayName = "<Group display name>"
    
  3. Tambahkan grup ke targetDeviceGroup objek dengan menjalankan perintah berikut:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
    

    Output harus mirip dengan contoh berikut:

    Id                                   DisplayName
    --                                   -----------
    12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
    

    Ulangi langkah 2 dan 3 untuk setiap grup yang ingin Anda tambahkan ke targetDeviceGroup objek, hingga maksimum 10 grup.

  4. Jika nanti Anda perlu menghapus grup perangkat dari targetDeviceGroup objek, jalankan perintah berikut, ganti <placeholders> dengan nilai Anda sendiri:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
    

Membuat objek server Kerberos

Jika host sesi Anda memenuhi kriteria berikut, Anda harus membuat objek server Kerberos. Untuk informasi selengkapnya, lihat Mengaktifkan masuk kunci keamanan tanpa kata sandi ke sumber daya lokal dengan menggunakan ID Microsoft Entra, khususnya bagian untuk Membuat objek Kerberos Server:

  • Host sesi Anda bergabung dengan microsoft Entra hybrid. Anda harus memiliki objek server Kerberos untuk menyelesaikan autentikasi ke pengendali domain.

  • Host sesi Anda bergabung dengan Microsoft Entra dan lingkungan Anda berisi pengontrol domain Direktori Aktif. Anda harus memiliki objek server Kerberos bagi pengguna untuk mengakses sumber daya lokal, seperti berbagi SMB dan autentikasi terintegrasi Windows ke situs web.

Penting

Jika Anda mengaktifkan akses menyeluruh pada host sesi gabungan hibrid Microsoft Entra tanpa membuat objek server Kerberos, salah satu hal berikut dapat terjadi saat Anda mencoba menyambungkan ke sesi jarak jauh:

  • Anda menerima pesan kesalahan yang mengatakan sesi tertentu tidak ada.
  • Akses menyeluruh akan dilewati dan Anda melihat dialog autentikasi standar untuk host sesi.

Untuk mengatasi masalah ini, buat objek server Kerberos, lalu sambungkan lagi.

Tinjau kebijakan akses bersyarah Anda

Saat akses menyeluruh diaktifkan, aplikasi ID Microsoft Entra baru diperkenalkan untuk mengautentikasi pengguna ke host sesi. Jika Anda memiliki kebijakan akses bersyarat yang berlaku saat mengakses Azure Virtual Desktop, tinjau rekomendasi tentang menyiapkan autentikasi multifaktor untuk memastikan pengguna memiliki pengalaman yang diinginkan.

Mengonfigurasi kumpulan host Anda untuk mengaktifkan akses menyeluruh

Untuk mengaktifkan akses menyeluruh di kumpulan host, Anda harus mengonfigurasi properti RDP berikut, yang dapat Anda lakukan menggunakan portal Azure atau PowerShell. Anda dapat menemukan langkah-langkah untuk mengonfigurasi properti RDP di properti Sesuaikan Protokol Desktop Jauh (RDP) untuk kumpulan host.

  • Di portal Azure, atur akses menyeluruh Microsoft Entra ke Koneksi akan menggunakan autentikasi Microsoft Entra untuk menyediakan akses menyeluruh.

  • Untuk PowerShell, atur properti enablerdsaadauth ke 1.

Langkah berikutnya