分享方式:

支援的身分識別與驗證方法

  • 文章

在本文中,我們將提供可在 Azure 虛擬桌面中使用之身分識別與驗證方法種類的簡要概觀。

身分識別

取決於您選擇的設定,Azure 虛擬桌面可支援不同類型的身分識別。 本節說明可用於每個設定的身分識別。

重要

Azure 虛擬桌面不支援使用一個使用者帳戶登入 Microsoft Entra ID,然後使用個別的使用者帳戶登入 Windows。 同時使用兩個不同的帳戶登入,可能會導致使用者重新連線至錯誤的工作階段主機、Azure 入口網站中的資訊不正確或遺失,以及在使用應用程式連結或 MSIX 應用程式連結時出現錯誤訊息。

內部部署身分識別

因為使用者必須可透過 Microsoft Entra ID 加以探索,才能存取 Azure 虛擬桌面,因此僅存在於 Active Directory Domain Services (AD DS) 中的使用者身分識別並不受到支援。 這包括具有 Active Directory 同盟服務 (AD FS) 的獨立 Active Directory 部署。

混合式身分識別

Azure 虛擬桌面透過 Microsoft Entra ID 支援混合式身分識別,包括使用 AD FS 同盟的身分識別。 您可以在 AD DS 中管理這些使用者身分識別,並使用 Microsoft Entra Connect 將其同步至 Microsoft Entra ID。 您也可以使用 Microsoft Entra ID 來管理這些身分識別,並將其同步至 Microsoft Entra Domain Services

使用混合式身分識別存取 Azure 虛擬桌面時,有時候 Active Directory (AD) 及 Microsoft Entra ID 中使用者的使用者主體名稱 (UPN) 與安全性識別碼 (SID) 不相符。 例如,AD 帳戶 user@contoso.local 可能會對應到 Microsoft Entra ID 中的 user@contoso.com。 若您的 AD 與 Microsoft Entra ID 帳戶符合 UPN 或 SID,則 Azure 虛擬桌面僅支援此設定類型。 SID 代表 AD 中的使用者物件屬性 "ObjectSID",以及 Microsoft Entra ID 中的 "OnPremisesSecurityIdentifier"。

僅限雲端的身分識別

使用已加入 Microsoft Entra ID 的 VM 時,Azure 虛擬桌面支援僅限雲端的身分識別。 這些使用者會直接建立於 Microsoft Entra ID 中並受到管理。

注意

您也可以將混合式身分識別指派給裝載已加入 Microsoft Entra 加入類型之工作階段主機的 Azure 虛擬桌面應用程式群組。

同盟身分識別

若要使用第三方識別提供者 (IdP) (非 Microsoft Entra ID 或 Active Directory Domain Services) 來管理使用者帳戶,則必須確定:

外部身分識別

Azure 虛擬桌面目前不支援外部身分識別

驗證方法

存取 Azure 虛擬桌面資源時,有三個不同的驗證階段:

  • 雲端服務驗證:向 Azure 虛擬桌面服務進行驗證 (包括訂閱資源以及向閘道進行驗證) 是使用 Microsoft Entra ID。
  • 遠端工作階段驗證:向遠端 VM 進行驗證。 有多種方式可以向遠端工作階段進行驗證,包括建議的單一登入 (SSO)。
  • 工作階段內驗證:向遠端工作階段內的應用程式和網站進行驗證。

如需不同用戶端上每個驗證階段可用的認證清單,請比較跨平台的用戶端

重要

若要讓驗證正常運作,您的本機電腦也必須能夠存取遠端桌面用戶端的必要 URL

下列各節提供這些驗證階段的詳細資訊。

雲端服務驗證

若要存取 Azure 虛擬桌面資源,您必須先使用 Microsoft Entra ID 帳戶登入,再向服務進行驗證。 只要您訂閱以擷取資源,或是在啟動連線時或將診斷資訊傳送至服務時連線至閘道,就會進行驗證。 用於此驗證的 Microsoft Entra ID 資源是 Azure 虛擬桌面 (應用程式識別碼 9cdead84-a844-4324-93f2-b2e6bb768d07)。

多重要素驗證

遵循使用條件式存取來強制執行 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證中的指示,了解如何為您的部署強制執行 Microsoft Entra 多重要素驗證。 該文章也會告訴您如何設定提示使用者輸入其認證的頻率。 部署已加入 Microsoft Entra 的 VM 時,已加入 Microsoft Entra 的工作階段主機 VM 應注意額外步驟。

無密碼驗證

您可以使用任何 Microsoft Entra ID 支援的驗證類型來對服務進行驗證,例如 Windows Hello 企業版和其他無密碼驗證選項 (如 FIDO 金鑰)。

智慧卡驗證

若要使用智慧卡以對 Microsoft Entra ID 進行驗證,您必須先設定 Microsoft Entra 憑證型驗證設定 AD FS 進行使用者憑證驗證

協力廠商身分識別提供者

只要協力廠商識別提供者與 Microsoft Entra ID 同盟,您就可以使用該提供者。

遠端工作階段驗證

若您尚未在本機啟用單一登入或儲存認證,您也必須在啟動連線時,對工作階段主機進行驗證。

單一登入 (SSO)

SSO 可讓連線略過工作階段主機認證提示,並透過 Microsoft Entra 驗證以自動將使用者登入 Windows。 針對已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式的工作階段主機,建議啟用使用 Microsoft Entra 驗證的 SSO。 Microsoft Entra 驗證還提供其他優點,包含無密碼驗證以及支援第三方識別提供者。

Azure 虛擬桌面也針對 Windows 桌面和網頁用戶端支援使用 Active Directory 同盟服務 (AD FS) 的 SSO

在沒有 SSO 的情況下,用戶端會在每次連線時提示使用者提供其工作階段主機認證。 避免收到提示的唯一方式就是將憑證儲存在用戶端中。 建議您一律將憑證儲存於安全的裝置上,以防止其他使用者存取您的資源。

智慧卡和 Windows Hello 企業版

Azure 虛擬桌面同時支援 NT LAN Manager (NTLM) 和 Kerberos 進行工作階段主機驗證,不過智慧卡和 Windows Hello 企業版只能使用 Kerberos 登入。 若要使用 Kerberos,用戶端必須從網域控制站上執行的金鑰發佈中心 (KDC) 服務取得 Kerberos 安全性票證。 若要取得票證,用戶端需要網域控制站的網路視距。 您可以使用 VPN 連線或設定 KDC Proxy 伺服器,直接在公司網路中連線,以取得視距。

工作階段驗證

連線至遠端應用程式或桌面之後,可能會提示您在工作階段中進行驗證。 本節說明如何在此案例中使用密碼與使用者名稱以外的認證。

工作階段內無密碼驗證

Azure 虛擬桌面支援使用 Windows Hello 企業版或如 FIDO 金鑰等安全性裝置 (使用 Windows 桌面用戶端時) 的工作階段內無密碼驗證。 當工作階段主機和本機電腦使用下列作業系統時,就會自動啟用無密碼驗證:

若要停用主機集區上的無密碼驗證,您必須自訂 RDP 屬性。 您可以在 Azure 入口網站的 [裝置重新導向] 索引標籤下找到 [WebAuthn 重新導向] 屬性,或使用 PowerShell 將 redirectwebauthn 屬性設定為 0

啟用時,工作階段中的所有 WebAuthn 要求都會重新導向至本機電腦。 您可以使用 Windows Hello 企業版或本機連接的安全性裝置來完成驗證流程。

若要透過 Windows Hello 企業版或安全性裝置存取 Microsoft Entra 資源,您必須為使用者啟用 FIDO2 安全性金鑰,以作為驗證方法。 若要啟用此方法,請遵循啟用 FIDO2 安全性金鑰方法中的步驟。

工作階段內智慧卡驗證

若要在工作階段中使用智慧卡,請確定您已在工作階段主機上安裝智慧卡驅動程式,並已啟用智慧卡重新導向。 檢閱用戶端比較圖表,以確定您的用戶端支援智慧卡重新導向。

下一步