分享方式:


使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機器,包括無密碼

組織可與 Microsoft Entra 驗證整合,來改善 Azure 中 Windows 虛擬機器 (VM) 的安全性。 您現在可以使用 Microsoft Entra ID 做為遠端桌面通訊協定 (RDP) 的核心驗證平台,進入 Windows Server 2019 Datacenter 版本和更新版本,或 Windows 10 1809 和更新版本。 接著您可以集中控制並強制執行 Azure 角色型存取控制 (RBAC) 和條件式存取原則,以允許或拒絕 VM 的存取權。

本文說明如何建立和設定 Windows VM,並使用以 Microsoft Entra ID 為基礎的驗證登入。

使用以 Microsoft Entra ID 為基礎的驗證來登入 Azure 中 Windows VM 的安全性優點有很多。 其中包含:

  • 使用 Microsoft Entra 驗證,包括無密碼登入 Azure 中的 Windows VM。

  • 減少對本機系統管理員帳戶的依賴。

  • 針對 Microsoft Entra ID 而設定的密碼複雜性及密碼存留期原則,也有助於保護 Windows VM。

  • 使用 Azure RBAC:

    • 指定哪些人能夠以一般使用者身分或系統管理員權限登入 VM。
    • 當使用者加入或離開您的團隊時,您可以更新 VM 的 Azure RBAC 原則來授與適當的存取權。
    • 當員工離開您的組織時,其使用者帳戶會從 Microsoft Entra ID 中停用或移除,且他們將無法再存取您的資源。
  • 將條件式存取原則設定為「防網路釣魚 MFA」,使用需要驗證強度授與控制或需要多重要素驗證和其他訊號 (例如使用者登入風險),您才能從 RDP 連線至 Windows VM。

  • 使用 Azure 原則部署和稽核原則來要求 Windows VM 的 Microsoft Entra 登入,並在 VM 上使用未核准的本機帳戶來旗標。

  • 搭配屬於虛擬桌面基礎結構 (VDI) 部署一部分的 Azure Windows VM 行動裝置管理 (MDM) 自動註冊,使用 Intune 來自動化和調整 Microsoft Entra Join。

    MDM 自動註冊需要 Microsoft Entra ID P1 授權。 Windows Server VM 不支援 MDM 註冊。

注意

啟用這項功能之後,您在 Azure 中的 Windows VM 將會加入 Microsoft Entra。 您無法將其加入另一個網域,例如內部部署的 Active Directory 或 Microsoft Entra 網域服務。 如果您需要這麼做,請解除安裝延伸模組,以將 VM 與 Microsoft Entra 中斷連線。

需求

支援的 Azure 區域和 Windows 發行版

這項功能目前支援下列 Windows 發行版:

  • Windows Server 2019 Datacenter 和更新版本
  • Windows 10 1809 和更新版本
  • Windows 11 21H2 和更新版本

這項功能現已在下列 Azure 雲端中提供:

  • Azure 全域
  • Azure Government
  • 由 21Vianet 營運的 Microsoft Azure

網路需求

若要在 Azure 中啟用 Windows VM 的 Microsoft Entra 驗證,您需要確定您的 VM 網路組態允許透過 TCP 通訊埠 443 對下列端點進行輸出存取。

Azure 全域:

  • https://enterpriseregistration.windows.net:適用於裝置註冊。
  • http://169.254.169.254:Azure Instance Metadata Service 端點。
  • https://login.microsoftonline.com:適用於驗證流程。
  • https://pas.windows.net:適用於 Azure RBAC 流程。

Azure Government:

  • https://enterpriseregistration.microsoftonline.us:適用於裝置註冊。
  • http://169.254.169.254:Azure Instance Metadata Service 端點。
  • https://login.microsoftonline.us:適用於驗證流程。
  • https://pasff.usgovcloudapi.net:適用於 Azure RBAC 流程。

由 21Vianet 營運的 Microsoft Azure:

  • https://enterpriseregistration.partner.microsoftonline.cn:適用於裝置註冊。
  • http://169.254.169.254:Azure Instance Metadata Service 端點。
  • https://login.chinacloudapi.cn:適用於驗證流程。
  • https://pas.chinacloudapi.cn:適用於 Azure RBAC 流程。

驗證需求

Microsoft Entra 來賓帳戶無法透過 Microsoft Entra 驗證連線到已啟用 Azure VM 或 Azure Bastion 的 VM。

為 Azure 中的 Windows VM 啟用 Microsoft Entra 登入

若要為 Azure 中的 Windows VM 啟用 Microsoft Entra 登入,您必須:

  1. 啟用 VM 的 Microsoft Entra 登入選項。
  2. 為已獲授權登入 VM 的使用者設定 Azure 角色指派。

有兩種方式可用來為 Windows VM 啟用 Microsoft Entra 登入:

  • Azure 入口網站,用於建立 Windows VM 時。
  • Azure Cloud Shell,用於建立 Windows VM 或使用現有 Windows VM 時。

注意

如果裝置物件與安裝 延伸模組所在的 VM 主機使用相同的名稱,則 VM 無法聯結Microsoft Entra ID 並出現主機名稱重複錯誤。 修改主機名稱避免重複。

Azure 入口網站

您可以為 Windows Server 2019 Datacenter 或 Windows 10 1809 和更新版本中的 VM 映像啟用 Microsoft Entra 登入。

若要在 Azure 中使用 Microsoft Entra 登入來建立 Windows Server 2019 Datacenter VM:

  1. 使用具有建立 VM 存取權的帳戶登入 Azure 入口網站,然後選取 [+ 建立資源]

  2. 在 [搜尋 Marketplace] 搜尋列中輸入 Windows Server

  3. 選取 [Windows Server],然後從 [選取軟體方案] 下拉式清單中選擇 [Windows Server 2019 Datacenter]

  4. 選取 建立

  5. 在 [管理] 索引標籤上,勾選 [Microsoft Entra ID] 區段中的 [使用 Microsoft Entra ID 登入] 核取方塊。

    螢幕擷取畫面顯示 Azure 入口網站頁面中用來建立虛擬機器的 [管理] 索引標籤。

  6. 請確定已選取 [身分識別] 區段中的 [系統指派的受控識別]。 當您啟用 [以 Microsoft Entra ID 登入] 之後,此動作應該會自動發生。

  7. 完成建立虛擬機器的其餘體驗。 您必須建立 VM 的系統管理員使用者名稱和密碼。

注意

若要使用 Microsoft Entra 認證登入 VM,您必須先為 VM 設定角色指派

Azure Cloud Shell

Azure Cloud Shell 是免費的互動式 Shell,可讓您用來執行本文中的步驟。 Cloud Shell 中已預先安裝和設定共用 Azure 工具,以便您搭配自己的帳戶使用。 只要選取 [複製] 按鈕即可複製程式碼、貼到 Cloud Shell 中,然後選取 Enter 鍵即可加以執行。 以下有幾種開啟 Cloud Shell 的方式:

  • 選取程式碼區塊右上角的 [試試看]。
  • 在您的瀏覽器中開啟 Cloud Shell。
  • 選取 Azure 入口網站右上角功能表中的 [Cloud Shell] 按鈕。

本文需要您執行 Azure CLI 2.0.31 版或更新版本。 執行 az --version 以尋找版本。 如果您需要安裝或升級,請參閱安裝 Azure CLI 一文。

  1. 執行 az group create 建立資源群組。
  2. 執行 az vm create 建立 VM。 在支援的區域中使用支援的發行版本。
  3. 安裝 Microsoft Entra 登入 VM 延伸模組。

下列範例會將名為 myVM 的 VM (使用 Win2019Datacenter) 部署至 southcentralus 區域中名為 myResourceGroup 的資源群組。 在此範例及下一個範例中,您可以視需要提供自己的資源群組和 VM 名稱。

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

注意

您必須先在虛擬機器上啟用系統指派的受控識別,才能安裝 Microsoft Entra 登入 VM 延伸模組。 受控識別會儲存在單一 Microsoft Entra 租用戶中,目前不支援跨目錄案例。

建立虛擬機器和支援資源需要幾分鐘的時間。

最後,安裝 Microsoft Entra 登入 VM 延伸模組,以啟用 Windows VM 的 Microsoft Entra 登入。 VM 延伸模組是小型的應用程式,可在「Azure 虛擬機器」上提供部署後組態及自動化工作。 使用 az vm extension 集合,在 myResourceGroup 資源群組中名為 myVM 的 VM 上安裝 AADLoginForWindows 擴充功能。

您可以在現有的 Windows Server 2019 或 Windows 10 1809 和更新版本的 VM 上安裝 AADLoginForWindows 延伸模組,將其啟用進行 Microsoft Entra 驗證。 下列範例會使用 Azure CLI 來安裝擴充功能:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

在 VM 上安裝擴充功能之後,provisioningState 會顯示 Succeeded

設定 VM 的角色指派

您建立 VM 後,必須指派下列其中一個 Azure 角色,以判斷哪些人可以登入 VM。 若要指派這些角色,您必須擁有虛擬機器資料存取系統管理員角色,或任何包含 Microsoft.Authorization/roleAssignments/write 動作的角色,例如角色型存取控制系統管理員角色。 不過,如果您使用與虛擬機器資料存取管理員不同的角色,建議您新增條件來減少建立角色指派的授權

  • 虛擬機器系統管理員登入:獲指派此角色的使用者能夠以系統管理員權限登入 Azure 虛擬機器。
  • 虛擬機器使用者登入:獲指派此角色的使用者能夠以一般使用者權限登入 Azure 虛擬機器。

若要讓使用者透過 RDP 登入 VM,您必須將 [虛擬機器系統管理員登入] 或 [虛擬機器使用者登入] 角色指派給虛擬機器資源。

注意

不支援將使用者新增至本機系統管理員群組的成員,或藉由執行 net localgroup administrators /add "AzureAD\UserUpn" 命令,手動提高使用者成為 VM 上的本機系統管理員。 您必須使用上述的 Azure 角色來授權 VM 登入。

被指派 VM 的 [擁有者] 或 [參與者] 角色的 Azure 使用者,並不會自動取得透過 RDP 登入 VM 的權限。 原因是為了在一組控制虛擬機器的人員與一組能夠存取虛擬機器的人員之間提供經過稽核的隔離。

有兩種方式可以設定 VM 的角色指派:

  • Microsoft Entra 系統管理中心體驗
  • Azure Cloud Shell 體驗

注意

虛擬機器系統管理員登入和虛擬機器使用者登入角色會使用 dataActions,因此無法在管理群組範圍上指派。 您目前只能在訂用帳戶、資源群組或資源範圍上指派這些角色。

Microsoft Entra 系統管理中心

若要為已啟用 Microsoft Entra ID 的 Windows Server 2019 Datacenter VM 設定角色指派:

  1. 針對 [資源群組],選取包含 VM 及其相關聯虛擬網路、網路介面、公用 IP 位址或負載平衡器資源的資源群組。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增] > [新增角色指派],開啟 [新增角色指派] 頁面。

  4. 指派下列角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色

    設定
    角色 [虛擬機器系統管理員登入] 或 [虛擬機器使用者登入]
    存取權指派對象為 使用者、群組、服務主體或受控識別

    螢幕擷取畫面,顯示新增角色指派的頁面。

Azure Cloud Shell

下列範例會使用 az role assignment create 將 [虛擬機器系統管理員登入] 角色指派給您目前 Azure 使用者的 VM。 您可以使用 az account show 來取得目前 Azure 帳戶的使用者名稱,並使用 az vm show 將範圍設定為在上一個步驟中建立的 VM。

您也可以在資源群組或訂閱層級指派範圍。 適用一般 Azure RBAC 繼承權限。

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

注意

如果您的 Microsoft Entra 網域和登入使用者名稱網域不符,您必須以 --assignee-object-id 指定使用者帳戶的物件識別碼,而不只是針對 --assignee 指定使用者名稱。 您可以使用 az ad user list 取得使用者帳戶的物件識別碼。

如需如何使用 Azure RBAC 來管理 Azure 訂用帳戶資源存取權的詳細資訊,請參閱下列文章:

使用 Microsoft Entra 認證登入 Windows VM

您可以使用下列兩種方法之一透過 RDP 登入:

  1. 使用任何支援的 Microsoft Entra 認證實現無密碼 (建議)
  2. 使用使用憑證信任模型部署的 Windows Hello 企業版密碼/有限無密碼

使用無密碼驗證搭配 Microsoft Entra ID 登入

若要在 Azure 中使用 Windows VM 的無密碼驗證,您需要下列作業系統上的 Windows 用戶端機器和工作階段主機 (VM):

注意

使用 Web 帳戶登入遠端電腦 選項時,不需要將本機裝置加入網域或Microsoft Entra ID。

若要連線到遠端電腦:

  • 從 Windows Search 或執行 mstsc.exe 啟動遠端桌面連線
  • 在 [進階] 索引標籤中,選取 [使用 Web 帳戶登入遠端電腦] 選項。此選項相當於 enablerdsaadauth RDP 屬性。 如需詳細資訊,請參閱 遠端桌面服務支援的 RDP 屬性
  • 指定遠端電腦的名稱,然後選取 [連線]

重要

IP 位址無法與 使用 Web 帳戶登入遠端電腦 選項搭配使用。 名稱必須符合 Microsoft Entra ID 中遠端裝置的主機名稱,而且可尋址,並解析為遠端裝置的 IP 位址。

  • 系統提示您輸入認證時,請以 user@domain.com 格式指定您的使用者名稱。
  • 接著,系統會提示您在連線到新電腦時允許遠端桌面連線。 Microsoft Entra 再次提示之前,最多會記住 15 部主機達 30 天。 如果看到此對話方塊,請選取 [] 進行連線。

重要

如果貴組織已設定並使用 Microsoft Entra 條件式存取,您的裝置必須滿足條件式存取需求,才能允許連線到遠端電腦。 對於受控存取,條件式存取原則可能會套用至遠端桌面應用程式 Microsoft 遠端桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c)

注意

遠端工作階段中的 Windows 鎖定畫面不支援 Microsoft Entra 驗證權杖或無密碼驗證方法,例如 FIDO 金鑰。 缺乏這些驗證方法的支援表示使用者無法在遠端工作階段中將其畫面解除鎖定。 當您嘗試透過使用者動作或系統原則鎖定遠端工作階段時,工作階段會改為中斷連線,而服務會將訊息傳送給使用者,表達他們已中斷連線。 中斷工作階段的連線也可確保當連線在閒置期間後重新啟動時,Microsoft Entra ID 會重新評估適用的條件式存取原則。

使密碼/有限無密碼驗證搭配 Microsoft Entra ID 登入

重要

若要從 Windows 10 或更新版電腦遠端連線至已加入 Microsoft Entra ID 的 VM,這些電腦必須已註冊 Microsoft Entra (最低要求組建為 20H1)、已加入 Microsoft Entra,或已加入目錄與 VM 相同的混合式 Microsoft Entra。 此外,若要使用 Microsoft Entra 認證連線至 RDP,使用者必須屬於這兩個 Azure 角色的其中一個:虛擬機器系統管理員登入或虛擬機器使用者登入。

如果您使用已註冊 Microsoft Entra 的 Windows 10 或更新版本的電腦,您必須以 AzureAD\UPN 的格式輸入認證 (例如 AzureAD\john@contoso.com)。 您目前可以使用 Azure Bastion,透過 Azure CLI 和原生 RDP 用戶端 mstsc,以 Microsoft Entra 驗證登入。

若要使用 Microsoft Entra 登入 Windows Server 2019 虛擬機器:

  1. 移至已啟用 Microsoft Entra 登入的虛擬機器 [概觀] 頁面。
  2. 選取 [連線],以開啟 [連線至虛擬機器] 窗格。
  3. 選取 [下載 RDP 檔案]。
  4. 選取 [開啟] 以開啟 [遠端桌面連線] 用戶端。
  5. 選取 [連線] 以開啟 [Windows 登入] 對話方塊。
  6. 使用您的 Microsoft Entra 認證登入。

