Masuk ke komputer virtual Windows di Windows Server dengan dukungan Azure atau Arc, menggunakan ID Microsoft Entra dan Kontrol Akses Berbasis Peran Azure

Organisasi dapat meningkatkan keamanan perangkat Windows di Azure atau terhubung menggunakan Azure Arc dengan mengintegrasikan dengan autentikasi Microsoft Entra. Anda sekarang dapat menggunakan ID Microsoft Entra sebagai platform autentikasi inti ke Protokol Desktop Jauh (RDP) ke versi Windows yang didukung. Anda kemudian dapat mengontrol dan menerapkan Azure Role-Based Access Control (RBAC) serta kebijakan Akses Bersyarat secara terpusat yang memungkinkan atau menolak akses ke perangkat.

Artikel ini memperlihatkan kepada Anda cara membuat dan mengonfigurasi komputer Windows dan masuk dengan menggunakan autentikasi berbasis ID Microsoft Entra.

Ada banyak manfaat keamanan menggunakan autentikasi berbasis ID Microsoft Entra untuk masuk ke perangkat Windows di Azure atau terhubung menggunakan Azure Arc. Mereka meliputi:

• Gunakan autentikasi Microsoft Entra termasuk tanpa kata sandi untuk masuk ke perangkat Windows. Kurangi ketergantungan pada akun administrator lokal.
• Gunakan kompleksitas kata sandi dan kebijakan masa pakai kata sandi yang Anda konfigurasi untuk ID Microsoft Entra juga membantu mengamankan perangkat Windows.
• Gunakan kontrol akses berbasis peran Azure:
  • Tentukan siapa yang dapat masuk sebagai pengguna biasa atau dengan hak istimewa administrator.
  • Saat pengguna bergabung atau meninggalkan tim, Anda dapat memperbarui kebijakan kontrol akses berbasis peran Azure untuk memberikan akses yang sesuai.
  • Saat karyawan meninggalkan organisasi Anda dan akun pengguna mereka dinonaktifkan atau dihapus dari ID Microsoft Entra, mereka tidak lagi memiliki akses ke sumber daya Anda.
• Gunakan kebijakan Akses Bersyarat "MFA yang tahan phishing" dan sinyal lain seperti risiko sign-in pengguna.
• Gunakan Azure Policy untuk menyebarkan dan mengaudit kebijakan untuk mengharuskan Microsoft Entra masuk untuk perangkat Windows dan untuk menandai penggunaan akun lokal yang tidak disetujui di perangkat.
• Gunakan Intune untuk mengotomatisasi dan meningkatkan skala penyatuan Microsoft Entra dengan pendaftaran otomatis manajemen perangkat seluler (MDM) pada VM Windows Azure yang merupakan bagian dari penerapan infrastruktur desktop virtual (VDI) Anda. Pendaftaran otomatis MDM memerlukan lisensi Microsoft Entra ID P1. VM Windows Server tidak mendukung pendaftaran MDM.

Pendaftaran otomatis MDM memerlukan lisensi Microsoft Entra ID P1. VM Windows Server tidak mendukung pendaftaran MDM.

Penting

Setelah Anda mengaktifkan fitur ini, mesin virtual Azure atau mesin yang diaktifkan Arc akan dihubungkan dengan Microsoft Entra. Anda tidak dapat menggabungkannya ke domain lain, seperti Active Directory lokal atau Microsoft Entra Domain Services. Jika Anda perlu melakukannya, putuskan sambungan perangkat dari Microsoft Entra dengan menghapus instalan ekstensi. Selain itu, jika Anda menyebarkan gambar emas yang didukung, Anda dapat mengaktifkan autentikasi ID Microsoft Entra dengan menginstal ekstensi.

Persyaratan

Wilayah Azure dan distribusi Windows yang didukung

Fitur ini saat ini mendukung distribusi Windows berikut:

• Windows 11 21H2 atau yang lebih baru terinstal.
• Windows 10, versi 1809 atau yang lebih baru terinstal.
• Windows Server 1809 atau yang lebih baru diinstal dengan Desktop Experience.

• Windows 11 24H2 atau yang lebih baru terinstal.
• Windows Server 2025 atau yang lebih baru diinstal dengan Pengalaman Desktop.

Fitur ini sekarang tersedia di cloud Azure berikut:

• Azure Global
• Azure Government
• Microsoft Azure dioperasikan oleh 21Vianet

Catatan

Citra yang diperkuat CIS mendukung autentikasi ID Microsoft Entra untuk penawaran Microsoft Windows Enterprise dan Microsoft Windows Server. Untuk informasi selengkapnya, lihat: CIS Hardened Images di Microsoft Windows Enterprise.

Persyaratan jaringan

Untuk mengaktifkan autentikasi Microsoft Entra ke komputer virtual di Windows Server dengan dukungan Azure atau Arc, Anda perlu memastikan bahwa konfigurasi jaringan Anda mengizinkan akses keluar ke titik akhir berikut melalui port TCP 443.

Azure Global:

• https://enterpriseregistration.windows.net: Pendaftaran perangkat.

• http://169.254.169.254: Titik akhir Azure Instance Metadata Service.

• http://localhost:40342: Titik akhir Layanan Metadata Instans Arc.

• https://login.microsoftonline.com: Alur autentikasi.
• https://pas.windows.net: Alur kontrol akses berbasis peran Azure.

Azure Government:

• https://enterpriseregistration.microsoftonline.us: Pendaftaran perangkat.

• http://169.254.169.254: Titik akhir Azure Instance Metadata Service.

• http://localhost:40342: Titik akhir Layanan Metadata Instans Arc.

• https://login.microsoftonline.us: Alur autentikasi.
• https://pasff.usgovcloudapi.net: Alur kontrol akses berbasis peran Azure.

Microsoft Azure dioperasikan oleh 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn: Pendaftaran perangkat.

• http://169.254.169.254: Titik akhir Azure Instance Metadata Service.

• http://localhost:40342: Titik akhir Layanan Metadata Instans Arc.

• https://login.chinacloudapi.cn: Alur autentikasi.
• https://pas.chinacloudapi.cn: Alur kontrol akses berbasis peran Azure.

Untuk Windows Server dengan dukungan Azure Arc, lebih banyak persyaratan jaringan disediakan dalam dokumentasi server yang terhubung dengan Arc.

Persyaratan autentikasi

Akun Microsoft Entra Guest tidak dapat tersambung ke Azure VM, VM yang diaktifkan Azure Bastion, atau Windows Server yang diaktifkan Arc melalui autentikasi Microsoft Entra.

Mengaktifkan fitur masuk Microsoft Entra untuk mesin virtual Windows di Azure atau Windows Server dengan dukungan Arc

Untuk menggunakan fitur masuk Microsoft Entra untuk mesin virtual Windows di Azure atau di Windows Server yang mendukung Arc, Anda harus:

1. Aktifkan ekstensi masuk Microsoft Entra untuk perangkat.
2. Mengonfigurasi penetapan peran Azure untuk pengguna.

Mengaktifkan ekstensi log masuk Microsoft Entra

Ikuti tautan yang sesuai untuk perangkat Anda untuk panduan dan sampel penyebaran terperinci.

• Komputer virtual Azure yang menjalankan Windows
• Windows Server dengan dukungan Arc

Anda harus mengaktifkan identitas terkelola yang ditetapkan sistem di komputer virtual Azure atau Windows Server berkemampuan Arc sebelum menginstal ekstensi komputer virtual masuk Microsoft Entra. Identitas Terkelola disimpan dalam satu penyewa Microsoft Entra dan saat ini tidak mendukung skenario lintas direktori.

Sampel berikut menunjukkan templat Azure untuk ekstensi Azure Virtual Machine dan ekstensi untuk Windows Server dengan dukungan Arc.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.HybridCompute/machines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2024-07-10",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "2.1.0.0",
        "autoUpgradeMinorVersion": true,
        "settings": {
            "mdmId": ""
        }
      }
    }
  ]
}

Catatan

Ekstensi masuk Microsoft Entra untuk Windows Server berkemampuan Arc memerlukan properti mdmId yang disarangkan di dalam settings. Nilai properti dapat dibiarkan sebagai string kosong.

Setelah ekstensi diinstal pada perangkat, provisioningState tampilkan Succeeded.

Mengonfigurasi penetapan peran

Akun Pengguna di Microsoft Entra harus ditambahkan ke penetapan peran di Azure sebelum pengguna diizinkan masuk ke komputer virtual Azure atau Windows Server yang terhubung dengan Arc. Peran yang sama digunakan untuk komputer virtual Azure dan Windows Server dengan dukungan Arc.

