Välja en autentiseringsstrategi för Azure Virtual Desktop
För användare som ansluter till en fjärrsession finns det tre separata autentiseringspunkter:
- Tjänstautentisering till Azure Virtual Desktop: hämtar en lista över resurser som användaren har åtkomst till vid åtkomst till klienten. Upplevelsen beror på Microsoft Entra-kontokonfigurationen. Om användaren till exempel har aktiverat multifaktorautentisering uppmanas användaren att ange sitt användarkonto och en andra form av autentisering, på samma sätt som vid åtkomst till andra tjänster.
- Sessionsvärd: när du startar en fjärrsession. Ett användarnamn och lösenord krävs för en sessionsvärd, men det är sömlöst för användaren om enkel inloggning (SSO) är aktiverat.
- Autentisering under sessionen: ansluta till andra resurser inom en fjärrsession.
I följande avsnitt beskrivs var och en av dessa autentiseringspunkter i detalj.
Tjänstautentisering
För att få åtkomst till Azure Virtual Desktop-resurser måste du först autentisera till tjänsten genom att logga in med ett Microsoft Entra-konto. Autentisering sker när du prenumererar på en arbetsyta för att hämta dina resurser och ansluta till appar eller skrivbord. Du kan använda identitetsprovidrar från tredje part så länge de federeras med Microsoft Entra-ID.
Multifaktorautentisering
Följ anvisningarna i Framtvinga Microsoft Entra multifaktorautentisering för Azure Virtual Desktop med villkorlig åtkomst för att lära dig hur du framtvingar Microsoft Entra multifaktorautentisering för din distribution. Den här artikeln beskriver också hur du konfigurerar hur ofta användarna uppmanas att ange sina autentiseringsuppgifter. När du distribuerar Microsoft Entra-anslutna virtuella datorer bör du tänka på de extra stegen för virtuella Microsoft Entra-anslutna sessionsvärddatorer.
Lösenordsfri autentisering
Du kan använda valfri autentiseringstyp som stöds av Microsoft Entra-ID, till exempel Windows Hello za posao och andra alternativ för lösenordslös autentisering (till exempel FIDO-nycklar) för att autentisera till tjänsten.
Autentisering med smartkort
Om du vill använda ett smartkort för att autentisera till Microsoft Entra-ID måste du först konfigurera AD FS för autentisering med användarcertifikat eller konfigurera Microsoft Entra-certifikatbaserad autentisering.
Sessionsvärdautentisering
Om du inte redan har aktiverat enkel inloggning eller sparat dina autentiseringsuppgifter lokalt måste du också autentisera till sessionsvärden när du startar en anslutning. I följande lista beskrivs vilka typer av autentisering som varje Azure Virtual Desktop-klient stöder för närvarande. Vissa klienter kan kräva att en viss version används, som du hittar i länken för varje autentiseringstyp.
| Client | Autentiseringstyper som stöds |
|---|---|
| Klient för Windows-skrivbordet | Användarnamn och lösenord Smartkort Windows Hello za posao certifikatförtroende Windows Hello za posao nyckelförtroende med certifikat Microsoft Entra-autentisering |
| Azure Virtual Desktop Store-app | Användarnamn och lösenord Smartkort Windows Hello za posao certifikatförtroende Windows Hello za posao nyckelförtroende med certifikat Microsoft Entra-autentisering |
| Fjärrskrivbordsapp | Användarnamn och lösenord |
| Webbklient | Användarnamn och lösenord Microsoft Entra-autentisering |
| Android-klient | Användarnamn och lösenord Microsoft Entra-autentisering |
| iOS-klient | Användarnamn och lösenord Microsoft Entra-autentisering |
| macOS-klient | Användarnamn och lösenord Smartkort: stöd för smartkortsbaserad inloggning med omdirigering av smartkort i Winlogon-prompten när NLA inte förhandlas. Microsoft Entra-autentisering |
Viktigt!
För att autentiseringen ska fungera korrekt måste den lokala datorn också kunna komma åt de URL:er som krävs för fjärrskrivbordsklienter.
Enkel inloggning (SSO)
Med enkel inloggning kan anslutningen hoppa över kommandotolken för sessionsvärdens autentiseringsuppgifter och automatiskt logga in användaren i Windows. För sessionsvärdar som är Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar rekommenderar vi att du aktiverar enkel inloggning med Microsoft Entra-autentisering. Microsoft Entra-autentisering ger andra fördelar, inklusive lösenordslös autentisering och stöd för identitetsprovidrar från tredje part.
Azure Virtual Desktop stöder även enkel inloggning med hjälp av Active Directory usluge za ujedinjavanje (AD FS) för Windows Desktop och webbklienter.
Utan enkel inloggning uppmanar klienten användarna att ange sina autentiseringsuppgifter för sessionsvärden för varje anslutning. Det enda sättet att undvika att bli tillfrågad är att spara autentiseringsuppgifterna i klienten. Vi rekommenderar att du bara sparar autentiseringsuppgifter på säkra enheter för att förhindra att andra användare kommer åt dina resurser.
Smartkort och Windows Hello za posao
Azure Virtual Desktop stöder både NT LAN Manager (NTLM) och Kerberos för sessionsvärdautentisering, men smartkort och Windows Hello za posao kan bara använda Kerberos för att logga in. Om du vill använda Kerberos måste klienten hämta Kerberos-säkerhetsbiljetter från en KDC-tjänst (Key Distribution Center) som körs på en domänkontrollant. För att få biljetter behöver klienten en direkt nätverkslinje till domänkontrollanten. Du kan få en siktlinje genom att ansluta direkt i företagets nätverk, använda en VPN-anslutning eller konfigurera en KDC-proxyserver.
Autentisering under sessionen
När du är ansluten till remoteappen eller skrivbordet kan du uppmanas att autentisering i sessionen. I det här avsnittet beskrivs hur du använder andra autentiseringsuppgifter än användarnamn och lösenord i det här scenariot.
Lösenordslös autentisering under sessionen
Azure Virtual Desktop stöder lösenordslös autentisering under sessionen med Windows Hello za posao eller säkerhetsenheter som FIDO-nycklar när du använder Windows Desktop-klienten. Lösenordsfri autentisering aktiveras automatiskt när sessionsvärden och den lokala datorn använder följande operativsystem:
- Windows 11– en eller flera sessioner med kumulativa uppdateringar 2022–10 för Windows 11 (KB5018418) eller senare installerade.
- Windows 10– en eller flera sessioner, version 20H2 eller senare med kumulativa uppdateringar för Windows 10 (KB5018410) eller senare installerade 2022–2010.
- Windows Server 2022 med den kumulativa uppdateringen 2022–2010 för Microsoft Server-operativsystemet (KB5018421) eller senare installerad.
Om du vill inaktivera lösenordslös autentisering i värdpoolen måste du anpassa en RDP-egenskap. Du hittar omdirigeringsegenskapen WebAuthn under fliken Enhetsomdirigering i Azure-portalen eller ange egenskapen redirectwebauthn till 0 med hjälp av PowerShell.
När det är aktiverat omdirigeras alla WebAuthn-begäranden i sessionen till den lokala datorn. Du kan använda Windows Hello za posao eller lokalt anslutna säkerhetsenheter för att slutföra autentiseringsprocessen.
För att få åtkomst till Microsoft Entra-resurser med Windows Hello za posao eller säkerhetsenheter måste du aktivera FIDO2-säkerhetsnyckeln som en autentiseringsmetod för dina användare. Om du vill aktivera den här metoden följer du stegen i Metoden Aktivera FIDO2-säkerhetsnyckel.
Autentisering med smartkort under sessionen
Om du vill använda ett smartkort i sessionen kontrollerar du att du har installerat smartkortsdrivrutinerna på sessionsvärden och aktiverat omdirigering av smartkort. Granska klientjämförelsediagrammet för att se till att klienten stöder smartkortomdirigering.