你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

排查已加入 Microsoft Entra 的 VM 的连接问题

项目
01/16/2024

重要

本教程的内容适用于包含 Azure 资源管理器 Azure 虚拟桌面对象的 Azure 虚拟桌面。

使用本文解决在 Azure 虚拟桌面中连接到已加入 Microsoft Entra 的会话主机时遇到的问题。

所有客户端

你的帐户配置为阻止你使用此设备

如果遇到一个错误指出“你的帐户已配置为阻止你使用此设备。有关详细信息，请与系统管理员联系”，请确保为用户帐户提供了 VM 上的虚拟机用户登录角色。

用户名或密码不正确

如果你无法登录并继续收到错误消息，指出你的凭据不正确，请首先确保你使用的是正确的凭据。如果继续看到错误消息，请检查以确保已满足以下要求：

是否已将“虚拟机用户登录”的基于角色的访问控制 (RBAC) 权限分配给每个用户的虚拟机 (VM) 或资源组？
你的条件访问策略是否对 Azure Windows VM 登录云应用程序排除了多重身份验证要求？

如果回答了其中任一问题，则需要重新配置多重身份验证。要重新配置多重身份验证，请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明进行操作。

重要

VM 登录不支持按用户启用或强制执行的 Microsoft Entra 多重身份验证。如果在 VM 上尝试使用多重身份验证登录，将无法登录并收到错误消息。

如果已将 Microsoft Entra 日志与 Azure Monitor 日志集成，以便通过 Log Analytics 访问 Microsoft Entra 登录日志，可以查看是否已启用多重身份验证以及触发事件的条件访问策略。显示的事件是 VM 的非交互式用户登录事件，这意味着 IP 地址将显示来自 VM 访问 Microsoft Entra ID 的外部 IP 地址。

可以通过运行以下 Kusto 查询来访问登录日志：

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

Windows 桌面客户端

登录尝试失败

如果在 Windows 安全凭据提示处遇到一个错误指出“登录尝试失败”，请验证以下内容：

你使用的设备已加入 Microsoft Entra 或 Microsoft Entra 混合，并且与会话主机位于同一 Microsoft Entra 租户中。
本地电脑和会话主机上均启用了 PKU2U 协议。
为用户帐户禁用了每用户多重身份验证，因为已加入 Microsoft Entra 的 VM 不支持此功能。

如果遇到一个错误指出“你尝试使用的登录方法不受允许。请尝试其他登录方法或与系统管理员联系”，则表明你的条件访问策略限制了访问。请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明，为已加入 Microsoft Entra 的 VM 强制实施 Microsoft Entra 多重身份验证。

如果为系统/网络服务帐户运行该会话可能已被终止。

如果遇到错误提示“发生了身份验证错误。指定的登录会话不存在。它可能已经终止”，请确认你在配置单一登录时正确创建和配置了 Kerberos 服务器对象。

Web 客户端

如果在使用 Web 客户端时，遇到一个错误指出“糟糕，我们无法连接到 NAME。登录失败。请检查用户名和密码，然后重试。”，请确保已经启用来自其他客户端的连接。

由于安全错误，无法连接到远程电脑

如果遇到一个错误指出“糟糕，我们无法连接到 NAME。由于安全错误，无法连接到远程电脑。如果这种情况持续发生，请向管理员或技术支持人员寻求帮助。”，则表明你的条件访问策略限制了访问。请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明，为已加入 Microsoft Entra 的 VM 强制实施 Microsoft Entra 多重身份验证。

Android 和 Chrome OS 客户端

错误代码 2607 - 无法连接到远程电脑，因为你的凭据无效

如果在使用 Android 客户端时遇到一个错误，指出“我们无法连接到远程 PC，因为你的凭据无效。远程机器已加入了 AADJ”，并显示错误代码 2607，请确保已经启用了来自其他客户端的连接。

提供反馈

请访问 Azure 虚拟桌面技术社区，与产品团队和活跃的社区成员共同探讨 Azure 虚拟桌面服务。

后续步骤

如需大致了解如何排查 Azure 虚拟桌面问题和跟踪升级，请参阅故障排除概述、反馈和支持。
若要排查创建 Azure 虚拟桌面环境和在 Azure 虚拟桌面环境中主机池时遇到的问题，请参阅环境和主机池创建。
若要排查在 Azure 虚拟桌面中配置虚拟机 (VM) 时遇到的问题，请参阅会话主机虚拟机配置。
若要排查与 Azure 虚拟桌面代理或会话连接性相关的问题，请参阅排查常见的 Azure 虚拟桌面代理问题。
若要排查将 PowerShell 与 Azure 虚拟桌面结合使用时遇到的问题，请参阅 Azure 虚拟桌面 PowerShell。
若要完成故障排除教程，请参阅教程：排查资源管理器模板部署问题。

通过