Untuk menetapkan peran pengguna, Anda harus memiliki peran Administrator Akses Data Komputer Virtual , atau peran apa pun yang menyertakan Microsoft.Authorization/roleAssignments/write tindakan seperti peran Administrator Kontrol Akses Berbasis Peran . Namun, jika Anda menggunakan peran yang berbeda dari Administrator Akses Data Mesin Virtual, kami sarankan Anda menambahkan kondisi untuk mengurangi izin pembuatan penetapan peran.

• Login Administrator Komputer Virtual: Pengguna yang memiliki peran ini yang ditetapkan dapat masuk ke komputer virtual Azure dengan hak istimewa administrator.
• Login Pengguna Komputer Virtual: Pengguna yang memiliki peran ini yang ditetapkan dapat masuk ke komputer virtual Azure dengan hak istimewa pengguna reguler.

Catatan

Meningkatkan pengguna secara manual untuk menjadi administrator lokal di perangkat dengan menambahkan pengguna ke anggota grup administrator lokal atau dengan menjalankan net localgroup administrators /add "AzureAD\UserUpn" perintah tidak didukung. Anda perlu menggunakan peran di Azure untuk mengotorisasi masuk.

Catatan

Pengguna Azure yang memiliki peran Pemilik atau Kontributor yang ditetapkan tidak secara otomatis memiliki hak istimewa untuk masuk ke perangkat. Alasan ini untuk memberikan pemisahan yang diaudit antara sekumpulan orang yang mengontrol mesin virtual dan sekumpulan orang yang dapat mengakses mesin virtual.

Dokumentasi berikut ini menyediakan detail langkah demi langkah untuk menambahkan akun pengguna ke penetapan peran di Azure:

• Menetapkan peran Azure dengan menggunakan portal Azure
• Menetapkan peran Azure dengan menggunakan Azure CLI
• Menetapkan peran Azure dengan menggunakan Azure PowerShell

Masuk dengan menggunakan kredensial Microsoft Entra ke VM Windows

Anda dapat masuk melalui RDP menggunakan salah satu dari dua metode:

• Tanpa kata sandi menggunakan salah satu kredensial Microsoft Entra yang didukung (disarankan)
• Kata sandi/passwordless terbatas menggunakan Windows Hello untuk Bisnis, diimplementasikan dengan model kepercayaan sertifikat.

Masuk menggunakan autentikasi tanpa kata sandi dengan ID Microsoft Entra

Untuk menggunakan autentikasi tanpa kata sandi untuk VM Windows Anda di Azure, Anda memerlukan komputer klien Windows dan host sesi (VM) pada sistem operasi berikut:

• Windows 11 dengan Pembaruan Kumulatif 2022-10 untuk Windows 11 (KB5018418) atau yang lebih baru telah diinstal.
• Windows 10, versi 20H2 atau yang lebih baru dengan Pembaruan Kumulatif 2022-10 untuk Windows 10 (KB5018410) atau yang lebih baru sudah terinstal.
• Windows Server 2022 dengan Pembaruan Kumulatif 2022-10 untuk sistem operasi server Microsoft (KB5018421) atau yang lebih baru terpasang.

Catatan

Saat menggunakan akun web untuk masuk ke opsi komputer jarak jauh, tidak ada persyaratan bagi perangkat lokal untuk digabungkan ke domain atau ID Microsoft Entra.

Untuk menyambungkan ke komputer jarak jauh:

• Luncurkan Sambungan Desktop Jarak Jauh dari Pencarian Windows, atau melalui menjalankan mstsc.exe.
• Pilih Gunakan akun web untuk masuk ke opsi komputer jarak jauh di tab Tingkat Lanjut . Opsi ini setara dengan enablerdsaadauth properti RDP. Untuk informasi selengkapnya, lihat Properti RDP berikut yang didukung oleh Layanan Desktop Jarak Jauh.
• Tentukan nama komputer jarak jauh dan pilih Sambungkan.

Penting

Alamat IP tidak dapat digunakan dengan menggunakan akun web untuk masuk ke opsi komputer jarak jauh . Nama harus cocok dengan nama host perangkat jarak jauh di Microsoft Entra ID dan dapat diakses melalui jaringan, mengarah pada alamat IP perangkat jarak jauh.

• Saat dimintai kredensial, tentukan nama pengguna Anda dalam user@domain.com format.
• Anda kemudian diminta untuk mengizinkan koneksi desktop jarak jauh saat menyambungkan ke PC baru. Microsoft Entra mengingat hingga 15 host selama 30 hari sebelum meminta lagi. Jika Anda melihat dialog ini, pilih Ya untuk menyambungkan.

Penting

Jika organisasi Anda menggunakan Microsoft Entra Conditional Access, perangkat Anda harus memenuhi persyaratan Akses Kondisional untuk mengizinkan koneksi ke komputer jarak jauh. Kebijakan Akses Bersyarat mungkin diterapkan ke aplikasi Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) untuk akses terkontrol.

Catatan

Layar kunci Windows dalam sesi jarak jauh tidak mendukung token autentikasi Microsoft Entra atau metode autentikasi tanpa kata sandi seperti kunci FIDO. Kurangnya dukungan untuk metode autentikasi ini berarti bahwa pengguna tidak dapat membuka kunci layar mereka dalam sesi jarak jauh. Ketika Anda mencoba mengunci sesi jarak jauh, baik melalui tindakan pengguna atau kebijakan sistem, sesi malah terputus dan layanan mengirim pesan kepada pengguna. Memutuskan sambungan sesi juga memastikan bahwa ketika koneksi diluncurkan ulang setelah periode tidak aktif, Microsoft Entra ID mengkaji ulang kebijakan Akses Bersyarat yang berlaku.

Masuk menggunakan kata sandi/autentikasi tanpa kata sandi terbatas dengan ID Microsoft Entra

Penting

Koneksi jarak jauh ke VM yang tergabung dengan Microsoft Entra ID hanya diizinkan dari PC dengan Windows 10 atau yang lebih baru yang sudah terdaftar di Microsoft Entra (dengan build minimum yang diperlukan adalah 20H1), atau tergabung langsung dengan Microsoft Entra, atau digabungkan secara hibrid ke direktori yang sama dengan VM. Selain itu, untuk RDP dengan menggunakan kredensial Microsoft Entra, pengguna harus termasuk dalam salah satu dari dua peran Azure, yaitu Virtual Machine Administrator Login atau Virtual Machine User Login.

Jika Anda menggunakan Windows 10 terdaftar Microsoft Entra atau PC yang lebih baru, Anda harus memasukkan kredensial dalam AzureAD\UPN format (misalnya, AzureAD\john@contoso.com). Saat ini, Anda dapat menggunakan Azure Bastion untuk masuk dengan autentikasi Microsoft Entra melalui Azure CLI dan klien RDP asli mstsc.

Untuk masuk ke komputer virtual Windows Server 2019 Anda dengan menggunakan ID Microsoft Entra:

1. Buka halaman gambaran umum komputer virtual yang diaktifkan dengan masuk Microsoft Entra.
2. Pilih Sambungkan untuk membuka panel Sambungkan ke mesin virtual.
3. Pilih Unduh File RDP.
4. Pilih Buka untuk membuka klien Sambungan Desktop Jarak Jauh.
5. Pilih Sambungkan untuk membuka dialog masuk Windows.
6. Masuk dengan menggunakan kredensial Microsoft Entra Anda.

Anda sekarang masuk ke mesin virtual Windows Server 2019 Azure dengan izin peran yang ditetapkan, seperti Pengguna VM atau Administrator VM.

Catatan

Anda dapat menyimpan .RDP file secara lokal di komputer Anda untuk memulai koneksi desktop jarak jauh di masa mendatang ke komputer virtual Anda, alih-alih masuk ke halaman gambaran umum komputer virtual di portal Microsoft Azure dan menggunakan opsi sambungkan.

Terapkan kebijakan Akses Bersyarat

Anda dapat menerapkan kebijakan Akses Bersyarat, seperti "MFA tahan pengelabuan" atau pemeriksaan risiko masuk pengguna, sebelum pengguna dapat mengakses perangkat Windows di Windows Server dengan dukungan Azure atau Arc. Untuk menerapkan kebijakan Akses Bersyarat, Anda harus memilih aplikasi Masuk Microsoft Azure Windows Virtual Machine dari aplikasi cloud atau opsi penetapan tindakan.

Kebijakan Akses Bersyarat yang membatasi masuk menggunakan aturan konfigurasi perangkat tidak didukung saat menyambungkan dari perangkat Windows Server.

Catatan

Jika Anda memerlukan MFA sebagai kontrol, maka Anda harus memberikan klaim MFA sebagai bagian dari klien yang memulai sesi RDP ke perangkat Windows target. Aplikasi Desktop Jauh di Windows mendukung kebijakan Akses Bersyarat, namun jika Anda menggunakan masuk web, Anda harus menggunakan PIN Windows Hello untuk Bisnis atau autentikasi biometrik. Dukungan untuk autentikasi biometrik ditambahkan ke klien RDP di Windows 10 versi 1809. Desktop jarak jauh yang menggunakan autentikasi Windows Hello for Business hanya tersedia untuk penyebaran yang menggunakan model kepercayaan sertifikat dan tidak tersedia untuk model kepercayaan kunci.

Gunakan Azure Policy untuk memenuhi standar dan menilai kepatuhan

Menggunakan Azure Policy untuk:

• Pastikan bahwa aktivasi masuk Microsoft Entra diaktifkan untuk perangkat Windows yang baru dan yang sudah ada.
• Mengevaluasi kepatuhan lingkungan Anda secara menyeluruh di dasbor kepatuhan.

Dengan kemampuan ini, Anda dapat menggunakan banyak tingkat penegakan. Anda dapat menandai perangkat Windows baru dan yang sudah ada dalam lingkungan Anda yang tidak mengaktifkan masuk Microsoft Entra. Anda juga dapat menggunakan Azure Policy untuk menyebarkan ekstensi Microsoft Entra ke komputer virtual Windows di Windows Server dengan dukungan Azure atau Arc.

Selain kemampuan ini, Anda dapat menggunakan Azure Policy untuk mendeteksi dan menandai komputer Windows yang memiliki akun lokal yang tidak disetujui yang dibuat di perangkat mereka. Untuk mempelajari selengkapnya, tinjau Azure Policy.

Memecahkan masalah penerapan

Ekstensi AADLoginForWindows harus berhasil diinstal agar perangkat dapat menyelesaikan proses gabungan Microsoft Entra. Jika ekstensi gagal diinstal dengan benar, lakukan langkah-langkah berikut:

1. Sambungkan ke perangkat dan periksa file CommandExecution.log di bawah C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Jika ekstensi dimulai ulang setelah kegagalan awal, log dengan kesalahan penyebaran akan disimpan sebagai CommandExecution_YYYYMMDDHHMMSSSSS.log.

2. Buka jendela PowerShell di perangkat. Pastikan bahwa kueri berikut terhadap Azure Instance Metadata Service yang berjalan pada host mengembalikan output yang diharapkan:

   Untuk komputer virtual Azure:

   Perintah untuk dijalankan	Output yang diharapkan
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Informasi yang benar tentang komputer virtual Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	ID penyewa valid yang terkait langganan Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Token akses valid yang dikeluarkan oleh Microsoft Entra ID untuk identitas terkelola yang ditetapkan ke mesin virtual ini

   Untuk Windows Server dengan dukungan Arc:

   Perintah untuk dijalankan	Output yang diharapkan
   curl.exe -H Metadata:true "http://localhost:40342/metadata/instance?api-version=2017-08-01"	Informasi yang benar tentang Windows Server dengan dukungan Azure Arc
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/info?api-version=2018-02-01"	ID penyewa valid yang terkait langganan Azure
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Token akses valid yang dikeluarkan oleh ID Microsoft Entra untuk identitas terkelola yang ditetapkan ke Windows Server dengan dukungan Azure Arc ini

   Anda dapat mendekode token akses dengan menggunakan alat seperti https://jwt.ms/. Verifikasi bahwa oid nilai dalam token akses cocok dengan identitas terkelola perangkat.

3. Pastikan bahwa titik akhir yang diperlukan dapat diakses dari perangkat melalui PowerShell:

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Ganti <TenantID> dengan ID penyewa Microsoft Entra yang terkait dengan langganan Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net, dan pas.windows.net akan mengembalikan 404 Tidak Ditemukan, yaitu perilaku yang sudah diperkirakan.

4. Lihat status perangkat dengan menjalankan dsregcmd /status. Tujuannya adalah agar status perangkat ditampilkan sebagai AzureAdJoined : YES.

   Aktivitas pendaftaran Microsoft Entra dicatat dalam Event Viewer di bawah log Pendaftaran Perangkat Pengguna\Admin di Event Viewer (lokal)\Aplikasi dan Log Layanan\Microsoft\Windows\Pendaftaran Perangkat Pengguna\Admin.

