Единый вход (SSO) для Виртуального рабочего стола Azure с помощью Microsoft Entra ID обеспечивает простой вход для пользователей, подключающихся к узлам сеансов. При включении единого входа пользователи проходят проверку подлинности в Windows с помощью маркера Microsoft Entra ID. Этот маркер позволяет использовать проверку подлинности без пароля и сторонних поставщиков удостоверений, которые объединяются в федерацию с Microsoft Entra ID при подключении к узлу сеансов, что делает процесс входа простым.
Единый вход с помощью Microsoft Entra ID также обеспечивает простой интерфейс для Microsoft Entra ID ресурсов в сеансе. Дополнительные сведения об использовании проверки подлинности без пароля в сеансе см. в разделе Проверка подлинности без пароля в сеансе.
Чтобы включить единый вход с помощью проверки подлинности Microsoft Entra ID, необходимо выполнить пять задач:
Включите проверку подлинности Microsoft Entra для протокола удаленного рабочего стола (RDP).
Скрыть диалоговое окно запроса на согласие.
Создайте объект Сервера Kerberos, если доменные службы Active Directory является частью вашей среды. Дополнительные сведения о критериях приведены в его разделе.
Проверьте политики условного доступа.
Настройте пул узлов, чтобы включить единый вход.
Перед включением единого входа
Прежде чем включить единый вход, ознакомьтесь со следующими сведениями о его использовании в вашей среде.
Поведение блокировки сеанса
Если единый вход с помощью Microsoft Entra ID включен, а удаленный сеанс заблокирован пользователем или политикой, можно выбрать, отключен ли сеанс или отобразится экран удаленной блокировки. По умолчанию сеанс отключается при блокировке.
Если режим блокировки сеанса настроен на отключение, отображается диалоговое окно с сообщением о том, что они были отключены. Пользователи могут выбрать параметр Повторное подключение в диалоговом окне, когда они будут готовы снова подключиться. Это поведение выполняется по соображениям безопасности и для обеспечения полной поддержки проверки подлинности без пароля. Отключение сеанса обеспечивает следующие преимущества:
Согласованный вход с помощью Microsoft Entra ID при необходимости.
Единый вход и повторное подключение без запроса проверки подлинности, если это разрешено политиками условного доступа.
Поддерживает проверку подлинности без пароля, например ключи доступа и устройства FIDO2, в отличие от удаленного экрана блокировки.
Политики условного доступа, включая многофакторную проверку подлинности и частоту входа, вычисляются повторно при повторном подключении пользователя к сеансу.
Может требовать многофакторную проверку подлинности, чтобы вернуться к сеансу и запретить разблокировку пользователями с помощью простого имени пользователя и пароля.
Если вы хотите настроить режим блокировки сеанса для отображения удаленного экрана блокировки вместо отключения сеанса, см . раздел Настройка поведения блокировки сеанса.
Учетные записи администратора домена Active Directory с единым вхочетом
В средах с доменные службы Active Directory (AD DS) и гибридными учетными записями пользователей политика репликации паролей на контроллерах домена только для чтения запрещает репликацию паролей для членов групп безопасности "Администраторы домена" и "Администраторы". Эта политика не позволяет этим учетным записям администратора входить в Microsoft Entra узлах, присоединенных к гибридной среде, и может продолжать предлагать им вводить свои учетные данные. Это также предотвращает доступ учетных записей администраторов к локальным ресурсам, используюющим проверку подлинности Kerberos, из Microsoft Entra присоединенных узлов. Не рекомендуется подключаться к удаленному сеансу с помощью учетной записи, которая является администратором домена по соображениям безопасности.
Если вам нужно внести изменения в узел сеансов от имени администратора, войдите в узел сеанса с учетной записью, не являющейся администратором, а затем используйте параметр Запуск от имени администратора или средство запуска из командной строки, чтобы изменить его на администратора.
Прежде чем включить единый вход, необходимо выполнить следующие предварительные требования.
Чтобы настроить клиент Microsoft Entra, необходимо назначить одну из следующих Microsoft Entra встроенных ролей или эквивалентную:
На узлах сеансов должна быть установлена одна из следующих операционных систем с установленным накопительным обновлением:
Узлы сеансов должны быть Microsoft Entra присоединены или Microsoft Entra гибридным соединением. Узлы сеансов, присоединенные только к Доменные службы Microsoft Entra или к доменные службы Active Directory, не поддерживаются.
Если Microsoft Entra гибридных присоединенных узлов сеансов находятся в домене Active Directory, отличном от ваших учетных записей пользователей, между этими двумя доменами должно быть двустороннее доверие. Без двустороннего доверия подключения возвращаются к старым протоколам проверки подлинности.
Установите пакет SDK Microsoft Graph PowerShell версии 2.9.0 или более поздней на локальном устройстве или в Azure Cloud Shell.
Используйте поддерживаемую версию Windows App или клиент удаленного рабочего стола для подключения к удаленному сеансу. Поддерживаются следующие платформы и версии:
Включение Microsoft Entra проверки подлинности для RDP
Сначала необходимо разрешить проверку подлинности Microsoft Entra для Windows в клиенте Microsoft Entra, что позволяет выдавать маркеры доступа по протоколу RDP, позволяя пользователям входить в узлы сеансов Виртуального рабочего стола Azure. Присвойте свойству isRemoteDesktopProtocolEnabled значение true для объекта субъекта-службы remoteDesktopSecurityConfiguration для следующих Microsoft Entra приложений:
-
Вход в Windows Cloud:
270efc09-cd0d-444b-a71f-39af4910ec45
Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell , чтобы создать новый объект remoteDesktopSecurityConfiguration в субъекте-службе и присвойте свойству isRemoteDesktopProtocolEnabled значение true. Вы также можете использовать microsoft API Graph с таким средством, как Graph Обозреватель.
