Obsługiwane tożsamości i metody uwierzytelniania

W tym artykule przedstawimy krótkie omówienie rodzajów tożsamości i metod uwierzytelniania, których można użyć w programie Azure Virtual Desktop.

Tożsamości

Azure Virtual Desktop obsługuje różne typy tożsamości w zależności od wybranej konfiguracji. W tej sekcji wyjaśniono, których tożsamości można używać dla każdej konfiguracji.

Ważna

Azure program Virtual Desktop nie obsługuje logowania się do Microsoft Entra ID przy użyciu jednego konta użytkownika, a następnie logowania się do systemu Windows przy użyciu oddzielnego konta użytkownika. Obejmuje to korzystanie z lokalnych kont systemu Windows lub innych tożsamości, które nie są reprezentowane w Microsoft Entra ID, aby zalogować się do hostów sesji. Logowanie się przy użyciu różnych tożsamości w tym samym czasie może prowadzić do ponownego nawiązania przez użytkowników połączenia z niewłaściwym hostem sesji, nieprawidłowych lub brakujących informacji w Azure Portal, komunikatów o błędach podczas korzystania z dołączania aplikacji oraz obejścia uwierzytelniania Microsoft Entra ID i wymuszania dostępu warunkowego. Azure Virtual Desktop obsługuje scenariusze, w których ta sama tożsamość Microsoft Entra ID jest używana do uwierzytelniania w usłudze i logowania się do hosta sesji. Firma Microsoft zaleca korzystanie z logowania jednokrotnego z uwierzytelnianiem Microsoft Entra.

Tożsamość lokalna

Ponieważ użytkownicy muszą być odnajdywalni za pośrednictwem Microsoft Entra ID, aby uzyskać dostęp do Azure Virtual Desktop, tożsamości użytkowników istniejące tylko w usługach Active Directory Domain Services (AD DS) nie są obsługiwane. Obejmuje to autonomiczne wdrożenia usługi Active Directory z usługą Active Directory Federation Services (AD FS).

Tożsamość hybrydowa

Azure Virtual Desktop obsługuje tożsamości hybrydowe za pośrednictwem Microsoft Entra ID, w tym federacyjnych przy użyciu usług AD FS. Tożsamościami użytkowników można zarządzać w usługach AD DS i synchronizować je z Microsoft Entra ID przy użyciu programu Microsoft Entra Connect. Możesz również użyć Microsoft Entra ID, aby zarządzać tymi tożsamościami i synchronizować je z Microsoft Entra Domain Services.

Podczas uzyskiwania dostępu Azure virtual desktop przy użyciu tożsamości hybrydowych czasami główna nazwa użytkownika (UPN) lub identyfikator zabezpieczeń (SID) dla użytkownika w usłudze Active Directory (AD) i Microsoft Entra ID nie są zgodne. Na przykład konto user@contoso.local usługi AD może odpowiadać user@contoso.com w Microsoft Entra ID. Azure Program Virtual Desktop obsługuje konfigurację tego typu tylko wtedy, gdy nazwa UPN lub identyfikator SID dla kont usługi AD i Microsoft Entra ID są zgodne. Identyfikator SID odwołuje się do właściwości obiektu użytkownika "ObjectSID" w usłudze AD i "OnPremisesSecurityIdentifier" w Microsoft Entra ID.

Tożsamość tylko w chmurze

Azure Virtual Desktop obsługuje tożsamości tylko w chmurze podczas korzystania z maszyn wirtualnych przyłączonych Microsoft Entra. Ci użytkownicy są tworzona i zarządzana bezpośrednio w Microsoft Entra ID.

Uwaga

Tożsamości hybrydowe można również przypisywać do Azure grup aplikacji pulpitu wirtualnego, które hostują hosty sesji typu sprzężenia Microsoft Entra przyłączone.

