Udostępnij za pośrednictwem

Obsługiwane tożsamości i metody uwierzytelniania

  • Artykuł

W tym artykule przedstawimy krótkie omówienie rodzajów tożsamości i metod uwierzytelniania, których można używać w usłudze Azure Virtual Desktop.

Tożsamości

Usługa Azure Virtual Desktop obsługuje różne typy tożsamości w zależności od wybranej konfiguracji. W tej sekcji opisano tożsamości, których można użyć dla każdej konfiguracji.

Ważne

Usługa Azure Virtual Desktop nie obsługuje logowania się do usługi Microsoft Entra ID przy użyciu jednego konta użytkownika, a następnie logowania się do systemu Windows przy użyciu oddzielnego konta użytkownika. Logowanie przy użyciu dwóch różnych kont w tym samym czasie może prowadzić do ponownego nawiązania połączenia z niewłaściwym hostem sesji, nieprawidłowymi lub brakującymi informacjami w witrynie Azure Portal oraz komunikatami o błędach wyświetlanymi podczas korzystania z dołączania aplikacji lub dołączania aplikacji MSIX.

Tożsamość lokalna

Ponieważ użytkownicy muszą być odnajdywalni za pośrednictwem identyfikatora Entra firmy Microsoft, aby uzyskać dostęp do usługi Azure Virtual Desktop, tożsamości użytkowników, które istnieją tylko w usługach domena usługi Active Directory (AD DS), nie są obsługiwane. Obejmuje to autonomiczne wdrożenia usługi Active Directory z usługami Active Directory Federation Services (AD FS).

Tożsamość hybrydowa

Usługa Azure Virtual Desktop obsługuje tożsamości hybrydowe za pośrednictwem identyfikatora Entra firmy Microsoft, w tym tożsamości federacyjnych przy użyciu usług AD FS. Możesz zarządzać tymi tożsamościami użytkowników w usługach AD DS i synchronizować je z identyfikatorem Entra FIRMY Microsoft przy użyciu programu Microsoft Entra Connect. Za pomocą identyfikatora Entra firmy Microsoft można również zarządzać tymi tożsamościami i synchronizować je z usługami Microsoft Entra Domain Services.

Podczas uzyskiwania dostępu do usługi Azure Virtual Desktop przy użyciu tożsamości hybrydowych czasami główna nazwa użytkownika (UPN) lub identyfikator zabezpieczeń (SID) użytkownika w usłudze Active Directory (AD) i identyfikator entra firmy Microsoft nie są zgodne. Na przykład konto user@contoso.local usługi AD może odpowiadać identyfikatorowi user@contoso.com Entra firmy Microsoft. Usługa Azure Virtual Desktop obsługuje tylko ten typ konfiguracji, jeśli jest zgodna zarówno nazwa UPN, jak i identyfikator SID dla kont ad i Microsoft Entra ID. Identyfikator SID odnosi się do właściwości obiektu użytkownika "ObjectSID" w usługach AD i "OnPremisesSecurityIdentifier" w identyfikatorze Entra firmy Microsoft.

Tożsamość tylko w chmurze

Usługa Azure Virtual Desktop obsługuje tożsamości tylko w chmurze w przypadku korzystania z maszyn wirtualnych dołączonych do firmy Microsoft Entra. Ci użytkownicy są tworzeni i zarządzani bezpośrednio w usłudze Microsoft Entra ID.

Uwaga

Tożsamości hybrydowe można również przypisać do grup aplikacji usługi Azure Virtual Desktop hostujących hosty hostujących hosty sesji typu przyłączone do firmy Microsoft Entra.

Tożsamość federacyjna

Jeśli używasz dostawcy tożsamości innej firmy( IdP), innego niż Microsoft Entra ID lub domena usługi Active Directory Services, do zarządzania kontami użytkowników, musisz upewnić się, że:

Tożsamość zewnętrzna

Usługa Azure Virtual Desktop obecnie nie obsługuje tożsamości zewnętrznych.

Metody uwierzytelniania

Podczas uzyskiwania dostępu do zasobów usługi Azure Virtual Desktop istnieją trzy oddzielne fazy uwierzytelniania:

  • Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Azure Virtual Desktop, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, ma identyfikator Entra firmy Microsoft.
  • Uwierzytelnianie sesji zdalnej: uwierzytelnianie na zdalnej maszynie wirtualnej. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne (SSO).
  • Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych w ramach sesji zdalnej.

Aby uzyskać listę poświadczeń dostępnych na różnych klientach dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.

Ważne

Aby uwierzytelnianie działało prawidłowo, komputer lokalny musi mieć również dostęp do wymaganych adresów URL dla klientów usług pulpitu zdalnego.

Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.

Uwierzytelnianie usługi w chmurze

Aby uzyskać dostęp do zasobów usługi Azure Virtual Desktop, musisz najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Microsoft Entra ID. Uwierzytelnianie odbywa się za każdym razem, gdy subskrybujesz zasoby, połącz się z bramą podczas uruchamiania połączenia lub wysyłania informacji diagnostycznych do usługi. Zasób Microsoft Entra ID używany do tego uwierzytelniania to Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07).