Откройте azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
Убедитесь, что вы установили пакет SDK Для Microsoft Graph PowerShell из предварительных требований, а затем импортируйте модули Проверки подлинности и приложения Microsoft Graph и подключитесь к Microsoft Graph с Application.Read.All областями и Application-RemoteDesktopConfig.ReadWrite.All , выполнив следующие команды:
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications
Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
Получите идентификатор объекта для субъекта-службы Windows Cloud Login и сохраните его в переменных, выполнив следующие команды:
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
Задайте для свойства isRemoteDesktopProtocolEnabled значение , true выполнив следующие команды. Выходные данные этих команд отсутствуют.
If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}
Убедитесь, что для свойства isRemoteDesktopProtocolEnabled задано значение true , выполнив следующие команды:
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
Выходные данные для обеих команд должны выглядеть следующим образом:
Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True
Скрыть диалоговое окно запроса на согласие
По умолчанию при включении единого входа пользователи увидят диалоговое окно, чтобы разрешить подключение к удаленному рабочему столу при подключении к новому узлу сеансов. Microsoft Entra запоминает до 15 узлов в течение 30 дней перед повторным запросом. Если пользователи увидят это диалоговое окно, чтобы разрешить подключение к удаленному рабочему столу, они могут выбрать Да , чтобы подключиться.
Это диалоговое окно можно скрыть, настроив список доверенных устройств. Чтобы настроить список устройств, создайте одну или несколько групп в Microsoft Entra ID, содержащей узлы сеансов, а затем добавьте идентификаторы групп в свойство субъекта-службы единого входа в Windows Cloud Login.
Совет
Рекомендуется использовать динамическую группу и настроить правила динамического членства, чтобы включить все узлы сеансов Виртуального рабочего стола Azure. Вы можете использовать имена устройств в этой группе, но для более безопасного параметра можно задать и использовать атрибуты расширения устройства с помощью Microsoft API Graph. Хотя динамические группы обычно обновляются в течение 5–10 минут, для крупных клиентов может потребоваться до 24 часов.
Для динамических групп требуется лицензия Microsoft Entra ID P1 или лицензия Intune для образовательных учреждений. Дополнительные сведения см. в разделе Правила динамического членства для групп.
Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell для создания объекта targetDeviceGroup в субъекте-службе с идентификатором объекта и отображаемым именем динамической группы. Вы также можете использовать microsoft API Graph с таким средством, как Graph Обозреватель.
Создайте динамическую группу в Microsoft Entra ID, содержащую узлы сеансов, для которых нужно скрыть диалоговое окно. Запишите идентификатор объекта группы для следующего шага.
В том же сеансе PowerShell создайте targetDeviceGroup объект, выполнив следующие команды, заменив собственными <placeholders> значениями:
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"
Добавьте группу в объект , targetDeviceGroup выполнив следующие команды:
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
Выходные данные должны выглядеть примерно так:
Id DisplayName
-- -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
Повторите шаги 2 и 3 для каждой группы, которую вы хотите добавить в targetDeviceGroup объект , не более 10 групп.
Если позже потребуется удалить группу устройств из targetDeviceGroup объекта, выполните следующие команды, заменив собственными <placeholders> значениями:
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Создание объекта сервера Kerberos
Если узлы сеансов соответствуют следующим критериям, необходимо создать объект сервера Kerberos. Дополнительные сведения см. в статье Включение входа с помощью ключа безопасности без пароля в локальные ресурсы с помощью Microsoft Entra ID, в частности в разделе Создание объекта Kerberos Server:
Узел сеанса Microsoft Entra гибридное присоединение. Для завершения проверки подлинности на контроллере домена необходимо иметь объект сервера Kerberos.
Узел сеанса Microsoft Entra присоединен, а ваша среда содержит контроллеры домена Active Directory. У вас должен быть серверный объект Kerberos, чтобы пользователи имели доступ к локальным ресурсам, таким как общие папки SMB и встроенная в Windows проверка подлинности на веб-сайтах.
Важно!
Если включить единый вход Microsoft Entra узлах сеансов с гибридным присоединением без создания объекта сервера Kerberos, при попытке подключиться к удаленному сеансу может произойти одно из следующих действий:
- Появляется сообщение об ошибке о том, что определенный сеанс не существует.
- Единый вход будет пропущен, и вы увидите диалоговое окно стандартной проверки подлинности для узла сеанса.
Чтобы устранить эти проблемы, создайте объект сервера Kerberos, а затем подключитесь еще раз.
Просмотр политик условного доступа
Если включен единый вход, подается новое приложение Microsoft Entra ID для проверки подлинности пользователей на узле сеанса. Если у вас есть политики условного доступа, которые применяются при доступе к Виртуальному рабочему столу Azure, ознакомьтесь с рекомендациями по настройке многофакторной проверки подлинности , чтобы убедиться, что у пользователей есть необходимые возможности.
Чтобы включить единый вход в пуле узлов, необходимо настроить следующее свойство RDP, которое можно сделать с помощью портал Azure или PowerShell. Инструкции по настройке свойств RDP см. в статье Настройка свойств протокола удаленного рабочего стола (RDP) для пула узлов.
В портал Azure задайте для Microsoft Entra единого входазначение Connections будет использовать проверку подлинности Microsoft Entra для предоставления единого входа.
Для PowerShell задайте для свойства enablerdsaadauth значение 1.