在 Azure 虛擬桌面中已加入 Microsoft Entra 的工作階段主機
此文章將逐步引導您完成在 Azure 虛擬桌面中部署和存取已加入 Microsoft Entra 之虛擬機器的程序。 已加入 Microsoft Entra 的 VM 不需要從 VM 到內部部署或虛擬化 Active Directory 網域控制站 (DC) 的視線,也不需部署 Microsoft Entra Domain Services。 在某些情況下,其可以完全移除 DC 的需求,以簡化環境的部署與管理。 這些 VM 也可以在 Intune 中自動註冊,以方便管理。
已知的限制
下列已知限制可能會影響對您內部部署或已加入 Active Directory 網域的資源存取,您應該在決定已加入 Microsoft Entra 的 VM 是否適合您的環境時納入考量。
- Azure 虛擬桌面 (傳統) 不支援已加入 Microsoft Entra 的 VM。
- 已加入 Microsoft Entra 的 VM 目前不支援外部身分識別,例如 Microsoft Entra 企業對企業 (B2B) 和 Microsoft Entra 企業對消費者 (B2C)。
- 已加入 Microsoft Entra 的 VM 只能存取使用 Microsoft Entra Kerberos for FSLogix 使用者設定檔的混合式使用者的 Azure 檔案共用或 Azure NetApp 檔案共用。
- 適用於 Windows 的 遠端桌面市集應用程式 不支援Microsoft已加入 Entra 的 VM。
部署已加入 Microsoft Entra 的 VM
當您建立新的主機集區或擴充現有的主機集區時,可以直接從 Azure 入口網站部署已加入 Microsoft Entra 的 VM。 若要部署已加入 Microsoft Entra 的 VM,請開啟 [虛擬機器] 索引標籤,然後選取是否要將 VM 加入 Active Directory 或 Microsoft Entra ID。 選取 [Microsoft Entra ID] 可讓您選擇使用 Intune 自動註冊 VM,這可讓您輕鬆地管理工作階段主機。 請記住,[Microsoft Entra ID] 選項只會將 VM 加入與您所在的訂用帳戶相同的 Microsoft Entra 租用戶。
注意
- 主機集區應該只包含相同網域加入類型的 VM。 例如,已加入 Microsoft Entra 的 VM 應該只與其他已加入 Microsoft Entra 的 VM 搭配使用,反之亦然。
- 主機集區 VM 必須是 Windows 11 或 Windows 10 單一工作階段或多重工作階段,2004 版或更新版本,或 Windows Server 2022 或 Windows Server 2019。
將使用者存取權指派給主機集區
建立主機集區之後,您必須為使用者指派對其資源的存取權。 若要授與資源的存取權,請將每個使用者新增至應用程式群組。 遵循管理應用程式群組中的指示,為使用者指派對應用程式和桌面的存取權。 建議您盡可能使用使用者群組,而不是個別使用者。
針對已加入 Microsoft Entra 的 VM,除了 Active Directory 或 Microsoft Entra Domain Services 型的部署需求外,您還需要執行兩個額外動作:
- 將 [虛擬機器使用者登入] 角色指派給使用者,讓他們可以登入 VM。
- 為需要本機系統管理權限的系統管理員指派 [虛擬機器系統管理員登入] 角色。
若要為使用者授與存取已加入 Microsoft Entra 之 VM 的權限,您必須設定 VM 的角色指派。 您可以在 VM、包含 VM 的資源群組,或訂用帳戶上,指派 [虛擬機器使用者登入] 或 [虛擬機器系統管理員登入] 角色。 建議您將虛擬機器使用者登入角色指派給您在資源群組層級的應用程式群組所使用的相同使用者群組,使其套用至主機集區中的所有 VM。
存取已加入 Microsoft Entra 的 VM
此節說明如何從不同的 Azure 虛擬桌面用戶端存取已加入 Microsoft Entra 的 VM。
單一登入
若要在所有平台上獲得最佳體驗,您應該在存取已加入 Microsoft Entra 的 VM 時,使用 Microsoft Entra 驗證來啟用單一登入體驗。 請按照設定單一登入的步驟操作,以提供順暢的連線體驗。
使用舊版驗證通訊協定連線。
如果您不想啟用單一登入,您可以使用下列設定來啟用已加入 Microsoft Entra 的 VM 的存取權。
使用 Windows 桌面用戶端連線
預設設定支援使用 Windows 桌面用戶端從 Windows 11 或 Windows 10 連線。 您可以使用自己的認證、智慧卡、Windows Hello 企業版憑證信任或具有憑證的 Windows Hello 企業版金鑰信任來登入工作階段主機。 不過,若要存取工作階段主機,您的本機電腦必須符合下列其中一個條件:
- 本機電腦是已透過 Microsoft Entra 加入與工作階段主機相同的 Microsoft Entra 租用戶
- 本機電腦是已透過 Microsoft Entra 混合式加入與工作階段主機相同的 Microsoft Entra 租用戶
- 本機電腦正在執行 Windows 11 或 Windows 10 (2004 版或更新版本),而且已將 Microsoft Entra 註冊到與工作階段主機相同的 Microsoft Entra 租用戶
如果您的本機電腦不符合下列其中一個條件,請將 targetisaadjoined:i:1 作為 custom RDP property 新增到主機集區。 登入工作階段主機時,這些連線僅限於輸入使用者名稱與密碼認證。
使用其他用戶端連線
若要使用 Web、Android、macOS 和 iOS 用戶端存取已加入 Microsoft Entra 的 VM,您必須將 targetisaadjoined:i:1 新增為主機集區的自訂 RDP 屬性。 登入工作階段主機時,這些連線僅限於輸入使用者名稱與密碼認證。
為已加入 Microsoft Entra 的工作階段 VM 強制執行 Microsoft Entra 多重要素驗證
您可使用為已加入 Microsoft Entra 的工作階段 VM 強制執行 Microsoft Entra 多重要素驗證。 請遵循使用條件式存取為 Azure 虛擬桌面強制執行 Microsoft Entra 多重要素驗證的步驟,並注意針對已加入 Microsoft Entra 的工作階段主機 VM的額外步驟。
如果您使用 Microsoft Entra 多重要素驗證且不想將登入限制為增強式驗證方法 (例如 Windows Hello 企業版),您也必須從條件式存取原則中排除 Azure Windows VM 登入應用程式。
使用者設定檔
使用已同步的使用者帳戶時,您可以在將 FSLogix 設定檔容器儲存在 Azure 檔案儲存體或 Azure NetApp 檔案時,將其與已加入 Microsoft Entra 的 VM 搭配使用。 如需詳細資訊,請參閱使用 Azure 檔案儲存體和 Microsoft Entra ID 建立設定檔容器。
存取內部部署資源
雖然您不需要 Active Directory 來部署或存取已加入 Microsoft Entra 的 VM,但需要 Active Directory 及與其視線,才能從那些 VM 存取內部部署資源。 若要深入了解如何存取內部部署資源,請參閱針對內部部署資源的 SSO 如何在已加入 Microsoft Entra 的裝置上運作。
下一步
您已部署部分已加入 Microsoft Entra 的 VM。建議您掀起用單一登入,再使用支援的 Azure 虛擬桌面用戶端連線,以便在使用者工作階段中進行測試。 如需詳細資訊,請參閱下列文章: