共用方式為

支援的身分識別與驗證方法

  • 發行項

在本文中,我們將提供可在 Azure 虛擬桌面中使用之身分識別與驗證方法種類的簡要概觀。

身分識別

取決於您選擇的設定,Azure 虛擬桌面可支援不同類型的身分識別。 本節說明可用於每個設定的身分識別。

重要

Azure 虛擬桌面不支援使用一個使用者帳戶登入 Microsoft Entra ID,然後使用個別的使用者帳戶登入 Windows。 同時使用兩個不同的帳戶登入,可能會導致使用者重新連線到錯誤的工作階段主機、Azure 入口網站中的資訊不正確或遺失,以及在使用 MSIX 應用程式附加時出現錯誤訊息。

內部部署身分識別

因為使用者必須可透過 Microsoft Entra ID 加以探索,才能存取 Azure 虛擬桌面,因此僅存在於 Active Directory Domain Services (AD DS) 中的使用者身分識別並不受到支援。 這包括具有 Active Directory 同盟服務 (AD FS) 的獨立 Active Directory 部署。

混合式身分識別

Azure 虛擬桌面透過 Microsoft Entra ID 支援混合式身分識別,包括使用 AD FS 同盟的身分識別。 您可以在 AD DS 中管理這些使用者身分識別,並使用 Microsoft Entra Connect 將其同步至 Microsoft Entra ID。 您也可以使用 Microsoft Entra ID 來管理這些身分識別,並將其同步至 Microsoft Entra Domain Services

使用混合式身分識別存取 Azure 虛擬桌面時,有時候 Active Directory (AD) 及 Microsoft Entra ID 中使用者的使用者主體名稱 (UPN) 與安全性識別碼 (SID) 不相符。 例如,AD 帳戶 user@contoso.local 可能會對應到 Microsoft Entra ID 中的 user@contoso.com。 若您的 AD 與 Microsoft Entra ID 帳戶符合 UPN 或 SID,則 Azure 虛擬桌面僅支援此設定類型。 SID 代表 AD 中的使用者物件屬性 "ObjectSID",以及 Microsoft Entra ID 中的 "OnPremisesSecurityIdentifier"。

僅限雲端的身分識別

使用已加入 Microsoft Entra ID 的 VM 時,Azure 虛擬桌面支援僅限雲端的身分識別。 這些使用者會直接建立於 Microsoft Entra ID 中並受到管理。

注意

您也可以將混合式身分識別指派給裝載已加入 Microsoft Entra 加入類型之工作階段主機的 Azure 虛擬桌面應用程式群組。

協力廠商身分識別提供者

若您使用識別提供者 (IdP) 而非 Microsoft Entra ID 來管理使用者帳戶,您必須確保:

外部身分識別

Azure 虛擬桌面目前不支援外部身分識別

驗證方法

對於連線到遠端工作階段的使用者,有三個不同的驗證點:

  • Azure 虛擬桌面的服務驗證:擷取使用者存取用戶端時可存取的資源清單。 體驗取決於 Microsoft Entra 帳戶設定。 例如,如果使用者已啟用多重要素驗證,則會提示使用者輸入其使用者帳戶和第二種驗證形式,就像存取其他服務一樣。

  • 工作階段主機:啟動遠端工作階段時。 工作階段主機需要使用者名稱和密碼,但如果啟用單一入 (SSO),使用者在使用上會更流暢。

  • 工作階段驗證:連線到遠端工作階段內的其他資源。

下列各節將更詳細地說明這些驗證點。

服務驗證

若要存取 Azure 虛擬桌面資源,您必須先以 Microsoft Entra 帳戶登入,並對服務進行驗證。 每當您訂閱工作區以擷取資源,以及連線至應用程式或桌面時,都會進行驗證。 只要協力廠商識別提供者與 Microsoft Entra ID 同盟,您就可以使用該提供者。

多重要素驗證

遵循使用條件式存取來強制執行 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證中的指示,了解如何為您的部署強制執行 Microsoft Entra 多重要素驗證。 該文章也會告訴您如何設定提示使用者輸入其認證的頻率。 部署已加入 Microsoft Entra 的 VM 時,已加入 Microsoft Entra 的工作階段主機 VM 應注意額外步驟。

無密碼驗證

您可以使用任何 Microsoft Entra ID 支援的驗證類型來對服務進行驗證,例如 Windows Hello 企業版和其他無密碼驗證選項 (如 FIDO 金鑰)。

智慧卡驗證

若要使用智慧卡來對 Microsoft Entra ID 進行驗證,您必須先針對使用者憑證驗證設定 AD FS設定 Microsoft Entra 憑證型驗證

工作階段主機驗證

若您尚未在本機啟用單一登入或儲存認證,您也必須在啟動連線時,對工作階段主機進行驗證。 下列清單描述了每個 Azure 虛擬桌面用戶端目前支援的驗證類型。 某些用戶端可能需要使用特定版本,您可以在每個驗證類型的連結中找到該版本。

用戶端 支援的驗證類型
Windows 桌面用戶端 使用者名稱和密碼
智慧卡
Windows Hello 企業版憑證信任
具有憑證的 Windows Hello 企業版金鑰信任
Microsoft Entra 驗證
Azure 虛擬桌面市集應用程式 使用者名稱和密碼
智慧卡
Windows Hello 企業版憑證信任
具有憑證的 Windows Hello 企業版金鑰信任
Microsoft Entra 驗證
遠端桌面應用程式 使用者名稱與密碼
網頁用戶端 使用者名稱與密碼
Microsoft Entra 驗證
Android 用戶端 使用者名稱與密碼
Microsoft Entra 驗證
iOS 用戶端 使用者名稱與密碼
Microsoft Entra 驗證
macOS 用戶端 使用者名稱和密碼
智慧卡:未交涉 NLA 時,支援在 Winlogon 提示下使用智慧卡重新導向進行智慧卡式登入。
Microsoft Entra 驗證

重要

若要讓驗證正常運作,您的本機電腦也必須能夠存取遠端桌面用戶端的必要 URL

單一登入 (SSO)

SSO 可讓連線略過工作階段主機的憑證提示,並自動將使用者登入 Windows。 針對已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式的工作階段主機,建議啟用使用 Microsoft Entra 驗證的 SSO。 Microsoft Entra 驗證還提供其他優點,包含無密碼驗證以及支援第三方識別提供者。

Azure 虛擬桌面也針對 Windows 桌面和網頁用戶端支援使用 Active Directory 同盟服務 (AD FS) 的 SSO

在沒有 SSO 的情況下,用戶端會在每次連線時提示使用者提供工作階段主機憑證。 避免收到提示的唯一方式就是將憑證儲存在用戶端中。 建議您一律將憑證儲存於安全的裝置上,以防止其他使用者存取您的資源。

智慧卡和 Windows Hello 企業版

Azure 虛擬桌面同時支援 NT LAN Manager (NTLM) 和 Kerberos 進行工作階段主機驗證,不過智慧卡和 Windows Hello 企業版只能使用 Kerberos 登入。 若要使用 Kerberos,用戶端必須從網域控制站上執行的金鑰發佈中心 (KDC) 服務取得 Kerberos 安全性票證。 若要取得票證,用戶端需要網域控制站的網路視距。 您可以使用 VPN 連線或設定 KDC Proxy 伺服器,直接在公司網路中連線,以取得視距。

工作階段驗證

連線至遠端應用程式或桌面之後,可能會提示您在工作階段中進行驗證。 本節說明如何在此案例中使用密碼與使用者名稱以外的認證。

工作階段內無密碼驗證

Azure 虛擬桌面支援使用 Windows Hello 企業版或如 FIDO 金鑰等安全性裝置 (使用 Windows 桌面用戶端時) 的工作階段內無密碼驗證。 當工作階段主機和本機電腦使用下列作業系統時,就會自動啟用無密碼驗證:

若要停用主機集區上的無密碼驗證,您必須自訂 RDP 屬性。 您可以在 Azure 入口網站的 [裝置重新導向] 索引標籤下找到 [WebAuthn 重新導向] 屬性,或使用 PowerShell 將 redirectwebauthn 屬性設定為 0

啟用時,工作階段中的所有 WebAuthn 要求都會重新導向至本機電腦。 您可以使用 Windows Hello 企業版或本機連接的安全性裝置來完成驗證流程。

若要透過 Windows Hello 企業版或安全性裝置存取 Microsoft Entra 資源,您必須為使用者啟用 FIDO2 安全性金鑰,以作為驗證方法。 若要啟用此方法,請遵循啟用 FIDO2 安全性金鑰方法中的步驟。

工作階段內智慧卡驗證

若要在工作階段中使用智慧卡,請確定您已在工作階段主機上安裝智慧卡驅動程式,並已啟用智慧卡重新導向。 檢閱用戶端比較圖表,以確定您的用戶端支援智慧卡重新導向。

下一步