Share via

Microsoft Entra-anslutna sessionsvärdar i Azure Virtual Desktop

  • Artikel

Den här artikeln beskriver hur du distribuerar och kommer åt Microsoft Entra-anslutna virtuella datorer i Azure Virtual Desktop. Microsoft Entra-anslutna virtuella datorer tar bort behovet av att ha siktlinje från den virtuella datorn till en lokal eller virtualiserad Active Directory-domän Controller (DC) eller för att distribuera Microsoft Entra Domain Services. I vissa fall kan det ta bort behovet av en domänkontrollant helt och hållet, vilket förenklar distributionen och hanteringen av miljön. Dessa virtuella datorer kan också registreras automatiskt i Intune för enkel hantering.

Kända begränsningar

Följande kända begränsningar kan påverka åtkomsten till dina lokala eller Active Directory-domänanslutna resurser och du bör överväga dem när du bestämmer om Microsoft Entra-anslutna virtuella datorer är rätt för din miljö.

  • Azure Virtual Desktop (klassisk) stöder inte Microsoft Entra-anslutna virtuella datorer.
  • Microsoft Entra-anslutna virtuella datorer stöder för närvarande inte externa identiteter, till exempel Microsoft Entra Business-to-Business (B2B) och Microsoft Entra Business-to-Consumer (B2C).
  • Microsoft Entra-anslutna virtuella datorer kan bara komma åt Azure Files-resurser eller Azure NetApp Files-resurser för hybridanvändare som använder Microsoft Entra Kerberos för FSLogix-användarprofiler.
  • Fjärrskrivbordsappen för Windows stöder inte Microsoft Entra-anslutna virtuella datorer.

Distribuera Microsoft Entra-anslutna virtuella datorer

Du kan distribuera Microsoft Entra-anslutna virtuella datorer direkt från Azure-portalen när du skapar en ny värdpool eller expanderar en befintlig värdpool. Om du vill distribuera en Microsoft Entra-ansluten virtuell dator öppnar du fliken Virtuella datorer och väljer sedan om den virtuella datorn ska anslutas till Active Directory eller Microsoft Entra-ID. Genom att välja Microsoft Entra-ID kan du registrera virtuella datorer med Intune automatiskt, vilket gör att du enkelt kan hantera dina sessionsvärdar. Tänk på att alternativet Microsoft Entra-ID endast ansluter virtuella datorer till samma Microsoft Entra-klientorganisation som den prenumeration du använder.

Kommentar

  • Värdpooler bör endast innehålla virtuella datorer av samma domänanslutningstyp. Till exempel bör Microsoft Entra-anslutna virtuella datorer endast vara med andra Microsoft Entra-anslutna virtuella datorer och vice versa.
  • De virtuella datorerna i värdpoolen måste vara Windows 11 eller Windows 10 med en eller flera sessioner, version 2004 eller senare, eller Windows Server 2022 eller Windows Server 2019.

Tilldela användaråtkomst till värdpooler

När du har skapat värdpoolen måste du tilldela användarna åtkomst till deras resurser. Om du vill bevilja åtkomst till resurser lägger du till varje användare i programgruppen. Följ anvisningarna i Hantera programgrupper för att tilldela användaråtkomst till appar och skrivbord. Vi rekommenderar att du använder användargrupper i stället för enskilda användare där det är möjligt.

För Microsoft Entra-anslutna virtuella datorer måste du göra två extra saker utöver kraven för Active Directory- eller Microsoft Entra Domain Services-baserade distributioner:

  • Tilldela användarna rollen Virtuell datoranvändarinloggning så att de kan logga in på de virtuella datorerna.
  • Tilldela administratörer som behöver lokala administratörsbehörigheter för inloggningsrollen virtuell datoradministratör.

Om du vill ge användare åtkomst till Microsoft Entra-anslutna virtuella datorer måste du konfigurera rolltilldelningar för den virtuella datorn. Du kan tilldela inloggningsrollen för virtuell datoranvändare eller administratör för virtuell dator antingen på de virtuella datorerna, resursgruppen som innehåller de virtuella datorerna eller prenumerationen. Vi rekommenderar att du tilldelar rollen Användarinloggning för virtuell dator till samma användargrupp som du använde för programgruppen på resursgruppsnivå så att den tillämpas på alla virtuella datorer i värdpoolen.

Få åtkomst till Microsoft Entra-anslutna virtuella datorer

I det här avsnittet beskrivs hur du kommer åt Microsoft Entra-anslutna virtuella datorer från olika Azure Virtual Desktop-klienter.

Enkel inloggning

För bästa möjliga upplevelse på alla plattformar bör du aktivera en enkel inloggningsupplevelse med Hjälp av Microsoft Entra-autentisering vid åtkomst till Microsoft Entra-anslutna virtuella datorer. Följ stegen för att konfigurera enkel inloggning för att ge en sömlös anslutningsupplevelse.

Anslut med äldre autentiseringsprotokoll

Om du föredrar att inte aktivera enkel inloggning kan du använda följande konfiguration för att aktivera åtkomst till Microsoft Entra-anslutna virtuella datorer.

Anslut med Windows Desktop-klienten

Standardkonfigurationen stöder anslutningar från Windows 11 eller Windows 10 med Windows Desktop-klienten. Du kan använda dina autentiseringsuppgifter, smartkort, Windows Hello för företag certifikatförtroende eller Windows Hello för företag nyckelförtroende med certifikat för att logga in på sessionsvärden. Men för att få åtkomst till sessionsvärden måste den lokala datorn uppfylla något av följande villkor:

  • Den lokala datorn är Microsoft Entra-ansluten till samma Microsoft Entra-klientorganisation som sessionsvärden
  • Den lokala datorn är hybrid Microsoft Entra-ansluten till samma Microsoft Entra-klientorganisation som sessionsvärden
  • Den lokala datorn kör Windows 11 eller Windows 10, version 2004 eller senare och är Microsoft Entra registrerad på samma Microsoft Entra-klientorganisation som sessionsvärden

Om din lokala dator inte uppfyller något av dessa villkor lägger du till targetisaadjoined:i:1 som en anpassad RDP-egenskap i värdpoolen. Dessa anslutningar är begränsade till att ange autentiseringsuppgifter för användarnamn och lösenord när du loggar in på sessionsvärden.

Anslut med hjälp av de andra klienterna

För att få åtkomst till Microsoft Entra-anslutna virtuella datorer med hjälp av webb-, Android-, macOS- och iOS-klienter måste du lägga till targetisaadjoined:i:1 som en anpassad RDP-egenskap i värdpoolen. Dessa anslutningar är begränsade till att ange autentiseringsuppgifter för användarnamn och lösenord när du loggar in på sessionsvärden.

Framtvinga Microsoft Entra-multifaktorautentisering för virtuella Microsoft Entra-anslutna sessionsdatorer

Du kan använda Microsoft Entra multifaktorautentisering med Microsoft Entra-anslutna virtuella datorer. Följ stegen för att framtvinga Microsoft Entra multifaktorautentisering för Azure Virtual Desktop med villkorlig åtkomst och notera de extra stegen för virtuella Microsoft Entra-anslutna sessionsvärddatorer.

Om du använder Microsoft Entra multifaktorautentisering och inte vill begränsa inloggningen till starka autentiseringsmetoder som Windows Hello för företag måste du undanta inloggningsappen för virtuella Azure Windows-datorer från principen för villkorsstyrd åtkomst.

Användarprofiler

Du kan använda FSLogix-profilcontainrar med Microsoft Entra-anslutna virtuella datorer när du lagrar dem på Azure Files eller Azure NetApp Files när du använder hybridanvändarkonton. Mer information finns i Skapa en profilcontainer med Azure Files och Microsoft Entra-ID.

Komma åt lokala resurser

Även om du inte behöver en Active Directory för att distribuera eller komma åt dina Microsoft Entra-anslutna virtuella datorer, krävs en Active Directory och siktlinje till den för att få åtkomst till lokala resurser från dessa virtuella datorer. Mer information om hur du kommer åt lokala resurser finns i Så här fungerar enkel inloggning till lokala resurser på Microsoft Entra-anslutna enheter.

Nästa steg

Nu när du har distribuerat vissa Microsoft Entra-anslutna virtuella datorer rekommenderar vi att du aktiverar enkel inloggning innan du ansluter till en Azure Virtual Desktop-klient som stöds för att testa den som en del av en användarsession. Mer information finns i följande artiklar: