Hosty sesji dołączone do usługi Microsoft Entra w usłudze Azure Virtual Desktop

Ten artykuł przeprowadzi Cię przez proces wdrażania i uzyskiwania dostępu do maszyn wirtualnych dołączonych do firmy Microsoft Entra w usłudze Azure Virtual Desktop. Przyłączone do firmy Microsoft maszyny wirtualne usuwają konieczność korzystania z maszyny wirtualnej ze środowiska lokalnego lub zwirtualizowanego kontrolera domena usługi Active Directory (DC) lub wdrażania usług Microsoft Entra Domain Services. W niektórych przypadkach może całkowicie usunąć potrzebę kontrolera domeny, upraszczając wdrażanie środowiska i zarządzanie nim. Te maszyny wirtualne można również automatycznie rejestrować w usłudze Intune w celu ułatwienia zarządzania.

Znane ograniczenia

Następujące znane ograniczenia mogą mieć wpływ na dostęp do zasobów lokalnych lub przyłączonych do domeny usługi Active Directory i należy je wziąć pod uwagę podczas podejmowania decyzji, czy maszyny wirtualne dołączone do firmy Microsoft są odpowiednie dla Danego środowiska.

• Usługa Azure Virtual Desktop (klasyczna) nie obsługuje maszyn wirtualnych dołączonych do firmy Microsoft.
• Maszyny wirtualne dołączone do firmy Microsoft nie obsługują obecnie tożsamości zewnętrznych, takich jak Microsoft Entra Business-to-Business (B2B) i Microsoft Entra Business-to-Consumer (B2C).
• Przyłączone do firmy Microsoft maszyny wirtualne mogą uzyskiwać dostęp tylko do udziałów usługi Azure Files lub udziałów usługi Azure NetApp Files dla użytkowników hybrydowych przy użyciu protokołu Microsoft Entra Kerberos dla profilów użytkowników fsLogix.
• Aplikacja pulpitu zdalnego dla systemu Windows nie obsługuje maszyn wirtualnych dołączonych do firmy Microsoft.

Wdrażanie maszyn wirtualnych dołączonych do firmy Microsoft

Maszyny wirtualne przyłączone do firmy Microsoft można wdrożyć bezpośrednio w witrynie Azure Portal podczas tworzenia nowej puli hostów lub rozszerzania istniejącej puli hostów. Aby wdrożyć maszynę wirtualną przyłączoną do firmy Microsoft, otwórz kartę Maszyny wirtualne, a następnie wybierz, czy chcesz dołączyć maszynę wirtualną do usługi Active Directory, czy microsoft Entra ID. Wybranie pozycji Microsoft Entra ID umożliwia automatyczne rejestrowanie maszyn wirtualnych w usłudze Intune, co umożliwia łatwe zarządzanie hostami sesji. Należy pamiętać, że opcja Microsoft Entra ID dołączy maszyny wirtualne tylko do tej samej dzierżawy firmy Microsoft Entra co subskrypcja, w której się znajdujesz.

Uwaga

• Pule hostów powinny zawierać tylko maszyny wirtualne tego samego typu przyłączania do domeny. Na przykład maszyny wirtualne dołączone do firmy Microsoft powinny być tylko z innymi maszynami wirtualnymi dołączonymi do firmy Microsoft Entra i na odwrót.
• Maszyny wirtualne w puli hostów muszą mieć system Windows 11 lub Windows 10 z jedną sesją lub wieloma sesjami w wersji 2004 lub nowszej albo Windows Server 2022 lub Windows Server 2019.

Przypisywanie dostępu użytkownika do pul hostów

Po utworzeniu puli hostów należy przypisać użytkownikom dostęp do ich zasobów. Aby udzielić dostępu do zasobów, dodaj każdego użytkownika do grupy aplikacji. Postępuj zgodnie z instrukcjami w temacie Zarządzanie grupami aplikacji, aby przypisać dostęp użytkowników do aplikacji i komputerów stacjonarnych. Zalecamy używanie grup użytkowników zamiast poszczególnych użytkowników tam, gdzie jest to możliwe.

W przypadku maszyn wirtualnych dołączonych do firmy Microsoft należy wykonać dwie dodatkowe czynności zgodnie z wymaganiami dotyczącymi wdrożeń opartych na usługach Active Directory lub Microsoft Entra Domain Services:

• Przypisz użytkownikom rolę Logowania użytkownika maszyny wirtualnej, aby mogli logować się do maszyn wirtualnych.
• Przypisz administratorom, którzy potrzebują lokalnych uprawnień administracyjnych, rola Logowanie maszyny wirtualnej Administracja istrator.

Aby udzielić użytkownikom dostępu do maszyn wirtualnych dołączonych do firmy Microsoft, należy skonfigurować przypisania ról dla maszyny wirtualnej. Możesz przypisać rolę logowania użytkownika maszyny wirtualnej lub maszyny wirtualnej Administracja istrator logowania na maszynach wirtualnych, grupie zasobów zawierającej maszyny wirtualne lub subskrypcję. Zalecamy przypisanie roli logowania użytkownika maszyny wirtualnej do tej samej grupy użytkowników, która była używana dla grupy aplikacji na poziomie grupy zasobów, aby zastosować ją do wszystkich maszyn wirtualnych w puli hostów.

