Logga in på en virtuell Windows-dator i Azure med hjälp av Azure AD

Organisationer kan förbättra säkerheten för virtuella Windows-datorer i Azure genom att integrera med Azure Active Directory-autentisering (Azure AD). Du kan nu använda Azure AD som en grundläggande autentiseringsplattform för RDP i Windows Server 2019 Datacenter Edition och senare, eller Windows 10 1809 och senare. Du kan sedan centralt styra och framtvinga rollbaserad åtkomstkontroll i Azure (RBAC) och principer för villkorsstyrd åtkomst som tillåter eller nekar åtkomst till de virtuella datorerna.

Den här artikeln visar hur du skapar och konfigurerar en virtuell Windows-dator och loggar in med hjälp av Azure AD-baserad autentisering.

Det finns många säkerhetsfördelar med att använda Azure AD-baserad autentisering för att logga in på virtuella Windows-datorer i Azure. De omfattar:

  • Använd Azure AD autentiseringsuppgifter för att logga in på virtuella Windows-datorer i Azure. Resultatet är federerade och hanterade domänanvändare.

  • Minska beroendet av lokala administratörskonton.

  • Principer för lösenordskomplexitet och lösenordslivslängd som du konfigurerar för Azure AD hjälper även till att skydda virtuella Windows-datorer.

  • Med Azure RBAC:

    • Ange vem som kan logga in på en virtuell dator som en vanlig användare eller med administratörsbehörighet.
    • När användare ansluter till eller lämnar ditt team kan du uppdatera Azure RBAC-principen för den virtuella datorn så att den beviljar åtkomst efter behov.
    • När anställda lämnar organisationen och deras användarkonton inaktiveras eller tas bort från Azure AD har de inte längre åtkomst till dina resurser.
  • Konfigurera principer för villkorsstyrd åtkomst för att kräva multifaktorautentisering (MFA) och andra signaler, till exempel risk för användarinloggning, innan du kan använda RDP i virtuella Windows-datorer.

  • Använd Azure Policy för att distribuera och granska principer för att kräva Azure AD inloggning för virtuella Windows-datorer och för att flagga användningen av icke godkända lokala konton på de virtuella datorerna.

  • Använd Intune för att automatisera och skala Azure AD ansluta med automatisk registrering av mobila enheter (MDM) för virtuella Azure Windows-datorer som ingår i vdi-distributionerna (Virtual Desktop Infrastructure).

    Automatisk MDM-registrering kräver Azure AD Premium P1 licenser. Virtuella Windows Server-datorer stöder inte MDM-registrering.

Anteckning

När du har aktiverat den här funktionen kommer dina virtuella Windows-datorer i Azure att Azure AD anslutna. Du kan inte ansluta dem till en annan domän, till exempel lokal Active Directory eller Azure Active Directory Domain Services. Om du behöver göra det kopplar du bort den virtuella datorn från Azure AD genom att avinstallera tillägget.

Krav

Azure-regioner och Windows-distributioner som stöds

Den här funktionen stöder för närvarande följande Windows-distributioner:

  • Windows Server 2019 Datacenter och senare
  • Windows 10 1809 och senare

Viktigt

Fjärranslutning till virtuella datorer som är anslutna till Azure AD tillåts endast från Windows 10 eller senare datorer som är Azure AD registrerade (från och med Windows 10 20H1), Azure AD anslutna eller hybrid-Azure AD anslutna till samma katalog som den virtuella datorn.

Den här funktionen är nu tillgänglig i följande Azure-moln:

  • Azure Global
  • Azure Government
  • Azure Kina 21Vianet

Nätverkskrav

Om du vill aktivera Azure AD autentisering för dina virtuella Windows-datorer i Azure måste du se till att den virtuella datorns nätverkskonfiguration tillåter utgående åtkomst till följande slutpunkter via TCP-port 443.

Azure Global:

  • https://enterpriseregistration.windows.net: För enhetsregistrering.
  • http://169.254.169.254: Azure Instance Metadata Service-slutpunkt.
  • https://login.microsoftonline.com: För autentiseringsflöden.
  • https://pas.windows.net: För Azure RBAC-flöden.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: För enhetsregistrering.
  • http://169.254.169.254: Azure Instance Metadata Service-slutpunkt.
  • https://login.microsoftonline.us: För autentiseringsflöden.
  • https://pasff.usgovcloudapi.net: För Azure RBAC-flöden.

Azure China 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: För enhetsregistrering.
  • http://169.254.169.254: Azure Instance Metadata Service-slutpunkt.
  • https://login.chinacloudapi.cn: För autentiseringsflöden.
  • https://pas.chinacloudapi.cn: För Azure RBAC-flöden.

Aktivera Azure AD inloggning för en virtuell Windows-dator i Azure

Om du vill använda Azure AD inloggning för en virtuell Windows-dator i Azure måste du:

  1. Aktivera inloggningsalternativet Azure AD för den virtuella datorn.
  2. Konfigurera Azure-rolltilldelningar för användare som har behörighet att logga in på den virtuella datorn.

Det finns två sätt att aktivera Azure AD inloggning för din virtuella Windows-dator:

  • Azure Portal när du skapar en virtuell Windows-dator.
  • Azure Cloud Shell när du skapar en virtuell Windows-dator eller använder en befintlig virtuell Windows-dator.

Azure Portal

Du kan aktivera Azure AD inloggning för VM-avbildningar i Windows Server 2019 Datacenter eller Windows 10 1809 och senare.

Så här skapar du en virtuell Windows Server 2019 Datacenter-dator i Azure med Azure AD inloggning:

  1. Logga in på Azure Portal med ett konto som har åtkomst till att skapa virtuella datorer och välj + Skapa en resurs.

  2. I sökfältet Sök på Marketplace skriver du Windows Server.

  3. Välj Windows Server och välj sedan Windows Server 2019 Datacenter i listrutan Välj en programvaruplan .

  4. Välj Skapa.

  5. På fliken Hantering markerar du kryssrutan Logga in med Azure AD i avsnittet Azure AD.

    Skärmbild som visar fliken Hantering på sidan Azure Portal för att skapa en virtuell dator.

  6. Kontrollera att Systemtilldelad hanterad identitet i avsnittet Identitet är markerat. Den här åtgärden bör utföras automatiskt när du har aktiverat inloggning med Azure AD.

  7. Gå igenom resten av upplevelsen av att skapa en virtuell dator. Du måste skapa ett administratörsanvändarnamn och lösenord för den virtuella datorn.

Anteckning

Om du vill logga in på den virtuella datorn med dina Azure AD autentiseringsuppgifter måste du först konfigurera rolltilldelningar för den virtuella datorn.

Azure Cloud Shell

Azure Cloud Shell är ett kostnadsfritt, interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Vanliga Azure-verktyg förinstalleras och konfigureras i Cloud Shell och kan användas med kontot. Välj bara knappen Kopiera för att kopiera koden, klistra in den i Cloud Shell och välj sedan returnyckeln för att köra den. Det finns flera olika sätt att öppna Cloud Shell:

  • Välj Prova i det övre högra hörnet av ett kodblock.
  • Öppna Cloud Shell i din webbläsare.
  • Välj knappen Cloud Shell på menyn längst upp till höger i Azure Portal.

Den här artikeln kräver att du kör Azure CLI version 2.0.31 eller senare. Kör az --version för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa artikeln Installera Azure CLI.

  1. Skapa en resursgrupp genom att köra az group create.
  2. Skapa en virtuell dator genom att köra az vm create. Använd en distribution som stöds i en region som stöds.
  3. Installera Azure AD vm-tillägget för inloggning.

I följande exempel distribueras en virtuell dator med namnet myVM (som använder Win2019Datacenter) till en resursgrupp med namnet myResourceGroup, i southcentralus regionen. I det här exemplet och nästa kan du ange egna resursgrupps- och VM-namn efter behov.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Anteckning

Du måste aktivera systemtilldelad hanterad identitet på den virtuella datorn innan du installerar tillägget Azure AD vm-inloggning.

Det tar några minuter att skapa den virtuella datorn och stödresurser.

Installera slutligen Azure AD vm-tillägget för inloggning för att aktivera Azure AD inloggning för virtuella Windows-datorer. VM-tillägg är små program som tillhandahåller konfigurations- och automatiseringsuppgifter efter distributionen på virtuella Azure-datorer. Använd az vm extension set för att installera tillägget AADLoginForWindows på den virtuella datorn med namnet myVM i myResourceGroup resursgruppen.

Du kan installera tillägget AADLoginForWindows på en befintlig virtuell dator med Windows Server 2019 eller Windows 10 1809 och senare för att aktivera den för Azure AD autentisering. I följande exempel används Azure CLI för att installera tillägget:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

När tillägget har installerats på den virtuella datorn provisioningState visar Succeeded.

Konfigurera rolltilldelningar för den virtuella datorn

Nu när du har skapat den virtuella datorn måste du konfigurera en Azure RBAC-princip för att avgöra vem som kan logga in på den virtuella datorn. Två Azure-roller används för att auktorisera VM-inloggning:

  • Inloggning för virtuell datoradministratör: Användare som har den här rollen tilldelad kan logga in på en virtuell Azure-dator med administratörsbehörighet.
  • Användarinloggning för virtuell dator: Användare som har den här rollen tilldelad kan logga in på en virtuell Azure-dator med vanliga användarbehörigheter.

Om du vill tillåta att en användare loggar in på den virtuella datorn via RDP måste du tilldela rollen Virtuell datoradministratörsinloggning eller Användarinloggning för virtuell dator till resursgruppen som innehåller den virtuella datorn och dess associerade virtuella nätverk, nätverksgränssnitt, offentliga IP-adress eller lastbalanseringsresurser.

En Azure-användare som har rollen Ägare eller Deltagare tilldelad för en virtuell dator har inte automatiskt behörighet att logga in på den virtuella datorn via RDP. Anledningen är att tillhandahålla en granskad separation mellan uppsättningen personer som styr virtuella datorer och uppsättningen personer som har åtkomst till virtuella datorer.

Det finns två sätt att konfigurera rolltilldelningar för en virtuell dator:

  • Azure AD portalupplevelse
  • Azure Cloud Shell-upplevelse

Anteckning

Rollerna Virtual Machine Administrator Login och Virtual Machine User Login använder dataActions, så att de inte kan tilldelas i hanteringsgruppens omfång. För närvarande kan du endast tilldela dessa roller i prenumerationen, resursgruppen eller resursomfånget.

Azure AD portalen

Så här konfigurerar du rolltilldelningar för dina Azure AD-aktiverade virtuella Windows Server 2019 Datacenter-datorer:

  1. För Resursgrupp väljer du den resursgrupp som innehåller den virtuella datorn och dess associerade virtuella nätverk, nätverksgränssnitt, offentliga IP-adress eller lastbalanseringsresurs.

  2. Välj Åtkomstkontroll (IAM) .

  3. Välj Lägg tillLägg till >rolltilldelning för att öppna sidan Lägg till rolltilldelning.

  4. Tilldela följande roll. Detaljerade anvisningar finns i Tilldela Azure-roller med hjälp av Azure Portal.

    Inställning Värde
    Roll Inloggning för virtuell datoradministratör eller användarinloggning för virtuell dator
    Tilldela åtkomst till Användare, grupp, tjänstens huvudnamn eller hanterad identitet

    Skärmbild som visar sidan för att lägga till en rolltilldelning i Azure Portal.

Azure Cloud Shell

I följande exempel används az role assignment create för att tilldela inloggningsrollen Virtuell datoradministratör till den virtuella datorn för din aktuella Azure-användare. Du hämtar användarnamnet för ditt aktuella Azure-konto med hjälp av az account show, och du anger omfånget till den virtuella dator som skapades i ett tidigare steg med hjälp av az vm show.

