Identiteter och autentiseringsmetoder som stöds

I den här artikeln ger vi dig en kort översikt över vilka typer av identiteter och autentiseringsmetoder du kan använda i Azure Virtual Desktop.

Identiteter

Azure Virtual Desktop stöder olika typer av identiteter beroende på vilken konfiguration du väljer. I det här avsnittet beskrivs vilka identiteter du kan använda för varje konfiguration.

Viktigt!

Azure Virtual Desktop stöder inte inloggning till Microsoft Entra-ID med ett användarkonto och loggar sedan in på Windows med ett separat användarkonto. Att logga in med två olika konton samtidigt kan leda till att användare återansluter till fel sessionsvärd, felaktig eller saknad information i Azure-portalen och felmeddelanden som visas när de använder appanslutning eller MSIX-appanslutning.

Lokal identitet

Eftersom användare måste kunna identifieras via Microsoft Entra-ID för att få åtkomst till Azure Virtual Desktop stöds inte användaridentiteter som bara finns i Usluge domena aktivnog direktorijuma (AD DS). Detta omfattar fristående Active Directory-distributioner med Active Directory usluge za ujedinjavanje (AD FS).

Hybrididentitet

Azure Virtual Desktop stöder hybrididentiteter via Microsoft Entra-ID, inklusive de som federeras med HJÄLP av AD FS. Du kan hantera dessa användaridentiteter i AD DS och synkronisera dem till Microsoft Entra-ID med hjälp av Microsoft Entra Connect. Du kan också använda Microsoft Entra-ID för att hantera dessa identiteter och synkronisera dem med Microsoft Entra Domain Services.

När du kommer åt Azure Virtual Desktop med hybrididentiteter matchar ibland inte användarens huvudnamn (UPN) eller säkerhetsidentifierare (SID) för användaren i Active Directory (AD) och Microsoft Entra-ID. AD-kontot user@contoso.local kan till exempel motsvara user@contoso.com i Microsoft Entra-ID. Azure Virtual Desktop stöder endast den här typen av konfiguration om antingen UPN- eller SID-kontona för både AD- och Microsoft Entra-ID matchar. SID refererar till användarobjektegenskapen "ObjectSID" i AD och "OnPremisesSecurityIdentifier" i Microsoft Entra-ID.

Identitet som endast är molnbaserad

Azure Virtual Desktop har stöd för molnbaserade identiteter när du använder Microsoft Entra-anslutna virtuella datorer. Dessa användare skapas och hanteras direkt i Microsoft Entra-ID.

Kommentar

Du kan också tilldela hybrididentiteter till Azure Virtual Desktop-programgrupper som är värdar för sessionsvärdar av kopplingstypen Microsoft Entra-ansluten.

Federerad identitet

Om du använder en identitetsprovider från tredje part (IdP), förutom Microsoft Entra-ID eller Usluge domena aktivnog direktorijuma, för att hantera dina användarkonton, måste du se till att:

• Din IdP är federerad med Microsoft Entra-ID.
• Dina sessionsvärdar är Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar.
• Du aktiverar Microsoft Entra-autentisering till sessionsvärden.

Extern identitet

Azure Virtual Desktop stöder för närvarande inte externa identiteter.

Autentiseringsmetoder

När du kommer åt Azure Virtual Desktop-resurser finns det tre separata autentiseringsfaser:

• Molntjänstautentisering: Autentisering till Azure Virtual Desktop-tjänsten, som omfattar att prenumerera på resurser och autentisera till gatewayen, är med Microsoft Entra-ID.
• Fjärrsessionsautentisering: Autentisera till den virtuella fjärrdatorn. Det finns flera sätt att autentisera till fjärrsessionen, inklusive rekommenderad enkel inloggning (SSO).
• Autentisering under sessionen: Autentisera till program och webbplatser i fjärrsessionen.

För listan över tillgängliga autentiseringsuppgifter för de olika klienterna för var och en av autentiseringsfasen jämför du klienterna mellan plattformar.

Viktigt!

För att autentiseringen ska fungera korrekt måste den lokala datorn också kunna komma åt de URL:er som krävs för fjärrskrivbordsklienter.

Följande avsnitt innehåller mer information om dessa autentiseringsfaser.

Autentisering av molntjänst

För att få åtkomst till Azure Virtual Desktop-resurser måste du först autentisera till tjänsten genom att logga in med ett Microsoft Entra-ID-konto. Autentisering sker när du prenumererar på att hämta dina resurser, ansluter till gatewayen när du startar en anslutning eller när du skickar diagnostikinformation till tjänsten. Microsoft Entra-ID-resursen som används för den här autentiseringen är Azure Virtual Desktop (app-ID 9cdead84-a844-4324-93f2-b2e6bb768d07).

Multifaktorautentisering

Följ anvisningarna i Framtvinga Microsoft Entra multifaktorautentisering för Azure Virtual Desktop med villkorlig åtkomst för att lära dig hur du framtvingar Microsoft Entra multifaktorautentisering för din distribution. Den här artikeln beskriver också hur du konfigurerar hur ofta användarna uppmanas att ange sina autentiseringsuppgifter. När du distribuerar Microsoft Entra-anslutna virtuella datorer bör du tänka på de extra stegen för virtuella Microsoft Entra-anslutna sessionsvärddatorer.

Lösenordsfri autentisering

Du kan använda valfri autentiseringstyp som stöds av Microsoft Entra-ID, till exempel Windows Hello za posao och andra alternativ för lösenordslös autentisering (till exempel FIDO-nycklar) för att autentisera till tjänsten.

Autentisering med smartkort

Om du vill använda ett smartkort för att autentisera till Microsoft Entra-ID måste du först konfigurera Microsoft Entra-certifikatbaserad autentisering eller konfigurera AD FS för autentisering med användarcertifikat.

Identitetsprovidrar från tredje part

Du kan använda identitetsprovidrar från tredje part så länge de federeras med Microsoft Entra-ID.

Fjärrsessionsautentisering

Om du inte redan har aktiverat enkel inloggning eller sparat dina autentiseringsuppgifter lokalt måste du också autentisera till sessionsvärden när du startar en anslutning.

Enkel inloggning (SSO)

Med enkel inloggning kan anslutningen hoppa över kommandotolken för sessionsvärdens autentiseringsuppgifter och automatiskt logga in användaren i Windows via Microsoft Entra-autentisering. För sessionsvärdar som är Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar rekommenderar vi att du aktiverar enkel inloggning med Microsoft Entra-autentisering. Microsoft Entra-autentisering ger andra fördelar, inklusive lösenordslös autentisering och stöd för identitetsprovidrar från tredje part.

Azure Virtual Desktop stöder även enkel inloggning med hjälp av Active Directory usluge za ujedinjavanje (AD FS) för Windows Desktop och webbklienter.

Utan enkel inloggning uppmanar klienten användarna att ange sina autentiseringsuppgifter för sessionsvärden för varje anslutning. Det enda sättet att undvika att bli tillfrågad är att spara autentiseringsuppgifterna i klienten. Vi rekommenderar att du bara sparar autentiseringsuppgifter på säkra enheter för att förhindra att andra användare kommer åt dina resurser.

Smartkort och Windows Hello za posao

Azure Virtual Desktop stöder både NT LAN Manager (NTLM) och Kerberos för sessionsvärdautentisering, men smartkort och Windows Hello za posao kan bara använda Kerberos för att logga in. Om du vill använda Kerberos måste klienten hämta Kerberos-säkerhetsbiljetter från en KDC-tjänst (Key Distribution Center) som körs på en domänkontrollant. För att få biljetter behöver klienten en direkt nätverkslinje till domänkontrollanten. Du kan få en siktlinje genom att ansluta direkt i företagets nätverk, använda en VPN-anslutning eller konfigurera en KDC-proxyserver.

Autentisering under sessionen

När du är ansluten till remoteappen eller skrivbordet kan du uppmanas att autentisering i sessionen. I det här avsnittet beskrivs hur du använder andra autentiseringsuppgifter än användarnamn och lösenord i det här scenariot.

Lösenordslös autentisering under sessionen

Azure Virtual Desktop stöder lösenordslös autentisering under sessionen med Windows Hello za posao eller säkerhetsenheter som FIDO-nycklar när du använder Windows Desktop-klienten. Lösenordsfri autentisering aktiveras automatiskt när sessionsvärden och den lokala datorn använder följande operativsystem:

• Windows 11– en eller flera sessioner med kumulativa uppdateringar 2022–10 för Windows 11 (KB5018418) eller senare installerade.
• Windows 10– en eller flera sessioner, version 20H2 eller senare med kumulativa uppdateringar för Windows 10 (KB5018410) eller senare installerade 2022–2010.
• Windows Server 2022 med den kumulativa uppdateringen 2022–2010 för Microsoft Server-operativsystemet (KB5018421) eller senare installerad.

Om du vill inaktivera lösenordslös autentisering i värdpoolen måste du anpassa en RDP-egenskap. Du hittar omdirigeringsegenskapen WebAuthn under fliken Enhetsomdirigering i Azure-portalen eller ange egenskapen redirectwebauthn till 0 med hjälp av PowerShell.

När det är aktiverat omdirigeras alla WebAuthn-begäranden i sessionen till den lokala datorn. Du kan använda Windows Hello za posao eller lokalt anslutna säkerhetsenheter för att slutföra autentiseringsprocessen.

För att få åtkomst till Microsoft Entra-resurser med Windows Hello za posao eller säkerhetsenheter måste du aktivera FIDO2-säkerhetsnyckeln som en autentiseringsmetod för dina användare. Om du vill aktivera den här metoden följer du stegen i Metoden Aktivera FIDO2-säkerhetsnyckel.

Autentisering med smartkort under sessionen

Om du vill använda ett smartkort i sessionen kontrollerar du att du har installerat smartkortsdrivrutinerna på sessionsvärden och aktiverat omdirigering av smartkort. Granska klientjämförelsediagrammet för att se till att klienten stöder smartkortomdirigering.

Nästa steg

• Vill du veta mer om andra sätt att skydda distributionen? Se metodtips för säkerhet.
• Har du problem med att ansluta till Microsoft Entra-anslutna virtuella datorer? Titta på Felsöka anslutningar till Microsoft Entra-anslutna virtuella datorer.
• Har du problem med lösenordsfri autentisering under sessionen? Se Felsöka omdirigering av WebAuthn.
• Vill du använda smartkort utanför företagets nätverk? Granska hur du konfigurerar en KDC-proxyserver.