Uwierzytelnianie wieloskładnikowe

Postępuj zgodnie z instrukcjami w temacie Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego, aby dowiedzieć się, jak wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft na potrzeby wdrożenia. W tym artykule opisano również sposób konfigurowania częstotliwości monitowania użytkowników o wprowadzenie poświadczeń. Podczas wdrażania maszyn wirtualnych dołączonych do firmy Microsoft entra należy pamiętać o dodatkowych krokach dotyczących maszyn wirtualnych hosta sesji dołączonych do firmy Microsoft.

Uwierzytelnianie bez hasła

Do uwierzytelniania w usłudze można użyć dowolnego typu uwierzytelniania obsługiwanego przez firmę Microsoft Entra ID, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO).

Uwierzytelnianie przy użyciu kart inteligentnych

Aby użyć karty inteligentnej do uwierzytelniania w usłudze Microsoft Entra ID, należy najpierw skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.

Dostawcy tożsamości innych firm

Możesz używać dostawców tożsamości innych firm, o ile sfederują się z identyfikatorem Entra firmy Microsoft.

Uwierzytelnianie sesji zdalnej

Jeśli logowanie jednokrotne nie zostało jeszcze włączone lub zapisano poświadczenia lokalnie, musisz również uwierzytelnić się na hoście sesji podczas uruchamiania połączenia.

Logowanie jednokrotne

Logowanie jednokrotne umożliwia połączeniu pomijanie monitu poświadczeń hosta sesji i automatyczne logowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania firmy Microsoft Entra. W przypadku hostów sesji dołączonych do firmy Microsoft Entra lub dołączonych hybrydowych do firmy Microsoft Entra zaleca się włączenie logowania jednokrotnego przy użyciu uwierzytelniania microsoft Entra. Uwierzytelnianie firmy Microsoft Entra zapewnia inne korzyści, takie jak uwierzytelnianie bez hasła i obsługa dostawców tożsamości innych firm.

Usługa Azure Virtual Desktop obsługuje również logowanie jednokrotne przy użyciu usług Active Directory Federation Services (AD FS) dla komputerów stacjonarnych z systemem Windows i klientów internetowych.

Bez logowania jednokrotnego klient monituje użytkowników o podanie poświadczeń hosta sesji dla każdego połączenia. Jedynym sposobem uniknięcia monitowania jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom uzyskiwanie dostępu do zasobów.

Karta inteligentna i Windows Hello dla firm

Usługa Azure Virtual Desktop obsługuje zarówno protokół NT LAN Manager (NTLM) jak i Kerberos na potrzeby uwierzytelniania hosta sesji, jednak karta inteligentna i Windows Hello dla firm mogą logować się tylko przy użyciu protokołu Kerberos. Aby korzystać z protokołu Kerberos, klient musi pobrać bilety zabezpieczeń protokołu Kerberos z usługi Centrum dystrybucji kluczy (KDC) uruchomionej na kontrolerze domeny. Aby uzyskać bilety, klient potrzebuje bezpośredniego połączenia sieciowego z kontrolerem domeny. Możesz uzyskać widok, łącząc się bezpośrednio w sieci firmowej przy użyciu połączenia sieci VPN lub konfigurowania serwera proxy usługi KDC.

Uwierzytelnianie w sesji

Po nawiązaniu połączenia z usługą RemoteApp lub pulpitem może zostać wyświetlony monit o uwierzytelnienie wewnątrz sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.

Uwierzytelnianie bez hasła w sesji

Usługa Azure Virtual Desktop obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO podczas korzystania z klienta klasycznego systemu Windows. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy host sesji i komputer lokalny korzystają z następujących systemów operacyjnych:

Aby wyłączyć uwierzytelnianie bez hasła w puli hostów, należy dostosować właściwość protokołu RDP. Właściwość przekierowania WebAuthn można znaleźć na karcie Przekierowanie urządzenia w witrynie Azure Portal lub ustawić właściwość redirectwebauthn na 0 przy użyciu programu PowerShell.

Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, można użyć Windows Hello dla firm lub urządzeń zabezpieczeń dołączonych lokalnie.

Aby uzyskać dostęp do zasobów firmy Microsoft za pomocą Windows Hello dla firm lub urządzeń zabezpieczeń, musisz włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w artykule Włączanie metody klucza zabezpieczeń FIDO2.

Uwierzytelnianie za pomocą karty inteligentnej w sesji

Aby użyć karty inteligentnej w sesji, upewnij się, że na hoście sesji zainstalowano sterowniki kart inteligentnych i włączono przekierowywanie kart inteligentnych. Przejrzyj wykres porównawczy klienta, aby upewnić się, że klient obsługuje przekierowywanie kart inteligentnych.

Następne kroki