Присоединенные к Microsoft Entra узлы сеансов в Виртуальном рабочем столе Azure

Статья
11/14/2023

В этой статье описывается процесс развертывания и доступа к виртуальным машинам, присоединенным к Microsoft Entra, в Виртуальном рабочем столе Azure. Присоединенные к Microsoft Entra виртуальные машины удаляют необходимость подключения к виртуальной машине в локальную или виртуализированную домен Active Directory контроллера (DC) или развертывать доменные службы Microsoft Entra. В некоторых случаях их применение также может полностью устранить потребность в контроллере домена, что упрощает развертывание и управление средой. Эти виртуальные машины также можно автоматически регистрировать в Intune для простоты управления.

Известные ограничения

Следующие известные ограничения могут повлиять на доступ к локальным или присоединенным к домену ресурсам Active Directory, и их следует учитывать при выборе того, подходит ли присоединенная к вашей среде виртуальная машина Microsoft Entra.

Виртуальный рабочий стол Azure (классическая версия) не поддерживает присоединенные к Microsoft Entra виртуальные машины.
Присоединенные к Microsoft Entra виртуальные машины в настоящее время не поддерживают внешние удостоверения, такие как Microsoft Entra Business-to-Business (B2B) и Microsoft Entra Business-to-Consumer (B2C).
Присоединенные к Microsoft Entra виртуальные машины могут получать доступ только к общим папкам Файлы Azure или общим папкам Azure NetApp Files для гибридных пользователей с помощью профилей пользователей Microsoft Entra Kerberos для FSLogix.
Приложение удаленного рабочего стола для Windows не поддерживает присоединенные к Microsoft Entra виртуальные машины.

Развертывание присоединенных к Microsoft Entra виртуальных машин

Вы можете развернуть виртуальные машины, присоединенные к Microsoft Entra, непосредственно из портал Azure при создании нового пула узлов или расширении существующего пула узлов. Чтобы развернуть виртуальную машину, присоединенную к Microsoft Entra, откройте вкладку Виртуальные машины, а затем выберите, следует ли присоединить виртуальную машину к Active Directory или идентификатору Microsoft Entra. Выбор идентификатора Записи Майкрософт позволяет автоматически зарегистрировать виртуальные машины в Intune, что позволяет легко управлять узлами сеансов. Помните, что параметр идентификатора Microsoft Entra будет присоединять виртуальные машины только к тому же клиенту Microsoft Entra, что и подписка, в которую вы находитесь.

Примечание.

Пулы узлов должны содержать только виртуальные машины с одним типом присоединения к домену. Например, присоединенные к Microsoft Entra виртуальные машины должны быть только с другими виртуальными машинами, присоединенными к Microsoft Entra, и наоборот.
Виртуальные машины в пуле узлов должны быть Windows 11 или Windows 10 с одним сеансом или несколькими сеансами, версия 2004 или более поздней версии или Windows Server 2022 или Windows Server 2019.

Назначение пользователям доступа к пулам узлов

После создания пула узлов необходимо назначить пользователям доступ к их ресурсам. Чтобы предоставить доступ к ресурсам, добавьте каждого пользователя в группу приложений. Следуйте инструкциям в статье "Управление группами приложений", чтобы назначить пользователю доступ к приложениям и рабочим столам. Рекомендуется использовать группы пользователей вместо отдельных пользователей везде, где это возможно.

Для виртуальных машин, присоединенных к Microsoft Entra, вам потребуется выполнить два дополнительных действия в соответствии с требованиями для развертываний на основе доменных служб Active Directory или Microsoft Entra:

Назначьте пользователям роль Имя для входа пользователя виртуальной машины, чтобы они могли входить на виртуальные машины.
Назначьте администраторам, которым требуются права локального администратора, роль входа администратора виртуальной машины.

Чтобы предоставить пользователям доступ к виртуальным машинам, присоединенным к Microsoft Entra, необходимо настроить назначения ролей для виртуальной машины. Вы можете назначить роль Имя для входа пользователя виртуальной машины или Имя для входа администратора виртуальной машины для виртуальных машин, группы ресурсов, содержащей виртуальные машины, или подписки. Мы рекомендуем назначить роль входа пользователя виртуальной машины в ту же группу пользователей, которую вы использовали для группы приложений на уровне группы ресурсов, чтобы применить ее ко всем виртуальным машинам в пуле узлов.

Доступ к виртуальным машинам, присоединенным к Microsoft Entra

В этом разделе объясняется, как получить доступ к виртуальным машинам, присоединенным к Microsoft Entra, из разных клиентов виртуального рабочего стола Azure.

Единый вход

Для обеспечения оптимальной работы на всех платформах следует включить единый вход с помощью проверки подлинности Microsoft Entra при доступе к виртуальным машинам, присоединенным к Microsoft Entra. Выполните действия по настройке единого входа, чтобы обеспечить простое подключение.

Подключение использование устаревших протоколов проверки подлинности

Если вы предпочитаете не включать единый вход, можно использовать следующую конфигурацию для включения доступа к виртуальным машинам, присоединенным к Microsoft Entra.

Подключение с помощью клиента Windows Desktop

Конфигурация по умолчанию поддерживает подключения из Windows 11 или Windows 10 с помощью клиента Windows Desktop. Для входа на узел сеансов можно использовать учетные данные, смарт-карту, доверие на основе сертификатов Windows Hello для бизнеса или доверие на основе ключей и сертификатов Windows Hello для бизнеса. Однако для доступа к узлу сеансов локальный компьютер должен соответствовать одному из следующих условий:

Локальный компьютер присоединен к тому же клиенту Microsoft Entra, что и узел сеансов
Локальный компьютер имеет гибридное присоединение к тому же клиенту Microsoft Entra, что и узел сеансов
Локальный компьютер работает под управлением Windows 11 или Windows 10 версии 2004 или более поздней версии и зарегистрирован в том же клиенте Microsoft Entra, что и узел сеанса.

Если локальный компьютер не соответствует одному из этих условий, добавьте targetisaadjoined:i:1 в качестве настраиваемого свойства RDP в пул узлов. При входе на узел сеансов эти подключения ограничиваются вводом имени пользователя и пароля.

Подключение с помощью других клиентов

Чтобы получить доступ к виртуальным машинам Microsoft Entra, присоединенным к Интернету, Android, macOS и iOS, необходимо добавить targetisaadjoined:i:1 в качестве настраиваемого свойства RDP в пул узлов. При входе на узел сеансов эти подключения ограничиваются вводом имени пользователя и пароля.

Применение многофакторной проверки подлинности Microsoft Entra для виртуальных машин сеанса, присоединенных к Microsoft Entra

Вы можете использовать многофакторную проверку подлинности Microsoft Entra с виртуальными машинами, присоединенными к Microsoft Entra. Выполните действия, чтобы применить многофакторную проверку подлинности Microsoft Entra для виртуального рабочего стола Azure с помощью условного доступа и запишите дополнительные действия для виртуальных машин узла сеансов, присоединенных к Microsoft Entra.

Если вы используете многофакторную проверку подлинности Microsoft Entra и не хотите ограничивать вход в надежные методы проверки подлинности, например Windows Hello для бизнеса, необходимо исключить приложение входа виртуальной машины Azure из политики условного доступа.

Профили пользователей

Контейнеры профилей FSLogix можно использовать с виртуальными машинами, присоединенными к Microsoft Entra, при хранении их в Файлы Azure или Azure NetApp Files при использовании гибридных учетных записей пользователей. Дополнительные сведения см. в разделе "Создание контейнера профиля с Файлы Azure и идентификатором Microsoft Entra".

Доступ к локальным ресурсам

Хотя вам не нужен Active Directory для развертывания или доступа к виртуальным машинам, присоединенным к Microsoft Entra, для доступа к локальным ресурсам из этих виртуальных машин требуется Active Directory и линия видимости. Дополнительные сведения о доступе к локальным ресурсам см. в статье "Как единый вход в локальные ресурсы работает на устройствах, присоединенных к Microsoft Entra".

Следующие шаги

Теперь, когда вы развернули некоторые виртуальные машины, присоединенные к Microsoft Entra, рекомендуется включить единый вход перед подключением с поддерживаемым клиентом Виртуального рабочего стола Azure для тестирования его в рамках сеанса пользователя. Для получения дополнительных сведений ознакомьтесь со следующими статьями: