Host sesi gabungan Microsoft Entra di Azure Virtual Desktop
Artikel ini akan memandu Anda melalui proses penyebaran dan akses komputer virtual yang bergabung dengan Microsoft Entra di Azure Virtual Desktop. VM yang bergabung dengan Microsoft Entra menghapus kebutuhan untuk memiliki garis pandang dari VM ke Pengendali Domain Direktori Aktif (DC) lokal atau virtual atau untuk menyebarkan Microsoft Entra Domain Services. Dalam beberapa kasus, VM yang bergabung Azure Active Directory dapat menghilangkan kebutuhan untuk DC sepenuhnya, menyederhanakan penyebaran dan pengelolaan lingkungan. VM ini juga dapat secara otomatis terdaftar di Intune untuk kemudahan manajemen.
Batasan umum
Batasan yang diketahui berikut dapat memengaruhi akses ke sumber daya yang bergabung dengan domain lokal atau Direktori Aktif dan Anda harus mempertimbangkannya saat memutuskan apakah VM yang bergabung dengan Microsoft Entra tepat untuk lingkungan Anda.
- Azure Virtual Desktop (klasik) tidak mendukung VM yang bergabung dengan Microsoft Entra.
- VM yang bergabung dengan Microsoft Entra saat ini tidak mendukung identitas eksternal, seperti Microsoft Entra Business-to-Business (B2B) dan Microsoft Entra Business-to-Consumer (B2C).
- VM yang bergabung dengan Microsoft Entra hanya dapat mengakses berbagi Azure Files atau berbagi Azure NetApp Files untuk pengguna hibrid menggunakan profil pengguna Microsoft Entra Kerberos untuk FSLogix.
- Aplikasi Desktop Jauh untuk Windows tidak mendukung VM yang bergabung dengan Microsoft Entra.
Menyebarkan VM yang bergabung dengan Microsoft Entra
Anda dapat menyebarkan VM yang bergabung dengan Microsoft Entra langsung dari portal Azure saat membuat kumpulan host baru atau memperluas kumpulan host yang ada. Untuk menyebarkan VM yang bergabung dengan Microsoft Entra, buka tab Komputer Virtual , lalu pilih apakah akan bergabung dengan VM ke Direktori Aktif atau ID Microsoft Entra. Memilih Microsoft Entra ID memberi Anda opsi untuk mendaftarkan VM dengan Intune secara otomatis, yang memungkinkan Anda mengelola host sesi dengan mudah. Perlu diingat bahwa opsi ID Microsoft Entra hanya akan menggabungkan VM ke penyewa Microsoft Entra yang sama dengan langganan tempat Anda berada.
Catatan
- Kumpulan host hanya boleh berisi VM dari jenis gabungan domain yang sama. Misalnya, VM yang bergabung dengan Microsoft Entra hanya boleh dengan VM yang bergabung dengan Microsoft Entra lainnya, dan sebaliknya.
- VM di kumpulan host harus windows 11 atau Windows 10 sesi tunggal atau multi-sesi, versi 2004 atau yang lebih baru, atau Windows Server 2022 atau Windows Server 2019.
Tetapkan akses pengguna ke kumpulan host
Setelah membuat kumpulan host, Anda harus menetapkan akses pengguna ke sumber daya mereka. Untuk memberikan akses ke sumber daya, tambahkan setiap pengguna ke grup aplikasi. Ikuti instruksi di Mengelola grup aplikasi untuk menetapkan akses pengguna ke aplikasi dan desktop. Kami menyarankan Anda sebisa mungkin menggunakan grup pengguna, bukan pengguna individual.
Untuk VM yang bergabung dengan Microsoft Entra, Anda harus melakukan dua hal tambahan selain persyaratan untuk penyebaran berbasis Active Directory atau Microsoft Entra Domain Services:
- Tetapkan peran Masuk Pengguna Mesin Virtual kepada pengguna Anda sehingga mereka dapat masuk ke VM.
- Tetapkan peran Masuk Admin Mesin Virtual kepada admin yang memerlukan hak istimewa admin lokal.
Untuk memberi pengguna akses ke VM yang bergabung dengan Microsoft Entra, Anda harus mengonfigurasi penetapan peran untuk VM. Anda dapat menetapkan peran Login Pengguna Mesin virtual atau Login Administrator Mesin virtual baik di VM, grup sumber daya yang berisi VM, atau langganan. Sebaiknya tetapkan peran Masuk Pengguna Komputer Virtual ke grup pengguna yang sama dengan yang Anda gunakan untuk grup aplikasi di tingkat grup sumber daya untuk membuatnya berlaku untuk semua VM di kumpulan host.
