Войдите на виртуальную машину Windows в Azure с помощью идентификатора Microsoft Entra, включая пароль без пароля

Организации могут повысить безопасность виртуальных машин Windows в Azure, интегрируя с проверкой подлинности Microsoft Entra. Теперь вы можете использовать идентификатор Microsoft Entra в качестве основной платформы проверки подлинности для протокола удаленного рабочего стола (RDP) в выпуске Windows Server 2019 Datacenter и более поздних версиях или Windows 10 1809 и более поздних версий. После этого вы сможете централизованно управлять политиками управления доступом на основе ролей (RBAC) Azure и условного доступа, которые разрешают или запрещают доступ к виртуальным машинам, и применять их принудительно.

В этой статье показано, как создать и настроить виртуальную машину Windows и войти с помощью проверки подлинности на основе идентификатора Microsoft Entra.

Существует множество преимуществ безопасности при использовании проверки подлинности на основе идентификаторов Microsoft Entra для входа на виртуальные машины Windows в Azure. К ним относятся:

• Используйте проверку подлинности Microsoft Entra, включая без пароля для входа на виртуальные машины Windows в Azure.

• Уменьшение зависимости от учетных записей локальных администраторов.

• Политики сложности паролей и времени существования паролей, настроенные для идентификатора Microsoft Entra, также помогают защитить виртуальные машины Windows.

• С помощью Azure RBAC:

  • Укажите, кто может войти на виртуальную машину в качестве обычного пользователя или с правами администратора.
  • По мере присоединения пользователей к вашей группе или ухода из нее можно обновлять политику Azure RBAC для виртуальной машины, предоставляя соответствующий доступ.
  • Когда сотрудники покидают вашу организацию и их учетные записи пользователей, отключаются или удаляются из идентификатора Microsoft Entra, они больше не имеют доступа к ресурсам.

• Настройте политики условного доступа для фишинга с помощью проверки подлинности (предварительная версия) для управления предоставлением разрешений или требуют многофакторной проверки подлинности и других сигналов, таких как риск входа пользователей, прежде чем вы сможете использовать протокол RDP на виртуальных машинах Windows.

• Используйте Политика Azure для развертывания и аудита политик, чтобы требовать входа Microsoft Entra для виртуальных машин Windows и пометить использование неподтвержденных локальных учетных записей на виртуальных машинах.

• Используйте Intune для автоматизации и масштабирования соединения Microsoft Entra с автоматической регистрацией виртуальных машин Windows Azure, которые входят в развертывание инфраструктуры виртуальных машин виртуального рабочего стола (VDI).

  Для автоматической регистрации MDM требуются лицензии Microsoft Entra ID P1. Виртуальные машины Windows Server не поддерживают регистрацию MDM.

Примечание.

После включения этой возможности виртуальные машины Windows в Azure будут присоединены к Microsoft Entra. Вы не можете присоединить их к другому домену, например локальная служба Active Directory или доменным службам Microsoft Entra. Если это необходимо сделать, отключите виртуальную машину от идентификатора Microsoft Entra, удалив расширение.

Требования

Поддерживаемые регионы Azure и дистрибутивы Windows

Пока эту функцию поддерживают следующие дистрибутивы Windows.

• Windows Server 2019 Datacenter и более поздние версии
• Windows 10 1809 и более поздние версии
• Windows 11 21H2 и более поздних версий

Эта функция сейчас доступна в следующих облаках Azure.

• Глобальная служба Azure
• Azure для государственных организаций
• Microsoft Azure под управлением 21Vianet

Требования к сети

Чтобы включить проверку подлинности Microsoft Entra для виртуальных машин Windows в Azure, необходимо убедиться, что конфигурация сети виртуальной машины разрешает исходящий доступ к следующим конечным точкам через TCP-порт 443.

Глобальная служба Azure

• https://enterpriseregistration.windows.net — для регистрации устройства.
• http://169.254.169.254 — конечная точка Службы метаданных экземпляров Azure.
• https://login.microsoftonline.com — для потоков проверки подлинности.
• https://pas.windows.net — для потоков Azure RBAC.

Azure для государственных организаций:

• https://enterpriseregistration.microsoftonline.us — для регистрации устройства.
• http://169.254.169.254 — конечная точка Службы метаданных экземпляров Azure.
• https://login.microsoftonline.us — для потоков проверки подлинности.
• https://pasff.usgovcloudapi.net — для потоков Azure RBAC.

Microsoft Azure, управляемый 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn — для регистрации устройства.
• http://169.254.169.254 — конечная точка Службы метаданных экземпляров Azure.
• https://login.chinacloudapi.cn — для потоков проверки подлинности.
• https://pas.chinacloudapi.cn — для потоков Azure RBAC.

Требования к проверке подлинности

Гостевые учетные записи Microsoft Entra не могут подключаться к виртуальным машинам Azure или виртуальным машинам с поддержкой Бастиона Azure через проверку подлинности Microsoft Entra.

Включение входа Microsoft Entra для виртуальной машины Windows в Azure

Чтобы использовать имя входа Microsoft Entra для виртуальной машины Windows в Azure, необходимо:

1. Включите параметр входа Microsoft Entra для виртуальной машины.
2. Настройте назначения ролей Azure для пользователей, которым разрешено войти на виртуальную машину.

Существует два способа включения входа Microsoft Entra для виртуальной машины Windows:

• портал Azure при создании виртуальной машины Windows;
• интерфейс Azure Cloud Shell при создании виртуальной машины Windows или при использовании существующей виртуальной машины Windows.

Примечание.

Если объект устройства с тем же отображаемым именем, что и имя узла виртуальной машины, в которой установлено расширение, виртуальная машина не может присоединиться к идентификатору Microsoft Entra с ошибкой дублирования имени узла. Избегайте дублирования путем изменения имени узла.

Портал Azure

Вы можете включить вход Microsoft Entra для образов виртуальных машин в Центре обработки данных Windows Server 2019 или Windows 10 1809 и более поздних версий.

Чтобы создать виртуальную машину Центра обработки данных Windows Server 2019 в Azure с именем входа Microsoft Entra:

1. Войдите на портал Azure с учетной записью, имеющей право на создание виртуальных машин, а затем выберите + Создать ресурс.

2. Введите Windows Server в поле на панели поиска Marketplace.

3. Щелкните Windows Server и выберите Windows Server 2019 Datacenter в раскрывающемся списке Выберите план программного обеспечения.

4. Нажмите кнопку создания.

5. На вкладке "Управление" выберите имя входа с идентификатором Microsoft Entra ID проверка box в разделе идентификатора Microsoft Entra ID.

   

6. Убедитесь, что выбран параметр Управляемое удостоверение, назначаемое системой в разделе Идентификатор Это действие должно происходить автоматически после включения входа с помощью идентификатора Microsoft Entra.

7. Выполните оставшиеся действия процесса создания виртуальной машины. Необходимо создать имя администратора и пароль для виртуальной машины.

Примечание.

Чтобы войти на виртуальную машину с помощью учетных данных Microsoft Entra, сначала необходимо настроить назначения ролей для виртуальной машины.

Azure Cloud Shell

Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. В Cloud Shell предварительно установлены и настроены общие инструменты Azure для использования с вашей учетной записью. Нажмите кнопку Копировать, чтобы скопировать код. Вставьте его в Cloud Shell и нажмите клавишу "ВВОД", чтобы выполнить код. Cloud Shell можно открыть разными способами:

• Нажмите кнопку Попробовать в правом верхнем углу блока с кодом.
• Откройте Cloud Shell в браузере.
• Нажмите кнопку меню Cloud Shell в правом верхнем углу окна портала Azure.

Для этой статьи требуется запустить Azure CLI версии 2.0.31 или более поздней. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, ознакомьтесь со статьей Установка Azure CLI.

1. Создайте группу ресурсов, выполнив команду az group create.
2. Создайте виртуальную машину, выполнив команду az vm create. Используйте поддерживаемое распределение в поддерживаемом регионе.
3. Установите расширение виртуальной машины входа Microsoft Entra.

В следующем примере виртуальная машина с именем myVM (которая использует Win2019Datacenter) развертывается в группе ресурсов с именем myResourceGroup в регионе southcentralus. В этом примере и в следующем можно при необходимости указать собственную группу ресурсов и имена виртуальных машин.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Примечание.

Перед установкой расширения виртуальной машины для входа Microsoft Entra необходимо включить управляемое удостоверение, назначаемое системой. Управляемые удостоверения хранятся в одном клиенте Microsoft Entra и в настоящее время не поддерживают сценарии между каталогами.

Создание виртуальной машины и вспомогательных ресурсов занимает несколько минут.

Наконец, установите расширение виртуальной машины входа Microsoft Entra, чтобы включить вход Microsoft Entra для виртуальных машин Windows. Расширения виртуальных машин — это небольшие приложения, которые предоставляют задачи конфигурации после развертывания и автоматизации в Azure Виртуальные машины. Используйте команду az vm extension set, чтобы установить расширение AADLoginForWindows на виртуальной машине с именем myVM в группе ресурсов myResourceGroup.

Расширение AADLoginForWindows можно установить на существующей виртуальной машине Windows Server 2019 или Windows 10 1809 и более поздней версии, чтобы включить ее для проверки подлинности Microsoft Entra. В следующем примере для установки расширения используется Azure CLI:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

После установки расширения на виртуальной машине provisioningState отображается Succeeded.

Настройка назначений ролей для виртуальной машины

Теперь, когда вы создали виртуальную машину, необходимо назначить одну из следующих ролей Azure, чтобы определить, кто может войти в виртуальную машину. Чтобы назначить эти роли, необходимо иметь роль доступа к данным виртуальной машины Администратор istrator или любую роль, Microsoft.Authorization/roleAssignments/write включающую действие, например роль контроль доступа Администратор istrator на основе ролей. Однако если вы используете другую роль, отличную от роли доступа к данным виртуальных машин Администратор istrator, рекомендуется добавить условие, чтобы уменьшить разрешение на создание назначений ролей.

• Имя входа виртуальной машины Администратор istrator: пользователи, которым назначена эта роль, могут войти на виртуальную машину Azure с правами администратора.
• Имя входа пользователя виртуальной машины: пользователи, которым назначена эта роль, могут войти в виртуальную машину Azure с обычными привилегиями пользователя.

Чтобы разрешить пользователю войти на виртуальную машину по протоколу RDP, необходимо назначить роль входа пользователя виртуальной машины Администратор istrator или имени входа пользователя виртуальной машины ресурсу виртуальной машины.

Примечание.

Повышение прав пользователя на роль локального администратора на виртуальной машине путем добавления пользователя в группу локальных администраторов или выполнение net localgroup administrators /add "AzureAD\UserUpn" команды не поддерживается. Для авторизации входа виртуальной машины необходимо использовать указанные выше роли Azure.

Пользователь Azure, которому назначена роль владельца или участника для виртуальной машины, не имеет прав входа на виртуальную машину через RDP. Это необходимо, чтобы обеспечить прошедшее аудит разделение между пользователями, управляющими виртуальными машинами, и пользователями с доступом к виртуальным машинам.

Доступно два способа настройки назначений ролей для виртуальной машины:

• Интерфейс Центра администрирования Microsoft Entra
• интерфейс Azure Cloud Shell.

Примечание.

Для ролей "Имя для входа администратора виртуальной машины" или "Имя для входа пользователя виртуальной машины" используется разрешение dataActions, поэтому их нельзя назначать в области действия группы управления. В настоящее время эти роли можно назначать только в области подписки, группы ресурсов или ресурса.

Центр администрирования Microsoft Entra

Чтобы настроить назначения ролей для виртуальных машин Центра обработки данных Windows Server 2019 с поддержкой идентификатора Microsoft Entra:

1. Выберите группу ресурсов, содержащую виртуальную машину и связанную с ней виртуальную сеть, сетевой интерфейс, общедоступный IP-адрес или ресурс подсистемы балансировки нагрузки.

2. Выберите Управление доступом (IAM) .

3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу Добавление назначения ролей.

4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Параметр	Значение
   Роль	Имя для входа администратора виртуальной машины или Имя для входа пользователя виртуальной машины
   Назначить доступ для	Пользователь, группа, субъект-служба или управляемое удостоверение

   

Azure Cloud Shell

В следующем примере используется az role assignment create, чтобы назначить роль входа виртуальной машины Администратор istrator виртуальной машине для текущего пользователя Azure. Имя пользователя текущей учетной записи Azure можно получить с помощью команды az account show. В качестве области задается виртуальная машина, созданная на предыдущем шаге с помощью команды az vm show.

Вы также можете назначить область на уровне группы ресурсов или подписки. Применяются обычные разрешения наследования Azure RBAC.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Примечание.

Если домен Microsoft Entra и домен имени пользователя для входа не совпадают, необходимо указать идентификатор объекта учетной записи пользователя, а --assignee-object-idне только имя пользователя.--assignee Идентификатор объекта учетной записи пользователя можно получить с помощью команды az ad user list.

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

• Назначение ролей Azure с помощью Azure CLI
• Назначение ролей Azure с помощью портала Azure
• Назначение ролей Azure с помощью Azure PowerShell

Вход с помощью учетных данных Microsoft Entra на виртуальную машину Windows

Вы можете войти через RDP с помощью одного из двух методов:

1. Без пароля, используя любые поддерживаемые учетные данные Microsoft Entra (рекомендуется)
2. Пароль или ограниченный пароль без пароля с помощью Windows Hello для бизнеса развернутой с помощью модели доверия сертификатов

Вход с помощью проверки подлинности без пароля с помощью идентификатора Microsoft Entra

Чтобы использовать проверку подлинности без пароля для виртуальных машин Windows в Azure, вам потребуется клиентский компьютер Windows и узел сеанса на следующих операционных системах:

• Windows 11 с накопительным Обновления 2022-10 для Windows 11 (КБ 5018418) или более поздней версии.
• Windows 10 версии 20H2 или более поздней версии с накопительным Обновления 2022–10 для Windows 10 (КБ 5018410) или более поздней версии.
• Windows Server 2022 с накопительным пакетом обновления 2022–10 для операционной системы Microsoft Server (КБ 5018421) или более поздней версии.

Внимание

Клиентский компьютер Windows должен быть зарегистрирован либо Microsoft Entra, либо присоединен к Microsoft Entra, либо гибридное присоединение Microsoft Entra к тому же каталогу, что и виртуальная машина. Кроме того, для RDP с помощью учетных данных Microsoft Entra пользователи должны принадлежать одному из двух ролей Azure, виртуальной машине Администратор istrator Login или имени входа пользователя виртуальной машины. Это требование не существует для входа без пароля.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия.

• Запустите Подключение удаленного рабочего стола из поиска Windows или выполнив команду mstsc.exe.
• Выберите "Использовать веб-учетную запись" для входа на удаленный компьютер на вкладке "Дополнительно ". Этот параметр эквивалентен свойству enablerdsaadauth RDP. Дополнительные сведения см. в статье Поддерживаемые свойства RDP со службами удаленных рабочих столов.
• Укажите имя удаленного компьютера и выберите Подключение.

Примечание.

IP-адрес нельзя использовать, если используется веб-учетная запись для входа в параметр удаленного компьютера . Имя должно соответствовать имени узла удаленного устройства в идентификаторе Microsoft Entra ID и быть адресируемым в сети, разрешая IP-адрес удаленного устройства.

• При появлении запроса на ввод учетных данных укажите имя пользователя в user@domain.com формате.
• Затем вам будет предложено разрешить подключение к удаленному рабочему столу при подключении к новому компьютеру. Microsoft Entra запоминает до 15 узлов в течение 30 дней до запроса еще раз. Если вы видите это диалоговое окно, нажмите кнопку Да, чтобы подключиться.

Внимание

Если ваша организация настроена и использует условный доступ Microsoft Entra, устройство должно соответствовать требованиям условного доступа, чтобы разрешить подключение к удаленному компьютеру. Политики условного доступа могут применяться к приложению Удаленный рабочий стол (Майкрософт) (a4a365df-50f1-4397-bc59-1a1564b8bb9c) для управляемого доступа.

Примечание.

Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra или методы без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс с помощью действия пользователя или системной политики сеанс будет отключен, а служба отправляет пользователю сообщение, объясняющее, что они были отключены. Отключение сеанса также гарантирует, что при повторном запуске подключения после периода бездействия идентификатор Microsoft Entra повторно вычисляет применимые политики условного доступа.

Вход с помощью проверки подлинности без пароля и ограниченного пароля с помощью идентификатора Microsoft Entra

Внимание

Удаленное подключение к виртуальным машинам, присоединенным к идентификатору Microsoft Entra, разрешено только с компьютеров Под управлением Windows 10 или более поздних версий, зарегистрированных в Microsoft Entra (минимальная требуемая сборка — 20H1), или Присоединение к Microsoft Entra или гибридное присоединение Microsoft Entra к тому же каталогу, что и виртуальная машина. Кроме того, для RDP с помощью учетных данных Microsoft Entra пользователи должны принадлежать одному из двух ролей Azure, виртуальной машине Администратор istrator Login или имени входа пользователя виртуальной машины.

Если вы используете зарегистрированный windows 10 или более поздней версии Microsoft Entra, необходимо ввести учетные данные в AzureAD\UPN формате (например, AzureAD\john@contoso.com). В настоящее время вы можете использовать Бастион Azure для входа с проверкой подлинности Microsoft Entra с помощью Azure CLI и собственного клиента RDP mstsc.

Чтобы войти в виртуальную машину Windows Server 2019 с помощью идентификатора Microsoft Entra, выполните следующие действия:

1. Перейдите на страницу обзора виртуальной машины, которая была включена с помощью имени входа Microsoft Entra.
2. Щелкните Установить подключение, чтобы открыть область Подключение к виртуальной машине.
3. Выберите Скачать RDP-файл.
4. Нажмите кнопку Открыть, чтобы открыть клиент для подключения к удаленному рабочему столу.
5. Выберите Подключиться, чтобы открыть диалоговое окно входа Windows.
6. Войдите с помощью учетных данных Microsoft Entra.

Вы выполнили вход на виртуальную машину Windows Server 2019 в Azure с разрешениями назначенной роли, например пользователя виртуальной машины или администратора виртуальной машины.

Примечание.

Можно сохранить . RDP-файл локально на компьютере, чтобы запустить будущие подключения к виртуальной машине удаленного рабочего стола, а не перейти на страницу обзора виртуальной машины в портал Azure и с помощью параметра подключения.

Принудительные политики условного доступа

Вы можете применить политики условного доступа, такие как "фишинг устойчивый MFA" с помощью проверки подлинности (предварительная версия) предоставления контроля или многофакторной проверки подлинности или риска входа проверка пользователей, прежде чем авторизовать доступ к виртуальным машинам Windows в Azure, которые включены с помощью имени входа Microsoft Entra. Чтобы применить политику условного доступа, необходимо выбрать приложение входа виртуальной машины Microsoft Azure Windows из облачных приложений или действий. Затем используйте риск входа в качестве условия или "фишингостойчивую MFA", используя требуемую степень проверки подлинности (предварительная версия) предоставить контроль или требовать MFA в качестве элемента управления для предоставления доступа.

Примечание.

Если вам требуется MFA в качестве элемента управления для предоставления доступа к приложению входа виртуальной машины Microsoft Azure Windows, необходимо указать утверждение MFA в составе клиента, который инициирует сеанс RDP для целевой виртуальной машины Windows в Azure. Это можно сделать с помощью метода проверки подлинности без пароля для RDP, который удовлетворяет политикам условного доступа, однако если вы используете ограниченный метод без пароля для RDP, то единственный способ достичь этого в клиенте Windows 10 или более поздней версии — использовать пин-код Windows Hello для бизнеса или проверку подлинности биография метрики с клиентом RDP. Поддержка биометрической проверки подлинности была добавлена в клиент RDP в Windows 10 версии 1809. Удаленный рабочий стол, использующий процедуру проверки подлинности Windows Hello для бизнеса, доступен только для развертываний, которые используют модель доверия сертификата. Сейчас он недоступен для модели доверия ключей.

Использование Политики Azure для соответствия нормативным требованиям и стандартам

Использовать политику Azure для следующих целей:

• Убедитесь, что для новых и существующих виртуальных машин Windows включен вход Microsoft Entra.
• Оцените соответствие вашей среды в большом масштабе с помощью панели мониторинга соответствия требованиям.

Эта возможность обеспечивает множество уровней применения. Вы можете пометить новые и существующие виртуальные машины Windows в вашей среде, не включаемые в систему Microsoft Entra. Вы также можете использовать Политика Azure для развертывания расширения Microsoft Entra на новых виртуальных машинах Windows, которые не включены для входа в Систему Microsoft Entra, и исправить существующие виртуальные машины Windows в том же стандарте.

Помимо этих возможностей, с помощью Политики Azure вы можете обнаруживать и помечать виртуальные машины Windows, на которых существуют неутвержденные локальные учетные записи. Дополнительные сведения см. в разделе о Политике Azure.

Устранение неполадок, связанных с развертыванием

Расширение AADLoginForWindows должно быть успешно установлено для виртуальной машины, чтобы завершить процесс присоединения Microsoft Entra. Если расширение виртуальной машины не удается правильно установить, выполните следующие действия.

1. Подключение по RDP к виртуальной машине с помощью учетной записи локального администратора и изучите файл CommandExecution.log в папке C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Примечание.

   Если расширение перезапускается после первоначального сбоя, журнал с ошибкой развертывания будет сохранен под именем CommandExecution_YYYYMMDDHHMMSSSSS.log.

2. Откройте окно PowerShell на виртуальной машине. Убедитесь, что следующие запросы к конечной точке службы метаданных экземпляров Azure, запущенной на узле Azure, возвращают ожидаемые выходные данные:

   Выполняемая команда	Ожидаемые выходные данные
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Правильные сведения о виртуальной машине Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Допустимый идентификатор клиента, связанный с подпиской Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Допустимый маркер доступа, выданный идентификатором Microsoft Entra для управляемого удостоверения, назначенного этой виртуальной машине.

   Примечание.

   Маркер доступа можно декодировать с помощью средства, например https://jwt.ms/. Убедитесь, что значение oid в маркере доступа соответствует управляемому удостоверению, назначенному виртуальной машине.

3. С помощью PowerShell убедитесь в том, что необходимые конечные точки доступны из виртуальной машины.

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Примечание.

   Замените <TenantID> идентификатор клиента Microsoft Entra, связанный с подпиской Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net и pas.windows.net должны возвращать результат "404, не найдено", что является ожидаемым поведением.

4. Просмотрите состояние устройства, выполнив команду dsregcmd /status. Необходимо, чтобы отобразилось состояние устройства AzureAdJoined : YES.

   Примечание.

   Действие присоединения к Microsoft Entra записывается в Просмотр событий в журнале регистрации пользовательских устройств\Администратор по адресу Просмотр событий (local)\Applications and Services Logs\Microsoft\Windows\User Device Registration\Администратор.

Если работа расширения AADLoginForWindows завершается ошибкой с определенным кодом, можно выполнить следующие действия.

Код ошибки терминала 1007 и код выхода: 2145648574.

Код ошибки терминала 1007 и код выхода: 2145648574 преобразуются в DSREG_E_MSI_TENANTID_UNAVAILABLE. Расширение не может запрашивать сведения о клиенте Microsoft Entra.

Подключитесь к виртуальной машине от имени локального администратора и убедитесь, что конечная точка возвращает действительный идентификатор клиента из службы метаданных экземпляров Azure. Выполните следующую команду в окне PowerShell с повышенными привилегиями на виртуальной машине:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Такая проблема также может возникать, если администратор виртуальной машины пытается установить расширение AADLoginForWindows, но управляемое удостоверение, назначаемое системой, не активировано. В этом случае перейдите на панель Удостоверения виртуальной машины. На вкладке Назначаемые системой убедитесь, что для параметра Состояние установлено значение Вкл..

Код выхода: 2145648607

Код выхода: 2145648607 преобразуется в DSREG_AUTOJOIN_DISC_FAILED. Расширение не может связаться с конечной точкой https://enterpriseregistration.windows.net.

1. Убедитесь в том, что необходимые конечные точки доступны из виртуальной машины посредством PowerShell.

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Примечание.

   Замените <TenantID> идентификатор клиента Microsoft Entra, связанный с подпиской Azure. Если вам нужно найти идентификатор клиента, можно навести указатель мыши на имя учетной записи или выбрать идентификатор клиента обзора удостоверений>>>.

   При попытке подключения к enterpriseregistration.windows.net может быть возвращена ошибка 404 "Не найдено", что является ожидаемой реакцией. При попытке подключения к pas.windows.net могут запрашиваться учетные данные ПИН-кода или возвращать ошибку "404 "Не найдено". (Вам не нужно вводить ПИН-код.) Любого из вариантов достаточно, чтобы убедиться, что URL-адрес доступен.

2. Если одна из команд завершается с ошибкой "Не удалось сопоставить узел <URL>", попробуйте выполнить следующую команду, чтобы определить сервер DNS, используемый виртуальной машиной.

   nslookup <URL>

   Примечание.

   Замените <URL> на полные доменные имена, используемые конечными точками, например login.microsoftonline.com.

3. Затем проверьте, удается ли выполнить команду, указав адрес общедоступного DNS-сервера:

   nslookup <URL> 208.67.222.222

4. При необходимости измените DNS-сервер, назначенный группе безопасности сети, к которой принадлежит виртуальная машина Azure.

Код выхода: 51

Код выхода 51 преобразуется в "Это расширение не поддерживается в операционной системе виртуальной машины".

Расширение AADLoginForWindows можно устанавливать только в Windows Server 2019 или Windows 10 (сборка 1809 или более поздняя версия). Убедитесь, что ваша версия или сборка Windows поддерживается. Если расширение не поддерживается, удалите расширение.

Устранение проблем со входом

Чтобы устранить эти проблемы, используйте представленные ниже сведения.

Состояние устройства и единого входа (SSO) можно просмотреть, выполнив команду dsregcmd /status. Цель заключается в том, чтобы состояние устройства отображалось как AzureAdJoined : YES, а для состояния единого входа отображалось AzureAdPrt : YES.

Вход RDP с помощью учетных записей Microsoft Entra фиксируется в Просмотр событий в журналах приложений и служб\Windows\AAD\Operations event logs.

Роль Azure не назначена

При запуске подключения к виртуальной машине с помощью удаленного рабочего стола может появиться следующее сообщение об ошибке: "Настройки вашей учетной записи запрещают использование этого устройства. За дополнительными сведениями обратитесь к своему системному администратору.

Проверьте наличие настроенных политик Azure RBAC для виртуальной машины, которая предоставляет пользователю роль "Имя для входа администратора виртуальной машины" или "Имя для входа пользователя виртуальной машины".

Примечание.

Если вы столкнулись с проблемами назначения ролей Azure, см. статью Устранение неполадок Azure RBAC.

Клиент не авторизован или требуется изменение пароля

При запуске подключения удаленного рабочего стола к виртуальной машине может появиться следующее сообщение об ошибке: "Учетные данные недействительны".

Воспользуйтесь указанными ниже решениями.

• Компьютер с Windows 10 или более поздней версии, который вы используете для инициирования подключения к удаленному рабочему столу, должен быть присоединен к Microsoft Entra или гибридно присоединен к тому же каталогу Microsoft Entra. Дополнительные сведения об удостоверениях устройств см. в статье "Что такое удостоверение устройства?".

  Примечание.

