为 Azure 虚拟桌面选择标识策略

已完成

在本单元中,我们将简要概述可在 Azure 虚拟桌面中使用的标识和身份验证方法的种类。

标识

Azure 虚拟桌面支持不同类型的标识,具体取决于你选择的配置。 本部分介绍了可用于每种配置的标识。

重要

Azure 虚拟桌面不支持使用一个用户帐户登录到 Microsoft Entra ID,之后又使用另一个用户帐户登录到 Windows。 同时使用两个不同的帐户登录可能会导致用户重新连接到错误的会话主机、Azure 门户中的信息不正确或缺失,以及在使用应用附加或 MSIX 应用附加时出现错误消息。

本地标识

由于用户必须可由 Microsoft Entra ID 发现才能访问 Azure 虚拟桌面,因此不支持仅存在于 Active Directory 域服务 (AD DS) 中的用户标识。 这包括使用 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。

混合标识

Azure 虚拟桌面通过 Microsoft Entra ID 支持混合标识,包括使用 AD FS 进行联合身份验证的标识。 可以在 AD DS 中管理这些用户标识,然后使用 Microsoft Entra Connect 将其同步到 Microsoft Entra ID。 还可使用 Microsoft Entra ID 管理这些标识,并将它们同步到 Microsoft Entra 域服务

使用混合标识访问 Azure 虚拟桌面时,Active Directory (AD) 和 Microsoft Entra ID 中的用户主体名称 (UPN) 或用户安全标识符 (SID) 有时不匹配。 例如,AD 帐户 user@contoso.local 可能对应于 Microsoft Entra ID 中的 user@contoso.com。 仅当你的 AD 帐户与 Microsoft Entra ID 帐户的 UPN 或 SID 匹配时,Azure 虚拟桌面才支持此类型的配置。 SID 是指 AD 中的用户对象属性“ObjectSID”和 Microsoft Entra ID 中的“OnPremisesSecurityIdentifier”。

纯云标识

使用已加入 Microsoft Entra 的 VM 时,Azure 虚拟桌面支持仅限云标识。 这些用户是直接在 Microsoft Entra ID 中创建和管理的。

注意

还可以将混合标识分配给托管加入类型为“已加入 Microsoft Entra”的会话主机的 Azure 虚拟桌面应用程序组。

第三方标识提供商

如果使用 Microsoft Entra ID 以外的标识提供者 (IdP) 来管理用户帐户,则必须确保:

外部标识

Azure 虚拟桌面当前不支持外部标识