Logga in på en virtuell Windows-dator i Azure med hjälp av Microsoft Entra-ID, inklusive lösenordslöst

Organisationer kan förbättra säkerheten för virtuella Windows-datorer i Azure genom att integrera med Microsoft Entra-autentisering. Nu kan du använda Microsoft Entra ID som en grundläggande autentiseringsplattform till RDP i Windows Server 2019 Datacenter Edition och senare, eller Windows 10 1809 och senare. Du kan sedan centralt styra och tillämpa rollbaserad åtkomstkontroll i Azure (RBAC) och principer för villkorsstyrd åtkomst som tillåter eller nekar åtkomst till de virtuella datorerna.

Den här artikeln visar hur du skapar och konfigurerar en virtuell Windows-dator och loggar in med hjälp av Microsoft Entra ID-baserad autentisering.

Det finns många säkerhetsfördelar med att använda Microsoft Entra ID-baserad autentisering för att logga in på virtuella Windows-datorer i Azure. De omfattar:

  • Använd Microsoft Entra-autentisering inklusive lösenordslös för att logga in på virtuella Windows-datorer i Azure.

  • Minska beroendet av lokala administratörskonton.

  • Principer för lösenordskomplexitet och lösenordslivslängd som du konfigurerar för Microsoft Entra-ID hjälper också till att skydda virtuella Windows-datorer.

  • Med Azure RBAC:

    • Ange vem som kan logga in på en virtuell dator som en vanlig användare eller med administratörsbehörighet.
    • När användare ansluter till eller lämnar ditt team kan du uppdatera Azure RBAC-principen för den virtuella datorn så att den beviljar åtkomst efter behov.
    • När anställda lämnar organisationen och deras användarkonton inaktiveras eller tas bort från Microsoft Entra-ID har de inte längre åtkomst till dina resurser.
  • Konfigurera principer för villkorsstyrd åtkomst till "nätfiskeresistent MFA" med hjälp av kräv autentiseringsstyrka (förhandsversion) bevilja kontroll eller kräva multifaktorautentisering och andra signaler, till exempel användarinloggningsrisk, innan du kan RDP till virtuella Windows-datorer.

  • Använd Azure Policy för att distribuera och granska principer för att kräva Microsoft Entra-inloggning för virtuella Windows-datorer och flagga användningen av icke godkända lokala konton på de virtuella datorerna.

  • Använd Intune för att automatisera och skala Microsoft Entra-anslutning med automatisk registrering av virtuella Azure Windows-datorer (MDM) som ingår i dina VDI-distributioner (Virtual Desktop Infrastructure).

    MdM-automatisk registrering kräver Microsoft Entra ID P1-licenser. Virtuella Windows Server-datorer stöder inte MDM-registrering.

Kommentar

När du har aktiverat den här funktionen kommer dina virtuella Windows-datorer i Azure att vara Microsoft Entra-anslutna. Du kan inte ansluta dem till en annan domän, till exempel lokal Active Directory eller Microsoft Entra Domain Services. Om du behöver göra det kopplar du från den virtuella datorn från Microsoft Entra-ID genom att avinstallera tillägget.

Behov

Azure-regioner och Windows-distributioner som stöds

Den här funktionen stöder för närvarande följande Windows-distributioner:

  • Windows Server 2019 Datacenter och senare
  • Windows 10 1809 och senare
  • Windows 11 21H2 och senare

Den här funktionen är nu tillgänglig i följande Azure-moln:

  • Azure Global
  • Azure Government
  • Microsoft Azure drivs av 21Vianet

Nätverkskrav

För att aktivera Microsoft Entra-autentisering för dina virtuella Windows-datorer i Azure måste du se till att den virtuella datorns nätverkskonfiguration tillåter utgående åtkomst till följande slutpunkter via TCP-port 443.

Azure Global:

  • https://enterpriseregistration.windows.net: För enhetsregistrering.
  • http://169.254.169.254: Azure Instance Metadata Service-slutpunkt.
  • https://login.microsoftonline.com: För autentiseringsflöden.
  • https://pas.windows.net: För Azure RBAC-flöden.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: För enhetsregistrering.
  • http://169.254.169.254: Azure Instance Metadata Service-slutpunkt.
  • https://login.microsoftonline.us: För autentiseringsflöden.
  • https://pasff.usgovcloudapi.net: För Azure RBAC-flöden.

Microsoft Azure drivs av 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: För enhetsregistrering.
  • http://169.254.169.254: Azure Instance Metadata Service-slutpunkt.
  • https://login.chinacloudapi.cn: För autentiseringsflöden.
  • https://pas.chinacloudapi.cn: För Azure RBAC-flöden.

Autentiseringskrav

Microsoft Entra-gästkonton kan inte ansluta till virtuella Azure-datorer eller Azure Bastion-aktiverade virtuella datorer via Microsoft Entra-autentisering.

Aktivera Microsoft Entra-inloggning för en virtuell Windows-dator i Azure

Om du vill använda Microsoft Entra-inloggning för en virtuell Windows-dator i Azure måste du:

  1. Aktivera inloggningsalternativet Microsoft Entra för den virtuella datorn.
  2. Konfigurera Azure-rolltilldelningar för användare som har behörighet att logga in på den virtuella datorn.

Det finns två sätt att aktivera Microsoft Entra-inloggning för din virtuella Windows-dator:

  • Azure-portalen när du skapar en virtuell Windows-dator.
  • Azure Cloud Shell när du skapar en virtuell Windows-dator eller använder en befintlig virtuell Windows-dator.

Kommentar

Om ett enhetsobjekt med samma displayName som värdnamnet för en virtuell dator där ett tillägg är installerat finns, kan den virtuella datorn inte ansluta Till Microsoft Entra-ID med ett dupliceringsfel för värdnamn. Undvik duplicering genom att ändra värdnamnet.

Azure Portal

Du kan aktivera Microsoft Entra-inloggning för VM-avbildningar i Windows Server 2019 Datacenter eller Windows 10 1809 och senare.

Så här skapar du en virtuell Windows Server 2019 Datacenter-dator i Azure med Microsoft Entra-inloggning:

  1. Logga in på Azure-portalen med ett konto som har åtkomst till att skapa virtuella datorer och välj + Skapa en resurs.

  2. I sökfältet Sök på Marketplace skriver du Windows Server.

  3. Välj Windows Server och välj sedan Windows Server 2019 Datacenter i listrutan Välj en programvaruplan .

  4. Välj Skapa.

  5. På fliken Hantering väljer du kryssrutan Logga in med Microsoft Entra-ID i avsnittet Microsoft Entra-ID.

    Screenshot that shows the Management tab on the Azure portal page for creating a virtual machine.

  6. Kontrollera att Systemtilldelad hanterad identitet i avsnittet Identitet har valts. Den här åtgärden bör ske automatiskt när du har aktiverat inloggning med Microsoft Entra-ID.

  7. Gå igenom resten av upplevelsen av att skapa en virtuell dator. Du måste skapa ett administratörsanvändarnamn och lösenord för den virtuella datorn.

Kommentar

Om du vill logga in på den virtuella datorn med dina Microsoft Entra-autentiseringsuppgifter måste du först konfigurera rolltilldelningar för den virtuella datorn.

Azure Cloud Shell

Azure Cloud Shell är ett kostnadsfritt, interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Vanliga Azure-verktyg förinstalleras och konfigureras i Cloud Shell och kan användas med kontot. Välj bara knappen Kopiera för att kopiera koden, klistra in den i Cloud Shell och välj sedan returnyckeln för att köra den. Det finns flera olika sätt att öppna Cloud Shell:

  • Välj Prova i det övre högra hörnet av ett kodblock.
  • Öppna Cloud Shell i din webbläsare.
  • Välj knappen Cloud Shell på menyn i det övre högra hörnet i Azure-portalen.

Den här artikeln kräver att du kör Azure CLI version 2.0.31 eller senare. Kör az --version för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa artikeln Installera Azure CLI.

  1. Skapa en resursgrupp genom att köra az group create.
  2. Skapa en virtuell dator genom att köra az vm create. Använd en distribution som stöds i en region som stöds.
  3. Installera tillägget för microsoft Entra-inloggning för virtuella datorer.

I följande exempel distribueras en virtuell dator med namnet myVM (som använder Win2019Datacenter) till en resursgrupp med namnet myResourceGroup, i southcentralus regionen. I det här exemplet och nästa kan du ange egna resursgrupps- och VM-namn efter behov.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Kommentar

Du måste aktivera systemtilldelad hanterad identitet på den virtuella datorn innan du installerar tillägget för microsoft Entra-inloggnings-VM. Hanterade identiteter lagras i en enda Microsoft Entra-klientorganisation och stöder för närvarande inte scenarier mellan kataloger.

Det tar några minuter att skapa den virtuella datorn och stödresurser.

Installera slutligen tillägget microsoft entra-inloggning för virtuella datorer för att aktivera Microsoft Entra-inloggning för virtuella Windows-datorer. VM-tillägg är små program som tillhandahåller konfigurations- och automatiseringsuppgifter efter distributionen på virtuella Azure-datorer. Använd az vm extension set för att installera tillägget AADLoginForWindows på den virtuella datorn med namnet myVM i myResourceGroup resursgruppen.

Du kan installera tillägget AADLoginForWindows på en befintlig virtuell Windows Server 2019- eller Windows 10 1809-dator och senare för att aktivera det för Microsoft Entra-autentisering. I följande exempel används Azure CLI för att installera tillägget:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

När tillägget har installerats på den virtuella datorn provisioningState visar Succeeded.

Konfigurera rolltilldelningar för den virtuella datorn

Nu när du har skapat den virtuella datorn måste du tilldela någon av följande Azure-roller för att avgöra vem som kan logga in på den virtuella datorn. Om du vill tilldela dessa roller måste du ha rollen Administratör för dataåtkomst för virtuell dator eller någon roll som innehåller Microsoft.Authorization/roleAssignments/write åtgärden, till exempel rollen Rollbaserad administratör för åtkomstkontroll . Men om du använder en annan roll än Virtual Machine Data Access Administrator rekommenderar vi att du lägger till ett villkor för att minska behörigheten att skapa rolltilldelningar.

  • Inloggning med virtuell datoradministratör: Användare som har tilldelats den här rollen kan logga in på en virtuell Azure-dator med administratörsbehörighet.
  • Användarinloggning för virtuell dator: Användare som har tilldelats den här rollen kan logga in på en virtuell Azure-dator med regelbunden användarbehörighet.

Om du vill tillåta att en användare loggar in på den virtuella datorn via RDP måste du tilldela rollen Virtuell datoradministratörsinloggning eller Virtuell datoranvändarinloggning till resursen Virtuell dator.

Kommentar

Det går inte att manuellt höja en användare till att bli lokal administratör på den virtuella datorn genom att lägga till användaren i en medlem i den lokala administratörsgruppen eller genom att köra net localgroup administrators /add "AzureAD\UserUpn" kommandot. Du måste använda Azure-roller ovan för att auktorisera vm-inloggning.

En Azure-användare som har rollen Ägare eller Deltagare tilldelad för en virtuell dator har inte automatiskt behörighet att logga in på den virtuella datorn via RDP. Anledningen är att tillhandahålla en granskad separation mellan den uppsättning personer som styr virtuella datorer och uppsättningen personer som har åtkomst till virtuella datorer.

Det finns två sätt att konfigurera rolltilldelningar för en virtuell dator:

  • Microsoft Entra-administrationscenter
  • Azure Cloud Shell-upplevelse

Kommentar

Användarinloggningsroller för virtuella datorer och virtuella datorer använder dataActions, så att de inte kan tilldelas i hanteringsgruppens omfång. För närvarande kan du endast tilldela dessa roller i prenumerationen, resursgruppen eller resursomfånget.

Microsoft Entra administrationscenter

Så här konfigurerar du rolltilldelningar för dina Microsoft Entra ID-aktiverade virtuella Windows Server 2019 Datacenter-datorer:

  1. För Resursgrupp väljer du den resursgrupp som innehåller den virtuella datorn och dess associerade virtuella nätverk, nätverksgränssnitt, offentliga IP-adress eller lastbalanseringsresurs.

  2. Välj Åtkomstkontroll (IAM) .

  3. Välj Lägg till>rolltilldelning för att öppna sidan Lägg till rolltilldelning.

  4. Tilldela följande roll. Detaljerade steg finns i Tilldela Azure-roller med hjälp av Azure-portalen.

    Inställning Värde
    Roll Inloggning för virtuell datoradministratör eller användarinloggning för virtuell dator
    Tilldela åtkomst till Användare, grupp, tjänstens huvudnamn eller hanterad identitet

    Screenshot that shows the page for adding a role assignment.

Azure Cloud Shell

I följande exempel används az role assignment create för att tilldela inloggningsrollen virtuell datoradministratör till den virtuella datorn för din aktuella Azure-användare. Du får användarnamnet för ditt aktuella Azure-konto med hjälp av az account show, och du anger omfånget till den virtuella dator som skapades i ett tidigare steg med hjälp av az vm show.

Du kan också tilldela omfånget på resursgrupps- eller prenumerationsnivå. Normala Azure RBAC-arvsbehörigheter gäller.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Kommentar

Om din Domän för Microsoft Entra och inloggningsanvändardomänen inte matchar måste du ange objekt-ID:t för ditt användarkonto med hjälp --assignee-object-idav , inte bara användarnamnet för --assignee. Du kan hämta objekt-ID:t för ditt användarkonto med hjälp av az ad user list.

Mer information om hur du använder Azure RBAC för att hantera åtkomst till dina Azure-prenumerationsresurser finns i följande artiklar:

Logga in med Microsoft Entra-autentiseringsuppgifter till en virtuell Windows-dator

Du kan logga in via RDP med någon av två metoder:

  1. Lösenordslös med någon av de Microsoft Entra-autentiseringsuppgifter som stöds (rekommenderas)
  2. Lösenord/begränsat lösenord utan lösenord med Windows Hello för företag distribueras med hjälp av certifikatförtroendemodellen

Logga in med lösenordslös autentisering med Microsoft Entra-ID

Om du vill använda lösenordslös autentisering för dina virtuella Windows-datorer i Azure behöver du Windows-klientdatorn och sessionsvärden (VM) på följande operativsystem:

Viktigt!

Windows-klientdatorn måste vara antingen Microsoft Entra-registrerad eller Microsoft Entra-ansluten eller Microsoft Entra-hybrid ansluten till samma katalog som den virtuella datorn. För RDP med hjälp av Microsoft Entra-autentiseringsuppgifter måste användarna dessutom tillhöra någon av de två Azure-rollerna, virtual machine administrator login eller virtual machine user login. Det här kravet finns inte för lösenordslös inloggning.

Så här ansluter du till fjärrdatorn:

  • Starta Fjärrskrivbord Anslut ion från Windows Search eller genom att köra mstsc.exe.
  • Välj Använd ett webbkonto för att logga in på fjärrdatoralternativet på fliken Avancerat . Det här alternativet motsvarar RDP-egenskapen enablerdsaadauth . Mer information finns i RDP-egenskaper som stöds med Fjärrskrivbordstjänster.
  • Ange namnet på fjärrdatorn och välj Anslut.

Kommentar

DET går inte att använda IP-adressen när alternativet Använd ett webbkonto för att logga in på fjärrdatorn används. Namnet måste matcha värdnamnet för fjärrenheten i Microsoft Entra-ID:t och vara nätverksadresserbart och matcha ip-adressen för fjärrenheten.

  • När du uppmanas att ange autentiseringsuppgifter anger du ditt användarnamn i user@domain.com format.
  • Du uppmanas sedan att tillåta fjärrskrivbordsanslutningen när du ansluter till en ny dator. Microsoft Entra kommer ihåg upp till 15 värdar i 30 dagar innan de uppmanas igen. Om du ser den här dialogen väljer du Ja för att ansluta.

Viktigt!

Om din organisation har konfigurerat och använder villkorsstyrd åtkomst för Microsoft Entra måste enheten uppfylla kraven för villkorsstyrd åtkomst för att tillåta anslutning till fjärrdatorn. Principer för villkorsstyrd åtkomst kan tillämpas på programmet Microsoft Fjärrskrivbord (a4a365df-50f1-4397-bc59-1a1564b8bb9c) för kontrollerad åtkomst.

Kommentar

Windows-låsskärmen i fjärrsessionen stöder inte Microsoft Entra-autentiseringstoken eller lösenordslösa autentiseringsmetoder som FIDO-nycklar. Bristen på stöd för dessa autentiseringsmetoder innebär att användarna inte kan låsa upp sina skärmar i en fjärrsession. När du försöker låsa en fjärrsession, antingen via användaråtgärd eller systemprincip, kopplas sessionen i stället från och tjänsten skickar ett meddelande till användaren som förklarar att de har kopplats från. Om du kopplar från sessionen ser du också till att när anslutningen startas om efter en period av inaktivitet utvärderar Microsoft Entra-ID om tillämpliga principer för villkorsstyrd åtkomst.

Logga in med lösenords-/begränsad lösenordsfri autentisering med Microsoft Entra-ID

Viktigt!

Fjärranslutning till virtuella datorer som är anslutna till Microsoft Entra-ID tillåts endast från Windows 10 eller senare datorer som antingen är Microsoft Entra-registrerade (minsta nödvändiga version är 20H1) eller Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutna till samma katalog som den virtuella datorn. För RDP med hjälp av Microsoft Entra-autentiseringsuppgifter måste användarna dessutom tillhöra någon av de två Azure-rollerna, virtual machine administrator login eller virtual machine user login.

Om du använder en Microsoft Entra-registrerad Windows 10- eller senare-dator måste du ange autentiseringsuppgifter i AzureAD\UPN formatet (till exempel AzureAD\john@contoso.com). För närvarande kan du använda Azure Bastion för att logga in med Microsoft Entra-autentisering via Azure CLI och den interna RDP-klienten mstsc.

Logga in på din virtuella Windows Server 2019-dator med hjälp av Microsoft Entra-ID:

  1. Gå till översiktssidan för den virtuella dator som har aktiverats med Microsoft Entra-inloggning.
  2. Välj Anslut för att öppna fönstret Anslut till en virtuell dator.
  3. Välj Hämta RDP-fil.
  4. Välj Öppna för att öppna fjärrskrivbordsklienten Anslut ion.
  5. Välj Anslut för att öppna dialogrutan Windows-inloggning.
  6. Logga in med dina Microsoft Entra-autentiseringsuppgifter.

Nu är du inloggad på den virtuella Windows Server 2019 Azure-datorn med rollbehörigheterna som tilldelade, till exempel VM-användare eller VM-administratör.

Kommentar

Du kan spara .rdp-filen lokalt på datorn för att starta framtida fjärrskrivbordsanslutningar till den virtuella datorn, i stället för att gå till översiktssidan för den virtuella datorn i Azure-portalen och använda anslutningsalternativet.

Tillämpa principer för villkorsstyrd åtkomst

Du kan tillämpa principer för villkorsstyrd åtkomst, till exempel "nätfiskeresistent MFA" med kräv autentiseringsstyrka (förhandsversion) bevilja kontroll eller multifaktorautentisering eller riskkontroll för användarinloggning innan du godkänner åtkomst till virtuella Windows-datorer i Azure som är aktiverade med Microsoft Entra-inloggning. Om du vill tillämpa en princip för villkorsstyrd åtkomst måste du välja inloggningsappen Microsoft Azure Windows Virtual Machine från tilldelningsalternativet molnappar eller åtgärder. Använd sedan inloggningsrisk som ett villkor och/eller "nätfiskeresistent MFA" med hjälp av Kräv autentiseringsstyrka (förhandsversion) bevilja kontroll eller kräva MFA som en kontroll för att bevilja åtkomst.

Kommentar

Om du behöver MFA som kontroll för att bevilja åtkomst till Microsoft Azure Windows Virtual Machine-inloggningsappen måste du ange ett MFA-anspråk som en del av klienten som initierar RDP-sessionen till den virtuella Windows-måldatorn i Azure. Detta kan uppnås med hjälp av en lösenordslös autentiseringsmetod för RDP som uppfyller principerna för villkorsstyrd åtkomst, men om du använder en begränsad lösenordslös metod för RDP är det enda sättet att uppnå detta på en Windows 10- eller senare-klient att använda en Windows Hello för företag PIN-kod eller biometrisk autentisering med RDP-klienten. Stöd för biometrisk autentisering har lagts till i RDP-klienten i Windows 10 version 1809. Fjärrskrivbord med Windows Hello för företag autentisering är endast tillgängligt för distributioner som använder en certifikatförtroendemodell. Den är för närvarande inte tillgänglig för en nyckelförtroendemodell.

Använda Azure Policy för att uppfylla standarder och utvärdera efterlevnad

Använda Azure Policy för att:

  • Kontrollera att Microsoft Entra-inloggning är aktiverat för dina nya och befintliga virtuella Windows-datorer.
  • Utvärdera efterlevnaden av din miljö i stor skala på en instrumentpanel för efterlevnad.

Med den här funktionen kan du använda många nivåer av tillämpning. Du kan flagga nya och befintliga virtuella Windows-datorer i din miljö som inte har Microsoft Entra-inloggning aktiverat. Du kan också använda Azure Policy för att distribuera Microsoft Entra-tillägget på nya virtuella Windows-datorer som inte har Microsoft Entra-inloggning aktiverat och reparera befintliga virtuella Windows-datorer till samma standard.

Förutom dessa funktioner kan du använda Azure Policy för att identifiera och flagga virtuella Windows-datorer som har icke godkända lokala konton som skapats på deras datorer. Mer information finns i Azure Policy.

Felsöka distributionsproblem

Tillägget AADLoginForWindows måste installeras för att den virtuella datorn ska kunna slutföra Microsoft Entra-anslutningsprocessen. Om vm-tillägget inte kan installeras korrekt utför du följande steg:

  1. RDP till den virtuella datorn med hjälp av det lokala administratörskontot och granska filen CommandExecution.log under C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Kommentar

    Om tillägget startas om efter det första felet sparas loggen med distributionsfelet som CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Öppna ett PowerShell-fönster på den virtuella datorn. Kontrollera att följande frågor mot Azure Instance Metadata Service-slutpunkten som körs på Azure-värden returnerar förväntade utdata:

    Kommando som ska köras Förväntad utdata
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Rätt information om den virtuella Azure-datorn
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Giltigt klient-ID som är associerat med Azure-prenumerationen
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Giltig åtkomsttoken utfärdad av Microsoft Entra-ID för den hanterade identitet som har tilldelats den här virtuella datorn

    Kommentar

    Du kan avkoda åtkomsttoken med hjälp av ett verktyg som https://jwt.ms/. Kontrollera att oid värdet i åtkomsttoken matchar den hanterade identitet som har tilldelats den virtuella datorn.

  3. Kontrollera att de nödvändiga slutpunkterna är tillgängliga från den virtuella datorn via PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Kommentar

    Ersätt <TenantID> med Microsoft Entra-klient-ID:t som är associerat med Azure-prenumerationen. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net, och pas.windows.net bör returnera 404 Hittades inte, vilket är förväntat beteende.

  4. Visa enhetstillståndet genom att köra dsregcmd /status. Målet är att enhetstillståndet ska visas som AzureAdJoined : YES.

    Kommentar

    Microsoft Entra-kopplingsaktiviteten registreras i Loggboken under användarenhetsregistrering\AdministratörsloggLoggboken (lokal)\Program- och tjänstloggar\Microsoft\Windows\Registrering av användarenheter\Administratör.

Om tillägget AADLoginForWindows misslyckas med en felkod kan du utföra följande steg.

Terminalfelkod 1007 och slutkod -2145648574.

Terminalfelkod 1007 och slutkod -2145648574 översätta till DSREG_E_MSI_TENANTID_UNAVAILABLE. Tillägget kan inte köra frågor mot Microsoft Entra-klientinformationen.

Anslut till den virtuella datorn som lokal administratör och kontrollera att slutpunkten returnerar ett giltigt klient-ID från Azure Instance Metadata Service. Kör följande kommando från ett upphöjt PowerShell-fönster på den virtuella datorn:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Det här problemet kan också inträffa när den virtuella datoradministratören försöker installera tillägget AADLoginForWindows, men en systemtilldelad hanterad identitet har inte aktiverat den virtuella datorn först. I så fall går du till identitetsfönstret för den virtuella datorn. På fliken Systemtilldelat kontrollerar du att växlingsknappen Status är inställd på På.

Slutkod - 2145648607

Slutkod - 2145648607 översätts till DSREG_AUTOJOIN_DISC_FAILED. Tillägget kan inte nå https://enterpriseregistration.windows.net slutpunkten.

  1. Kontrollera att de nödvändiga slutpunkterna är tillgängliga från den virtuella datorn via PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Kommentar

    Ersätt <TenantID> med Microsoft Entra-klient-ID:t som är associerat med Azure-prenumerationen. Om du behöver hitta klientorganisations-ID:t kan du hovra över ditt kontonamn eller välja Klient-ID för identitetsöversiktsegenskaper>>>.

    Försök att ansluta till enterpriseregistration.windows.net kan returnera 404 Hittades inte, vilket är förväntat beteende. Försök att ansluta till pas.windows.net kan fråga efter PIN-autentiseringsuppgifter eller returnera 404 Hittades inte. (Du behöver inte ange PIN-koden.) Båda är tillräckliga för att verifiera att URL:en kan nås.

  2. Om något av kommandona misslyckas med "Det gick inte att matcha värden <URL>" kan du prova att köra det här kommandot för att avgöra vilken DNS-server den virtuella datorn använder:

    nslookup <URL>

    Kommentar

    Ersätt <URL> med de fullständigt kvalificerade domännamn som slutpunkterna använder, till exempel login.microsoftonline.com.

  3. Se om kommandot kan lyckas genom att ange en offentlig DNS-server:

    nslookup <URL> 208.67.222.222

  4. Om det behövs ändrar du den DNS-server som är tilldelad till den nätverkssäkerhetsgrupp som den virtuella Azure-datorn tillhör.

Slutkod 51

Slutkod 51 översätts till "Det här tillägget stöds inte på den virtuella datorns operativsystem.".

Tillägget AADLoginForWindows är endast avsett att installeras på Windows Server 2019 eller Windows 10 (version 1809 eller senare). Kontrollera att din version eller version av Windows stöds. Om det inte stöds avinstallerar du tillägget.

Felsöka inloggningsproblem

Använd följande information för att korrigera inloggningsproblem.

Du kan visa tillståndet för enheten och enkel inloggning (SSO) genom att köra dsregcmd /status. Målet är att enhetstillståndet ska visas som AzureAdJoined : YES och att SSO-tillståndet ska visa AzureAdPrt : YES.

RDP-inloggning via Microsoft Entra-konton registreras i Loggboken under program- och tjänstloggarna\Windows\AAD\Operativa händelseloggar.

Azure-rollen har inte tilldelats

Du kan få följande felmeddelande när du initierar en fjärrskrivbordsanslutning till den virtuella datorn: "Ditt konto har konfigurerats för att förhindra att du använder den här enheten. Kontakta systemadministratören om du vill ha mer information."

Screenshot of the message that says your account is configured to prevent you from using this device.

Kontrollera att du har konfigurerat Azure RBAC-principer för den virtuella datorn som ger användaren rollen Virtual Machine Administrator Login eller Virtual Machine User Login.

Kommentar

Om du har problem med Rolltilldelningar i Azure läser du Felsöka Azure RBAC.

Obehörig klient- eller lösenordsändring krävs

Du kan få följande felmeddelande när du initierar en fjärrskrivbordsanslutning till den virtuella datorn: "Dina autentiseringsuppgifter fungerade inte."

Screenshot of the message that says your credentials did not work.

Prova följande lösningar:

  • Den Windows 10- eller senare dator som du använder för att initiera fjärrskrivbordsanslutningen måste vara Microsoft Entra-ansluten eller Microsoft Entra-hybrid ansluten till samma Microsoft Entra-katalog. Mer information om enhetsidentitet finns i artikeln Vad är en enhetsidentitet?.

    Kommentar

    Windows 10 Build 20H1 har lagt till stöd för en Microsoft Entra-registrerad dator för att initiera en RDP-anslutning till den virtuella datorn. När du använder en dator som är Microsoft Entra-registrerad (inte Microsoft Entra-ansluten eller Microsoft Entra-hybridanslutning) som RDP-klient för att initiera anslutningar till den virtuella datorn måste du ange autentiseringsuppgifter i formatet AzureAD\UPN (till exempel AzureAD\john@contoso.com).

    Kontrollera att tillägget AADLoginForWindows inte avinstallerades efter att Microsoft Entra-anslutningen har slutförts.

    Kontrollera också att säkerhetsprincipen Nätverkssäkerhet: Tillåt att PKU2U-autentiseringsbegäranden till den här datorn använder onlineidentiteter är aktiverade på både servern och klienten.

  • Kontrollera att användaren inte har något tillfälligt lösenord. Tillfälliga lösenord kan inte användas för att logga in på en fjärrskrivbordsanslutning.

    Logga in med användarkontot i en webbläsare. Logga till exempel in på Azure-portalen i ett privat webbläsarfönster. Om du uppmanas att ändra lösenordet anger du ett nytt lösenord. Försök sedan ansluta igen.

MFA-inloggningsmetod krävs

Du kan se följande felmeddelande när du initierar en fjärrskrivbordsanslutning till den virtuella datorn: "Inloggningsmetoden som du försöker använda är inte tillåten. Prova en annan inloggningsmetod eller kontakta systemadministratören."

Screenshot of the message that says the sign-in method you're trying to use isn't allowed.

Om du har konfigurerat en princip för villkorsstyrd åtkomst som kräver MFA eller äldre aktiverad/framtvingad Microsoft Entra-multifaktorautentisering innan du kan komma åt resursen måste du se till att den Windows 10- eller senare-dator som initierar fjärrskrivbordsanslutningen till den virtuella datorn loggar in med hjälp av en stark autentiseringsmetod som Windows Hello. Om du inte använder en stark autentiseringsmetod för fjärrskrivbordsanslutningen visas felet.

Ett annat MFA-relaterat felmeddelande är det som beskrevs tidigare: "Dina autentiseringsuppgifter fungerade inte."

Screenshot of the message that says your credentials didn't work.

Om du har konfigurerat en äldre autentiseringsinställning per användare aktiverad/framtvingad Microsoft Entra-multifaktorautentisering och du ser felet ovan kan du lösa problemet genom att ta bort MFA-inställningen per användare. Mer information finns i artikeln Aktivera microsoft entra multifaktorautentisering per användare för att skydda inloggningshändelser.

Om du inte har distribuerat Windows Hello för företag och det inte är ett alternativ för tillfället kan du konfigurera en princip för villkorsstyrd åtkomst som exkluderar inloggningsappen för Microsoft Azure Windows Virtual Machine från listan över molnappar som kräver MFA. Mer information om Windows Hello för företag finns i Windows Hello för företag översikt.

Kommentar

Windows Hello för företag PIN-autentisering med RDP har stöd för flera versioner av Windows 10. Stöd för biometrisk autentisering med RDP har lagts till i Windows 10 version 1809. Användning av Windows Hello för företag autentisering under RDP är tillgängligt för distributioner som använder en certifikatförtroendemodell eller nyckelförtroendemodell.

Dela din feedback om den här funktionen eller rapportera problem med att använda den på Microsoft Entra-feedbackforumet.

Program saknas

Om inloggningsprogrammet för microsoft Azure Windows Virtual Machine saknas i villkorsstyrd åtkomst kontrollerar du att programmet finns i klientorganisationen:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program.>
  3. Ta bort filtren för att se alla program och sök efter den virtuella datorn. Om du inte ser microsoft Azure Windows Virtual Machine-inloggning som ett resultat saknas tjänstens huvudnamn från klientorganisationen.

Ett annat sätt att verifiera det är via Graph PowerShell:

  1. Installera Graph PowerShell SDK om du inte redan har gjort det.
  2. Kör Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", följt av "Application.ReadWrite.All".
  3. Logga in med ett globalt administratörskonto.
  4. Godkänn behörighetsprompten.
  5. Kör Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Microsoft Azure Windows Virtual Machine Sign-in"'.
    • Om det här kommandot inte resulterar i några utdata och returnerar dig till PowerShell-prompten kan du skapa tjänstens huvudnamn med följande Graph PowerShell-kommando:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • Lyckade utdata visar att inloggningsappen för Microsoft Azure Windows Virtual Machine och dess ID skapades.

  6. Logga ut från Graph PowerShell med hjälp Disconnect-MgGraph av kommandot .

Dricks

Vissa klienter kan se programmet med namnet Azure Windows VM Sign-in i stället för Microsoft Azure Windows Virtual Machine Sign-in. Programmet har samma program-ID på 372140e0-b3b7-4226-8ef9-d57986796201.

Nästa steg

Mer information om Microsoft Entra-ID finns i Vad är Microsoft Entra-ID?.