  Windows 10 Build 20H1 добавил поддержку зарегистрированного компьютера Microsoft Entra для запуска подключения RDP к виртуальной машине. При использовании компьютера, зарегистрированного в Microsoft Entra (а не присоединенного к Microsoft Entra или гибридного соединения Microsoft Entra), в качестве клиента RDP для запуска подключений к виртуальной машине необходимо ввести учетные данные в формате AzureAD\UPN (например, AzureAD\john@contoso.com).

  Убедитесь, что расширение AADLoginForWindows не было удалено после завершения присоединения к Microsoft Entra.

  Кроме того, убедитесь, что политика безопасности Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру включена как на сервере, так и на клиенте.

• Убедитесь, что у пользователя нет временного пароля. Временные пароли нельзя использовать для входа в подключение к удаленному рабочему столу.

  Войдите с помощью учетной записи пользователя в веб-браузере. Например, войдите в портал Azure в частном окне просмотра. Если появится запрос на изменение пароля, настройте новый пароль. Затем повторите попытку подключения.

Требование использовать метод входа с MFA

При запуске подключения к виртуальной машине с помощью удаленного рабочего стола может появиться следующее сообщение об ошибке: "Этот метод входа запрещено использовать. Попробуйте использовать другой метод входа или обратитесь к системному администратору".

Если вы настроили политику условного доступа, требующую многофакторной проверки подлинности или устаревшую для каждого пользователя или примененную многофакторную проверку подлинности Microsoft Entra, прежде чем получить доступ к ресурсу, необходимо убедиться, что компьютер с Windows 10 или более поздней версии, который инициирует подключение удаленного рабочего стола к виртуальной машине, используя надежный метод проверки подлинности, например Windows Hello. Если вы не используете надежный метод проверки подлинности для подключения к удаленному рабочему столу, появится ошибка.

Другое сообщение об ошибке, связанное с многофакторной проверкой подлинности, — это сообщение об ошибке, описанное ранее: "Учетные данные недействительны".

Если вы настроили устаревший параметр многофакторной проверки подлинности Microsoft Entra для каждого пользователя и вы увидите ошибку выше, можно устранить проблему, удалив параметр MFA для каждого пользователя. Дополнительные сведения см. в статье "Включение многофакторной проверки подлинности Microsoft Entra для защиты событий входа".

Если вы еще не развернули Windows Hello для бизнеса и если это еще не вариант, можно настроить политику условного доступа, которая исключает приложение входа в виртуальную машину Microsoft Azure Windows из списка облачных приложений, требующих многофакторной проверки подлинности. Дополнительные сведения о Windows Hello для бизнеса см. в обзоре Windows Hello для бизнеса.

Примечание.

Проверка подлинности по RDP с помощью ПИН-кода в Windows Hello для бизнеса поддерживалась в нескольких версиях Windows 10. Поддержка биометрической проверки подлинности с помощью RDP добавлена в Windows 10 версии 1809. Использование проверки подлинности Windows Hello для бизнеса во время RDP доступно для развертываний, использующих модель доверия сертификатов или модель доверия ключей.

Поделитесь своими отзывами об этой функции или сообщите о проблемах с его использованием на форуме отзывов Microsoft Entra.

Отсутствует приложение

Если приложение для входа в виртуальную машину Microsoft Azure Windows отсутствует в условном доступе, убедитесь, что приложение находится в клиенте:

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям Identity>Applications>Enterprise.
3. Удалите фильтры, чтобы просмотреть все приложения, и выполните поиск по запросу VM. Если вы не видите вход виртуальной машины Microsoft Azure Windows в результате, субъект-служба отсутствует в клиенте.

Совет

Некоторые клиенты могут видеть приложение с именем входа виртуальной машины Windows Azure вместо входа в виртуальную машину Microsoft Azure Windows. Приложение будет иметь тот же идентификатор приложения 372140e0-b3b7-4226-8ef9-d57986796201.

Следующие шаги

Дополнительные сведения об идентификаторе Microsoft Entra см. в разделе "Что такое идентификатор Microsoft Entra?".