Obsługiwane tożsamości i metody uwierzytelniania
W tym artykule przedstawimy krótkie omówienie rodzajów tożsamości i metod uwierzytelniania, których można używać w usłudze Azure Virtual Desktop.
Tożsamości
Usługa Azure Virtual Desktop obsługuje różne typy tożsamości w zależności od wybranej konfiguracji. W tej sekcji opisano tożsamości, których można użyć dla każdej konfiguracji.
Ważne
Usługa Azure Virtual Desktop nie obsługuje logowania się do usługi Microsoft Entra ID przy użyciu jednego konta użytkownika, a następnie logowania się do systemu Windows przy użyciu oddzielnego konta użytkownika. Logowanie przy użyciu dwóch różnych kont w tym samym czasie może prowadzić do ponownego nawiązania połączenia z niewłaściwym hostem sesji, nieprawidłowymi lub brakującymi informacjami w witrynie Azure Portal oraz komunikatami o błędach wyświetlanymi podczas korzystania z dołączania aplikacji lub dołączania aplikacji MSIX.
Tożsamość lokalna
Ponieważ użytkownicy muszą być odnajdywalni za pośrednictwem identyfikatora Entra firmy Microsoft, aby uzyskać dostęp do usługi Azure Virtual Desktop, tożsamości użytkowników, które istnieją tylko w usługach domena usługi Active Directory (AD DS), nie są obsługiwane. Obejmuje to autonomiczne wdrożenia usługi Active Directory z usługami Active Directory Federation Services (AD FS).
Tożsamość hybrydowa
Usługa Azure Virtual Desktop obsługuje tożsamości hybrydowe za pośrednictwem identyfikatora Entra firmy Microsoft, w tym tożsamości federacyjnych przy użyciu usług AD FS. Możesz zarządzać tymi tożsamościami użytkowników w usługach AD DS i synchronizować je z identyfikatorem Entra FIRMY Microsoft przy użyciu programu Microsoft Entra Connect. Za pomocą identyfikatora Entra firmy Microsoft można również zarządzać tymi tożsamościami i synchronizować je z usługami Microsoft Entra Domain Services.
Podczas uzyskiwania dostępu do usługi Azure Virtual Desktop przy użyciu tożsamości hybrydowych czasami główna nazwa użytkownika (UPN) lub identyfikator zabezpieczeń (SID) użytkownika w usłudze Active Directory (AD) i identyfikator entra firmy Microsoft nie są zgodne. Na przykład konto user@contoso.local usługi AD może odpowiadać identyfikatorowi user@contoso.com Entra firmy Microsoft. Usługa Azure Virtual Desktop obsługuje tylko ten typ konfiguracji, jeśli jest zgodna zarówno nazwa UPN, jak i identyfikator SID dla kont ad i Microsoft Entra ID. Identyfikator SID odnosi się do właściwości obiektu użytkownika "ObjectSID" w usługach AD i "OnPremisesSecurityIdentifier" w identyfikatorze Entra firmy Microsoft.
Tożsamość tylko w chmurze
Usługa Azure Virtual Desktop obsługuje tożsamości tylko w chmurze w przypadku korzystania z maszyn wirtualnych dołączonych do firmy Microsoft Entra. Ci użytkownicy są tworzeni i zarządzani bezpośrednio w usłudze Microsoft Entra ID.
Uwaga
Tożsamości hybrydowe można również przypisać do grup aplikacji usługi Azure Virtual Desktop hostujących hosty hostujących hosty sesji typu przyłączone do firmy Microsoft Entra.
Dostawcy tożsamości innych firm
Jeśli do zarządzania kontami użytkowników używasz dostawcy tożsamości (IdP) innego niż identyfikator firmy Microsoft, musisz upewnić się, że:
- Twój dostawca tożsamości jest federacyjny z identyfikatorem Entra firmy Microsoft.
- Hosty sesji są przyłączone do firmy Microsoft lub dołączone hybrydowe rozwiązanie Microsoft Entra.
- Możesz włączyć uwierzytelnianie microsoft Entra na hoście sesji.
Tożsamość zewnętrzna
Usługa Azure Virtual Desktop obecnie nie obsługuje tożsamości zewnętrznych.
Metody uwierzytelniania
W przypadku użytkowników łączących się z sesją zdalną istnieją trzy oddzielne punkty uwierzytelniania:
Uwierzytelnianie usługi w usłudze Azure Virtual Desktop: pobieranie listy zasobów, do których użytkownik ma dostęp podczas uzyskiwania dostępu do klienta. Środowisko zależy od konfiguracji konta Microsoft Entra. Jeśli na przykład użytkownik ma włączone uwierzytelnianie wieloskładnikowe, zostanie wyświetlony monit o podanie konta użytkownika i drugiej formy uwierzytelniania w taki sam sposób, jak uzyskiwanie dostępu do innych usług.
Host sesji: podczas uruchamiania sesji zdalnej. Nazwa użytkownika i hasło są wymagane dla hosta sesji, ale jest to bezproblemowe dla użytkownika, jeśli logowanie jednokrotne jest włączone.
Uwierzytelnianie w sesji: nawiązywanie połączenia z innymi zasobami w ramach sesji zdalnej.
W poniższych sekcjach opisano szczegółowo każdy z tych punktów uwierzytelniania.
Uwierzytelnianie usługi
Aby uzyskać dostęp do zasobów usługi Azure Virtual Desktop, musisz najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Microsoft Entra. Uwierzytelnianie odbywa się za każdym razem, gdy subskrybujesz obszar roboczy, aby pobrać zasoby i połączyć się z aplikacjami lub komputerami stacjonarnymi. Możesz używać dostawców tożsamości innych firm, o ile sfederują się z identyfikatorem Entra firmy Microsoft.
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego, aby dowiedzieć się, jak wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft na potrzeby wdrożenia. W tym artykule opisano również sposób konfigurowania częstotliwości monitowania użytkowników o wprowadzenie poświadczeń. Podczas wdrażania maszyn wirtualnych dołączonych do firmy Microsoft entra należy pamiętać o dodatkowych krokach dotyczących maszyn wirtualnych hosta sesji dołączonych do firmy Microsoft.
Uwierzytelnianie bez hasła
Do uwierzytelniania w usłudze można użyć dowolnego typu uwierzytelniania obsługiwanego przez firmę Microsoft Entra ID, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO).
Uwierzytelnianie przy użyciu kart inteligentnych
Aby użyć karty inteligentnej do uwierzytelniania w usłudze Microsoft Entra ID, należy najpierw skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika lub skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft.
Uwierzytelnianie hosta sesji
Jeśli logowanie jednokrotne nie zostało jeszcze włączone lub zapisano poświadczenia lokalnie, musisz również uwierzytelnić się na hoście sesji podczas uruchamiania połączenia. Poniższa lista zawiera opis typów uwierzytelniania, które obecnie obsługuje każdy klient usługi Azure Virtual Desktop. Niektórzy klienci mogą wymagać użycia określonej wersji, którą można znaleźć w linku dla każdego typu uwierzytelniania.
| Klient | Obsługiwane typy uwierzytelniania |
|---|---|
| Klient klasyczny systemu Windows | Nazwa użytkownika i hasło Karta inteligentna zaufanie certyfikatu Windows Hello dla firm zaufanie klucza Windows Hello dla firm za pomocą certyfikatów Uwierzytelnianie Microsoft Entra |
| Aplikacja ze sklepu Azure Virtual Desktop Store | Nazwa użytkownika i hasło Karta inteligentna zaufanie certyfikatu Windows Hello dla firm zaufanie klucza Windows Hello dla firm za pomocą certyfikatów Uwierzytelnianie Microsoft Entra |
| Aplikacja pulpitu zdalnego | Nazwa użytkownika i hasło |
| Klient sieci Web | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu Android | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu iOS | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu macOS | Nazwa użytkownika i hasło Karta inteligentna: obsługa logowania opartego na kartach inteligentnych przy użyciu przekierowania karty inteligentnej w wierszu polecenia Winlogon, gdy równoważenie obciążenia sieciowego nie jest negocjowane. Uwierzytelnianie Microsoft Entra |
Ważne
Aby uwierzytelnianie działało prawidłowo, komputer lokalny musi mieć również dostęp do wymaganych adresów URL dla klientów usług pulpitu zdalnego.
Logowanie jednokrotne
Logowanie jednokrotne umożliwia połączeniu pomijanie monitu poświadczeń hosta sesji i automatyczne logowanie użytkownika do systemu Windows. W przypadku hostów sesji dołączonych do firmy Microsoft Entra lub dołączonych hybrydowych do firmy Microsoft Entra zaleca się włączenie logowania jednokrotnego przy użyciu uwierzytelniania microsoft Entra. Uwierzytelnianie firmy Microsoft Entra zapewnia inne korzyści, takie jak uwierzytelnianie bez hasła i obsługa dostawców tożsamości innych firm.
Usługa Azure Virtual Desktop obsługuje również logowanie jednokrotne przy użyciu usług Active Directory Federation Services (AD FS) dla komputerów stacjonarnych z systemem Windows i klientów internetowych.
Bez logowania jednokrotnego klient wyświetli monit o podanie poświadczeń hosta sesji dla każdego połączenia. Jedynym sposobem uniknięcia monitowania jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom uzyskiwanie dostępu do zasobów.
Karta inteligentna i Windows Hello dla firm
Usługa Azure Virtual Desktop obsługuje zarówno protokół NT LAN Manager (NTLM) jak i Kerberos na potrzeby uwierzytelniania hosta sesji, jednak karta inteligentna i Windows Hello dla firm mogą logować się tylko przy użyciu protokołu Kerberos. Aby korzystać z protokołu Kerberos, klient musi pobrać bilety zabezpieczeń protokołu Kerberos z usługi Centrum dystrybucji kluczy (KDC) uruchomionej na kontrolerze domeny. Aby uzyskać bilety, klient potrzebuje bezpośredniego połączenia sieciowego z kontrolerem domeny. Możesz uzyskać widok, łącząc się bezpośrednio w sieci firmowej przy użyciu połączenia sieci VPN lub konfigurowania serwera proxy usługi KDC.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z usługą RemoteApp lub pulpitem może zostać wyświetlony monit o uwierzytelnienie wewnątrz sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
Usługa Azure Virtual Desktop obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO podczas korzystania z klienta klasycznego systemu Windows. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy host sesji i komputer lokalny korzystają z następujących systemów operacyjnych:
- Windows 11 single or multi-session with the 2022-10 Cumulative Updates for Windows 11 (KB5018418) or nowsza zainstalowana.
- System Windows 10 z jedną lub wieloma sesjami w wersji 20H2 lub nowszej z aktualizacjami zbiorczymi 2022-10 dla systemu Windows 10 (KB5018410) lub nowszym.
- Windows Server 2022 z aktualizacją zbiorczą 2022-10 dla systemu operacyjnego microsoft server (KB5018421) lub nowszego.
Aby wyłączyć uwierzytelnianie bez hasła w puli hostów, należy dostosować właściwość protokołu RDP. Właściwość przekierowania WebAuthn można znaleźć na karcie Przekierowanie urządzenia w witrynie Azure Portal lub ustawić właściwość redirectwebauthn na 0 przy użyciu programu PowerShell.
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, można użyć Windows Hello dla firm lub urządzeń zabezpieczeń dołączonych lokalnie.
Aby uzyskać dostęp do zasobów firmy Microsoft za pomocą Windows Hello dla firm lub urządzeń zabezpieczeń, musisz włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w artykule Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie za pomocą karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, upewnij się, że na hoście sesji zainstalowano sterowniki kart inteligentnych i włączono przekierowywanie kart inteligentnych. Przejrzyj wykres porównawczy klienta, aby upewnić się, że klient obsługuje przekierowywanie kart inteligentnych.
Następne kroki
- Chcesz poznać inne sposoby zabezpieczania wdrożenia? Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń.
- Masz problemy z nawiązywaniem połączenia z maszynami wirtualnymi dołączonymi do firmy Microsoft? Zapoznaj się z artykułem Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi dołączonymi do firmy Microsoft.
- Masz problemy z uwierzytelnianiem bez hasła w sesji? Zobacz Rozwiązywanie problemów z przekierowywaniem protokołu WebAuthn.
- Chcesz używać kart inteligentnych spoza sieci firmowej? Zapoznaj się z instrukcjami konfigurowania serwera proxy usługi KDC.