Du kan också tilldela omfånget på resursgrupps- eller prenumerationsnivå. Normala Azure RBAC-arvsbehörigheter gäller.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Anteckning

Om din Azure AD domän och användarnamndomänen för inloggning inte matchar måste du ange objekt-ID:t för ditt användarkonto med hjälp --assignee-object-idav , inte bara användarnamnet för --assignee. Du kan hämta objekt-ID:t för ditt användarkonto med hjälp av az ad user list.

Mer information om hur du använder Azure RBAC för att hantera åtkomst till dina Azure-prenumerationsresurser finns i följande artiklar:

Tillämpa principer för villkorsstyrd åtkomst

Du kan tillämpa principer för villkorsstyrd åtkomst, till exempel multifaktorautentisering eller riskkontroll för användarinloggning, innan du godkänner åtkomst till virtuella Windows-datorer i Azure som är aktiverade med Azure AD inloggning. Om du vill tillämpa en princip för villkorsstyrd åtkomst måste du välja inloggningsappen för virtuella Azure Windows-datorer från tilldelningsalternativet molnappar eller åtgärder. Använd sedan inloggningsrisk som ett villkor och/eller kräva MFA som kontroll för att bevilja åtkomst.

Anteckning

Om du behöver MFA som kontroll för att bevilja åtkomst till den virtuella Azure Windows-datorn Sign-In app måste du ange ett MFA-anspråk som en del av klienten som initierar RDP-sessionen till den virtuella Windows-måldatorn i Azure. Det enda sättet att uppnå detta på en Windows 10 eller senare klient är att använda en Windows Hello för företag PIN-kod eller biometrisk autentisering med RDP-klienten. Stöd för biometrisk autentisering har lagts till i RDP-klienten i Windows 10 version 1809.

Fjärrskrivbord med Windows Hello för företag autentisering är endast tillgängligt för distributioner som använder en certifikatförtroendemodell. Den är för närvarande inte tillgänglig för en nyckelförtroendemodell.

Logga in med Azure AD autentiseringsuppgifter till en virtuell Windows-dator

Viktigt

Fjärranslutning till virtuella datorer som är anslutna till Azure AD tillåts endast från Windows 10 eller senare datorer som antingen är Azure AD registrerade (lägsta nödvändiga versionen är 20H1) eller Azure AD anslutna eller hybrid-Azure AD anslutna till samma katalog som den virtuella datorn. För RDP med hjälp av Azure AD autentiseringsuppgifter måste användarna dessutom tillhöra någon av de två Azure-rollerna, inloggning som administratör för virtuell dator eller användarinloggning för virtuell dator.

Om du använder en Azure AD-registrerad Windows 10 eller senare dator måste du ange autentiseringsuppgifter i AzureAD\UPN formatet (till exempel AzureAD\john@contoso.com). För närvarande kan du använda Azure Bastion för att logga in med Azure AD autentisering via Azure CLI och den interna RDP-klienten mstsc.

Logga in på din virtuella Windows Server 2019-dator med hjälp av Azure AD:

  1. Gå till översiktssidan för den virtuella dator som har aktiverats med Azure AD inloggning.
  2. Välj Anslut för att öppna fönstret Anslut till virtuell dator .
  3. Välj Hämta RDP-fil.
  4. Välj Öppna för att öppna anslutningsklienten för fjärrskrivbord.
  5. Välj Anslut för att öppna dialogrutan Windows-inloggning.
  6. Logga in med dina Azure AD autentiseringsuppgifter.

Du är nu inloggad på den virtuella Windows Server 2019 Azure-datorn med rollbehörigheterna som tilldelade, till exempel VM-användare eller VM-administratör.

Anteckning

Du kan spara .rdp-filen lokalt på datorn för att starta framtida fjärrskrivbordsanslutningar till den virtuella datorn, i stället för att gå till översiktssidan för den virtuella datorn i Azure Portal och använda anslutningsalternativet.

Använda Azure Policy för att uppfylla standarder och utvärdera efterlevnad

Använda Azure Policy för att:

  • Kontrollera att Azure AD inloggning är aktiverad för dina nya och befintliga virtuella Windows-datorer.
  • Utvärdera kompatibiliteten för din miljö i stor skala på en instrumentpanel för efterlevnad.

Med den här funktionen kan du använda många nivåer av tillämpning. Du kan flagga nya och befintliga virtuella Windows-datorer i din miljö som inte har Azure AD inloggning aktiverat. Du kan också använda Azure Policy för att distribuera Azure AD-tillägget på nya virtuella Windows-datorer som inte har Azure AD inloggning aktiverat och reparera befintliga virtuella Windows-datorer till samma standard.

Förutom dessa funktioner kan du använda Azure Policy för att identifiera och flagga virtuella Windows-datorer som har icke godkända lokala konton som skapats på deras datorer. Mer information finns i Azure Policy.

Felsöka distributionsproblem

Tillägget AADLoginForWindows måste installeras för att den virtuella datorn ska kunna slutföra Azure AD anslutningsprocessen. Om VM-tillägget inte kan installeras korrekt utför du följande steg:

  1. RDP till den virtuella datorn med hjälp av det lokala administratörskontot och granska filen CommandExecution.log under C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Anteckning

    Om tillägget startas om efter det första felet sparas loggen med distributionsfelet som CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Öppna ett PowerShell-fönster på den virtuella datorn. Kontrollera att följande frågor mot Azure Instance Metadata Service-slutpunkten som körs på Azure-värden returnerar förväntade utdata:

    Kommando som ska köras Förväntad utdata
    curl -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Rätt information om den virtuella Azure-datorn
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Giltigt klientorganisations-ID som är associerat med Azure-prenumerationen
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Giltig åtkomsttoken utfärdad av Azure Active Directory för den hanterade identitet som har tilldelats till den här virtuella datorn

    Anteckning

    Du kan avkoda åtkomsttoken med hjälp av ett verktyg som calebb.net. Kontrollera att oid värdet i åtkomsttoken matchar den hanterade identitet som har tilldelats till den virtuella datorn.

  3. Kontrollera att de nödvändiga slutpunkterna är tillgängliga från den virtuella datorn via PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Anteckning

    Ersätt <TenantID> med det Azure AD klientorganisations-ID som är associerat med Azure-prenumerationen. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net, och pas.windows.net bör returnera 404 Hittades inte, vilket är förväntat beteende.

  4. Visa enhetens tillstånd genom att köra dsregcmd /status. Målet är att enhetstillståndet ska visas som AzureAdJoined : YES.

    Anteckning

    Azure AD-kopplingsaktiviteten registreras i Loggboken under loggen user device registration\AdminLoggboken (lokal)\Program- och tjänstloggar\Microsoft\Windows\User Device Registration\Admin.

Om tillägget AADLoginForWindows misslyckas med en felkod kan du utföra följande steg.

Terminalfelkod 1007 och slutkod -2145648574.

Terminalfelkod 1007 och slutkod - 2145648574 översätta till DSREG_E_MSI_TENANTID_UNAVAILABLE. Tillägget kan inte fråga Azure AD klientorganisationsinformation.

Anslut till den virtuella datorn som lokal administratör och kontrollera att slutpunkten returnerar ett giltigt klient-ID från Azure Instance Metadata Service. Kör följande kommando från ett upphöjt PowerShell-fönster på den virtuella datorn:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Det här problemet kan också inträffa när vm-administratören försöker installera tillägget AADLoginForWindows, men en systemtilldelad hanterad identitet inte har aktiverat den virtuella datorn först. I så fall går du till identitetsfönstret för den virtuella datorn. På fliken Systemtilldelat kontrollerar du att växlingsknappen Status är inställd på På.

Slutkod - 2145648607

Slutkod - 2145648607 översätts till DSREG_AUTOJOIN_DISC_FAILED. Tillägget kan inte nå https://enterpriseregistration.windows.net slutpunkten.

  1. Kontrollera att de nödvändiga slutpunkterna är tillgängliga från den virtuella datorn via PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Anteckning

    Ersätt <TenantID> med det Azure AD klientorganisations-ID som är associerat med Azure-prenumerationen. Om du behöver hitta klientorganisations-ID:t kan du hovra över ditt kontonamn eller väljaKatalog-ID för Azure Active Directory-egenskaper>> i Azure Portal.

    Försök att ansluta till enterpriseregistration.windows.net kan returnera 404 Hittades inte, vilket är förväntat beteende. Försök att ansluta till pas.windows.net kan fråga efter PIN-autentiseringsuppgifter eller returnera 404 Hittades inte. (Du behöver inte ange PIN-koden.) Båda är tillräckliga för att verifiera att URL:en kan nås.

  2. Om något av kommandona misslyckas med "Det gick inte att matcha värden <URL>" provar du att köra det här kommandot för att avgöra vilken DNS-server den virtuella datorn använder:

    nslookup <URL>

    Anteckning

    Ersätt <URL> med de fullständigt kvalificerade domännamn som slutpunkterna använder, till exempel login.microsoftonline.com.

  3. Se om kommandot kan lyckas genom att ange en offentlig DNS-server:

    nslookup <URL> 208.67.222.222

  4. Om det behövs ändrar du den DNS-server som är tilldelad till den nätverkssäkerhetsgrupp som den virtuella Azure-datorn tillhör.

Slutkod 51

Slutkod 51 översätts till "Det här tillägget stöds inte på den virtuella datorns operativsystem".

Tillägget AADLoginForWindows är endast avsett att installeras på Windows Server 2019 eller Windows 10 (version 1809 eller senare). Kontrollera att din version eller version av Windows stöds. Om det inte stöds avinstallerar du tillägget.

Felsöka inloggningsproblem

Använd följande information för att åtgärda inloggningsproblem.

Du kan visa enhetens och SSO-tillståndet (enkel inloggning) genom att köra dsregcmd /status. Målet är att enhetstillståndet ska visas som AzureAdJoined : YES och att SSO-tillståndet ska visa AzureAdPrt : YES.

RDP-inloggning via Azure AD-konton registreras i Loggboken under händelseloggarna för AAD\Operational.

Azure-rollen har inte tilldelats

Du kan få följande felmeddelande när du initierar en fjärrskrivbordsanslutning till den virtuella datorn: "Ditt konto har konfigurerats för att hindra dig från att använda den här enheten. Kontakta systemadministratören om du vill ha mer information."

Skärmbild av meddelandet om att ditt konto har konfigurerats för att hindra dig från att använda den här enheten.

Kontrollera att du har konfigurerat Azure RBAC-principer för den virtuella datorn som ger användaren rollen Virtuell datoradministratörsinloggning eller Användarinloggning för virtuell dator.

Anteckning

Om du har problem med Azure-rolltilldelningar kan du läsa Felsöka Azure RBAC.

Obehörig klient- eller lösenordsändring krävs

Du kan få följande felmeddelande när du initierar en fjärrskrivbordsanslutning till den virtuella datorn: "Dina autentiseringsuppgifter fungerade inte".

Skärmbild av meddelandet om att dina autentiseringsuppgifter inte fungerade.

Prova de här lösningarna:

  • Den Windows 10 eller senare dator som du använder för att initiera fjärrskrivbordsanslutningen måste vara Azure AD ansluten eller hybrid Azure AD ansluten till samma Azure AD katalog. Mer information om enhetsidentitet finns i artikeln Vad är en enhetsidentitet?.

    Anteckning

    Windows 10 Build 20H1 har lagt till stöd för en Azure AD-registrerad dator för att initiera en RDP-anslutning till den virtuella datorn. När du använder en dator som är Azure AD registrerad (inte Azure AD ansluten eller hybrid Azure AD ansluten) som RDP-klient för att initiera anslutningar till den virtuella datorn måste du ange autentiseringsuppgifter i formatet AzureAD\UPN (till exempel AzureAD\john@contoso.com).

    Kontrollera att tillägget AADLoginForWindows inte har avinstallerats när Azure AD-anslutningen har slutförts.

    Kontrollera också att säkerhetsprincipen Nätverkssäkerhet: Tillåt att PKU2U-autentiseringsbegäranden till den här datorn använder onlineidentiteter är aktiverat på både servern och klienten.