您此時會使用指派的角色權限 (例如 [VM 使用者] 或 [VM 系統管理員]) 登入 Windows Server 2019 Azure 虛擬機器。

注意

您可在電腦本機儲存 .RDP 檔案,以啟動虛擬機器的未來遠端桌面連線,而不必移至 Azure 入口網站中的虛擬機器概觀頁面並使用 [連線] 選項。

強制執行條件式存取原則

您可以先強制執行條件式存取原則 (例如「防網路釣魚 MFA」,使用需要驗證強度授與控制或多重要素驗證或使用者登入風險檢查),然後再授權存取 Azure 中啟用 Microsoft Entra 登入的 Windows VM。 若要套用條件式存取原則,您必須從雲端 App 或動作指派選項選取 Microsoft Azure Windows 虛擬機器登入應用程式。 然後使用登入風險做為條件或「防網路釣魚 MFA」,使用需要驗證強度授與控制,或需要 MFA 做為授與存取權限的控制項。

注意

如果您需要 MFA 做為授與「Microsoft Azure Windows 虛擬機器登入」應用程式存取權的控制項,則您必須提供 MFA 宣告做為用戶端的一部分,以在 Azure 中起始對目標 Windows VM 的 RDP 工作階段。 對於滿足條件式存取原則的 RDP 使用無密碼驗證方法即可達成此目的,不過如果您針對 RDP 使用有限的無密碼方法,則 Windows 10 或更新版本用戶端上達成此目的的唯一方法是使用 Windows Hello 企業版 PIN 或 RDP 用戶端生物識別特徵驗證。 在 Windows 10 1809 版中,已將生物識別驗證的支援新增至 RDP 用戶端。 使用 Windows Hello 企業版的遠端桌面僅適用於使用憑證信任模型的部署。 目前不適用於金鑰信任模型。

使用 Azure 原則確保符合標準並評估合規性

使用 Azure 原則來:

  • 請確定已為新的和現有的 Windows 虛擬機器啟用 Microsoft Entra 登入。
  • 在合規性儀表板上大規模評估環境的合規性。

您可以透過這項功能,使用許多等級的強制執行。 您可以在環境中標記未啟用 Microsoft Entra 登入之新的和現有的 Windows VM。 您也可以使用 Azure 原則,在未啟用 Microsoft Entra 登入的新 Windows VM 上部署 Microsoft Entra 延伸模組,並將現有的 Windows VM 補救為相同的標準。

除了這些功能之外,您也可以使用 Azure 原則來偵測和標記在電腦上建立未核准本機帳戶的 Windows VM。 若要深入了解,請檢閱 Azure 原則

部署問題的疑難排解

AADLoginForWindows 延伸模組必須成功安裝,VM 才能完成 Microsoft Entra Join 程序。 如果 VM 擴充功能無法正確安裝,請執行下列步驟:

  1. 使用本機系統管理員帳戶,以 RDP 連線至 VM,並檢查 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1 下的 CommandExecution.log 檔案。

    注意

    如果擴充功能在初次失敗之後重新啟動,則會將包含部署錯誤的記錄儲存為 CommandExecution_YYYYMMDDHHMMSSSSS.log

  2. 在 VM 上開啟 PowerShell 視窗。 確認針對在 Azure 主機上執行的 Azure Instance Metadata Service 端點執行下列查詢會傳回預期的輸出:

    要執行的命令 預期的輸出
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" 更正 Azure VM 的相關資訊
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" 與 Azure 訂用帳戶相關聯的有效租用戶識別碼
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" 針對指派給此 VM 的受控識別,Microsoft Entra ID 所簽發的有效存取權杖

    注意

    您可以使用 https://jwt.ms/ 之類的工具來解碼存取權杖。 確認存取權杖中的 oid 值符合指派給 VM 的受控識別。

  3. 確定可以透過 PowerShell 從 VM 存取必要的端點:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    注意

    <TenantID> 取代為與 Azure 訂用帳戶相關聯的 Microsoft Entra 租用戶識別碼。 login.microsoftonline.com/<TenantID>enterpriseregistration.windows.netpas.windows.net 應該會傳回「找不到404」,這是預期的行為。

  4. 執行 dsregcmd /status 以檢視裝置狀態。 目標是讓裝置狀態顯示為 AzureAdJoined : YES

    注意

    系統會在 Event Viewer (local)\ApplicationsUser Device Registration\Admin 記錄和 Services Logs\Microsoft\Windows\User Device Registration\Admin 下的事件檢視器中擷取 Microsoft Entra Join 活動。

如果 AADLoginForWindows 延伸模組失敗並顯示錯誤碼,您可以執行下列步驟。

終端錯誤碼 1007 和結束代碼 - 2145648574。

終端錯誤碼 1007 和結束代碼 - 2145648574 會轉譯為 DSREG_E_MSI_TENANTID_UNAVAILABLE。 延伸模組無法查詢Microsoft Entra 租用戶資訊。

以本機系統管理員的身分連線到 VM,並且確認端點從 Azure Instance Metadata Service 傳回有效的租用戶識別碼。 在 VM 上透過提高權限的 PowerShell 視窗執行下列命令:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

當 VM 系統管理員嘗試安裝 AADLoginForWindows 延伸模組,但系統指派的受控識別尚未先啟用 VM 時,也會發生此問題。 在此情況下,請移至 VM 的 [身分識別] 窗格。 在 [系統指派] 索引標籤上,確認 [狀態] 切換開關已設定為 [開啟]

結束代碼 -2145648607

結束代碼 -2145648607 會轉譯為 DSREG_AUTOJOIN_DISC_FAILED。 擴充功能無法連線到 https://enterpriseregistration.windows.net 端點。

  1. 確認可以使用 PowerShell 從 VM 存取必要的端點:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    注意

    <TenantID> 取代為與 Azure 訂用帳戶相關聯的 Microsoft Entra 租用戶識別碼。 如果您需要尋找租用戶識別碼,您可以將滑鼠停留在帳戶名稱上方,或選取 [身分識別]>[概觀]>[屬性]>[租用戶識別碼]

    嘗試連線至 enterpriseregistration.windows.net 可能會傳回「404 找不到」,這是預期的行為。 嘗試連線至 pas.windows.net 可能會提示輸入 PIN 認證,或可能會傳回「404 找不到」。 (您不需要輸入 PIN。)其中一個已足夠確認 URL 可連線。

  2. 如果有任何命令失敗,並出現「無法解析主機 <URL>」,請嘗試執行此命令,以判斷 VM 正在使用的 DNS 伺服器為何:

    nslookup <URL>

    注意

    <URL> 取代為端點所使用的完整網域名稱,例如 login.microsoftonline.com

  3. 查看指定公用 DNS 伺服器是否允許命令成功:

    nslookup <URL> 208.67.222.222

  4. 如有必要,請變更指派給 Azure VM 所屬網路安全性群組的 DNS 伺服器。

結束代碼 51

結束代碼 51 會轉譯為「VM 的作業系統上不支援此延伸模組」。

AADLoginForWindows 延伸模組只預定用於 Windows Server 2019 或 Windows 10 (組建 1809 或更新版本)。 請確定您的 Windows 版本或組建可受到支援。 如果不支援,請解除安裝擴充功能。

對登入問題進行疑難排解

使用下列資訊來修正登入問題。

您可以執行 dsregcmd /status 來檢視裝置和單一登入 (SSO) 狀態。 目標是讓裝置狀態顯示為 AzureAdJoined : YES,以及讓 SSO 狀態顯示 AzureAdPrt : YES

透過 Microsoft Entra 帳戶的 RDP 登入會擷取於應用程式與服務記錄檔\Microsoft\Windows\AAD\Operational 事件記錄下的事件檢視器中。

未指派 Azure 角色

當您起始 VM 的遠端桌面連線時,可能會收到下列錯誤訊息:「您的帳戶已設定為防止您使用此裝置。 如需相關資訊,請連絡您的系統管理員。」

訊息顯示您的帳戶已設定為防止您使用此裝置的螢幕擷取畫面。

請確認您已為 VM 設定 Azure RBAC 原則,而可為使用者授與 [虛擬機器系統管理員登入] 或 [虛擬機器使用者登入] 角色。

注意

如果您遇到 Azure 角色指派的問題,請參閱針對 Azure RBAC 進行疑難排解

需要未經授權的用戶端或密碼變更

當您起始 VM 的遠端桌面連線時,可能會收到下列錯誤訊息:「您的認證無法運作」。

訊息顯示您的認證無法運作的螢幕擷取畫面。

嘗試下列解決方案:

  • 您用來起始遠端桌面連線的 Windows 10 或更新版本電腦必須已加入 Microsoft Entra,或已加入相同 Microsoft Entra 目錄的混合式 Microsoft Entra。 如需裝置身分識別的詳細資訊,請參閱什麼是裝置身分識別?一文。

    注意

    Windows 10 組建 20H1 新增了已註冊電腦的 Microsoft Entra 支援,以起始對您 VM 的 RDP 連線。 您使用已註冊 Microsoft Entra (未加入 Microsoft Entra 或未加入混合式 Microsoft Entra) 的電腦做為 RDP 用戶端來起始與您 VM 的連線時,您必須以 AzureAD\UPN 的格式 (例如 AzureAD\john@contoso.com) 輸入認證。

    確認 Microsoft Entra Join 完成之後,未解除安裝 AADLoginForWindows 延伸模組。

    此外,請確定伺服器「和」用戶端上都已啟用安全性原則「網路安全性:允許對此電腦的 PKU2U 驗證要求使用線上身分識別」

  • 確認使用者沒有暫時密碼。 暫時密碼無法用來登入遠端桌面連線。

    在網頁瀏覽器中使用使用者帳戶登入。 例如,在私人瀏覽視窗中登入 Azure 入口網站。 如果系統提示您變更密碼,請設定新的密碼。 然後嘗試重新連線。

需要 MFA 登入方法

當您起始 VM 的遠端桌面連線時,可能會看到下列錯誤訊息:「不允許您嘗試使用的登入方法。 請嘗試不同的登入方法,或洽詢您的系統管理員。」

訊息顯示「不允許您嘗試使用的登入方法」的螢幕擷取畫面。

如果您已設定條件式存取原則,規定要有 MFA 或個別使用者「啟用/強制的 Microsoft Entra 多重要素驗證」,您才能存取資源則,則必須確定對 VM 起始遠端桌面連線的 Windows 10 或更新版本電腦,使用增強式驗證方法 (例如 Windows Hello) 來登入。 如果您的遠端桌面連線未使用增強式驗證方法,您將會看到錯誤。

另一個與 MFA 相關的錯誤訊息是先前所述的錯誤訊息:「您的認證無法運作」。

訊息顯示您的認證無法運作的螢幕擷取畫面。

如果您已設定舊版個別使用者啟用/強制的 Microsoft Entra 多重要素驗證設定,而且看到上述錯誤,您可以移除個別使用者 MFA 設定來解決問題。 如需詳細資訊,請參閱啟用個別使用者的 Microsoft Entra 多重要素驗證以保護登入事件文章。

如果您尚未部署 Windows Hello 企業版,且目前無法這麼做,則您可以設定條件式存取原則,從需要 MFA 的雲端應用程式清單中排除「Microsoft Azure Windows 虛擬機器登入」應用程式。 若要深入了解 Windows Hello 企業版,請參閱 Windows Hello 企業版概觀

注意

Windows 10 的多個版本已可支援搭配 RDP 的Windows Hello 企業版 PIN 驗證。 在 Windows 10 1809 版中已新增搭配 RDP 的生物識別驗證支援。 在 RDP 期間使用 Windows Hello 企業版僅適用於使用憑證信任模型或金鑰信任模型的部署。

Microsoft Entra 意見反應論壇上分享您關於這個功能的意見反應或報告其使用上的問題。

遺漏應用程式

如果條件式存取缺少 Microsoft Azure Windows 虛擬機器登入應用程式,請確定應用程式並非位於租用戶:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]
  3. 移除篩選條件以查看所有應用程式,並搜尋「VM」。 如果您看不到 Microsoft Azure Windows 虛擬機器登入,則租用戶缺少服務主體。

提示

某些租用戶可能會看到名稱為 Azure Windows VM 登入的應用程式,而不是 Microsoft Azure Windows 虛擬機器登入。 應用程式將具有相同的應用程式識別碼 372140e0-b3b7-4226-8ef9-d57986796201。

下一步

如需 Microsoft Entra ID 的詳細資訊,請參閱什麼是 Microsoft Entra ID?