Поделиться через

Поддерживаемые удостоверения и методы проверки подлинности

В этой статье мы кратко рассмотрим, какие типы удостоверений и методов проверки подлинности можно использовать в Виртуальном рабочем столе Azure.

Удостоверения

Виртуальный рабочий стол Azure поддерживает различные типы удостоверений в зависимости от выбранной конфигурации. В этом разделе объясняется, какие удостоверения можно использовать для каждой конфигурации.

Важно!

Виртуальный рабочий стол Azure не поддерживает вход в Microsoft Entra ID с одной учетной записью пользователя, а затем вход в Windows с помощью отдельной учетной записи пользователя. Вход с двумя разными учетными записями одновременно может привести к повторному подключению пользователей к неправильному узлу сеанса, неправильным или отсутствующим сведениям в портал Azure, а также к сообщениям об ошибках при использовании подключения приложения.

Локальное удостоверение

Так как для доступа к Виртуальному рабочему столу Azure пользователи должны быть доступны для Microsoft Entra ID, удостоверения пользователей, которые существуют только в доменные службы Active Directory (AD DS), не поддерживаются. Сюда входят автономные развертывания Active Directory с службы федерации Active Directory (AD FS) (AD FS).

Гибридное удостоверение

Виртуальный рабочий стол Azure поддерживает гибридные удостоверения через Microsoft Entra ID, в том числе федеративные с помощью AD FS. Вы можете управлять этими удостоверениями пользователей в AD DS и синхронизировать их с Microsoft Entra ID с помощью Microsoft Entra Connect. Вы также можете использовать Microsoft Entra ID для управления этими удостоверениями и их синхронизации с Доменные службы Microsoft Entra.

При доступе к Виртуальному рабочему столу Azure с помощью гибридных удостоверений иногда имя участника-пользователя (UPN) или идентификатор безопасности (SID) для пользователя в Active Directory (AD) и Microsoft Entra ID не совпадают. Например, учетная запись user@contoso.local AD может соответствовать user@contoso.com в Microsoft Entra ID. Виртуальный рабочий стол Azure поддерживает этот тип конфигурации только в том случае, если имя участника-пользователя или идентификатор безопасности для учетных записей AD и Microsoft Entra ID совпадают. Sid — это свойство объекта пользователя ObjectSID в AD и OnPremisesSecurityIdentifier в Microsoft Entra ID.

Облачное удостоверение

Виртуальный рабочий стол Azure поддерживает только облачные удостоверения при использовании виртуальных машин, присоединенных к Microsoft Entra. Эти пользователи создаются и управляются непосредственно в Microsoft Entra ID.

Примечание.

Вы также можете назначить гибридные удостоверения группам приложений Виртуального рабочего стола Azure, в которых размещаются узлы сеансов типа присоединения Microsoft Entra присоединены.

Федеративное удостоверение

Если для управления учетными записями пользователей используется сторонний поставщик удостоверений (IdP), отличный от Microsoft Entra ID или доменные службы Active Directory, необходимо убедиться, что:

Внешнее удостоверение

Виртуальный рабочий стол Azure в настоящее время не поддерживает внешние удостоверения.

Методы проверки подлинности

При доступе к ресурсам Виртуального рабочего стола Azure существует три отдельных этапа проверки подлинности:

  • Проверка подлинности облачной службы. Проверка подлинности в службе Виртуального рабочего стола Azure, которая включает подписку на ресурсы и проверку подлинности в шлюзе, выполняется с помощью Microsoft Entra ID.
  • Проверка подлинности удаленного сеанса. Проверка подлинности на удаленной виртуальной машине. Существует несколько способов проверки подлинности в удаленном сеансе, включая рекомендуемый единый вход .
  • Проверка подлинности в сеансе. Проверка подлинности для приложений и веб-сайтов в удаленном сеансе.

Чтобы получить список учетных данных, доступных на разных клиентах для каждого этапа проверки подлинности, сравните клиенты на разных платформах.

Важно!

Чтобы проверка подлинности работала правильно, локальный компьютер также должен иметь доступ к требуемым URL-адресам для клиентов удаленного рабочего стола.

В следующих разделах содержатся дополнительные сведения об этих этапах проверки подлинности.

Проверка подлинности облачной службы

Чтобы получить доступ к ресурсам Виртуального рабочего стола Azure, необходимо сначала пройти проверку подлинности в службе, выполнив вход с помощью учетной записи Microsoft Entra ID. Проверка подлинности выполняется всякий раз, когда вы подписываетесь на получение ресурсов, подключаетесь к шлюзу при запуске подключения или при отправке диагностических сведений в службу. Для проверки подлинности используется Microsoft Entra ID ресурс Виртуального рабочего стола Azure (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07).

Многофакторная проверка подлинности

Следуйте инструкциям в разделе Принудительное Microsoft Entra многофакторной проверки подлинности для Виртуального рабочего стола Azure с помощью условного доступа, чтобы узнать, как применить Microsoft Entra многофакторную проверку подлинности для развертывания. В этой статье также показано, как настроить частоту запроса пользователей на ввод учетных данных. При развертывании виртуальных машин, присоединенных к Microsoft Entra, обратите внимание на дополнительные действия для виртуальных машин узла сеансов, присоединенных к Microsoft Entra.

Проверка подлинности без пароля

Для проверки подлинности в службе можно использовать любой тип проверки подлинности, поддерживаемый Microsoft Entra ID, например Windows Hello для бизнеса и другие параметры проверки подлинности без пароля (например, ключи FIDO).

Проверка подлинности интеллектуальной карта

Чтобы использовать смарт-карта для проверки подлинности для Microsoft Entra ID, необходимо сначала настроить проверку подлинности на основе сертификата Microsoft Entra или настроить AD FS для проверки подлинности на основе сертификата пользователя.

Сторонние поставщики удостоверений

Вы можете использовать сторонние поставщики удостоверений при условии, что они федеративны с Microsoft Entra ID.

Проверка подлинности удаленного сеанса

Если вы еще не включили единый вход или сохранили учетные данные локально, вам также потребуется пройти проверку подлинности на узле сеанса при запуске подключения.

Единый вход (SSO)

Единый вход позволяет подключению пропускать запрос учетных данных узла сеанса и автоматически входить пользователя в Windows с помощью Microsoft Entra проверки подлинности. Для узлов сеансов, которые Microsoft Entra присоединены или Microsoft Entra гибридным присоединением, рекомендуется включить единый вход с помощью проверки подлинности Microsoft Entra. Microsoft Entra проверка подлинности предоставляет другие преимущества, включая проверку подлинности без пароля и поддержку сторонних поставщиков удостоверений.

Виртуальный рабочий стол Azure также поддерживает единый вход с помощью службы федерации Active Directory (AD FS) (AD FS) для классических и веб-клиентов Windows.

Без единого входа клиент запрашивает у пользователей учетные данные узла сеансов для каждого подключения. Единственный способ избежать запроса — сохранить учетные данные в клиенте. Рекомендуется сохранять учетные данные только на защищенных устройствах, чтобы запретить другим пользователям доступ к вашим ресурсам.

Интеллектуальные карта и Windows Hello для бизнеса

Виртуальный рабочий стол Azure поддерживает NT LAN Manager (NTLM) и Kerberos для проверки подлинности узла сеансов, однако smart карта и Windows Hello для бизнеса могут использовать Kerberos только для входа. Чтобы использовать Kerberos, клиенту необходимо получить билеты безопасности Kerberos из службы Центра распространения ключей (KDC), работающей на контроллере домена. Чтобы получить билеты, клиенту требуется прямая сетевая прямая видимость контроллера домена. Вы можете получить прямую видимость, подключив непосредственно в корпоративной сети, используя VPN-подключение или настроив прокси-сервер KDC.

Проверка подлинности в сеансе

После подключения к RemoteApp или рабочему столу в сеансе может появиться запрос на проверку подлинности. В этом разделе объясняется, как использовать в этом сценарии учетные данные, отличные от имени пользователя и пароля.

Проверка подлинности без пароля в сеансе

Виртуальный рабочий стол Azure поддерживает проверку подлинности без пароля в сеансе с использованием Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO, при использовании клиента Windows Desktop. Проверка подлинности без пароля включается автоматически, если узел сеансов и локальный компьютер используют следующие операционные системы:

Чтобы отключить проверку подлинности без пароля в пуле узлов, необходимо настроить свойство RDP. Вы можете найти свойство перенаправления WebAuthn на вкладке Перенаправление устройств в портал Azure или задать для свойства redirectwebauthnзначение 0 с помощью PowerShell.

Если этот параметр включен, все запросы WebAuthn в сеансе перенаправляются на локальный компьютер. Для завершения процесса проверки подлинности можно использовать Windows Hello для бизнеса или подключенные локально устройства безопасности.

Чтобы получить доступ к ресурсам Microsoft Entra с помощью Windows Hello для бизнеса или устройств безопасности, необходимо включить ключ безопасности FIDO2 в качестве метода проверки подлинности для пользователей. Чтобы включить этот метод, выполните действия, описанные в разделе Включение метода ключа безопасности FIDO2.

Проверка подлинности интеллектуальной карта в сеансе

Чтобы использовать интеллектуальный карта в сеансе, убедитесь, что установлены драйверы интеллектуальной карта на узле сеанса и включена функция перенаправления интеллектуальной карта. Просмотрите диаграммы сравнения для Windows App и приложения удаленного рабочего стола, чтобы вы могли использовать интеллектуальное карта перенаправление.

Дальнейшие действия