  • Kontrollera att användaren inte har ett tillfälligt lösenord. Tillfälliga lösenord kan inte användas för att logga in på en fjärrskrivbordsanslutning.

    Logga in med användarkontot i en webbläsare. Öppna till exempel Azure Portal i ett privat webbläsarfönster. Om du uppmanas att ändra lösenordet anger du ett nytt lösenord. Försök sedan ansluta igen.

MFA-inloggningsmetod krävs

Du kan se följande felmeddelande när du initierar en fjärrskrivbordsanslutning till den virtuella datorn: "Inloggningsmetoden som du försöker använda är inte tillåten. Prova en annan inloggningsmetod eller kontakta systemadministratören."

Skärmbild av meddelandet om att inloggningsmetoden som du försöker använda inte är tillåten.

Om du har konfigurerat en princip för villkorsstyrd åtkomst som kräver MFA eller äldre aktiverad/framtvingad Azure AD MFA innan du kan komma åt resursen, måste du se till att den Windows 10 eller senare datorn som initierar fjärrskrivbordsanslutningen till den virtuella datorn loggar in med hjälp av en stark autentiseringsmetod som Windows Hello. Om du inte använder en stark autentiseringsmetod för fjärrskrivbordsanslutningen visas felet.

Ett annat MFA-relaterat felmeddelande är det som beskrevs tidigare: "Dina autentiseringsuppgifter fungerade inte."

Skärmbild av meddelandet om att dina autentiseringsuppgifter inte fungerade.

Om du har konfigurerat en äldre inställning för aktiverad/framtvingad Azure AD multifaktorautentisering och du ser felet ovan kan du lösa problemet genom att ta bort MFA-inställningen per användare med hjälp av följande kommandon:

# Get StrongAuthenticationRequirements configure on a user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements
 
# Clear StrongAuthenticationRequirements from a user
$mfa = @()
Set-MsolUser -UserPrincipalName username@contoso.com -StrongAuthenticationRequirements $mfa
 
# Verify StrongAuthenticationRequirements are cleared from the user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements

Om du inte har distribuerat Windows Hello för företag och det inte är ett alternativ för tillfället kan du konfigurera en princip för villkorsstyrd åtkomst som exkluderar den virtuella Azure Windows-datorn Sign-In app från listan över molnappar som kräver MFA. Mer information om Windows Hello för företag finns i Windows Hello för företag översikt.

Anteckning

Windows Hello för företag PIN-autentisering med RDP har stöd för flera versioner av Windows 10. Stöd för biometrisk autentisering med RDP lades till i Windows 10 version 1809. Användning av Windows Hello för företag autentisering under RDP är tillgängligt för distributioner som använder en modell för certifikatförtroende eller nyckelförtroendemodell.

Dela din feedback om den här funktionen eller rapportera problem med att använda den på Azure AD feedbackforum.

Program saknas

Om den virtuella Azure Windows-datorn Sign-In programmet saknas i villkorsstyrd åtkomst kontrollerar du att programmet inte finns i klientorganisationen:

  1. Logga in på Azure-portalen.
  2. Bläddra till Azure Active Directory Enterprise-program>.
  3. Ta bort filtren för att se alla program och sök efter den virtuella datorn. Om du inte ser azure windows VM-inloggning som ett resultat saknas tjänstens huvudnamn från klientorganisationen.

Ett annat sätt att verifiera det är via Graph PowerShell:

  1. Installera Graph PowerShell SDK om du inte redan har gjort det.
  2. Kör Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", följt av "Application.ReadWrite.All".
  3. Logga in med ett globalt administratörskonto.
  4. Godkänn behörighetsprompten.
  5. Kör Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.
    • Om det här kommandot inte resulterar i några utdata och du kommer tillbaka till PowerShell-prompten kan du skapa tjänstens huvudnamn med följande Graph PowerShell-kommando:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • Lyckade utdata visar att den virtuella Azure Windows-datorn Sign-In app och dess ID har skapats.

  6. Logga ut från Graph PowerShell med hjälp Disconnect-MgGraph av kommandot .

Nästa steg

Mer information om Azure AD finns i Vad är Azure Active Directory?.