Uzyskiwanie dostępu do maszyn wirtualnych dołączonych do firmy Microsoft

W tej sekcji wyjaśniono, jak uzyskać dostęp do maszyn wirtualnych dołączonych do firmy Microsoft z różnych klientów usługi Azure Virtual Desktop.

Logowanie jednokrotne

Aby uzyskać najlepsze środowisko na wszystkich platformach, należy włączyć środowisko logowania jednokrotnego przy użyciu uwierzytelniania firmy Microsoft Entra podczas uzyskiwania dostępu do maszyn wirtualnych dołączonych do firmy Microsoft Entra. Postępuj zgodnie z instrukcjami, aby skonfigurować logowanie jednokrotne , aby zapewnić bezproblemowe połączenie.

Połączenie przy użyciu starszych protokołów uwierzytelniania

Jeśli nie chcesz włączać logowania jednokrotnego, możesz użyć następującej konfiguracji, aby umożliwić dostęp do maszyn wirtualnych dołączonych do firmy Microsoft Entra.

Połączenie przy użyciu klienta klasycznego systemu Windows

Domyślna konfiguracja obsługuje połączenia z systemu Windows 11 lub Windows 10 przy użyciu klienta pulpitu z systemem Windows. Możesz użyć poświadczeń, karty inteligentnej, zaufania certyfikatu Windows Hello dla firm lub zaufania klucza Windows Hello dla firm z certyfikatami, aby zalogować się do hosta sesji. Jednak aby uzyskać dostęp do hosta sesji, komputer lokalny musi spełnić jeden z następujących warunków:

• Komputer lokalny jest przyłączony do tej samej dzierżawy usługi Microsoft Entra co host sesji
• Komputer lokalny jest przyłączony do tej samej dzierżawy hybrydowej usługi Microsoft Entra co host sesji
• Komputer lokalny jest z systemem Windows 11 lub Windows 10 w wersji 2004 lub nowszej i jest zarejestrowany w tej samej dzierżawie firmy Microsoft Entra co host sesji

Jeśli komputer lokalny nie spełnia jednego z tych warunków, dodaj właściwość targetisaadjoined:i:1 jako niestandardową właściwość protokołu RDP do puli hostów. Te połączenia są ograniczone do wprowadzania nazwy użytkownika i poświadczeń hasła podczas logowania się do hosta sesji.

Połączenie przy użyciu innych klientów

Aby uzyskać dostęp do maszyn wirtualnych dołączonych do firmy Microsoft przy użyciu klientów sieci Web, Android, macOS i iOS, należy dodać element targetisaadjoined:i:1 jako niestandardową właściwość protokołu RDP do puli hostów. Te połączenia są ograniczone do wprowadzania nazwy użytkownika i poświadczeń hasła podczas logowania się do hosta sesji.

Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla maszyn wirtualnych sesji dołączonych do firmy Microsoft

Możesz użyć uwierzytelniania wieloskładnikowego firmy Microsoft z maszynami wirtualnymi dołączonymi do firmy Microsoft. Wykonaj kroki, aby wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego i zanotuj dodatkowe kroki dla maszyn wirtualnych hosta sesji dołączonych do firmy Microsoft.

Jeśli używasz uwierzytelniania wieloskładnikowego firmy Microsoft i nie chcesz ograniczać logowania do silnych metod uwierzytelniania, takich jak Windows Hello dla firm, musisz wykluczyć aplikację logowania maszyny wirtualnej z systemem Windows platformy Azure z zasad dostępu warunkowego.

Profile użytkowników

Kontenery profilów FSLogix można używać z maszynami wirtualnymi dołączonymi do firmy Microsoft podczas przechowywania ich w usłudze Azure Files lub Azure NetApp Files podczas korzystania z kont użytkowników hybrydowych. Aby uzyskać więcej informacji, zobacz Create a profile container with Azure Files and Microsoft Entra ID (Tworzenie kontenera profilu za pomocą usługi Azure Files i identyfikatora Entra firmy Microsoft).

Uzyskiwanie dostępu do zasobów lokalnych

Chociaż nie potrzebujesz usługi Active Directory do wdrażania lub uzyskiwania dostępu do maszyn wirtualnych dołączonych do firmy Microsoft, usługa Active Directory i widok są potrzebne do uzyskiwania dostępu do zasobów lokalnych z tych maszyn wirtualnych. Aby dowiedzieć się więcej na temat uzyskiwania dostępu do zasobów lokalnych, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do firmy Microsoft.

Następne kroki

Po wdrożeniu niektórych maszyn wirtualnych dołączonych do firmy Microsoft zalecamy włączenie logowania jednokrotnego przed nawiązaniem połączenia z obsługiwanym klientem usługi Azure Virtual Desktop w celu przetestowania go w ramach sesji użytkownika. Aby dowiedzieć się więcej, zapoznaj się z następującymi artykułami:

• Konfigurowanie logowania jednokrotnego
• Tworzenie kontenera profilów przy użyciu usługi Azure Files i identyfikatora entra firmy Microsoft
• Połączenie przy użyciu klienta klasycznego systemu Windows
• Połączenie z klientem internetowym
• Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi przyłączonymi do Microsoft Entra
• Tworzenie kontenera profilu za pomocą usługi Azure NetApp Files