Aracılığıyla paylaş

Desteklenen kimlikler ve kimlik doğrulama yöntemleri

Bu makalede, Azure Sanal Masaüstü'nde kullanabileceğiniz kimlik türlerine ve kimlik doğrulama yöntemlerine kısa bir genel bakış sağlayacağız.

Kimlik

Azure Sanal Masaüstü, seçtiğiniz yapılandırmaya bağlı olarak farklı kimlik türlerini destekler. Bu bölümde, her yapılandırma için hangi kimlikleri kullanabileceğiniz açıklanmaktadır.

Önemli

Azure Sanal Masaüstü, bir kullanıcı hesabıyla Microsoft Entra ID oturum açmayı ve ardından Windows'ta ayrı bir kullanıcı hesabıyla oturum açmayı desteklemez. Aynı anda iki farklı hesapla oturum açmak, kullanıcıların yanlış oturum konağına yeniden bağlanmasına, Azure portal yanlış veya eksik bilgilere ve Uygulama Ekleme'yi kullanırken hata iletilerinin görünmesine neden olabilir.

Şirket içi kimlik

Kullanıcıların Azure Sanal Masaüstü'ne erişmek için Microsoft Entra ID aracılığıyla bulunabilmesi gerektiğinden, yalnızca Active Directory Domain Services (AD DS) içinde bulunan kullanıcı kimlikleri desteklenmez. Bu, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile tek başına Active Directory dağıtımlarını içerir.

Karma kimlik

Azure Sanal Masaüstü, AD FS kullanan federasyonlar da dahil olmak üzere Microsoft Entra ID aracılığıyla karma kimlikleri destekler. Bu kullanıcı kimliklerini AD DS'de yönetebilir ve Microsoft Entra Connect kullanarak Microsoft Entra ID eşitleyebilirsiniz. Bu kimlikleri yönetmek ve Microsoft Entra Etki Alanı Hizmetleri eşitlemek için Microsoft Entra ID de kullanabilirsiniz.

Karma kimlikleri kullanarak Azure Sanal Masaüstü'ne erişirken, bazen Active Directory'deki (AD) ve Microsoft Entra ID kullanıcının Kullanıcı Asıl Adı (UPN) veya Güvenlik Tanımlayıcısı (SID) eşleşmez. Örneğin, AD hesabı user@contoso.local Microsoft Entra ID karşılık gelebiliruser@contoso.com. Azure Sanal Masaüstü yalnızca hem AD hem de Microsoft Entra ID hesaplarınız için UPN veya SID eşleşiyorsa bu tür yapılandırmayı destekler. SID, AD'deki "ObjectSID" kullanıcı nesnesi özelliğine ve Microsoft Entra ID "OnPremisesSecurityIdentifier" öğesine başvurur.

Yalnızca bulut kimliği

Azure Sanal Masaüstü, katılmış Microsoft Entra VM'leri kullanırken yalnızca bulut kimliklerini destekler. Bu kullanıcılar doğrudan Microsoft Entra ID oluşturulur ve yönetilir.

Not

Karma kimlikleri, katılma türü Microsoft Entra katılmış oturum konaklarını barındıran Azure Sanal Masaüstü Uygulaması gruplarına da atayabilirsiniz.

Federasyon kimliği

Kullanıcı hesaplarınızı yönetmek için Microsoft Entra ID veya Active Directory Domain Services dışında bir üçüncü taraf Kimlik Sağlayıcısı (IdP) kullanıyorsanız şunları sağlamanız gerekir:

Dış kimlik

Dış kimlik desteği, kullanıcıları Entra Id kiracınıza davet etmenizi ve sanal masaüstü kaynakları Azure sağlamanıza olanak tanır. Dış kimliklere kaynak sağlarken çeşitli gereksinimler ve sınırlamalar vardır:

  • Gereksinimler
    • Oturum ana bilgisayarı işletim sistemi: Oturum konağı, Windows 11 (KB5065789) veya sonraki sürümlerin yüklü olduğu 2025-09 Toplu Güncelleştirmeler ile Windows 11 Enterprise, sürüm 24H2 veya sonraki sürümleri çalıştırıyor olmalıdır.
    • Oturum konağı katılma türü: Oturum konağı Entra'ya katılmış olmalıdır.
    • Çoklu oturum açma: Konak havuzu için çoklu oturum açma yapılandırılmalıdır.
    • Windows App istemcisi: Dış kimliğin Windows'ta veya bir web tarayıcısından Windows App bağlanması gerekir.
  • Sınırlamalar

    • FSLogix: FSLogix desteği dış kimlikler için önizleme aşamasındadır. Microsoft Entra ID kullanarak FSLogix profil kapsayıcılarını Azure Dosyalar depolama hakkında daha fazla bilgi edinin.

    • Intune cihaz yapılandırma ilkeleri: Dış kimliğe atanan cihaz yapılandırma ilkeleri oturum konağındaki kullanıcıya uygulanmaz. Bunun yerine, cihaza cihaz yapılandırma ilkeleri atayın.

    • Bulut kullanılabilirliği: Bu özellik yalnızca Azure genel bulutta kullanılabilir, ancak Kamu bulutunda veya 21Vianet tarafından sağlanan Azure kullanılamaz.

    • Bulutlar arası davetler: Bulutlar arası kullanıcılar desteklenmez. Yalnızca sosyal kimlik sağlayıcılarından davet ettiğiniz kullanıcılara, Microsoft Entra Microsoft Azure ticari bulutundaki kullanıcılara veya iş gücü kiracınızda kayıtlı diğer kimlik sağlayıcılarına Azure Sanal Masaüstü kaynak erişimi sağlayabilirsiniz. Microsoft Azure Kamu veya 21Vianet tarafından sağlanan Microsoft Azure'dan davet ettiğiniz kullanıcılar için Azure Sanal Masaüstü kaynakları atayamazsınız.

    • Belirteç koruması: Microsoft Entra, dış kimlikler için belirteç korumasına yönelik belirli sınırlamalara sahiptir. Platforma göre belirteç koruması için Windows App desteği hakkında daha fazla bilgi edinin.

    • Kerberos kimlik doğrulaması: Dış kimlikler, Kerberos veya NTLM protokollerini kullanarak şirket içi kaynaklarda kimlik doğrulaması yapamaz.

    • Microsoft 365 uygulamaları: Microsoft 365 uygulamalarının Windows masaüstü sürümünde yalnızca şu durumlarda oturum açabilirsiniz:

      1. Davet edilen kullanıcı, Microsoft 365 Uygulamaları için lisanslanmış bir Entra tabanlı hesap veya Microsoft Hesabıdır.
      2. Davet edilen kullanıcının Microsoft 365 uygulamalarına ev kuruluşundan koşullu erişim ilkesiyle erişmesi engellenmez.

      Davet edilen hesap ne olursa olsun, oturum konağı web tarayıcısında uygun Microsoft 365 uygulamasını kullanarak sizinle paylaşılan Microsoft 365 dosyalarına erişebilirsiniz.

Ortamınızı dış kimlikler için yapılandırma önerileri için Microsoft Entra B2B en iyi yöntemleri ve lisanslama yönergeleri için lisanslama bölümüne bakın.

Kimlik doğrulama yöntemleri

Azure Sanal Masaüstü kaynaklarına erişirken üç ayrı kimlik doğrulama aşaması vardır:

  • Bulut hizmeti kimlik doğrulaması: Kaynaklara abone olmak ve Ağ Geçidi'ne kimlik doğrulaması yapmak da dahil olmak üzere Azure Sanal Masaüstü hizmetinde kimlik doğrulaması yapmak Microsoft Entra ID.
  • Uzaktan oturum kimlik doğrulaması: Uzak VM'de kimlik doğrulaması. Önerilen çoklu oturum açma (SSO) dahil olmak üzere uzak oturumda kimlik doğrulaması yapmanın birden çok yolu vardır.
  • Oturum içi kimlik doğrulaması: Uzak oturumdaki uygulamalar ve web sitelerinde kimlik doğrulaması.

Kimlik doğrulama aşamalarının her biri için farklı istemcilerde kullanılabilen kimlik bilgilerinin listesi için istemcileri platformlar arasında karşılaştırın.

Önemli

Kimlik doğrulamasının düzgün çalışması için yerel makinenizin Uzak Masaüstü istemcileri için gerekli URL'lere de erişebilmesi gerekir.

Aşağıdaki bölümlerde bu kimlik doğrulama aşamaları hakkında daha fazla bilgi sağlanır.

Bulut hizmeti kimlik doğrulaması

Azure Sanal Masaüstü kaynaklarına erişmek için önce bir Microsoft Entra ID hesabıyla oturum açarak hizmette kimlik doğrulaması yapmanız gerekir. Kimlik doğrulaması, kaynaklarınızı almak için abone olduğunuzda, bağlantı başlatırken veya hizmete tanılama bilgileri gönderirken ağ geçidine bağlandığınızda gerçekleşir. Bu kimlik doğrulaması için kullanılan Microsoft Entra ID kaynağı Azure Sanal Masaüstü'dür (uygulama kimliği 9cdead84-a844-4324-93f2-b2e6bb768d07).

Çok faktörlü kimlik doğrulaması

Dağıtımınız için çok faktörlü Microsoft Entra kimlik doğrulamasını zorunlu kılmayı öğrenmek için Koşullu Erişim kullanarak Azure Sanal Masaüstü için Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılma başlığındaki yönergeleri izleyin. Bu makalede ayrıca kullanıcılarınızdan kimlik bilgilerini girmelerinin isteneceği sıklıkları nasıl yapılandıracağınız da anlatılır. Birleştirilmiş Microsoft Entra VM'leri dağıtırken, birleştirilmiş Microsoft Entra oturum konağı VM'leri için ek adımları not edin.

Parolasız kimlik doğrulaması

Hizmette kimlik doğrulaması yapmak için Microsoft Entra ID tarafından desteklenen İş İçin Windows Hello ve diğer parolasız kimlik doğrulama seçenekleri (örneğin, FIDO anahtarları) gibi herhangi bir kimlik doğrulama türünü kullanabilirsiniz.

Akıllı kart kimlik doğrulaması

Microsoft Entra ID kimlik doğrulaması için akıllı kart kullanmak için önce sertifika tabanlı kimlik doğrulaması Microsoft Entra yapılandırmanız veya kullanıcı sertifikası kimlik doğrulaması için AD FS'yi yapılandırmanız gerekir.

Üçüncü taraf kimlik sağlayıcıları

Üçüncü taraf kimlik sağlayıcılarını, Microsoft Entra ID federasyonları olduğu sürece kullanabilirsiniz.

Uzaktan oturum kimlik doğrulaması

Çoklu oturum açmayı henüz etkinleştirmediyseniz veya kimlik bilgilerinizi yerel olarak kaydetmediyseniz, bir bağlantı başlatırken oturum ana bilgisayarında da kimlik doğrulaması yapmanız gerekir.

Çoklu oturum açma (SSO)

SSO, bağlantının oturum ana bilgisayarı kimlik bilgisi istemini atlayıp Microsoft Entra kimlik doğrulaması aracılığıyla kullanıcının Windows'ta otomatik olarak oturum açmasını sağlar. Microsoft Entra katılmış veya karma katılmış Microsoft Entra oturum konakları için Microsoft Entra kimlik doğrulaması kullanarak SSO'nun etkinleştirilmesi önerilir. Microsoft Entra kimlik doğrulaması, parolasız kimlik doğrulaması ve üçüncü taraf kimlik sağlayıcıları için destek gibi diğer avantajları sağlar.

Azure Sanal Masaüstü, Windows Masaüstü ve web istemcileri için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanarak SSO'nun kullanılmasını da destekler.

SSO olmadan istemci, kullanıcılardan her bağlantı için oturum ana bilgisayar kimlik bilgilerini ister. İstenmekten kaçınmanın tek yolu, kimlik bilgilerini istemciye kaydetmektir. Diğer kullanıcıların kaynaklarınıza erişmesini önlemek için kimlik bilgilerini yalnızca güvenli cihazlara kaydetmenizi öneririz.

Akıllı kart ve İş İçin Windows Hello

Azure Sanal Masaüstü, oturum konağı kimlik doğrulaması için hem NT LAN Yöneticisi 'ni (NTLM) hem de Kerberos'u destekler, ancak Akıllı kart ve İş İçin Windows Hello oturum açmak için yalnızca Kerberos kullanabilir. Kerberos kullanmak için, istemcinin bir etki alanı denetleyicisinde çalışan bir Anahtar Dağıtım Merkezi (KDC) hizmetinden Kerberos güvenlik biletleri alması gerekir. Bilet almak için istemcinin etki alanı denetleyicisine doğrudan bir ağ izleme hattına ihtiyacı vardır. Doğrudan şirket ağınıza bağlanarak, VPN bağlantısı kullanarak veya bir KDC Proxy sunucusu ayarlayarak bir görüş hattı elde edebilirsiniz.

Oturum içi kimlik doğrulaması

RemoteApp veya masaüstü bilgisayarınıza bağlandıktan sonra oturum içinde kimlik doğrulaması yapmanız istenebilir. Bu bölümde, bu senaryoda kullanıcı adı ve parola dışında kimlik bilgilerinin nasıl kullanılacağı açıklanmaktadır.

Oturum içi parolasız kimlik doğrulaması

Azure Sanal Masaüstü, Windows Masaüstü istemcisini kullanırken İş İçin Windows Hello veya FIDO anahtarları gibi güvenlik cihazlarını kullanarak oturum içi parolasız kimlik doğrulamasını destekler. Oturum konağı ve yerel bilgisayar aşağıdaki işletim sistemlerini kullandığında parolasız kimlik doğrulaması otomatik olarak etkinleştirilir:

Konak havuzunuzda parolasız kimlik doğrulamasını devre dışı bırakmak için bir RDP özelliğini özelleştirmeniz gerekir. WebAuthn yeniden yönlendirme özelliğini Azure portal Cihaz yeniden yönlendirme sekmesinde bulabilir veya PowerShell kullanarak redirectwebauthn özelliğini 0 olarak ayarlayabilirsiniz.

Etkinleştirildiğinde oturumdaki tüm WebAuthn istekleri yerel bilgisayara yönlendirilir. Kimlik doğrulama işlemini tamamlamak için İş İçin Windows Hello veya yerel olarak bağlı güvenlik cihazlarını kullanabilirsiniz.

İş İçin Windows Hello veya güvenlik cihazlarıyla Microsoft Entra kaynaklarına erişmek için, kullanıcılarınız için bir kimlik doğrulama yöntemi olarak FIDO2 Güvenlik Anahtarı'nı etkinleştirmeniz gerekir. Bu yöntemi etkinleştirmek için FIDO2 güvenlik anahtarı yöntemini etkinleştirme'deki adımları izleyin.

Oturum içi akıllı kart kimlik doğrulaması

Oturumunuzda akıllı kart kullanmak için, oturum konağına akıllı kart sürücülerini yüklediğinizden ve akıllı kart yeniden yönlendirmesini etkinleştirdiğinizden emin olun. Akıllı kart yeniden yönlendirmesini kullanabilmeniz için Windows App ve Uzak Masaüstü uygulamasının karşılaştırma grafiklerini gözden geçirin.

Sonraki adımlar

  • Last updated on