Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł przeprowadzi Cię przez proces wdrażania maszyn wirtualnych przyłączonych do Microsoft Entra i uzyskiwania do nich dostępu w programie Azure Virtual Desktop. Microsoft Entra dołączone maszyny wirtualne usuwają konieczność stosunku wzroku z maszyny wirtualnej do lokalnego lub zwirtualizowanego kontrolera domena usługi Active Directory (DC) lub wdrożenia Microsoft Entra Domain Services. W niektórych przypadkach może całkowicie usunąć potrzebę kontrolera domeny, upraszczając wdrażanie środowiska i zarządzanie nim. Te maszyny wirtualne można również automatycznie rejestrować w Intune w celu ułatwienia zarządzania.
Znane ograniczenia
Następujące znane ograniczenia mogą mieć wpływ na dostęp do zasobów lokalnych lub przyłączonych do domeny usługi Active Directory. Należy je wziąć pod uwagę podczas podejmowania decyzji, czy Microsoft Entra dołączone maszyny wirtualne są odpowiednie dla danego środowiska.
- Microsoft Entra przyłączony dostęp maszyny wirtualnej do udziałów Azure Files dla użytkowników hybrydowych przy użyciu Microsoft Entra kerberos dla profilów użytkowników FSLogix jest w pełni obsługiwany.
- Microsoft Entra przyłączony dostęp maszyny wirtualnej do udziałów Azure Files dla tożsamości tylko w chmurze i tożsamości zewnętrznych przy użyciu Microsoft Entra protokołu Kerberos dla profilów użytkowników FSLogix jest w wersji zapoznawczej.
Wdrażanie maszyn wirtualnych przyłączonych Microsoft Entra
Maszyny wirtualne przyłączone Microsoft Entra można wdrożyć bezpośrednio z Azure Portal podczas tworzenia nowej puli hostów lub rozwijania istniejącej puli hostów. Aby wdrożyć maszynę wirtualną przyłączone do Microsoft Entra, otwórz kartę Virtual Machines, a następnie wybierz, czy dołączyć maszynę wirtualną do usługi Active Directory, czy Tożsamość Microsoft Entra. Wybranie Tożsamość Microsoft Entra umożliwia automatyczne rejestrowanie maszyn wirtualnych przy użyciu Intune, co pozwala łatwo zarządzać hostami sesji. Pamiętaj, że opcja Tożsamość Microsoft Entra będzie dołączać maszyny wirtualne tylko do tej samej dzierżawy Microsoft Entra co subskrypcja, w której się znajdujesz.
Uwaga
- Pule hostów powinny zawierać tylko maszyny wirtualne tego samego typu przyłączania do domeny. Na przykład Microsoft Entra dołączone maszyny wirtualne powinny być tylko z innymi maszynami wirtualnymi przyłączonymi do Microsoft Entra i odwrotnie.
- Wymagania dotyczące systemu operacyjnego dla maszyn wirtualnych hosta sesji zależą od tego, kto będzie się logować:
- Jeśli logują się tylko użytkownicy hybrydowi lub tylko w chmurze, maszyny wirtualne w puli hostów muszą być Windows 11 lub Windows 10 jednej sesji lub wielu sesji, wersji 2004 lub nowszej lub Windows Server 2022 lub Windows Server 2019.
- Jeśli tożsamości zewnętrzne będą się logować, maszyny wirtualne w puli hostów mają bardziej rygorystyczne wymagania dotyczące systemu operacyjnego. Zobacz wymagania dotyczące tożsamości zewnętrznej dla obsługiwanych wersji systemu operacyjnego.
Przypisywanie dostępu użytkownika do pul hostów
Po utworzeniu puli hostów musisz przypisać użytkownikom dostęp do ich zasobów. Aby udzielić dostępu do zasobów, dodaj każdego użytkownika do grupy aplikacji. Postępuj zgodnie z instrukcjami w temacie Zarządzanie grupami aplikacji , aby przypisać użytkownikowi dostęp do aplikacji i pulpitów. Zalecamy używanie grup użytkowników zamiast poszczególnych użytkowników wszędzie tam, gdzie jest to możliwe.
W przypadku Microsoft Entra przyłączonych maszyn wirtualnych w pulach hostów bez konfiguracji hosta sesji należy wykonać następujące dodatkowe zadania oprócz wymagań dotyczących wdrożeń usługi Active Directory lub wdrożeń opartych na Microsoft Entra Domain Services. W przypadku pul hostów korzystających z konfiguracji hosta sesji to dodatkowe przypisanie roli nie jest wymagane.
- Przypisz użytkownikom rolę Logowania użytkownika maszyny wirtualnej , aby mogli logować się do maszyn wirtualnych.
- Przypisz administratorom, którzy potrzebują lokalnych uprawnień administracyjnych, rolę logowania administratora maszyny wirtualnej .
Aby udzielić użytkownikom dostępu do maszyn wirtualnych przyłączonych Microsoft Entra, należy skonfigurować przypisania ról dla maszyny wirtualnej. Rolę logowania użytkownika maszyny wirtualnej lub administratora maszyny wirtualnej można przypisać na maszynach wirtualnych, w grupie zasobów zawierającej maszyny wirtualne lub subskrypcji. Zalecamy przypisanie roli Logowania użytkownika maszyny wirtualnej do tej samej grupy użytkowników, której użyto dla grupy aplikacji na poziomie grupy zasobów, aby była ona stosowana do wszystkich maszyn wirtualnych w puli hostów.
Dostęp do maszyn wirtualnych przyłączonych do Microsoft Entra
W tej sekcji wyjaśniono, jak uzyskać dostęp do maszyn wirtualnych przyłączonych Microsoft Entra z różnych Azure klientów usługi Virtual Desktop.
Logowanie jednokrotne
Aby uzyskać najlepsze środowisko na wszystkich platformach, należy włączyć środowisko logowania jednokrotnego przy użyciu uwierzytelniania Microsoft Entra podczas uzyskiwania dostępu do maszyn wirtualnych przyłączonych Microsoft Entra. Wykonaj kroki konfigurowania logowania jednokrotnego, aby zapewnić bezproblemowe połączenie.
Nawiązywanie połączenia przy użyciu starszych protokołów uwierzytelniania
Jeśli nie chcesz włączać logowania jednokrotnego, możesz użyć następującej konfiguracji, aby umożliwić dostęp do Microsoft Entra przyłączonych maszyn wirtualnych.
Nawiązywanie połączenia przy użyciu klienta programu Windows Desktop
Konfiguracja domyślna obsługuje połączenia z Windows 11 lub Windows 10 przy użyciu klienta programu Windows Desktop. Aby zalogować się na hoście sesji, możesz użyć poświadczeń, karty inteligentnej, Windows Hello dla firm zaufania certyfikatu lub Windows Hello dla firm zaufania kluczy za pomocą certyfikatów. Jednak aby uzyskać dostęp do hosta sesji, komputer lokalny musi spełniać jeden z następujących warunków:
- Komputer lokalny jest Microsoft Entra przyłączony do tej samej dzierżawy Microsoft Entra co host sesji
- Komputer lokalny jest Microsoft Entra przyłączony hybrydowo do tej samej dzierżawy Microsoft Entra co host sesji
- Komputer lokalny jest uruchomiony Windows 11 lub Windows 10 w wersji 2004 lub nowszej i jest Microsoft Entra zarejestrowany w tej samej dzierżawie Microsoft Entra co host sesji
Jeśli komputer lokalny nie spełnia jednego z tych warunków, dodaj właściwość targetisaadjoined:i:1 jako niestandardową właściwość RDP do puli hostów. Te połączenia są ograniczone do wprowadzania poświadczeń nazwy użytkownika i hasła podczas logowania się do hosta sesji.
Nawiązywanie połączenia przy użyciu innych klientów
Aby uzyskać dostęp do Microsoft Entra przyłączonych maszyn wirtualnych przy użyciu klientów sieci Web, Systemu Android, macOS i iOS, należy dodać właściwość targetisaadjoined:i:1 jako niestandardową właściwość RDP do puli hostów. Te połączenia są ograniczone do wprowadzania poświadczeń nazwy użytkownika i hasła podczas logowania się do hosta sesji.
Wymuszanie uwierzytelniania wieloskładnikowego Microsoft Entra dla maszyn wirtualnych sesji przyłączonych do Microsoft Entra
Możesz użyć Microsoft Entra uwierzytelniania wieloskładnikowego z maszynami wirtualnymi przyłączonymi do Microsoft Entra. Wykonaj kroki wymuszania uwierzytelniania wieloskładnikowego Microsoft Entra dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego i zanotuj dodatkowe kroki dotyczące maszyn wirtualnych hosta sesji przyłączonych do Microsoft Entra.
Jeśli używasz Microsoft Entra uwierzytelniania wieloskładnikowego i nie chcesz ograniczać logowania do silnych metod uwierzytelniania, takich jak Windows Hello dla firm, musisz wykluczyć aplikację Sign-In Sign-In maszyny wirtualnej Azure systemu Windows z zasad dostępu warunkowego.
Profile użytkowników
Kontenerów profilów FSLogix można używać z maszynami wirtualnymi przyłączonymi Microsoft Entra podczas przechowywania ich na Azure Files podczas korzystania z kont użytkowników hybrydowych. Aby uzyskać więcej informacji, zobacz Tworzenie kontenera profilu za pomocą Azure Files i Tożsamość Microsoft Entra.
Uzyskiwanie dostępu do zasobów lokalnych
Chociaż nie potrzebujesz usługi Active Directory do wdrażania maszyn wirtualnych przyłączonych do Microsoft Entra ani uzyskiwania do niej dostępu, usługa Active Directory i bezpośredni dostęp do niej są potrzebne do uzyskiwania dostępu do zasobów lokalnych z tych maszyn wirtualnych.
Następne kroki
Po wdrożeniu niektórych maszyn wirtualnych przyłączonych Microsoft Entra zalecamy włączenie logowania jednokrotnego przed nawiązaniem połączenia z obsługiwanym klientem usługi Azure Virtual Desktop w celu przetestowania go w ramach sesji użytkownika. Aby dowiedzieć się więcej, zapoznaj się z następującymi artykułami:
- Konfigurowanie logowania jednokrotnego
- Tworzenie kontenera profilu przy użyciu Azure Files i Tożsamość Microsoft Entra
- Nawiązywanie połączenia z klientem programu Windows Desktop
- Nawiązywanie połączenia z klientem internetowym
- Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi przyłączonymi do Microsoft Entra