Jika ekstensi AADLoginForWindows gagal dengan kode kesalahan, Anda dapat melakukan langkah-langkah berikut.

Nama perangkat sudah ada

Jika objek perangkat dengan displayName yang sama dengan nama host dari Mesin Virtual Azure ada, perangkat gagal bergabung dengan Microsoft Entra karena kesalahan duplikasi nama host. Hindari duplikasi dengan memodifikasi nama host.

Kode kesalahan terminal 1007 dan kode keluar -2145648574

Kode kesalahan terminal 1007 dan kode keluar -2145648574 terjemahkan ke DSREG_E_MSI_TENANTID_UNAVAILABLE. Ekstensi tidak dapat mengkueri informasi penyewa Microsoft Entra.

Sambungkan ke perangkat sebagai administrator lokal dan verifikasi bahwa endpoint mengembalikan ID penyewa yang sah dari Layanan Metadata Instance Azure. Jalankan perintah berikut dari jendela PowerShell yang ditingkatkan pada perangkat:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Masalah ini juga dapat terjadi ketika admin mencoba menginstal ekstensi AADLoginForWindows, tetapi perangkat tidak memiliki identitas terkelola yang ditetapkan sistem. Dalam hal ini, buka panel Identitas perangkat. Pada tab Sistem yang ditetapkan, verifikasi bahwa toggle Status diatur ke Aktif.

Kode keluar -2145648607

Kode keluar -2145648607 diterjemahkan ke DSREG_AUTOJOIN_DISC_FAILED. Ekstensi tidak dapat mencapai https://enterpriseregistration.windows.net titik akhir.

1. Verifikasi bahwa titik akhir yang diperlukan dapat diakses dari perangkat melalui PowerShell:

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Ganti <TenantID> dengan ID penyewa Microsoft Entra dari langganan Azure. Jika Anda perlu menemukan ID penyewa, Anda dapat mengarahkan mouse ke atas nama akun Anda atau pilihID Penyewa>>>.

   Upaya untuk menyambungkan ke enterpriseregistration.windows.net dapat mengembalikan 404 Not Found, yang merupakan perilaku yang diharapkan. Upaya untuk menyambungkan pas.windows.net mungkin meminta kredensial PIN atau mungkin mengembalikan 404 Tidak Ditemukan. (Anda tidak perlu memasukkan PIN.) Salah satu cukup untuk memverifikasi bahwa URL dapat dijangkau.

2. Jika salah satu perintah gagal dengan "Tidak dapat mengatasi host <URL>," coba jalankan perintah ini untuk menentukan server DNS mana yang digunakan Windows:

   nslookup <URL>

   Ganti <URL> dengan nama domain berformat lengkap yang dipakai oleh titik akhir, seperti login.microsoftonline.com.

3. Lihat apakah menentukan server DNS publik akan memungkinkan perintah berhasil:

   nslookup <URL> 208.67.222.222

4. Jika perlu, ubah server DNS yang ditetapkan ke grup keamanan jaringan tempat perangkat berada.

Kode keluar 51

Kode keluar 51 diterjemahkan ke "Ekstensi ini tidak didukung pada sistem operasi ini."

Ekstensi AADLoginForWindows dimaksudkan untuk diinstal hanya pada komputer virtual Azure dengan sistem operasi Windows Server 2019 atau Windows 10 1809 atau yang lebih baru, dan Windows Server dengan dukungan Arc dengan sistem operasi Windows Server 2025 atau Windows 11 24H2 di Windows Server dengan dukungan Arc. Pastikan versi atau build Windows Anda didukung. Jika tidak didukung, hapus instalan ekstensi.

Memecahkan masalah proses masuk

Gunakan informasi berikut untuk memperbaiki masalah masuk.

Anda dapat melihat status perangkat dan masuk tunggal (SSO) dengan menjalankan dsregcmd /status. Tujuannya adalah agar status perangkat ditampilkan sebagai AzureAdJoined : YES dan agar status SSO ditampilkan AzureAdPrt : YES.

Masuk RDP melalui akun Microsoft Entra dicatat dalam Event Viewer dalam log peristiwa Aplikasi dan Layanan\Microsoft\Windows\AAD\Operasional.

