Настройка единого входа для Виртуального рабочего стола Azure с помощью проверки подлинности Идентификатора Microsoft Entra
В этой статье описывается процесс настройки единого входа (SSO) для Виртуального рабочего стола Azure с помощью проверки подлинности идентификатора Microsoft Entra ID. При включении единого входа пользователи проходят проверку подлинности в Windows с помощью маркера идентификатора Microsoft Entra. Этот маркер позволяет использовать проверку подлинности без пароля и сторонних поставщиков удостоверений, которые объединяются с идентификатором Microsoft Entra при подключении к узлу сеанса, что обеспечивает удобство входа.
Единый вход с помощью проверки подлинности Идентификатора Microsoft Entra также обеспечивает удобный интерфейс для ресурсов на основе идентификаторов Microsoft в сеансе. Дополнительные сведения об использовании проверки подлинности без пароля в сеансе см. в разделе "Без пароля в сеансе".
Чтобы включить единый вход с помощью проверки подлинности идентификатора Microsoft Entra, необходимо выполнить пять задач:
Включите проверку подлинности Microsoft Entra для протокола удаленного рабочего стола (RDP).
Настройте целевые группы устройств.
Создайте объект Kerberos Server, если домен Active Directory Services является частью среды. Дополнительные сведения о критериях включены в его раздел.
Проверьте свою политику условного доступа.
Настройте пул узлов, чтобы включить единый вход.
Перед включением единого входа
Прежде чем включить единый вход, ознакомьтесь со следующими сведениями об использовании в вашей среде.
Отключение при блокировке сеанса
Если единый вход включен, вы войдете в Windows с помощью маркера проверки подлинности Идентификатора Microsoft Entra, который обеспечивает поддержку проверки подлинности без пароля в Windows. Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra ID или методы проверки подлинности без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс через действие пользователя или системную политику сеанс будет отключен, а служба отправляет пользователю сообщение, объясняющее, что они были отключены.
Отключение сеанса также гарантирует, что при повторном запуске подключения после периода бездействия идентификатор Microsoft Entra повторно вычисляет все применимые политики условного доступа.
Использование учетной записи администратора домена Active Directory с единым входом
В средах со службами домен Active Directory (AD DS) и гибридными учетными записями пользователей политика репликации паролей по умолчанию в контроллерах домена только для чтения запрещает реплика паролей для членов групп безопасности доменных Администратор и Администратор istratorов. Эта политика предотвращает вход этих учетных записей администратора в гибридные узлы Microsoft Entra, которые могут содержать запрос на ввод учетных данных. Кроме того, учетные записи администратора не могут получать доступ к локальным ресурсам, использующие проверку подлинности Kerberos из узлов, присоединенных к Microsoft Entra.
Чтобы разрешить этим учетным записям администратора подключаться при включении единого входа, см. статью "Разрешить учетным записям администратора домена Active Directory для подключения".
Необходимые компоненты
Прежде чем включить единый вход, необходимо выполнить следующие предварительные требования:
Чтобы настроить клиент Microsoft Entra, необходимо назначить одну из следующих встроенных ролей Microsoft Entra:
Узлы сеансов должны работать в одной из следующих операционных систем с установленным накопительным обновлением:
- Windows 11 Корпоративная один или несколько сеансов с установленным накопительным Обновления 2022-10 для Windows 11 (КБ 5018418) или более поздней версии.
- Windows 10 Корпоративная один или несколько сеансов с установленным накопительным Обновления 2022-10 для Windows 10 (КБ 5018410) или более поздней версии.
- Windows Server 2022 с накопительным пакетом обновления 2022-10 для операционной системы Microsoft Server (КБ 5018421) или более поздней версии.
Узлы сеансов должны быть присоединены к Microsoft Entra или гибридное присоединение к Microsoft Entra. Узлы сеансов, присоединенные к доменным службам Microsoft Entra или к службам домен Active Directory, не поддерживаются.
Если гибридные узлы сеансов Microsoft Entra находятся в другом домене Active Directory, отличном от учетных записей пользователей, между двумя доменами должно быть двустороннее доверие. Без двустороннего доверия подключения будут возвращаться к старым протоколам проверки подлинности.
Установите пакет SDK Microsoft Graph PowerShell версии 2.9.0 или более поздней версии на локальном устройстве или в Azure Cloud Shell.
Поддерживаемый клиент удаленного рабочего стола для подключения к удаленному сеансу. Поддерживаются следующие клиенты:
- Классический клиент Windows на локальных компьютерах под управлением Windows 10 или более поздней версии. Для подключения локального компьютера к идентификатору Microsoft Entra или домену Active Directory не требуется.
- Веб-клиент.
- клиент macOS версии 10.8.2 или более поздней версии.
- Клиент iOS версии 10.5.1 или более поздней версии.
- Клиент Android версии 10.0.16 или более поздней версии.
Чтобы настроить подключение учетной записи администратора домена Active Directory при включении единого входа, вам нужна учетная запись, являющаяся членом группы безопасности доменных Администратор s.
Включение проверки подлинности Microsoft Entra для RDP
Сначала необходимо разрешить проверку подлинности Microsoft Entra для Windows в клиенте Microsoft Entra, что позволяет выдавать маркеры доступа RDP, позволяющие пользователям входить в узлы сеансов виртуального рабочего стола Azure. isRemoteDesktopProtocolEnabled
Свойство имеет значение true для объекта субъекта-службы remoteDesktopSecurityConfiguration
для следующих приложений Microsoft Entra:
Имя приложения | Application ID |
---|---|
Удаленный рабочий стол (Майкрософт) | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
Вход в Windows Cloud | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Внимание
В рамках предстоящего изменения мы переходим с Удаленный рабочий стол (Майкрософт) на windows Cloud Login, начиная с 2024 года. Настройка обоих приложений теперь гарантирует, что вы готовы к изменению.
Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell для создания нового объекта remoteDesktopSecurityConfiguration в субъекте-службе и задайте для свойства isRemoteDesktopProtocolEnabled
значение true
. Вы также можете использовать API Microsoft Graph с таким инструментом, как Graph Обозреватель.
Запустите Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
Если вы используете Cloud Shell, убедитесь, что контекст Azure задан в подписке, которую вы хотите использовать.
Если вы используете PowerShell локально, сначала войдите в Azure PowerShell, убедитесь , что контекст Azure установлен в подписке, которую вы хотите использовать.
Убедитесь, что пакет SDK Microsoft Graph PowerShell установлен из предварительных требований, а затем импортируйте модули Проверки подлинности и приложений Microsoft Graph и подключитесь к Microsoft Graph с
Application.Read.All
помощью областьApplication-RemoteDesktopConfig.ReadWrite.All
, выполнив следующие команды:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
Получите идентификатор объекта для каждого субъекта-службы и сохраните их в переменных, выполнив следующие команды:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
Задайте для свойства
isRemoteDesktopProtocolEnabled
true
значение, выполнив следующие команды. Выходные данные этих команд отсутствуют.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }
Убедитесь, что свойство
isRemoteDesktopProtocolEnabled
заданоtrue
, выполнив следующие команды:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
Результат должен выглядеть примерно так:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Настройка целевых групп устройств
После включения проверки подлинности Microsoft Entra для RDP необходимо настроить целевые группы устройств. По умолчанию при включении единого входа пользователям предлагается пройти проверку подлинности в идентификаторе Microsoft Entra и разрешить подключение к удаленному рабочему столу при запуске подключения к новому узлу сеанса. Microsoft Entra запоминает до 15 узлов в течение 30 дней до запроса еще раз. Если вы видите диалоговое окно, чтобы разрешить подключение к удаленному рабочему столу, выберите "Да ", чтобы подключиться.
Это диалоговое окно можно скрыть и предоставить единый вход для подключений ко всем узлам сеансов, настроив список доверенных устройств. Необходимо создать одну или несколько групп в идентификаторе Microsoft Entra, содержащей узлы сеансов, а затем задать свойство субъектов-служб для тех же Удаленный рабочий стол (Майкрософт) и приложений для входа в Облако Windows, которые использовались в предыдущем разделе для группы.
Совет
Мы рекомендуем использовать динамическую группу и настроить правила динамического членства, чтобы включить все узлы сеансов Виртуального рабочего стола Azure. Имена устройств в этой группе можно использовать, но для более безопасного варианта можно задать и использовать атрибуты расширения устройства с помощью API Microsoft Graph. Хотя динамические группы обычно обновляются в течение 5–10 минут, крупные клиенты могут занять до 24 часов.
Для динамических групп требуется лицензия Microsoft Entra ID P1 или Intune для образовательных учреждений. Дополнительные сведения см. в разделе "Правила динамического членства" для групп.
Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell для создания нового объекта targetDeviceGroup в субъекте-службе с идентификатором объекта динамической группы и отображаемого имени. Вы также можете использовать API Microsoft Graph с таким инструментом, как Graph Обозреватель.
Создайте динамическую группу в идентификаторе Microsoft Entra, содержащую узлы сеансов, для которых нужно скрыть диалоговое окно. Запишите идентификатор объекта группы для следующего шага.
В том же сеансе PowerShell создайте
targetDeviceGroup
объект, выполнив следующие команды, заменив<placeholders>
их собственными значениями:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"
Добавьте группу
targetDeviceGroup
в объект, выполнив следующие команды:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
Выходные данные должны быть похожи:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
Повторите шаги 2 и 3 для каждой группы, которую нужно добавить в
targetDeviceGroup
объект, до 10 групп.Если позже необходимо удалить группу устройств из
targetDeviceGroup
объекта, выполните следующие команды, заменив<placeholders>
их собственными значениями:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Создание объекта сервера Kerberos
Если узлы сеансов соответствуют следующим критериям, необходимо создать объект Kerberos Server:
- Узел сеанса присоединен к гибридному соединению Microsoft Entra. Для завершения проверки подлинности на контроллере домена необходимо иметь объект Kerberos Server.
- Узел сеанса присоединен к Microsoft Entra, а среда содержит контроллеры домена Active Directory. Необходимо иметь объект Kerberos Server, чтобы пользователи имели доступ к локальным ресурсам, таким как общие ресурсы S МБ и интегрированная с Windows проверка подлинности на веб-сайтах.
Внимание
Если вы включите единый вход на узлах сеансов, присоединенных к Microsoft Entra, перед созданием объекта сервера Kerberos может произойти одно из следующих действий.
- Появится сообщение об ошибке, в котором говорится, что определенный сеанс не существует.
- Единый вход будет пропущен, и вы увидите стандартное диалоговое окно проверки подлинности для узла сеанса.
Чтобы устранить эти проблемы, создайте объект Сервера Kerberos, а затем снова подключитесь.
Проверка политик условного доступа
Если включен единый вход, новое приложение Идентификатора Microsoft Entra представлено для проверки подлинности пользователей на узле сеанса. Если у вас есть политики условного доступа, которые применяются при доступе к виртуальному рабочему столу Azure, ознакомьтесь с рекомендациями по настройке многофакторной проверки подлинности , чтобы обеспечить пользователям необходимый интерфейс.
Настройка пула узлов для включения единого входа
Чтобы включить единый вход в пул узлов, необходимо настроить следующее свойство RDP, которое можно сделать с помощью портал Azure или PowerShell. Инструкции по настройке свойств RDP можно найти в разделе "Настройка свойств протокола удаленного рабочего стола ( RDP) для пула узлов.
- В портал Azure задайте для единого входа Microsoft Entra значение Подключение ions будет использовать проверку подлинности Microsoft Entra для предоставления единого входа.
- Для PowerShell задайте для свойства enablerdsaadauth значение 1.
Разрешить учетным записям администратора домена Active Directory подключаться
Чтобы разрешить учетным записям администратора домена Active Directory подключаться при включении единого входа:
На устройстве, используемом для управления доменом Active Directory, откройте консоль Пользователи и компьютеры Active Directory с помощью учетной записи, являющейся членом группы безопасности доменных Администратор.
Откройте подразделение контроллеров домена для вашего домена.
Найдите объект AzureADKerberos, щелкните его правой кнопкой мыши и выберите "Свойства".
Перейдите на вкладку "Политика репликации паролей".
Измените политику для доменных Администратор с "Запретить" на "Разрешить".
Удалите политику для Администратор istrators. Группа доменных Администратор является членом группы Администратор istrators, поэтому запрет реплика для администраторов также запрещает его администраторам домена.
Нажмите кнопку ОК , чтобы сохранить изменения.
Следующие шаги
- Ознакомьтесь с проверкой подлинности без пароля в сеансе, чтобы узнать, как включить проверку подлинности без пароля.
- Дополнительные сведения о Microsoft Entra Kerberos см. в статье "Глубокое изучение принципов работы Microsoft Entra Kerberos"
- Если вы подключаетесь к Виртуальному рабочему столу Azure из нашего клиента классических приложений Windows, см. статью Подключение с использованием клиента классических приложений Windows.
- Если вы обращаетесь к виртуальному рабочему столу Azure из нашего веб-клиента, ознакомьтесь с Подключение с веб-клиентом.
- Если возникли проблемы, перейдите к разделу "Устранение неполадок подключений к виртуальным машинам, присоединенным к Microsoft Entra".