Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł przeprowadzi Cię przez proces wdrażania i uzyskiwania dostępu do maszyn wirtualnych dołączonych do firmy Microsoft Entra w usłudze Azure Virtual Desktop. Maszyny wirtualne dołączone do Microsoft Entra eliminują konieczność posiadania połączenia bezpośredniego z lokalnym lub zwirtualizowanym kontrolerem domeny Active Directory (DC) lub wdrażania Microsoft Entra Domain Services. W niektórych przypadkach może całkowicie usunąć potrzebę kontrolera domeny, upraszczając wdrażanie środowiska i zarządzanie nim. Te maszyny wirtualne można również automatycznie rejestrować w usłudze Intune w celu ułatwienia zarządzania.
Znane ograniczenia
Następujące znane ograniczenia mogą mieć wpływ na dostęp do zasobów lokalnych lub przyłączonych do domeny usługi Active Directory i należy je wziąć pod uwagę podczas podejmowania decyzji, czy maszyny wirtualne dołączone do Microsoft Entra są odpowiednie dla Twojego środowiska.
- Maszyny wirtualne dołączone do Microsoft Entra nie obsługują obecnie tożsamości zewnętrznych, takich jak Microsoft Entra Business-to-Business (B2B) i Microsoft Entra Business-to-Consumer (B2C).
- Maszyny wirtualne dołączone do Microsoft Entra mogą uzyskiwać dostęp tylko do udziałów usługi Azure Files dla użytkowników hybrydowych przy użyciu Microsoft Entra Kerberos dla profili użytkowników FSLogix.
- Aplikacja Ze sklepu pulpitu zdalnego dla systemu Windows nie obsługuje maszyn wirtualnych dołączonych do firmy Microsoft.
Wdrażanie maszyn wirtualnych połączonych z Microsoft Entra
Maszyny wirtualne przyłączone do Microsoft Entra można wdrożyć bezpośrednio z poziomu Azure Portal, gdy tworzysz nową pulę hostów lub rozszerzasz istniejącą pulę hostów. Aby wdrożyć maszynę wirtualną przyłączoną do Microsoft Entra, otwórz kartę Maszyny wirtualne, a następnie wybierz, czy chcesz dołączyć maszynę wirtualną do usługi Active Directory, czy Microsoft Entra ID. Wybranie pozycji Microsoft Entra ID umożliwia automatyczne rejestrowanie maszyn wirtualnych w usłudze Intune, co umożliwia łatwe zarządzanie hostami sesji. Weź pod uwagę, że opcja Microsoft Entra ID połączy maszyny wirtualne tylko z tą samą dzierżawą Microsoft Entra, co subskrypcja, którą posiadasz.
Uwaga
- Pule hostów powinny zawierać tylko maszyny wirtualne tego samego typu przyłączania do domeny. Na przykład maszyny wirtualne połączone z Microsoft Entra powinny być tylko z innymi maszynami wirtualnymi połączonymi z Microsoft Entra i odwrotnie.
- Maszyny wirtualne w puli hostów muszą mieć system Windows 11 lub Windows 10 z jedną sesją lub wieloma sesjami w wersji 2004 lub nowszej albo Windows Server 2022 lub Windows Server 2019.
Przypisywanie dostępu użytkownika do pul hostów
Po utworzeniu puli hostów należy przypisać użytkownikom dostęp do ich zasobów. Aby udzielić dostępu do zasobów, dodaj każdego użytkownika do grupy aplikacji. Postępuj zgodnie z instrukcjami w temacie Zarządzanie grupami aplikacji, aby przypisać dostęp użytkowników do aplikacji i komputerów stacjonarnych. Zalecamy używanie grup użytkowników zamiast poszczególnych użytkowników tam, gdzie jest to możliwe.
W przypadku maszyn wirtualnych dołączonych do Microsoft Entra należy wykonać dwie dodatkowe czynności oprócz wymagań dla wdrożeń opartych na Active Directory lub Microsoft Entra Domain Services.
- Przypisz użytkownikom rolę Logowania użytkownika maszyny wirtualnej, aby mogli logować się do maszyn wirtualnych.
- Przypisz administratorów, którzy potrzebują lokalnych uprawnień administracyjnych, rolę logowania administratora maszyny wirtualnej.
Aby udzielić użytkownikom dostępu do maszyn wirtualnych dołączonych do firmy Microsoft, należy skonfigurować przypisania ról dla maszyny wirtualnej. Możesz przypisać rolę Logowania użytkownika maszyny wirtualnej lub Logowania administratora maszyny wirtualnej na maszynach wirtualnych, grupie zasobów zawierającej maszyny wirtualne lub subskrypcji. Zalecamy przypisanie roli logowania użytkownika maszyny wirtualnej do tej samej grupy użytkowników, która była używana dla grupy aplikacji na poziomie grupy zasobów, aby zastosować ją do wszystkich maszyn wirtualnych w puli hostów.
Uzyskiwanie dostępu do maszyn wirtualnych połączonych z Microsoft Entra
W tej sekcji wyjaśniono, jak uzyskać dostęp do maszyn wirtualnych połączonych z Microsoft Entra z różnych klientów usługi Azure Virtual Desktop.
Logowanie jednokrotne
Aby zapewnić najlepsze wrażenia na wszystkich platformach, należy włączyć logowanie jednokrotne przy użyciu uwierzytelniania Microsoft Entra podczas korzystania z maszyn wirtualnych powiązanych z Microsoft Entra. Postępuj zgodnie z instrukcjami, aby skonfigurować logowanie jednokrotne , aby zapewnić bezproblemowe połączenie.
Nawiązywanie połączenia przy użyciu starszych protokołów uwierzytelniania
Jeśli nie chcesz włączać logowania jednokrotnego, możesz użyć następującej konfiguracji, aby umożliwić dostęp do maszyn wirtualnych dołączonych do firmy Microsoft Entra.
Nawiązywanie połączenia przy użyciu klienta komputerowego systemu Windows
Domyślna konfiguracja obsługuje połączenia w systemach Windows 11 lub Windows 10 przy użyciu klienta Windows Desktop. Możesz użyć poświadczeń, karty inteligentnej, zaufania certyfikatu w Windows Hello dla firm lub zaufania klucza w Windows Hello dla firm przy użyciu certyfikatów, aby zalogować się do hosta sesji. Jednak aby uzyskać dostęp do hosta sesji, komputer lokalny musi spełnić jeden z następujących warunków:
- Lokalny komputer PC jest podłączony do tej samej dzierżawy usługi Microsoft Entra co host sesji.
- Komputer lokalny jest hybrydowo przyłączony do tej samej dzierżawy usługi Microsoft Entra co host sesji.
- Komputer lokalny jest z systemem Windows 11 lub Windows 10 w wersji 2004 lub nowszej i jest zarejestrowany w tej samej dzierżawie firmy Microsoft Entra co host sesji
Jeśli komputer lokalny nie spełnia jednego z tych warunków, dodaj niestandardową właściwość RDP targetisaadjoined:i:1 do puli zasobów. Te połączenia są ograniczone do wprowadzania nazwy użytkownika i hasła podczas logowania się na hosta sesji.
Nawiązywanie połączenia przy użyciu innych klientów
Aby uzyskać dostęp do maszyn wirtualnych dołączonych do Microsoft Entra przy użyciu klientów webowych, Android, macOS i iOS, należy dodać targetisaadjoined:i:1 jako niestandardową właściwość protokołu RDP do puli hostów. Te połączenia są ograniczone do wprowadzania nazwy użytkownika i hasła podczas logowania się do hosta sesji.
Wymuszanie uwierzytelniania wieloskładnikowego Microsoft Entra dla maszyn wirtualnych sesji połączonych z Microsoft Entra
Możesz użyć uwierzytelniania wieloskładnikowego Microsoft Entra z maszynami wirtualnymi dołączonymi do Microsoft Entra. Wykonaj kroki, aby wymusić uwierzytelnianie wieloskładnikowe Microsoft Entra dla usługi Azure Virtual Desktop za pomocą dostępu warunkowego Microsoft Entra i zanotuj dodatkowe kroki dla maszyn wirtualnych hosta sesji VMs połączonych z Microsoft Entra.
Jeśli używasz uwierzytelniania wieloskładnikowego firmy Microsoft i nie chcesz ograniczać logowania do silnych metod uwierzytelniania, takich jak Windows Hello dla firm, musisz wykluczyć aplikację logowania maszyny wirtualnej z systemem Windows platformy Azure z zasad dostępu warunkowego.
Profile użytkowników
Można używać kontenerów profilów FSLogix z maszynami wirtualnymi dołączonymi do Microsoft Entra, gdy przechowujesz je w usłudze Azure Files i korzystasz z kont użytkowników hybrydowych. Aby uzyskać więcej informacji, zobacz Create a profile container with Azure Files and Microsoft Entra ID (Tworzenie kontenera profilu za pomocą usługi Azure Files i identyfikatora Entra firmy Microsoft).
Uzyskiwanie dostępu do zasobów lokalnych
Chociaż nie potrzebujesz Active Directory, aby wdrażać lub uzyskiwać dostęp do maszyn wirtualnych przyłączonych do Microsoft Entra, Active Directory i łączność sieciowa z nim są niezbędne do uzyskiwania dostępu do zasobów lokalnych z tych maszyn wirtualnych. Aby dowiedzieć się więcej na temat uzyskiwania dostępu do zasobów lokalnych, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach połączonych z Microsoft Entra.
Następne kroki
Po wdrożeniu kilku maszyn wirtualnych połączonych z Microsoft Entra zalecamy włączenie jednokrotnego logowania przed nawiązaniem połączenia z obsługiwanym klientem Azure Virtual Desktop, aby przetestować to podczas sesji użytkownika. Aby dowiedzieć się więcej, zapoznaj się z następującymi artykułami:
- Konfigurowanie logowania jednokrotnego
- Tworzenie kontenera profilów przy użyciu usługi Azure Files i identyfikatora entra firmy Microsoft
- Połącz się z klientem pulpitu Windows
- Nawiązywanie połączenia z klientem internetowym
- Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi przyłączonymi do Microsoft Entra