使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機,包括無密碼

  • 發行項

組織可以藉由與 Microsoft Entra 驗證整合,改善 Azure 中 Windows 虛擬機 (VM) 的安全性。 您現在可以將 Microsoft Entra ID 作為核心驗證平臺,將遠端桌面通訊協定 (RDP) 用於 Windows Server 2019 Datacenter 版本和更新版本 ,或 Windows 10 1809 和更新版本。 然後,您可以集中控制並強制執行 Azure 角色型存取控制 (RBAC) 和條件式存取原則,以允許或拒絕對 VM 的存取。

本文說明如何使用 Microsoft Entra ID 型驗證來建立及設定 Windows VM 並登入。

使用 Microsoft Entra ID 型驗證登入 Azure 中的 Windows VM 有許多安全性優點。 其中包含:

  • 使用 Microsoft Entra 驗證,包括無密碼來登入 Azure 中的 Windows VM。

  • 減少對本機系統管理員帳戶的依賴。

  • 您為 Microsoft Entra ID 設定的密碼複雜度和密碼存留期原則也有助於保護 Windows VM 的安全。

  • 使用 Azure RBAC:

    • 指定誰可以以一般使用者或系統管理員許可權登入 VM。
    • 當使用者加入或離開小組時,您可以更新 VM 的 Azure RBAC 原則,以適當地授與存取權。
    • 當員工離開您的組織及其用戶帳戶遭到停用或從 Microsoft Entra ID 移除時,他們就無法再存取您的資源。

  • 將條件式存取原則設定為「網路釣魚防護 MFA」,使用 需要驗證強度(預覽)授與控制權,或要求多重要素驗證和其他訊號,例如使用者登入風險,才能將 RDP 連線到 Windows VM。

  • 使用 Azure 原則 來部署和稽核原則,以要求 Windows VM 的 Microsoft Entra 登入,並標幟在 VM 上使用未核准的本機帳戶。

  • 使用 Intune 自動註冊屬於虛擬桌面基礎結構 (VDI) 部署一部分的 Azure Windows VM 的行動裝置管理 (MDM) 自動註冊 Microsoft Entra join。

    MDM 自動註冊需要 Microsoft Entra ID P1 授權。 Windows Server VM 不支援 MDM 註冊。

注意

啟用此功能之後,Azure 中的 Windows VM 將會加入 Microsoft Entra。 您無法將它們加入另一個網域,例如 內部部署的 Active Directory 或 Microsoft Entra Domain Services。 如果您需要這樣做,請卸載擴充功能,以中斷 VM 與 Microsoft Entra ID 的連線。

需求

支援的 Azure 區域和 Windows 散發套件

這項功能目前支援下列 Windows 發行版:

  • Windows Server 2019 Datacenter 和更新版本
  • Windows 10 1809 和更新版本
  • Windows 11 21H2 和更新版本

這項功能現在可在下列 Azure 雲端中使用:

  • Azure 全域
  • Azure Government
  • 由 21Vianet 營運的 Microsoft Azure

網路需求

若要為 Azure 中的 Windows VM 啟用 Microsoft Entra 驗證,您必須確定 VM 的網路設定允許透過 TCP 連接埠 443 對下列端點進行輸出存取。

Azure 全域:

  • https://enterpriseregistration.windows.net:用於裝置註冊。
  • http://169.254.169.254:Azure 實例元數據服務端點。
  • https://login.microsoftonline.com:用於驗證流程。
  • https://pas.windows.net:針對 Azure RBAC 流程。

Azure Government:

  • https://enterpriseregistration.microsoftonline.us:用於裝置註冊。
  • http://169.254.169.254:Azure 實例元數據服務端點。
  • https://login.microsoftonline.us:用於驗證流程。
  • https://pasff.usgovcloudapi.net:針對 Azure RBAC 流程。

由 21Vianet 營運的 Microsoft Azure:

  • https://enterpriseregistration.partner.microsoftonline.cn:用於裝置註冊。
  • http://169.254.169.254:Azure 實例元數據服務端點。
  • https://login.chinacloudapi.cn:用於驗證流程。
  • https://pas.chinacloudapi.cn:針對 Azure RBAC 流程。

驗證需求

Microsoft Entra 來賓帳戶 無法透過 Microsoft Entra 驗證連線到已啟用 Azure VM 或 Azure Bastion 的 VM。

在 Azure 中啟用 Windows VM 的 Microsoft Entra 登入

若要在 Azure 中使用 Windows VM 的 Microsoft Entra 登入,您必須:

  1. 啟用 VM 的 Microsoft Entra 登入選項。
  2. 為已獲授權登入 VM 的用戶設定 Azure 角色指派。

有兩種方式可為您的 Windows VM 啟用 Microsoft Entra 登入:

  • 當您建立 Windows VM 時,Azure 入口網站。
  • Azure Cloud Shell,當您建立 Windows VM 或使用現有的 Windows VM 時。

注意

如果裝置對象與安裝擴充功能所在的 VM 主機名相同,則 VM 無法聯結 Microsoft Entra ID 並出現主機名重複錯誤。 藉由 修改主機名來避免重複。

Azure 入口網站

您可以在 Windows Server 2019 Datacenter 或 Windows 10 1809 和更新版本中啟用 VM 映射的 Microsoft Entra 登入。

若要使用 Microsoft Entra 登入在 Azure 中建立 Windows Server 2019 Datacenter VM:

  1. 使用可存取建立 VM 的帳戶登入 Azure 入口網站,然後選取 [+ 建立資源]。

  2. 在 [ 搜尋 Marketplace ] 搜尋列中,輸入 Windows Server

  3. 選取 [Windows Server],然後從 [選取軟體方案] 下拉式清單中選擇 [Windows Server 2019 Datacenter]。

  4. 選取 建立

  5. 在 [管理] 索引標籤上,選取 [Microsoft Entra ID] 區段中的 [使用 Microsoft Entra ID 登入] 複選框。

    此螢幕快照顯示用於建立虛擬機之 [Azure 入口網站] 頁面上的 [管理] 索引卷標。

  6. 請確定已選取 [身分識別] 區段中的 [系統指派受控識別]。 當您啟用使用 Microsoft Entra ID 登入之後,應該會自動執行此動作。

  7. 流覽建立虛擬機的其餘體驗。 您必須建立 VM 的系統管理員使用者名稱和密碼。

注意

若要使用 Microsoft Entra 認證登入 VM,您必須先 設定 VM 的角色指派

Azure Cloud Shell

Azure Cloud Shell 是免費的互動式殼層,可用來執行本文中的步驟。 常見的 Azure 工具會在 Cloud Shell 中預安裝並設定,以便您搭配您的帳戶使用。 只要選取 [ 複製] 按鈕即可複製程式代碼、將其貼到 Cloud Shell 中,然後選取 Enter 鍵以執行程式碼。 有幾種方式可以開啟 Cloud Shell:

  • 選取程式碼區塊右上角的 [試試看]。
  • 在您的瀏覽器中開啟 Cloud Shell。
  • 選取 Azure 入口網站右上角功能表中的 [Cloud Shell] 按鈕。

本文要求您執行 Azure CLI 2.0.31 版或更新版本。 執行 az --version 以尋找版本。 如果您需要安裝或升級,請參閱安裝 Azure CLI 一文

  1. 執行 az group create 來建立資源群組。
  2. 執行 az vm create 建立 VM。 在支持的區域中使用支援的散發套件。
  3. 安裝 Microsoft Entra 登入 VM 擴充功能。

下列範例會將名為 myVM 的 VM 部署Win2019Datacenter至區域中名為 myResourceGroupsouthcentralus 的資源群組。 在此範例和下一個範例中,您可以視需要提供自己的資源群組和 VM 名稱。

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

注意

您必須先在虛擬機上啟用系統指派的受控識別,才能安裝 Microsoft Entra 登入 VM 擴充功能。 受控識別會儲存在單一 Microsoft Entra 租使用者中,目前不支援跨目錄案例。

建立虛擬機器和支援資源需要幾分鐘的時間。

最後,安裝 Microsoft Entra 登入 VM 擴充功能,以啟用 Windows VM 的 Microsoft Entra 登入。 VM 擴充功能是小型應用程式,可在 Azure 虛擬機器 上提供部署後設定和自動化工作。 使用 az vm extension set,在資源群組中myResourceGroup名為 myVM 的 VM 上安裝 AADLoginForWindows 擴充功能。

您可以在現有的 Windows Server 2019 或 Windows 10 1809 和更新版本的 VM 上安裝 AADLoginForWindows 擴充功能,以啟用 Microsoft Entra 驗證。 下列範例會使用 Azure CLI 來安裝擴充功能:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

在 VM 上安裝擴充功能之後, provisioningState 顯示 Succeeded

設定 VM 的角色指派

既然您已建立 VM,您必須指派下列其中一個 Azure 角色,以判斷誰可以登入 VM。 若要指派這些角色,您必須具有虛擬機數據存取 管理員 istrator 角色,或包含Microsoft.Authorization/roleAssignments/write角色型 存取控制 管理員 istrator 角色等動作的任何角色。 不過,如果您使用與虛擬機數據存取 管理員 不同的角色,建議您新增條件來減少建立角色指派的許可權。

  • 虛擬機 管理員 istrator 登入:獲指派此角色的使用者可以使用系統管理員許可權登入 Azure 虛擬機。
  • 虛擬機使用者登入: 獲指派此角色的使用者可以使用一般使用者許可權登入 Azure 虛擬機。

若要允許使用者透過 RDP 登入 VM,您必須將虛擬機 管理員 istrator 登入或虛擬機使用者登入角色指派給虛擬機資源。

注意

不支援將使用者新增至本機系統管理員群組的成員,或藉由執行 net localgroup administrators /add "AzureAD\UserUpn" 命令,手動提升用戶成為 VM 上的本機系統管理員。 您必須使用上述的 Azure 角色來授權 VM 登入。

已為 VM 指派擁有者或參與者角色的 Azure 使用者,不會自動擁有透過 RDP 登入 VM 的許可權。 原因是在控制虛擬機的人員集合與可存取虛擬機的人員集合之間提供稽核的區隔。

有兩種方式可設定 VM 的角色指派:

  • Microsoft Entra 系統管理中心體驗
  • Azure Cloud Shell 體驗

注意

虛擬機 管理員 istrator 登入和虛擬機器使用者登入角色會使用 dataActions,因此無法在管理群組範圍中指派它們。 目前,您只能在訂用帳戶、資源群組或資源範圍指派這些角色。

Microsoft Entra 系統管理中心

若要為已啟用 Microsoft Entra ID 的 Windows Server 2019 Datacenter VM 設定角色指派:

  1. 針對 [ 資源群組],選取包含 VM 及其相關聯虛擬網路、網路介面、公用 IP 位址或負載平衡器資源的資源群組。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增]> [新增角色指派],開啟 [新增角色指派] 頁面。

  4. 指派下列角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色

    設定
    角色 虛擬機 管理員 istrator 登入虛擬機使用者登入
    存取權指派對象為 使用者、群組、服務主體或受控識別

    顯示新增角色指派頁面的螢幕快照。

Azure Cloud Shell

下列範例使用 az role assignment create 將虛擬機 管理員 istrator 登入角色指派給目前 Azure 使用者的 VM。 您可以使用 az account show 取得目前 Azure 帳戶的用戶名稱,並使用 az vm show 將範圍設定為在上一個步驟中建立的 VM。

您也可以在資源群組或訂用帳戶層級指派範圍。 適用於一般 Azure RBAC 繼承許可權。

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

注意

如果您的 Microsoft Entra 網域和登入使用者名稱網域不相符,您必須使用 --assignee-object-id指定使用者帳戶的物件識別符,而不只是 的用戶名稱 --assignee。 您可以使用 az ad user list 來取得使用者帳戶的物件識別碼。

如需如何使用 Azure RBAC 來管理 Azure 訂用帳戶資源存取權的詳細資訊,請參閱下列文章:

使用 Microsoft Entra 認證登入 Windows VM

您可以使用下列兩種方法之一透過 RDP 登入:

  1. 使用任何支援的 Microsoft Entra 認證無密碼 (建議)
  2. 使用 Windows Hello 企業版 使用憑證信任模型部署的密碼/有限無密碼

使用無密碼驗證與 Microsoft Entra ID 登入

若要在 Azure 中使用 Windows VM 的無密碼驗證,您需要下列作業系統上的 Windows 用戶端電腦和會話主機 (VM:

重要

Windows 用戶端計算機必須已註冊 Microsoft Entra,或已加入 Microsoft Entra 或已加入 MICROSOFT Entra 混合式加入 VM 的 相同 目錄。 此外,若要使用 Microsoft Entra 認證 RDP,用戶必須屬於下列兩個 Azure 角色之一:虛擬機 管理員 istrator 登入或虛擬機使用者登入。 無密碼登入並不存在此需求。

若要連線到遠端電腦:

  • 從 Windows 搜尋啟動遠端桌面 連線,或執行 mstsc.exe
  • 在 [進階] 索引標籤中,選取 [使用 Web 帳戶登入遠端計算機] 選項。此選項相當於 enablerdsaadauth RDP 屬性。 如需詳細資訊,請參閱 遠端桌面服務支援的 RDP 屬性
  • 指定遠端電腦的名稱,然後選取 [連線]。

注意

使用 Web 帳戶登入遠端電腦選項時,無法使用 IP 位址。 名稱必須符合 Microsoft Entra ID 中遠端裝置的主機名,且可尋址網路,並解析為遠端裝置的 IP 位址。

  • 當系統提示您輸入認證時,請以 user@domain.com 格式指定您的用戶名稱。
  • 接著,系統會提示您在連線到新計算機時允許遠端桌面連線。 Microsoft Entra 再次提示之前,最多會記住 15 部主機達 30 天。 如果看到此對話方塊,請選取 [] 進行連線。

重要

如果您的組織已設定並使用 Microsoft Entra 條件式存取,您的裝置必須滿足條件式存取需求,才能允許連線到遠端電腦。 條件式存取原則可能會套用至受控制存取的應用程式 Microsoft 遠端桌面(a4a365df-50f1-4397-bc59-1a1564b8bb9c)。

注意

遠端工作階段中的 Windows 鎖定畫面不支援 Microsoft Entra 驗證權杖或無密碼驗證方法,例如 FIDO 金鑰。 缺乏這些驗證方法的支援表示使用者無法在遠端工作階段中將其畫面解除鎖定。 當您嘗試透過使用者動作或系統原則鎖定遠端工作階段時,工作階段會改為中斷連線,而服務會將訊息傳送給使用者,表達他們已中斷連線。 中斷會話的連線也會確保當連線在閑置一段時間后重新啟動時,Microsoft Entra ID 會重新評估適用的條件式存取原則。

使用密碼/有限無密碼驗證與 Microsoft Entra ID 登入

重要

僅允許從已註冊 Microsoft Entra 的 Windows 10 或更新版本電腦遠端連線到已加入 Microsoft Entra 識別符的 VM(最低必要組建為 20H1)或已加入 Microsoft Entra 或已加入 VM Microsoft Entra 混合式目錄。 此外,若要使用 Microsoft Entra 認證 RDP,用戶必須屬於下列兩個 Azure 角色之一:虛擬機 管理員 istrator 登入或虛擬機使用者登入。

如果您使用 Microsoft Entra 註冊的 Windows 10 或更新版本電腦,則必須以 AzureAD\UPN 格式輸入認證(例如, AzureAD\john@contoso.com。 此時,您可以使用 Azure Bastion 透過 Azure CLI 和原生 RDP 用戶端 mstsc 使用 Microsoft Entra 驗證登入。

若要使用 Microsoft Entra ID 登入您的 Windows Server 2019 虛擬機:

  1. 移至已啟用 Microsoft Entra 登入之虛擬機的概觀頁面。
  2. 選取 [連線],以開啟 [連線 至虛擬機] 窗格。
  3. 選取 [下載 RDP 檔案]。
  4. 選取 [開啟] 以開啟遠端桌面 連線 ion 用戶端。
  5. 選取 [連線],以開啟 [Windows 登入] 對話方塊。
  6. 使用您的 Microsoft Entra 認證登入。

您現在已使用已指派的角色許可權登入 Windows Server 2019 Azure 虛擬機,例如 VM 使用者或 VM 管理員 istrator。

注意

您可以儲存 。本機電腦上的 RDP 檔案,以開始未來與虛擬機的遠端桌面連線,而不是移至 Azure 入口網站 中的虛擬機概觀頁面,並使用 [連線] 選項。

強制執行條件式存取原則

您可以強制執行條件式存取原則,例如「網路釣魚防護 MFA」,使用需要驗證強度(預覽)授與控制或多重要素驗證或使用者登入風險檢查,再授權存取已啟用 Microsoft Entra 登入的 Azure 中 Windows VM 的存取權。 若要套用條件式存取原則,您必須從雲端應用程式或動作指派選項選取 Microsoft Azure Windows 虛擬機登入 應用程式。 然後使用登入風險作為條件或「網路釣魚防護 MFA」,使用 需要驗證強度(預覽)授與控制,或要求 MFA 作為授與存取權的控件。

注意

如果您需要 MFA 作為授與 Microsoft Azure Windows 虛擬機登入應用程式的存取權的控件,則必須在用戶端中提供 MFA 宣告,以起始 RDP 會話至 Azure 中目標 Windows VM 的用戶端。 對於滿足條件式存取原則的 RDP 使用無密碼驗證方法即可達成此目的,不過如果您針對 RDP 使用有限的無密碼方法,則 Windows 10 或更新版本用戶端上達到此目的的唯一方式是搭配 RDP 用戶端使用 Windows Hello 企業版 PIN 或生物特徵辨識驗證。 支援生物特徵辨識驗證已新增至 Windows 10 1809 版的 RDP 用戶端。 使用 Windows Hello 企業版 驗證的遠端桌面僅適用於使用憑證信任模型的部署。 它目前不適用於金鑰信任模型。

使用 Azure 原則 來符合標準和評估合規性

使用 Azure 原則來:

  • 請確定已針對新的和現有的 Windows 虛擬機啟用 Microsoft Entra 登入。
  • 在合規性儀錶板上大規模評估環境的合規性。

透過這項功能,您可以使用許多層級的強制。 您可以在未啟用 Microsoft Entra 登入的環境中,為新的和現有的 Windows VM 加上旗標。 您也可以使用 Azure 原則,在未啟用 Microsoft Entra 登入的新 Windows VM 上部署 Microsoft Entra 擴充功能,並將現有的 Windows VM 補救為相同的標準。

除了這些功能之外,您還可以使用 Azure 原則 來偵測並標幟在其計算機上建立未核准本機帳戶的 Windows VM。 若要深入瞭解,請檢閱 Azure 原則

部署問題的疑難排解

必須成功安裝 AADLoginForWindows 擴充功能,VM 才能完成 Microsoft Entra 加入程式。 如果 VM 擴充功能無法正確安裝,請執行下列步驟:

  1. 使用本機系統管理員帳戶對 VM 進行 RDP,並檢查 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1 底下的CommandExecution.log檔案。

    注意

    如果擴充功能在初始失敗后重新啟動,則具有部署錯誤的記錄檔會儲存為 CommandExecution_YYYYMMDDHHMMSSSSS.log

  2. 在 VM 上開啟 PowerShell 視窗。 確認針對在 Azure 主機上執行的 Azure 實體數據服務端點進行下列查詢會傳回預期的輸出:

    要執行的命令 預期的輸出
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" 正確瞭解 Azure VM 的相關信息
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" 與 Azure 訂用帳戶相關聯的有效租用戶標識碼
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Microsoft Entra ID 針對指派給此 VM 的受控識別所簽發的有效存取令牌

    注意

    您可以使用 之類的 https://jwt.ms/工具來譯碼存取令牌。 確認 oid 存取令牌中的值符合指派給 VM 的受控識別。

  3. 請確定可透過 PowerShell 從 VM 存取所需的端點:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    注意

    將 取代 <TenantID> 為與 Azure 訂用帳戶相關聯的 Microsoft Entra 租使用者識別碼。 login.microsoftonline.com/<TenantID>enterpriseregistration.windows.netpas.windows.net 應該傳回 404 找不到,這是預期的行為。

  4. 執行 dsregcmd /status來檢視裝置狀態。 目標是讓裝置狀態顯示為 AzureAdJoined : YES

    注意

    Microsoft Entra join 活動會擷取於 事件檢視器 (local)\Applications and Services Logs\Microsoft\Windows\User Device Registration\管理員 的使用者裝置註冊\管理員 記錄下 事件檢視器

如果 AADLoginForWindows 擴充功能失敗並出現錯誤碼,您可以執行下列步驟。

終端機錯誤碼 1007 和結束代碼 -2145648574。

終端機錯誤碼 1007 和結束代碼 -2145648574轉譯為 DSREG_E_MSI_TENANTID_UNAVAILABLE。 延伸模組無法查詢 Microsoft Entra 租用戶資訊。

以本機系統管理員身分 連線 VM,並確認端點會從 Azure 實例元數據服務傳回有效的租使用者識別碼。 從 VM 上提升權限的 PowerShell 視窗執行下列命令:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

當 VM 系統管理員嘗試安裝 AADLoginForWindows 擴充功能時,也會發生此問題,但系統指派的受控識別尚未先啟用 VM。 在此情況下,請移至 VM 的 [ 身分 識別] 窗格。 在 [ 系統指派] 索引 標籤上,確認 [ 狀態 ] 切換開關已設定為 [開啟]。

結束代碼 -2145648607

結束代碼 -2145648607會轉譯為 DSREG_AUTOJOIN_DISC_FAILED。 延伸模組無法連線到 https://enterpriseregistration.windows.net 端點。

  1. 透過 PowerShell 確認可從 VM 存取所需的端點:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    注意

    將 取代 <TenantID> 為與 Azure 訂用帳戶相關聯的 Microsoft Entra 租使用者識別碼。 如果您需要尋找租使用者標識碼,您可以將滑鼠停留在帳戶名稱上方,或選取 [身分>識別概觀>屬性>租使用者標識符]。

    嘗試連線到 enterpriseregistration.windows.net 可能會傳回 404 找不到,這是預期的行為。 嘗試連線到 pas.windows.net 可能會提示輸入 PIN 認證,或可能會傳回 404 找不到。 (您不需要輸入 PIN。)其中一個就足以驗證 URL 是否可連線。

  2. 如果任何命令失敗並出現「無法解析主機 <URL>」,請嘗試執行此命令來判斷 VM 所使用的 DNS 伺服器:

    nslookup <URL>

    注意

    <URL>取代為端點所使用的完整網域名稱,例如 login.microsoftonline.com

  3. 檢視指定公用 DNS 伺服器是否允許命令成功:

    nslookup <URL> 208.67.222.222

  4. 如有必要,請變更指派給 Azure VM 所屬網路安全組的 DNS 伺服器。

結束代碼 51

結束代碼 51 會轉譯為「VM 操作系統上不支援此擴充功能」。

AADLoginForWindows 擴充功能僅適用於 Windows Server 2019 或 Windows 10(組建 1809 或更新版本)。 請確定支援您的 Windows 版本或組建。 如果不支援,請卸載延伸模組。

針對登入問題進行疑難解答

使用下列資訊更正登入問題。

您可以執行 dsregcmd /status來檢視裝置和單一登錄狀態。 目標是讓裝置狀態顯示為 AzureAdJoined : YES ,而 SSO 狀態則會顯示 AzureAdPrt : YES

透過 Microsoft Entra 帳戶的 RDP 登入會擷取於應用程式與服務記錄檔\Windows\AAD\Operational 事件記錄下的 事件檢視器。

未指派 Azure 角色

當您起始與 VM 的遠端桌面連線時,可能會收到下列錯誤訊息:「您的帳戶已設定為無法使用此裝置。 如需詳細資訊,請連絡您的系統管理員。

顯示您的帳戶已設定為防止使用此裝置之訊息的螢幕快照。

確認您已為 VM 設定 Azure RBAC 原則,以將虛擬機 管理員 istrator 登入或虛擬機使用者登入角色授與使用者。

注意

如果您在 Azure 角色指派時遇到問題,請參閱 針對 Azure RBAC 進行疑難解答。

需要未經授權的客戶端或密碼變更

當您起始 VM 的遠端桌面連線時,可能會收到下列錯誤訊息:「您的認證無法運作」。

訊息的螢幕快照,指出您的認證無法運作。

請嘗試下列解決方案:

  • 您用來起始遠端桌面連線的 Windows 10 或更新版本電腦必須是已加入 Microsoft Entra,或已加入相同 Microsoft Entra 目錄的 Microsoft Entra 混合式電腦。 如需裝置身分識別的詳細資訊,請參閱什麼是裝置身分識別?一文

    注意

    Windows 10 組建 20H1 已新增 Microsoft Entra 已註冊計算機的支援,以起始與 VM 的 RDP 連線。 當您使用已註冊 Microsoft Entra 的電腦(未加入 Microsoft Entra 或 Microsoft Entra 混合式聯結)作為 RDP 用戶端來起始 VM 的連線時,您必須以格式 AzureAD\UPN 輸入認證(例如, AzureAD\john@contoso.com)。

    確認 Microsoft Entra Join 完成之後,AADLoginForWindows 延伸模組未卸載。

    此外,請確定安全策略 網路安全性:允許對這部計算機使用在線身分 識別的 PKU2U 驗證要求同時在伺服器 用戶端上啟用。

  • 確認用戶沒有暫時密碼。 暫時密碼無法用來登入遠端桌面連線。

    使用網頁瀏覽器中的用戶帳戶登入。 例如,在私人瀏覽視窗中登入 Azure 入口網站。 如果系統提示您變更密碼,請設定新的密碼。 然後再次嘗試連線。

需要 MFA 登入方法

當您起始與 VM 的遠端桌面連線時,可能會看到下列錯誤訊息:「不允許您嘗試使用的登入方法。 請嘗試不同的登入方法,或連絡您的系統管理員。」

不允許您嘗試使用的登入方法訊息螢幕快照。

如果您已設定條件式存取原則,該原則需要 MFA 或舊版每個使用者啟用/強制 Microsoft Entra 多重要素驗證,才能存取資源,您必須確定起始遠端桌面連線到 VM 的 Windows 10 或更新版本計算機會使用 Windows Hello 等強式驗證方法登入。 如果您未針對遠端桌面連線使用強身份驗證方法,您會看到錯誤。

另一個與 MFA 相關的錯誤訊息是先前所述的錯誤訊息:「您的認證無法運作」。

顯示您的認證無法運作之訊息的螢幕快照。

如果您已設定舊版每個使用者 Enabled/Enforced Microsoft Entra 多重要素驗證 設定,而且您看到上述錯誤,您可以移除每個使用者的 MFA 設定來解決問題。 如需詳細資訊,請參閱啟用個別使用者 Microsoft Entra 多重要素驗證以保護登入事件一文

如果您尚未部署 Windows Hello 企業版,而且目前不是選項,您可以設定條件式存取原則,從需要 MFA 的雲端應用程式清單中排除 Microsoft Azure Windows 虛擬機登入應用程式。 若要深入瞭解 Windows Hello 企業版,請參閱 Windows Hello 企業版 概觀

注意

Windows Hello 企業版 支援使用 RDP 進行 PIN 驗證的數個 Windows 10 版本。 Windows 10 1809 版已新增對 RDP 生物特徵辨識驗證的支援。 在 RDP 期間使用 Windows Hello 企業版 驗證可用於使用憑證信任模型或密鑰信任模型的部署。

在 Microsoft Entra 意見反應論壇分享有關此功能的意見反應或回報使用問題的意見反應。

遺漏應用程式

如果條件式存取中遺漏 Microsoft Azure Windows 虛擬機登入應用程式,請確定應用程式位於租使用者中:

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別應用程式企業應用程式]。>
  3. 拿掉篩選條件以查看所有應用程式,並搜尋 VM。 如果您未看到 Microsoft Azure Windows 虛擬機登入 ,則租使用者缺少服務主體。

提示

某些租使用者可能會看到名為 Azure Windows VM 登入的應用程式,而不是 Microsoft Azure Windows 虛擬機登入。 應用程式將具有相同的應用程式標識碼 372140e0-b3b7-4226-8ef9-d57986796201。

下一步

如需 Microsoft Entra ID 的詳細資訊,請參閱 什麼是 Microsoft Entra ID?