Peran Azure tidak ditetapkan

Anda mungkin mendapatkan pesan kesalahan berikut saat memulai koneksi desktop jarak jauh ke perangkat Anda: "Akun Anda dikonfigurasi untuk mencegah Anda menggunakan perangkat ini. Untuk informasi selengkapnya, hubungi administrator sistem Anda."

Verifikasi kebijakan kontrol akses berbasis peran Azure yang memberi pengguna peran Masuk Administrator Komputer Virtual atau Masuk Pengguna Komputer Virtual.

Jika Anda mengalami masalah dengan penetapan peran Azure, lihat Memecahkan masalah kontrol akses berbasis peran Azure.

Diperlukan perubahan klien atau kata sandi yang tidak sah

Anda mungkin mendapatkan pesan kesalahan berikut saat memulai koneksi desktop jarak jauh ke perangkat Anda: "Kredensial Anda tidak berfungsi."

Coba solusi ini:

• PC Windows 10 atau yang lebih baru yang Anda gunakan untuk memulai koneksi desktop jarak jauh harus bergabung dengan Microsoft Entra, atau Microsoft Entra hibrid bergabung ke direktori Microsoft Entra yang sama. Untuk informasi selengkapnya tentang identitas perangkat, lihat artikel Apa itu identitas perangkat?.

  Windows 10 Build 20H1 menambahkan dukungan untuk PC terdaftar Microsoft Entra untuk memulai koneksi RDP ke perangkat Anda. Saat Anda menggunakan PC yang terdaftar dengan Microsoft Entra (bukan gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra) sebagai klien RDP untuk memulai koneksi ke perangkat Anda, Anda harus memasukkan kredensial dalam format AzureAD\UPN (misalnya, AzureAD\john@contoso.com).

  Verifikasi bahwa ekstensi AADLoginForWindows tidak dihapus setelah bergabung dengan Microsoft Entra selesai.

  Selain itu, pastikan bahwa kebijakan keamanan Keamanan jaringan: Izinkan permintaan autentikasi PKU2U ke komputer ini menggunakan identitas online diaktifkan pada server dan klien.

• Verifikasi bahwa pengguna tidak memiliki kata sandi sementara. Kata sandi sementara tidak dapat digunakan untuk masuk ke koneksi desktop jarak jauh.

  Masuk dengan akun pengguna di browser web. Misalnya, masuk ke portal Azure di jendela penjelajahan privat. Jika Anda diminta untuk mengubah kata sandi, atur kata sandi baru. Kemudian coba sambungkan lagi.

AADSTS293004: Pengidentifikasi perangkat target pada permintaan xxx tidak ditemukan di penyewa xxx

Cause:

Nama komputer yang dimasukkan dalam mstsc tidak cocok dengan salah satu atribut "nama host" untuk perangkat AADJ target. Misalnya, nama host perangkat AADJ adalah nama pendek seperti device_1, tetapi nama komputer yang dimasukkan dalam mstsc adalah FQDN seperti device_1.contoso.com.

Coba solusi ini:

Ada beberapa cara untuk mengatasi masalah ini:

1. Ubah entri HOSTS pada komputer klien, tambahkan catatan DNS A yang menunjuk nama perangkat yang benar (konfirmasi dari catatan Perangkat AAD) ke IP komputer target. Gunakan nama perangkat tersebut di mstsc.
2. Periksa apakah komputer target dikelola dan apakah nama host diatur melalui Kebijakan Grup atau MDM melalui nilai DNS Client PrimaryDnsSuffix ADMX_DnsClient Policy CSP | Microsoft Learn. Jika pengaturan ini tidak tepat, maka perlu dihapus atau disetel dengan benar.
3. Ketika pelanggan perlu menggunakan FQDN untuk terhubung tetapi nama Perangkat AAD adalah nama pendek, masuk ke komputer target melalui admin lokal, tambahkan "Akhiran DNS Utama" untuk akhiran domain mereka. Instruksi terperinci:

• Buka tab Pengaturan Sistem Tingkat Lanjut/Properti Sistem ->** Nama Komputer** -> pilih tombol "Ubah" untuk mengganti nama komputer -> pilih "Lainnya..." di bawah nama komputer yang ada -> Ketik nama domain Anda dan pilih OK -> Simpan dan mulai ulang.
• Setelah selesai, kita dapat RDP dengan FQDN secara langsung dan tidak perlu memodifikasi entri HOSTS.

Catatan

Dalam kasus seperti itu, ketika Akhiran DNS Utama ditambahkan, tugas terjadwal Device-Sync akan dipicu yang akan menambahkan FQDN ke atribut "nama host" dari perangkat AAD. Inilah sebabnya mengapa itu akan menyelesaikan masalah.

Metode autentikasi MFA diperlukan

Anda mungkin melihat pesan kesalahan berikut saat memulai koneksi desktop jarak jauh ke perangkat Anda: "Metode masuk yang coba Anda gunakan tidak diizinkan. Coba metode masuk yang berbeda atau hubungi administrator sistem Anda."

Jika Anda mengonfigurasi kebijakan Akses Bersyarat yang memerlukan MFA, Anda perlu memastikan bahwa perangkat yang memulai koneksi menggunakan autentikasi yang kuat seperti Windows Hello.

Pesan kesalahan terkait MFA lainnya adalah pesan kesalahan yang dijelaskan sebelumnya: "Kredensial Anda tidak berfungsi."

Jika Anda mengonfigurasi pengaturan autentikasi multifaktor Microsoft Entra yang diaktifkan/diberlakukan per pengguna dan melihat kesalahan, Anda dapat menyelesaikan masalah ini dengan menghapus pengaturan MFA per pengguna. Untuk informasi selengkapnya, lihat artikel Mengaktifkan autentikasi multifaktor Microsoft Entra per pengguna untuk mengamankan peristiwa masuk.

Jika Windows Hello for Business bukan opsi, konfigurasikan kebijakan Akses Bersyarat yang mengecualikan aplikasi Masuk Microsoft Azure Windows Virtual Machine. Untuk mempelajari selengkapnya tentang Windows Hello untuk Bisnis, lihat Ringkasan Windows Hello untuk Bisnis.

Dukungan untuk autentikasi biometrik ditambahkan ke klien RDP di Windows 10 versi 1809. Menggunakan otentikasi Windows Hello for Business selama RDP tersedia untuk penyebaran yang menggunakan model kepercayaan sertifikat atau model kepercayaan kunci.

Bagikan umpan balik Anda tentang fitur ini atau laporkan masalah dengan menggunakannya di forum umpan balik Microsoft Entra.

Aplikasi yang hilang

Jika aplikasi Microsoft Azure Windows Virtual Machine untuk masuk hilang dari Akses Bersyarat, pastikan aplikasi tersebut ada di penyewa:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi Cloud setidaknya.
2. Telusuri ke Entra ID>Aplikasi Perusahaan.
3. Hapus filter untuk melihat semua aplikasi, dan cari mesin virtual. Jika Anda tidak melihat Microsoft Azure Windows Virtual Machine Sign-in sebagai hasilnya, prinsipal layanan hilang dari penyewa.

Cara lain untuk memverifikasinya adalah melalui Graph PowerShell:

1. Instal Graph PowerShell SDK.
2. Jalankan Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", diikuti oleh "Application.ReadWrite.All".
3. Masuk dengan akun Administrator Global.
4. Berikan persetujuan untuk permintaan izin.
5. Jalankan Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

   • Jika perintah ini tidak menghasilkan output dan mengembalikan Anda ke prompt PowerShell, Anda dapat membuat prinsipal layanan dengan perintah Graph PowerShell berikut:

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • Output yang berhasil menunjukkan bahwa aplikasi Sign-in Mesin Virtual Windows di Microsoft Azure dan ID-nya telah dibuat.

6. Keluar dari Graph PowerShell dengan menggunakan perintah Disconnect-MgGraph.

Beberapa penyewa mungkin melihat aplikasi bernama Azure Windows VM Sign-in alih-alih Microsoft Azure Windows Virtual Machine Sign-in. Aplikasi ini memiliki ID Aplikasi yang sama dengan 372140e0-b3b7-4226-8ef9-d57986796201.

Tidak dapat menggunakan kemampuan ini ketika kebijakan Akses Bersyarat yang mengharuskan perangkat sesuai diberlakukan pada sumber daya Masuk untuk VM Windows di Azure dan Anda menghubungkan dari perangkat Windows Server.

Konfigurasi kepatuhan perangkat Windows Server dalam kebijakan Akses Bersyarkat tidak didukung.

Langkah berikutnya

Untuk informasi selengkapnya tentang ID Microsoft Entra, lihat Apa itu ID Microsoft Entra?.