你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

支持的标识和身份验证方法

  • 项目

本文简要概述了适用于 Azure 虚拟桌面的标识和身份验证方法类型。

标识

Azure 虚拟桌面支持不同类型的标识,具体取决于你选择的配置。 本部分介绍了可用于每种配置的标识。

重要

Azure 虚拟桌面不支持使用一个用户帐户登录到 Microsoft Entra ID,之后又使用另一个用户帐户登录到 Windows。 使用两个不同的帐户同时登录可能会导致用户重新连接到错误的会话主机,Azure 门户中的信息不正确或缺失,在使用 MSIX 应用附加时出现错误消息。

本地标识

由于用户必须可由 Microsoft Entra ID 发现才能访问 Azure 虚拟桌面,因此不支持仅存在于 Active Directory 域服务 (AD DS) 中的用户标识。 这包括使用 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。

混合标识

Azure 虚拟桌面通过 Microsoft Entra ID 支持混合标识,包括使用 AD FS 进行联合身份验证的标识。 可以在 AD DS 中管理这些用户标识,然后使用 Microsoft Entra Connect 将其同步到 Microsoft Entra ID。 还可使用 Microsoft Entra ID 管理这些标识,并将它们同步到 Microsoft Entra 域服务

使用混合标识访问 Azure 虚拟桌面时,Active Directory (AD) 和 Microsoft Entra ID 中的用户主体名称 (UPN) 或用户安全标识符 (SID) 有时不匹配。 例如,AD 帐户 user@contoso.local 可能对应于 Microsoft Entra ID 中的 user@contoso.com。 仅当你的 AD 帐户与 Microsoft Entra ID 帐户的 UPN 或 SID 匹配时,Azure 虚拟桌面才支持此类型的配置。 SID 是指 AD 中的用户对象属性“ObjectSID”和 Microsoft Entra ID 中的“OnPremisesSecurityIdentifier”。

纯云标识

使用已加入 Microsoft Entra 的 VM 时,Azure 虚拟桌面支持仅限云标识。 这些用户是直接在 Microsoft Entra ID 中创建和管理的。

注意

还可以将混合标识分配给托管加入类型为“已加入 Microsoft Entra”的会话主机的 Azure 虚拟桌面应用程序组。

第三方标识提供程序

如果使用 Microsoft Entra ID 以外的标识提供者 (IdP) 来管理用户帐户,则必须确保:

外部标识

Azure 虚拟桌面当前不支持外部标识

身份验证方法

对于连接到远程会话的用户,有三个单独的身份验证点:

  • Azure 虚拟桌面的服务身份验证:检索用户在访问客户端时有权访问的资源列表。 该体验取决于 Microsoft Entra 帐户配置。 例如,如果用户启用了多重身份验证,则会提示用户输入其用户帐户和第二种身份验证形式,就像访问其他服务一样。

  • 会话主机:启动远程会话时。 会话主机需要用户名和密码,但如果启用了单一登录 (SSO),用户将可以无缝直接登录。

  • 会话内身份验证:在远程会话内连接到其他资源。

以下各部分更详细地介绍了上述每个身份验证点。

服务身份验证

若要访问 Azure 虚拟桌面资源,必须先通过使用 Microsoft Entra 帐户登录来向服务进行身份验证。 每当你订阅某个工作区以检索你的资源时,并且每当你连接到应用或桌面时,都会进行身份验证。 你可以使用第三方标识提供者,只要它们通过 Microsoft Entra ID 进行联合身份验证即可。

多重身份验证

请按照使用条件访问为 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明来了解如何为你的部署强制实施 Microsoft Entra 多重身份验证。 该文还将介绍如何配置提示用户输入其凭据的频率。 在部署已加入 Microsoft Entra 的 VM 时,请注意已已加入 Microsoft Entra 的会话主机 VM 的额外步骤。

无密码身份验证

可以使用 Microsoft Entra 支持的任何身份验证类型,例如 Windows Hello 企业版和其他无密码身份验证选项(例如 FIDO 密钥)来向服务进行身份验证。

智能卡身份验证

若要使用智能卡向 Microsoft Entra ID 进行身份验证,必须首先为用户证书身份验证配置 AD FS配置基于 Microsoft Entra 证书的身份验证

会话主机身份验证

如果尚未启用单一登录或未在本地保存你的凭据,则还需要在启动连接时向会话主机进行身份验证。 以下列表描述了每个 Azure 虚拟桌面客户端当前支持的身份验证类型。 某些客户端可能需要使用特定的版本,你可以在每种身份验证类型的链接中找到该版本。

客户端 支持的身份验证类型
Windows 桌面客户端 用户名和密码
智能卡
Windows Hello 企业版证书信任
带有证书的 Windows Hello 企业版密钥信任
Microsoft Entra 身份验证
Azure 虚拟桌面应用商店应用 用户名和密码
智能卡
Windows Hello 企业版证书信任
带有证书的 Windows Hello 企业版密钥信任
Microsoft Entra 身份验证
远程桌面应用 用户名和密码
Web 客户端 用户名和密码
Microsoft Entra 身份验证
Android 客户端 用户名和密码
Microsoft Entra 身份验证
iOS 客户端 用户名和密码
Microsoft Entra 身份验证
macOS 客户端 用户名和密码
智能卡:支持在未协商 NLA 时,在 Winlogon 提示处通过智能卡重定向进行基于智能卡的登录。
Microsoft Entra 身份验证

重要

为了使身份验证正常工作,你的本地计算机还必须能够访问远程桌面客户端所需的 URL

单一登录 (SSO)

SSO 允许连接跳过会话主机凭据提示,并自动将用户登录到 Windows。 对于已加入 Microsoft Entra 或已建立 Microsoft Entra 混合联接的会话主机,建议启用“使用 Microsoft Entra 身份验证进行 SSO”。 Microsoft Entra 身份验证提供其他优势,包括无密码身份验证和对第三方标识提供者的支持。

Azure 虚拟桌面还对 Windows 桌面和 Web 客户端支持使用 Active Directory 联合身份验证服务 (AD FS) 的 SSO

如果不使用 SSO,则对于每次连接,客户端都将提示用户输入其会话主机凭据。 若要避免系统提示,唯一的方法是将凭据保存在客户端中。 建议仅在安全设备上保存凭据,以防其他用户访问你的资源。

智能卡和 Windows Hello 企业版

对于会话主机身份验证,Azure 虚拟桌面支持 NT LAN Manager (NTLM) 和 Kerberos,但智能卡和 Windows Hello 企业版只能使用 Kerberos 登录。 为了使用 Kerberos,客户端需从域控制器上运行的密钥分发中心 (KDC) 服务获取 Kerberos 安全票证。 若要获取票证,客户端需要能够直接通过网络看到域控制器。 要实现此目的,你可以通过使用 VPN 连接或设置 KDC 代理服务器直接在公司网络中进行连接。

会话中身份验证

当你连接到远程应用或桌面后,系统可能会在会话中提示你进行身份验证。 本部分介绍了在此情况下如何使用用户名和密码之外的其他凭据。

会话内无密码身份验证

使用 Windows 桌面客户端时,Azure 虚拟桌面支持使用 Windows Hello 企业版或安全设备(如 FIDO 密钥)的会话内无密码身份验证。 当会话主机和本地电脑使用以下操作系统时,会自动启用无密码身份验证:

若要在主机池上禁用无密码身份验证,必须自定义 RDP 属性。 可以在 Azure 门户中的“设备重定向”选项卡下找到“WebAuthn 重定向”属性,或使用 PowerShell 将 redirectwebauthn 属性设置为 0。

启用后,会话中的所有 WebAuthn 请求将重定向到本地电脑。 可以使用 Windows Hello 企业版或本地附加的安全设备来完成身份验证过程。

若要使用 Windows Hello 企业版或安全设备访问 Microsoft Entra 资源,必须为用户启用“FIDO2 安全密钥”作为身份验证方法。 若要启用此方法,请按照启用 FIDO2 安全密钥方法中的步骤进行操作。

会话内智能卡身份验证

若要在会话中使用智能卡,请确保已在会话主机上安装智能卡驱动程序并启用了智能卡重定向。 请查看客户端比较图,以确保你的客户端支持智能卡重定向。

后续步骤