Tożsamość federacyjna

Jeśli używasz zewnętrznego dostawcy tożsamości (IdP), innego niż Microsoft Entra ID lub Active Directory Domain Services, do zarządzania kontami użytkowników, musisz upewnić się, że:

Tożsamość zewnętrzna

Obsługa tożsamości zewnętrznych umożliwia zapraszanie użytkowników do dzierżawy identyfikatora Entra i udostępnianie ich Azure zasobów usługi Virtual Desktop. Istnieje kilka wymagań i ograniczeń dotyczących dostarczania zasobów tożsamościom zewnętrznym:

  • Wymagania
    • System operacyjny hosta sesji: na hoście sesji musi działać jeden z następujących systemów operacyjnych:
    • Typ sprzężenia hosta sesji: host sesji musi być Entra przyłączony.
    • Logowanie jednokrotne: logowanie jednokrotne musi być skonfigurowane dla puli hostów.
    • klient aplikacja dla systemu Windows: obsługa tożsamości zewnętrznych jest ogólnie dostępna w aplikacja dla systemu Windows w systemie Windows lub przeglądarce internetowej. Obsługa tożsamości zewnętrznych jest dostępna w wersji zapoznawczej w aplikacja dla systemu Windows w systemie macOS i aplikacja dla systemu Windows w systemie Android. Aby uzyskać dodatkowe informacje, zobacz sekcję Tożsamość w dokumentacji aplikacja dla systemu Windows.
  • Ograniczenia

    • FSLogix: obsługa protokołu FSLogix jest dostępna w wersji zapoznawczej dla tożsamości zewnętrznych. Dowiedz się więcej na temat przechowywania kontenerów profilów FSLogix na Azure Files przy użyciu Microsoft Entra ID.

    • Intune zasad konfiguracji urządzeń: zasady konfiguracji urządzeń przypisane do tożsamości zewnętrznej nie będą stosowane do użytkownika na hoście sesji. Zamiast tego przypisz zasady konfiguracji urządzenia do urządzenia.

    • Dostępność chmury: ta funkcja jest dostępna w Azure chmurze publicznej i Azure dla instytucji rządowych USA, ale nie w Azure obsługiwanych przez firmę 21Vianet. Nawiązywanie połączenia jako tożsamości zewnętrznej z dzierżawą w Azure dla instytucji rządowych USA jest obsługiwane w kliencie pulpitu zdalnego i przy użyciu aplikacja dla systemu Windows w systemie Windows w wersji 2.0.1069.0 lub nowszej przez ustawienie klucza rejestru (EnableGovernmentNationalCloudSignInOption). Dowiedz się więcej o wymaganym kluczu rejestru.

    • Zaproszenia między chmurami: użytkownicy z wielu chmur nie są obsługiwani. Dostęp Azure zasobów usługi Virtual Desktop można zapewnić tylko użytkownikom zapraszanych przez dostawców tożsamości społecznościowych, Microsoft Entra użytkownikom z tej samej chmury Azure firmy Microsoft co środowisko usługi Azure Virtual Desktop lub innym dostawcom tożsamości zarejestrowanym w dzierżawie pracowników. Nie można przypisać zasobów usługi Azure Virtual Desktop dla użytkowników zapraszanych przez firmę Microsoft Azure obsługiwanych przez firmę 21Vianet.

    • Ochrona tokenów: Microsoft Entra ma pewne ograniczenia dotyczące ochrony tokenów dla tożsamości zewnętrznych. Dowiedz się więcej na temat aplikacja dla systemu Windows obsługi ochrony tokenów według platformy.

    • Uwierzytelnianie kerberos: tożsamości zewnętrzne nie mogą uwierzytelniać się w zasobach lokalnych przy użyciu protokołów Kerberos lub NTLM.

    • Aplikacje platformy Microsoft 365: możesz zalogować się tylko do klasycznej wersji systemu Windows aplikacji platformy Microsoft 365 tylko wtedy, gdy:

      1. Zaproszony użytkownik jest kontem opartym na Entra lub kontem Microsoft, które ma licencję na Aplikacje Microsoft 365.
      2. Zaproszony użytkownik nie ma zablokowanych dostępu do aplikacji platformy Microsoft 365 przez zasady dostępu warunkowego z organizacji macierzystej.

      Niezależnie od zaproszonego konta możesz uzyskać dostęp do udostępnionych Ci plików platformy Microsoft 365 przy użyciu odpowiedniej aplikacji platformy Microsoft 365 w przeglądarce internetowej hosta sesji.

    • Dostawcy tożsamości: możesz zalogować się jako tożsamość zewnętrzna przy użyciu dowolnego z wymienionych dostawców tożsamości, z wyjątkiem jednorazowego logowania za pomocą kodu dostępu. Następujące aplikacja dla systemu Windows klientów ma dodatkowe ograniczenia:

      • Android: jedynym obsługiwanym dostawcą tożsamości społecznościowych, za pomocą których można się zalogować, jest konto Microsoft skonfigurowane jako konto połączone w aplikacji Microsoft Authenticator działającej na tym samym urządzeniu co klient. Nie możesz zalogować się za pomocą Facebook ani Google.

Aby uzyskać wskazówki dotyczące licencjonowania, zobacz Microsoft Entra B2B best practices for recommendations on configuring your environment for external identitys (Najlepsze rozwiązania dotyczące konfigurowania środowiska pod kątem tożsamości zewnętrznych) i Licensing (Licencjonowanie).

Metody uwierzytelniania

Podczas uzyskiwania dostępu Azure zasobów usługi Virtual Desktop istnieją trzy oddzielne fazy uwierzytelniania:

  • Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Azure Virtual Desktop, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, ma Microsoft Entra ID. W tym miejscu można wymusić zasady dostępu warunkowego Entra identyfikatora. Ponadto w tym miejscu można federować z Entra identyfikatora do dostawcy tożsamości innej firmy.
  • Uwierzytelnianie sesji zdalnej: uwierzytelnianie na zdalnej maszynie wirtualnej. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne.
  • Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych w sesji zdalnej.

Poniżej przedstawiono krótkie porównanie opcji uwierzytelniania użytkowników w każdej fazie uwierzytelniania:

Uwierzytelnianie usługi w chmurze Uwierzytelnianie sesji zdalnej Uwierzytelnianie w sesji
  • Uwierzytelnianie bez hasła (w tym klucze zabezpieczeń FIDO, Windows Hello dla firm z protokołem Kerberos w chmurze lub zaufaniem do kluczy, uwierzytelnianie wieloskładnikowe usługi Microsoft Authenticator i nie tylko)
  • Federacja z dostawcą tożsamości innych firm
  • Karta inteligentna (w tym Entra uwierzytelnianie oparte na certyfikatach i zaufanie certyfikatu Windows Hello dla firm)
  • Password (hasło)
  • Dowolna metoda uwierzytelniania usługi w chmurze po skonfigurowaniu przy użyciu logowania jednokrotnego
  • Karta inteligentna (w tym zaufanie certyfikatu Windows Hello dla firm)
  • Password (hasło)
  • Uwierzytelnianie bez hasła skonfigurowane pod kątem bez hasła w sesji
  • Karta inteligentna (w tym zaufanie certyfikatu Windows Hello dla firm)
  • Password (hasło)

Są to nadzbiór opcji uwierzytelniania na fazę uwierzytelniania. Aby uzyskać listę poświadczeń dostępnych dla różnych klientów dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.

Ważna

Aby uwierzytelnianie działało prawidłowo, maszyna lokalna musi mieć również dostęp do wymaganych adresów URL klientów usług pulpitu zdalnego.

Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.

Uwierzytelnianie usługi w chmurze

Aby uzyskać dostęp Azure zasobów usługi Virtual Desktop, należy najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Microsoft Entra ID. Uwierzytelnianie odbywa się za każdym razem, gdy subskrybujesz zasoby, nawiązujesz połączenie z bramą podczas uruchamiania połączenia lub podczas wysyłania informacji diagnostycznych do usługi. Zasób Microsoft Entra ID używany do tego uwierzytelniania to Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07).

Uwierzytelnianie wieloskładnikowe

Postępuj zgodnie z instrukcjami w temacie Wymuszanie uwierzytelniania wieloskładnikowego Microsoft Entra dla Azure Virtual Desktop przy użyciu dostępu warunkowego, aby dowiedzieć się, jak wymusić Microsoft Entra uwierzytelnianie wieloskładnikowe dla wdrożenia. W tym artykule dowiesz się również, jak skonfigurować częstotliwość monitowania użytkowników o wprowadzenie poświadczeń. Podczas wdrażania maszyn wirtualnych przyłączonych Microsoft Entra należy pamiętać o dodatkowych krokach dotyczących maszyn wirtualnych hosta Microsoft Entra przyłączonych do sesji.

Uwierzytelnianie bez hasła

Do uwierzytelniania w usłudze można użyć dowolnego typu uwierzytelniania obsługiwanego przez Microsoft Entra ID, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO).

Uwierzytelnianie za pomocą karty inteligentnej

Aby używać karty inteligentnej do uwierzytelniania w Microsoft Entra ID, należy najpierw skonfigurować uwierzytelnianie oparte na certyfikatach Microsoft Entra lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.

Dostawcy tożsamości innych firm

Dostawców tożsamości innych firm można używać tak długo, jak długo federują z Microsoft Entra ID.

Uwierzytelnianie sesji zdalnej

Jeśli logowanie jednokrotne nie zostało jeszcze włączone lub poświadczenia zostały zapisane lokalnie, należy również uwierzytelnić się na hoście sesji podczas uruchamiania połączenia.

Logowanie jednokrotne

Logowanie jednokrotne umożliwia połączeniu pomijanie monitu o poświadczenia hosta sesji i automatyczne logowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania Microsoft Entra. W przypadku hostów sesji, które są przyłączone Microsoft Entra lub Microsoft Entra przyłączone hybrydowo, zaleca się włączenie logowania jednokrotnego przy użyciu uwierzytelniania Microsoft Entra. uwierzytelnianie Microsoft Entra zapewnia inne korzyści, w tym uwierzytelnianie bez hasła i obsługę dostawców tożsamości innych firm.

Azure Virtual Desktop obsługuje również logowanie jednokrotne przy użyciu Active Directory Federation Services (AD FS) dla komputerów stacjonarnych z systemem Windows i klientów internetowych.

Bez logowania jednokrotnego klient monituje użytkowników o poświadczenia hosta sesji dla każdego połączenia. Jedynym sposobem uniknięcia monitu jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom dostęp do zasobów.

Karta inteligentna i Windows Hello dla firm

Azure Virtual Desktop obsługuje zarówno nt LAN Manager (NTLM) i Kerberos do uwierzytelniania hosta sesji, jednak karta inteligentna i Windows Hello dla firm mogą używać protokołu Kerberos tylko do logowania. Aby korzystać z protokołu Kerberos, klient musi pobrać bilety zabezpieczeń Protokołu Kerberos z usługi Centrum dystrybucji kluczy (KDC) działającej na kontrolerze domeny. Aby uzyskać bilety, klient potrzebuje bezpośredniego połączenia sieciowego z kontrolerem domeny. Możesz uzyskać widok, łącząc się bezpośrednio w sieci firmowej, używając połączenia sieci VPN lub konfigurując serwer proxy centrum dystrybucji kluczy.

Uwierzytelnianie w sesji

Po nawiązaniu połączenia z usługą RemoteApp lub pulpitem może zostać wyświetlony monit o uwierzytelnienie w sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.

Uwierzytelnianie bez hasła w sesji

Azure Virtual Desktop obsługuje uwierzytelnianie bez hasła w sesji przy użyciu urządzeń Windows Hello dla firm lub zabezpieczeń, takich jak klucze FIDO, podczas korzystania z klienta programu Windows Desktop. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy host sesji i komputer lokalny korzystają z następujących systemów operacyjnych:

Aby wyłączyć uwierzytelnianie bez hasła w puli hostów, należy dostosować właściwość RDP. Właściwość przekierowania WebAuthn można znaleźć na karcie Przekierowanie urządzenia w Azure Portal lub ustawić właściwość redirectwebauthn na wartość 0 przy użyciu programu PowerShell.

Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, możesz użyć Windows Hello dla firm lub lokalnie dołączonych urządzeń zabezpieczających.

Aby uzyskać dostęp do zasobów Microsoft Entra przy użyciu urządzeń Windows Hello dla firm lub urządzeń zabezpieczeń, należy włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w temacie Włączanie metody klucza zabezpieczeń FIDO2.

Uwierzytelnianie karty inteligentnej w sesji

Aby użyć karty inteligentnej w sesji, upewnij się, że zainstalowano sterowniki kart inteligentnych na hoście sesji i włączono przekierowanie kart inteligentnych. Przejrzyj wykresy porównawcze dla aplikacja dla systemu Windows i aplikacji Pulpit zdalny, aby umożliwić korzystanie z przekierowania kart inteligentnych.

Następne kroki

  • Last updated on