Konfigurowanie logowania jednokrotnego dla usługi Azure Virtual Desktop przy użyciu uwierzytelniania microsoft Entra ID
W tym artykule opisano proces konfigurowania logowania jednokrotnego dla usługi Azure Virtual Desktop przy użyciu uwierzytelniania microsoft Entra ID. Po włączeniu logowania jednokrotnego użytkownicy uwierzytelniają się w systemie Windows przy użyciu tokenu identyfikatora Entra firmy Microsoft. Ten token umożliwia korzystanie z uwierzytelniania bez hasła i dostawców tożsamości innych firm, którzy sfederują się z identyfikatorem Entra firmy Microsoft podczas nawiązywania połączenia z hostem sesji, dzięki czemu środowisko logowania będzie bezproblemowe.
Logowanie jednokrotne przy użyciu uwierzytelniania microsoft Entra ID zapewnia również bezproblemowe środowisko dla zasobów opartych na identyfikatorach Entra firmy Microsoft w ramach sesji. Aby uzyskać więcej informacji na temat korzystania z uwierzytelniania bez hasła w ramach sesji, zobacz Uwierzytelnianie bez hasła w sesji.
Aby włączyć logowanie jednokrotne przy użyciu uwierzytelniania microsoft Entra ID, należy wykonać pięć zadań:
Włącz uwierzytelnianie entra firmy Microsoft dla protokołu RDP (Remote Desktop Protocol).
Skonfiguruj docelowe grupy urządzeń.
Utwórz obiekt serwera Kerberos, jeśli domena usługi Active Directory Services jest częścią twojego środowiska. Więcej informacji na temat kryteriów znajduje się w jej sekcji.
Przejrzyj zasady dostępu warunkowego.
Skonfiguruj pulę hostów, aby włączyć logowanie jednokrotne.
Przed włączeniem logowania jednokrotnego
Przed włączeniem logowania jednokrotnego zapoznaj się z poniższymi informacjami dotyczącymi korzystania z niego w środowisku.
Rozłączanie po zablokowaniu sesji
Po włączeniu logowania jednokrotnego logujesz się do systemu Windows przy użyciu tokenu uwierzytelniania Microsoft Entra ID, który zapewnia obsługę uwierzytelniania bez hasła w systemie Windows. Ekran blokady systemu Windows w sesji zdalnej nie obsługuje tokenów uwierzytelniania identyfikatora Entra firmy Microsoft ani metod uwierzytelniania bez hasła, takich jak klucze FIDO. Brak obsługi tych metod uwierzytelniania oznacza, że użytkownicy nie mogą odblokować ekranów w sesji zdalnej. Podczas próby zablokowania sesji zdalnej za pośrednictwem akcji użytkownika lub zasad systemowych sesja jest zamiast tego rozłączona, a usługa wysyła użytkownikowi komunikat wyjaśniający, że zostały rozłączone.
Rozłączanie sesji gwarantuje również, że po ponownym uruchomieniu połączenia po okresie braku aktywności identyfikator Entra firmy Microsoft ponownie sprawdza wszelkie odpowiednie zasady dostępu warunkowego.
Używanie konta administratora domeny usługi Active Directory z logowaniem jednokrotnym
W środowiskach z usługami domena usługi Active Directory Services (AD DS) i kontami użytkowników hybrydowych domyślne zasady replikacji haseł na kontrolerach domeny tylko do odczytu odrzucają replikację haseł dla członków Administracja domeny i Administracja istratorów grup zabezpieczeń. Te zasady uniemożliwiają zalogowanie się tych kont administratorów do hostów dołączonych hybrydo do firmy Microsoft i może nadal monitować ich o wprowadzenie poświadczeń. Zapobiega to również dostępowi kont administratorów do zasobów lokalnych korzystających z uwierzytelniania Kerberos z hostów dołączonych do firmy Microsoft.
Aby zezwolić tym kontom administratora na nawiązywanie połączenia po włączeniu logowania jednokrotnego, zobacz Zezwalanie na łączenie kont administratorów domeny usługi Active Directory.
Wymagania wstępne
Przed włączeniem logowania jednokrotnego należy spełnić następujące wymagania wstępne:
Aby skonfigurować dzierżawę firmy Microsoft Entra, musisz mieć przypisaną jedną z następujących wbudowanych ról firmy Microsoft Entra:
Hosty sesji muszą być uruchomione w jednym z następujących systemów operacyjnych z zainstalowaną odpowiednią aktualizacją zbiorczą:
- System Windows 11 Enterprise z jedną lub wieloma sesjami z zainstalowanym zbiorczym Aktualizacje 2022-10 dla systemu Windows 11 (KB5018418) lub nowszym.
- System Windows 10 Enterprise z jedną lub wieloma sesjami z zainstalowanym zbiorczym Aktualizacje 2022-10 dla systemu Windows 10 (KB5018410) lub nowszym.
- Windows Server 2022 z aktualizacją zbiorczą 2022-10 dla systemu operacyjnego microsoft server (KB5018421) lub nowszego.
Hosty sesji muszą być dołączone do firmy Microsoft Entra lub dołączone hybrydowe rozwiązanie Microsoft Entra. Hosty sesji przyłączone do usług Microsoft Entra Domain Services lub usług domena usługi Active Directory nie są obsługiwane.
Jeśli hosty sesji przyłączone hybrydowo do usługi Microsoft Entra znajdują się w innej domenie usługi Active Directory niż konta użytkowników, musi istnieć dwukierunkowa relacja zaufania między dwiema domenami. Bez dwukierunkowego zaufania połączenia będą wracać do starszych protokołów uwierzytelniania.
Zainstaluj zestaw Microsoft Graph PowerShell SDK w wersji 2.9.0 lub nowszej na urządzeniu lokalnym lub w usłudze Azure Cloud Shell.
Obsługiwany klient pulpitu zdalnego do nawiązywania połączenia z sesją zdalną. Obsługiwane są następujące klienci:
- Klient pulpitu systemu Windows na lokalnych komputerach z systemem Windows 10 lub nowszym. Nie ma potrzeby dołączania komputera lokalnego do domeny Microsoft Entra ID lub domeny usługi Active Directory.
- Klient internetowy.
- Klient systemu macOS w wersji 10.8.2 lub nowszej.
- Klient systemu iOS w wersji 10.5.1 lub nowszej.
- Klient systemu Android w wersji 10.0.16 lub nowszej.
Aby skonfigurować zezwalanie kontu administratora domeny usługi Active Directory na łączenie się po włączeniu logowania jednokrotnego, potrzebne jest konto, które jest członkiem grupy zabezpieczeń Administracja Domena.
Włączanie uwierzytelniania w usłudze Microsoft Entra dla protokołu RDP
Najpierw należy zezwolić na uwierzytelnianie microsoft Entra dla systemu Windows w dzierżawie firmy Microsoft Entra, co umożliwia wystawianie tokenów dostępu RDP, co umożliwia użytkownikom logowanie się do hostów sesji usługi Azure Virtual Desktop. isRemoteDesktopProtocolEnabled
Właściwość ma wartość true w obiekcie jednostki remoteDesktopSecurityConfiguration
usługi dla następujących aplikacji firmy Microsoft Entra:
Nazwa aplikacji | Application ID |
---|---|
Pulpit zdalny firmy Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
Logowanie do chmury systemu Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Ważne
W ramach nadchodzącej zmiany przechodzimy od Pulpit zdalny Microsoft do logowania w chmurze systemu Windows, począwszy od 2024 roku. Skonfigurowanie obu aplikacji zapewnia teraz gotowość do zmiany.
Aby skonfigurować jednostkę usługi, użyj zestawu SDK programu PowerShell programu Microsoft Graph, aby utworzyć nowy obiekt remoteDesktopSecurityConfiguration w jednostce usługi i ustawić właściwość isRemoteDesktopProtocolEnabled
na true
wartość . Możesz również użyć interfejsu API programu Microsoft Graph z narzędziem, takim jak Eksplorator programu Graph.
Uruchom usługę Azure Cloud Shell w witrynie Azure Portal z typem terminalu programu PowerShell lub uruchom program PowerShell na urządzeniu lokalnym.
Jeśli używasz usługi Cloud Shell, upewnij się, że kontekst platformy Azure jest ustawiony na subskrypcję, której chcesz użyć.
Jeśli używasz programu PowerShell lokalnie, najpierw zaloguj się przy użyciu programu Azure PowerShell, a następnie upewnij się, że kontekst platformy Azure jest ustawiony na subskrypcję, której chcesz użyć.
Upewnij się, że zestaw MICROSOFT Graph PowerShell SDK został zainstalowany z poziomu wymagań wstępnych, a następnie zaimportuj moduły Authentication and Applications Microsoft Graph i połącz się z programem Microsoft Graph z
Application.Read.All
zakresami iApplication-RemoteDesktopConfig.ReadWrite.All
, uruchamiając następujące polecenia:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
Pobierz identyfikator obiektu dla każdej jednostki usługi i zapisz je w zmiennych, uruchamiając następujące polecenia:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
Ustaw właściwość
isRemoteDesktopProtocolEnabled
na ,true
uruchamiając następujące polecenia. Z tych poleceń nie ma danych wyjściowych.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }
Upewnij się, że właściwość
isRemoteDesktopProtocolEnabled
jest ustawiona natrue
, uruchamiając następujące polecenia:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
Dane wyjściowe powinny być następujące:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Konfigurowanie docelowych grup urządzeń
Po włączeniu uwierzytelniania w usłudze Microsoft Entra dla protokołu RDP należy skonfigurować docelowe grupy urządzeń. Domyślnie podczas włączania logowania jednokrotnego użytkownicy są monitowani o uwierzytelnienie w usłudze Microsoft Entra ID i zezwalają na połączenie pulpitu zdalnego podczas uruchamiania połączenia z nowym hostem sesji. Firma Microsoft Entra zapamiętuje maksymalnie 15 hostów przez 30 dni przed ponownym wyświetleniem monitu. Jeśli zostanie wyświetlone okno dialogowe umożliwiające połączenie pulpitu zdalnego, wybierz pozycję Tak , aby nawiązać połączenie.
To okno dialogowe można ukryć i udostępnić logowanie jednokrotne dla połączeń ze wszystkimi hostami sesji, konfigurując listę zaufanych urządzeń. Musisz utworzyć co najmniej jedną grupę w usłudze Microsoft Entra ID, która zawiera hosty sesji, a następnie ustawić właściwość w jednostkach usługi dla tych samych aplikacji Pulpit zdalny Microsoft i logowania do chmury systemu Windows, jak użyto w poprzedniej sekcji, dla grupy.
Napiwek
Zalecamy użycie grupy dynamicznej i skonfigurowanie reguł członkostwa dynamicznego w celu stosowania wszystkich hostów sesji usługi Azure Virtual Desktop. Nazwy urządzeń w tej grupie można używać, ale w celu uzyskania bezpieczniejszej opcji można ustawić atrybuty rozszerzenia urządzenia i używać ich przy użyciu interfejsu API programu Microsoft Graph. Chociaż grupy dynamiczne są zwykle aktualizowane w ciągu 5–10 minut, duże dzierżawy mogą potrwać do 24 godzin.
Grupy dynamiczne wymagają licencji Microsoft Entra ID P1 lub licencji usługi Intune for Education. Aby uzyskać więcej informacji, zobacz Dynamiczne reguły członkostwa dla grup.
Aby skonfigurować jednostkę usługi, użyj zestawu MICROSOFT Graph PowerShell SDK , aby utworzyć nowy obiekt targetDeviceGroup w jednostce usługi z identyfikatorem obiektu grupy dynamicznej i nazwą wyświetlaną. Możesz również użyć interfejsu API programu Microsoft Graph z narzędziem, takim jak Eksplorator programu Graph.
Utwórz grupę dynamiczną w identyfikatorze Entra firmy Microsoft zawierającym hosty sesji, dla których chcesz ukryć okno dialogowe. Zanotuj identyfikator obiektu grupy dla następnego kroku.
W tej samej sesji programu PowerShell utwórz
targetDeviceGroup
obiekt, uruchamiając następujące polecenia, zastępując element<placeholders>
własnymi wartościami:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"
Dodaj grupę
targetDeviceGroup
do obiektu, uruchamiając następujące polecenia:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
Dane wyjściowe powinny być podobne:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
Powtórz kroki 2 i 3 dla każdej grupy, którą chcesz dodać do
targetDeviceGroup
obiektu, maksymalnie 10 grup.Jeśli później musisz usunąć grupę urządzeń z
targetDeviceGroup
obiektu, uruchom następujące polecenia, zastępując element<placeholders>
własnymi wartościami:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Tworzenie obiektu serwera Kerberos
Jeśli hosty sesji spełniają następujące kryteria, należy utworzyć obiekt serwera Kerberos:
- Host sesji jest dołączony hybrydą firmy Microsoft Entra. Aby ukończyć uwierzytelnianie na kontrolerze domeny, musisz mieć obiekt serwera Kerberos.
- Host sesji jest przyłączony do firmy Microsoft, a Środowisko zawiera kontrolery domeny usługi Active Directory. Aby użytkownicy mogli uzyskiwać dostęp do zasobów lokalnych, takich jak udziały SMB i uwierzytelnianie zintegrowane z systemem Windows z witrynami internetowymi, musi mieć obiekt Kerberos Server.
Ważne
Jeśli włączysz logowanie jednokrotne na hostach sesji dołączonych hybrydowo do firmy Microsoft Entra przed utworzeniem obiektu serwera Kerberos, może wystąpić jedna z następujących czynności:
- Zostanie wyświetlony komunikat o błędzie z informacją, że określona sesja nie istnieje.
- Logowanie jednokrotne zostanie pominięte i zostanie wyświetlone standardowe okno dialogowe uwierzytelniania dla hosta sesji.
Aby rozwiązać te problemy, utwórz obiekt serwera Kerberos, a następnie połącz się ponownie.
Przeglądanie zasad dostępu warunkowego
Po włączeniu logowania jednokrotnego nowa aplikacja Microsoft Entra ID zostanie wprowadzona do uwierzytelniania użytkowników na hoście sesji. Jeśli masz zasady dostępu warunkowego stosowane podczas uzyskiwania dostępu do usługi Azure Virtual Desktop, zapoznaj się z zaleceniami dotyczącymi konfigurowania uwierzytelniania wieloskładnikowego, aby upewnić się, że użytkownicy mają odpowiednie środowisko.
Konfigurowanie puli hostów w celu włączenia logowania jednokrotnego
Aby włączyć logowanie jednokrotne w puli hostów, należy skonfigurować następującą właściwość protokołu RDP, którą można wykonać przy użyciu witryny Azure Portal lub programu PowerShell. Kroki konfigurowania właściwości protokołu RDP można znaleźć w temacie Dostosowywanie właściwości protokołu RDP (Remote Desktop Protocol) dla puli hostów.
- W witrynie Azure Portal ustaw pozycję Microsoft Entra single sign-on (Logowanie jednokrotne firmy Microsoft) na wartość Połączenie ions użyje uwierzytelniania Microsoft Entra w celu zapewnienia logowania jednokrotnego.
- W przypadku programu PowerShell ustaw właściwość enablerdsaadauth na 1.
Zezwalaj na łączenie kont administratorów domeny usługi Active Directory
Aby zezwolić na łączenie kont administratora domeny usługi Active Directory po włączeniu logowania jednokrotnego:
Na urządzeniu używanym do zarządzania domeną usługi Active Directory otwórz konsolę Użytkownicy i komputery usługi Active Directory przy użyciu konta, które jest członkiem grupy zabezpieczeń Administracja Domena.
Otwórz jednostkę organizacyjną Kontrolery domeny dla domeny.
Znajdź obiekt AzureADKerberos, kliknij go prawym przyciskiem myszy, a następnie wybierz polecenie Właściwości.
Wybierz kartę Zasady replikacji haseł.
Zmień zasady Administracja domeny z Odmów na Zezwalaj.
Usuń zasady dla Administracja istratorów. Grupa Administracja domeny jest członkiem grupy Administracja istratorów, dlatego odmowa replikacji dla administratorów również odmawia jej dla administratorów domeny.
Aby zapisać zmiany, wybierz pozycję OK.
Następne kroki
- Zapoznaj się z uwierzytelnianiem bez hasła w sesji, aby dowiedzieć się, jak włączyć uwierzytelnianie bez hasła.
- Aby uzyskać więcej informacji na temat protokołu Kerberos firmy Microsoft, zobacz Szczegółowe omówienie: Jak działa protokół Kerberos firmy Microsoft Entra
- Jeśli uzyskujesz dostęp do usługi Azure Virtual Desktop z poziomu klienta pulpitu z systemem Windows, zobacz Połączenie z klientem pulpitu systemu Windows.
- Jeśli uzyskujesz dostęp do usługi Azure Virtual Desktop z poziomu naszego klienta internetowego, zobacz Połączenie z klientem internetowym.
- Jeśli wystąpią jakiekolwiek problemy, przejdź do sekcji Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi dołączonymi do firmy Microsoft.