Mengakses VM yang bergabung dengan Microsoft Entra
Bagian ini menjelaskan cara mengakses VM yang bergabung dengan Microsoft Entra dari klien Azure Virtual Desktop yang berbeda.
Akses menyeluruh
Untuk pengalaman terbaik di semua platform, Anda harus mengaktifkan pengalaman akses menyeluruh menggunakan autentikasi Microsoft Entra saat mengakses VM yang bergabung dengan Microsoft Entra. Ikuti langkah-langkah untuk Mengonfigurasi akses menyeluruh untuk memberikan pengalaman koneksi yang lancar.
Koneksi menggunakan protokol autentikasi warisan
Jika Anda lebih suka tidak mengaktifkan akses menyeluruh, Anda dapat menggunakan konfigurasi berikut untuk mengaktifkan akses ke VM yang bergabung dengan Microsoft Entra.
Koneksi menggunakan klien Windows Desktop
Konfigurasi default mendukung koneksi dari Windows 11 atau Windows 10 menggunakan klien Windows Desktop. Anda dapat menggunakan mandat, kartu pintar, sertifikat kepercayaan Windows Hello untuk Bisnis atau kunci kepercayaan dengan sertifikat Windows Hello untuk Bisnis Anda untuk masuk ke host sesi. Namun, untuk mengakses host sesi, PC lokal Anda harus memenuhi salah satu syarat berikut:
- PC lokal adalah Microsoft Entra yang tergabung ke penyewa Microsoft Entra yang sama sebagai host sesi
- PC lokal adalah Microsoft Entra hibrida yang tergabung ke penyewa Microsoft Entra yang sama sebagai host sesi
- PC lokal menjalankan Windows 11 atau Windows 10, versi 2004 atau yang lebih baru, dan Microsoft Entra terdaftar ke penyewa Microsoft Entra yang sama dengan host sesi
Jika PC lokal Anda tidak memenuhi salah satu kondisi ini, tambahkan targetisaadjoined:i:1 sebagai properti RDP kustom ke kumpulan host. Koneksi ini dibatasi untuk memasukkan mandat nama pengguna dan kata sandi saat masuk ke host sesi.
Koneksi menggunakan klien lain
Untuk mengakses VM yang bergabung dengan Microsoft Entra menggunakan klien web, Android, macOS, dan iOS, Anda harus menambahkan targetisaadjoined:i:1 sebagai properti RDP kustom ke kumpulan host. Koneksi ini dibatasi untuk memasukkan mandat nama pengguna dan kata sandi saat masuk ke host sesi.
Memberlakukan autentikasi multifaktor Microsoft Entra untuk VM sesi gabungan Microsoft Entra
Anda dapat menggunakan autentikasi multifaktor Microsoft Entra dengan VM yang bergabung dengan Microsoft Entra. Ikuti langkah-langkah untuk Menerapkan autentikasi multifaktor Microsoft Entra untuk Azure Virtual Desktop menggunakan Akses Bersyar dan perhatikan langkah-langkah tambahan untuk VM host sesi yang bergabung dengan Microsoft Entra.
Jika Anda menggunakan autentikasi multifaktor Microsoft Entra dan tidak ingin membatasi masuk ke metode autentikasi yang kuat seperti Windows Hello untuk Bisnis, Anda harus mengecualikan aplikasi Masuk Azure Windows VM dari kebijakan Akses Bersyarat Anda.
Profil pengguna
Anda dapat menggunakan kontainer profil FSLogix dengan VM yang bergabung dengan Microsoft Entra saat menyimpannya di Azure Files atau Azure NetApp Files saat menggunakan akun pengguna hibrid. Untuk informasi selengkapnya, lihat Membuat kontainer profil dengan Azure Files dan ID Microsoft Entra.
Mengakses sumber lokal
Meskipun Anda tidak memerlukan Direktori Aktif untuk menyebarkan atau mengakses VM yang bergabung dengan Microsoft Entra, Direktori Aktif dan garis pandang diperlukan untuk mengakses sumber daya lokal dari VM tersebut. Untuk mempelajari selengkapnya tentang mengakses sumber daya lokal, lihat Cara kerja SSO ke sumber daya lokal di perangkat yang bergabung dengan Microsoft Entra.
Langkah berikutnya
Sekarang setelah Anda menyebarkan beberapa VM yang bergabung dengan Microsoft Entra, sebaiknya aktifkan akses menyeluruh sebelum menyambungkan dengan klien Azure Virtual Desktop yang didukung untuk mengujinya sebagai bagian dari sesi pengguna. Untuk mempelajari selengkapnya, lihat artikel ini: