Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du distribuerar och kommer åt Microsoft Entra anslutna virtuella datorer i Azure Virtual Desktop. Microsoft Entra anslutna virtuella datorer tar bort behovet av att ha siktlinje från den virtuella datorn till en lokal eller virtualiserad Active Directory-domän Controller (DC) eller för att distribuera Microsoft Entra Domain Services. I vissa fall kan det ta bort behovet av en domänkontrollant helt och hållet, vilket förenklar distributionen och hanteringen av miljön. Dessa virtuella datorer kan också registreras automatiskt i Intune för enkel hantering.
Kända begränsningar
Följande kända begränsningar kan påverka åtkomsten till dina lokala eller Active Directory-domänanslutna resurser och du bör överväga dem när du bestämmer om Microsoft Entra anslutna virtuella datorer är rätt för din miljö.
- Microsoft Entra anslutna virtuella datorer stöder för närvarande inte externa identiteter, till exempel Microsoft Entra B2B (Business-to-Business) och Microsoft Entra Business-to-Consumer (B2C).
- Microsoft Entra anslutna virtuella datorer kan bara komma åt Azure Files resurser för hybridanvändare med hjälp av Microsoft Entra Kerberos för FSLogix-användarprofiler.
- Appen Remote Desktop Store för Windows stöder inte Microsoft Entra anslutna virtuella datorer.
Distribuera Microsoft Entra anslutna virtuella datorer
Du kan distribuera Microsoft Entra anslutna virtuella datorer direkt från Azure Portal när du skapar en ny värdpool eller expanderar en befintlig värdpool. Om du vill distribuera en Microsoft Entra ansluten virtuell dator öppnar du fliken Virtual Machines och väljer sedan om du vill ansluta den virtuella datorn till Active Directory eller Microsoft Entra ID. Genom att välja Microsoft Entra ID kan du registrera virtuella datorer med Intune automatiskt, vilket gör att du enkelt kan hantera sessionsvärdarna. Tänk på att alternativet Microsoft Entra ID endast ansluter virtuella datorer till samma Microsoft Entra klientorganisation som den prenumeration du använder.
Obs!
- Värdpooler bör endast innehålla virtuella datorer av samma domänanslutningstyp. Till exempel bör Microsoft Entra anslutna virtuella datorer bara vara med andra Microsoft Entra anslutna virtuella datorer och vice versa.
- De virtuella datorerna i värdpoolen måste vara Windows 11 eller Windows 10 en session eller flera sessioner, version 2004 eller senare, eller Windows Server 2022 eller Windows Server 2019.
Tilldela användaråtkomst till värdpooler
När du har skapat värdpoolen måste du tilldela användarna åtkomst till deras resurser. Om du vill bevilja åtkomst till resurser lägger du till varje användare i programgruppen. Följ anvisningarna i Hantera programgrupper för att tilldela användaråtkomst till appar och skrivbord. Vi rekommenderar att du använder användargrupper i stället för enskilda användare där det är möjligt.
För Microsoft Entra anslutna virtuella datorer i värdpooler utan konfiguration av sessionsvärdar måste du utföra följande extra uppgifter utöver kraven för Active Directory- eller Microsoft Entra Domain Services-baserade distributioner. För värdpooler som använder en sessionsvärdkonfiguration krävs inte den här ytterligare rolltilldelningen.
- Tilldela användarna rollen Virtuell datoranvändarinloggning så att de kan logga in på de virtuella datorerna.
- Tilldela administratörer som behöver lokal administratörsbehörighet rollen Virtuell datoradministratörsinloggning .
Om du vill ge användare åtkomst till Microsoft Entra anslutna virtuella datorer måste du konfigurera rolltilldelningar för den virtuella datorn. Du kan tilldela inloggningsrollen för virtuell datoranvändare eller administratörsrollen för virtuell dator antingen på de virtuella datorerna, resursgruppen som innehåller de virtuella datorerna eller prenumerationen. Vi rekommenderar att du tilldelar rollen Virtuell datoranvändarinloggning till samma användargrupp som du använde för programgruppen på resursgruppsnivå så att den tillämpas på alla virtuella datorer i värdpoolen.
Åtkomst Microsoft Entra anslutna virtuella datorer
Det här avsnittet beskriver hur du får åtkomst till Microsoft Entra anslutna virtuella datorer från olika Azure Virtual Desktop-klienter.
Enkel inloggning
För bästa möjliga upplevelse på alla plattformar bör du aktivera en enkel inloggning med hjälp av Microsoft Entra autentisering vid åtkomst till Microsoft Entra anslutna virtuella datorer. Följ stegen för att konfigurera enkel inloggning för att ge en sömlös anslutningsupplevelse.
Ansluta med äldre autentiseringsprotokoll
Om du föredrar att inte aktivera enkel inloggning kan du använda följande konfiguration för att aktivera åtkomst till Microsoft Entra anslutna virtuella datorer.
Ansluta med Windows Desktop-klienten
Standardkonfigurationen stöder anslutningar från Windows 11 eller Windows 10 med Windows Desktop-klienten. Du kan använda dina autentiseringsuppgifter, smartkort, Windows Hello för företag certifikatförtroende eller Windows Hello för företag nyckelförtroende med certifikat för att logga in på sessionsvärden. Men för att få åtkomst till sessionsvärden måste den lokala datorn uppfylla något av följande villkor:
- Den lokala datorn är Microsoft Entra ansluten till samma Microsoft Entra klientorganisation som sessionsvärden
- Den lokala datorn är Microsoft Entra hybridkopplad till samma Microsoft Entra klientorganisation som sessionsvärden
- Den lokala datorn kör Windows 11 eller Windows 10 version 2004 eller senare och är Microsoft Entra registrerad på samma Microsoft Entra klientorganisation som sessionsvärden
Om din lokala dator inte uppfyller något av dessa villkor lägger du till targetisaadjoined:i:1 som en anpassad RDP-egenskap i värdpoolen. Dessa anslutningar är begränsade till att ange användarnamn och autentiseringsuppgifter för lösenord när du loggar in på sessionsvärden.
Ansluta med de andra klienterna
För att få åtkomst till Microsoft Entra anslutna virtuella datorer med hjälp av webb-, Android-, macOS- och iOS-klienter måste du lägga till targetisaadjoined:i:1 som en anpassad RDP-egenskap i värdpoolen. Dessa anslutningar är begränsade till att ange användarnamn och autentiseringsuppgifter för lösenord när du loggar in på sessionsvärden.
Framtvinga Microsoft Entra multifaktorautentisering för Microsoft Entra anslutna virtuella sessionsdatorer
Du kan använda Microsoft Entra multifaktorautentisering med Microsoft Entra anslutna virtuella datorer. Följ stegen för att framtvinga Microsoft Entra multifaktorautentisering för Azure Virtual Desktop med villkorlig åtkomst och notera de extra stegen för Microsoft Entra anslutna virtuella sessionsvärddatorer.
Om du använder Microsoft Entra multifaktorautentisering och inte vill begränsa inloggningen till starka autentiseringsmetoder som Windows Hello för företag måste du undanta den virtuella Azure Windows-datorn Sign-In app från principen för villkorsstyrd åtkomst.
Användarprofiler
Du kan använda FSLogix-profilcontainrar med Microsoft Entra anslutna virtuella datorer när du lagrar dem på Azure Files när du använder hybridanvändarkonton. Mer information finns i Skapa en profilcontainer med Azure Files och Microsoft Entra ID.
Åtkomst till lokala resurser
Även om du inte behöver en Active Directory för att distribuera eller komma åt dina Microsoft Entra anslutna virtuella datorer, behövs en Active Directory och siktlinje för att den ska få åtkomst till lokala resurser från dessa virtuella datorer.
Nästa steg
Nu när du har distribuerat några Microsoft Entra anslutna virtuella datorer rekommenderar vi att du aktiverar enkel inloggning innan du ansluter till en Azure Virtual Desktop-klient som stöds för att testa den som en del av en användarsession. Mer information finns i följande artiklar: