Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawimy krótkie omówienie rodzajów tożsamości i metod uwierzytelniania, których można użyć w programie Azure Virtual Desktop.
Tożsamości
Azure Virtual Desktop obsługuje różne typy tożsamości w zależności od wybranej konfiguracji. W tej sekcji wyjaśniono, których tożsamości można używać dla każdej konfiguracji.
Ważna
Azure program Virtual Desktop nie obsługuje logowania się do Tożsamość Microsoft Entra przy użyciu jednego konta użytkownika, a następnie logowania się do systemu Windows przy użyciu oddzielnego konta użytkownika. Logowanie się przy użyciu dwóch różnych kont w tym samym czasie może prowadzić do ponownego nawiązania przez użytkowników połączenia z niewłaściwym hostem sesji, niepoprawnych lub brakujących informacji w Azure Portal oraz komunikatów o błędach wyświetlanych podczas korzystania z dołączania aplikacji.
Tożsamość lokalna
Ponieważ użytkownicy muszą być odnajdywalni za pośrednictwem Tożsamość Microsoft Entra, aby uzyskać dostęp do Azure Virtual Desktop, tożsamości użytkowników istniejące tylko w usługach Active Directory Domain Services (AD DS) nie są obsługiwane. Obejmuje to autonomiczne wdrożenia usługi Active Directory z usługą Active Directory Federation Services (AD FS).
Tożsamość hybrydowa
Azure Virtual Desktop obsługuje tożsamości hybrydowe za pośrednictwem Tożsamość Microsoft Entra, w tym federacyjnych przy użyciu usług AD FS. Tożsamościami użytkowników można zarządzać w usługach AD DS i synchronizować je z Tożsamość Microsoft Entra przy użyciu programu Microsoft Entra Connect. Możesz również użyć Tożsamość Microsoft Entra, aby zarządzać tymi tożsamościami i synchronizować je z Microsoft Entra Domain Services.
Podczas uzyskiwania dostępu Azure virtual desktop przy użyciu tożsamości hybrydowych czasami główna nazwa użytkownika (UPN) lub identyfikator zabezpieczeń (SID) dla użytkownika w usłudze Active Directory (AD) i Tożsamość Microsoft Entra nie są zgodne. Na przykład konto user@contoso.local usługi AD może odpowiadać user@contoso.com w Tożsamość Microsoft Entra. Azure Program Virtual Desktop obsługuje konfigurację tego typu tylko wtedy, gdy nazwa UPN lub identyfikator SID dla kont usługi AD i Tożsamość Microsoft Entra są zgodne. Identyfikator SID odwołuje się do właściwości obiektu użytkownika "ObjectSID" w usłudze AD i "OnPremisesSecurityIdentifier" w Tożsamość Microsoft Entra.
Tożsamość tylko w chmurze
Azure Virtual Desktop obsługuje tożsamości tylko w chmurze podczas korzystania z maszyn wirtualnych przyłączonych Microsoft Entra. Ci użytkownicy są tworzona i zarządzana bezpośrednio w Tożsamość Microsoft Entra.
Uwaga
Tożsamości hybrydowe można również przypisywać do Azure grup aplikacji pulpitu wirtualnego, które hostują hosty sesji typu sprzężenia Microsoft Entra przyłączone.
Tożsamość federacyjna
Jeśli do zarządzania kontami użytkowników używasz innego dostawcy tożsamości (IdP), innego niż Tożsamość Microsoft Entra lub Active Directory Domain Services, musisz upewnić się, że:
- Twój adres IdP jest sfederowany z Tożsamość Microsoft Entra.
- Hosty sesji są Microsoft Entra przyłączone lub Microsoft Entra przyłączone hybrydowo.
- Włączyć uwierzytelnianie Microsoft Entra na hoście sesji.
Tożsamość zewnętrzna
Obsługa tożsamości zewnętrznych umożliwia zapraszanie użytkowników do dzierżawy identyfikatora Entra i udostępnianie ich Azure zasobów usługi Virtual Desktop. Istnieje kilka wymagań i ograniczeń dotyczących dostarczania zasobów tożsamościom zewnętrznym:
- Wymagania
- System operacyjny hosta sesji: na hoście sesji musi działać Windows 11 Enterprise, w wersji 24H2 lub nowszej z Aktualizacje zbiorczymi 2025-09 dla Windows 11 (KB5065789) lub nowszych.
- Typ sprzężenia hosta sesji: host sesji musi być przyłączony do entry.
- Logowanie jednokrotne: logowanie jednokrotne musi być skonfigurowane dla puli hostów.
- Windows App klienta: tożsamość zewnętrzna musi łączyć się z Windows App w systemie Windows lub przeglądarce internetowej.
- Ograniczenia
FSLogix: obsługa protokołu FSLogix jest dostępna w wersji zapoznawczej dla tożsamości zewnętrznych. Dowiedz się więcej na temat przechowywania kontenerów profilów FSLogix na Azure Files przy użyciu Tożsamość Microsoft Entra.
Intune zasad konfiguracji urządzeń: zasady konfiguracji urządzeń przypisane do tożsamości zewnętrznej nie będą stosowane do użytkownika na hoście sesji. Zamiast tego przypisz zasady konfiguracji urządzenia do urządzenia.
Dostępność chmury: ta funkcja jest dostępna tylko w Azure chmurze publicznej, ale nie w chmurze rządowej lub Azure obsługiwanych przez firmę 21Vianet.
Zaproszenia między chmurami: użytkownicy z wielu chmur nie są obsługiwani. Dostęp Azure zasobów usługi Virtual Desktop można zapewnić tylko użytkownikom zapraszanych przez dostawców tożsamości społecznościowych, Microsoft Entra użytkownikom z chmury komercyjnej firmy Microsoft Azure lub innym dostawcom tożsamości zarejestrowanym w dzierżawie pracowników. Nie można przypisać Azure zasobów pulpitu wirtualnego dla użytkowników zapraszanych przez firmę Microsoft Azure Government lub Microsoft Azure obsługiwanych przez firmę 21Vianet.
Ochrona tokenów: Microsoft Entra ma pewne ograniczenia dotyczące ochrony tokenów dla tożsamości zewnętrznych. Dowiedz się więcej na temat Windows App obsługi ochrony tokenów według platformy.
Uwierzytelnianie kerberos: tożsamości zewnętrzne nie mogą uwierzytelniać się w zasobach lokalnych przy użyciu protokołów Kerberos lub NTLM.
Aplikacje platformy Microsoft 365: możesz zalogować się tylko do klasycznej wersji systemu Windows aplikacji platformy Microsoft 365 tylko wtedy, gdy:
- Zaproszony użytkownik jest kontem opartym na aplikacji Entra lub kontem Microsoft licencjonowanym na Aplikacje Microsoft 365.
- Zaproszony użytkownik nie ma zablokowanych dostępu do aplikacji platformy Microsoft 365 przez zasady dostępu warunkowego z organizacji macierzystej.
Niezależnie od zaproszonego konta możesz uzyskać dostęp do udostępnionych Ci plików platformy Microsoft 365 przy użyciu odpowiedniej aplikacji platformy Microsoft 365 w przeglądarce internetowej hosta sesji.
Aby uzyskać wskazówki dotyczące licencjonowania, zobacz Microsoft Entra B2B best practices for recommendations on configuring your environment for external identitys (Najlepsze rozwiązania dotyczące konfigurowania środowiska pod kątem tożsamości zewnętrznych) i Licensing (Licencjonowanie).
Metody uwierzytelniania
Podczas uzyskiwania dostępu Azure zasobów usługi Virtual Desktop istnieją trzy oddzielne fazy uwierzytelniania:
- Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Azure Virtual Desktop, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, ma Tożsamość Microsoft Entra.
- Uwierzytelnianie sesji zdalnej: uwierzytelnianie na zdalnej maszynie wirtualnej. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne.
- Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych w sesji zdalnej.
Aby uzyskać listę poświadczeń dostępnych dla różnych klientów dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.
Ważna
Aby uwierzytelnianie działało prawidłowo, maszyna lokalna musi mieć również dostęp do wymaganych adresów URL klientów usług pulpitu zdalnego.
Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.
Uwierzytelnianie usługi w chmurze
Aby uzyskać dostęp Azure zasobów usługi Virtual Desktop, musisz najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Tożsamość Microsoft Entra. Uwierzytelnianie odbywa się za każdym razem, gdy subskrybujesz zasoby, nawiązujesz połączenie z bramą podczas uruchamiania połączenia lub podczas wysyłania informacji diagnostycznych do usługi. Zasób Tożsamość Microsoft Entra używany do tego uwierzytelniania to Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07).
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Wymuszanie uwierzytelniania wieloskładnikowego Microsoft Entra dla Azure Virtual Desktop przy użyciu dostępu warunkowego, aby dowiedzieć się, jak wymusić Microsoft Entra uwierzytelnianie wieloskładnikowe dla wdrożenia. W tym artykule dowiesz się również, jak skonfigurować częstotliwość monitowania użytkowników o wprowadzenie poświadczeń. Podczas wdrażania maszyn wirtualnych przyłączonych Microsoft Entra należy pamiętać o dodatkowych krokach dotyczących maszyn wirtualnych hosta Microsoft Entra przyłączonych do sesji.
Uwierzytelnianie bez hasła
Do uwierzytelniania w usłudze można użyć dowolnego typu uwierzytelniania obsługiwanego przez Tożsamość Microsoft Entra, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO).
Uwierzytelnianie za pomocą karty inteligentnej
Aby używać karty inteligentnej do uwierzytelniania w Tożsamość Microsoft Entra, należy najpierw skonfigurować Microsoft Entra uwierzytelnianie oparte na certyfikatach lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.
Dostawcy tożsamości innych firm
Dostawców tożsamości innych firm można używać tak długo, jak długo federują z Tożsamość Microsoft Entra.
Uwierzytelnianie sesji zdalnej
Jeśli logowanie jednokrotne nie zostało jeszcze włączone lub poświadczenia zostały zapisane lokalnie, należy również uwierzytelnić się na hoście sesji podczas uruchamiania połączenia.
Logowanie jednokrotne
Logowanie jednokrotne umożliwia połączeniu pomijanie monitu o poświadczenia hosta sesji i automatyczne logowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania Microsoft Entra. W przypadku hostów sesji, które są przyłączone Microsoft Entra lub Microsoft Entra przyłączone hybrydowo, zaleca się włączenie logowania jednokrotnego przy użyciu uwierzytelniania Microsoft Entra. uwierzytelnianie Microsoft Entra zapewnia inne korzyści, w tym uwierzytelnianie bez hasła i obsługę dostawców tożsamości innych firm.
Azure Virtual Desktop obsługuje również logowanie jednokrotne przy użyciu Active Directory Federation Services (AD FS) dla komputerów stacjonarnych z systemem Windows i klientów internetowych.
Bez logowania jednokrotnego klient monituje użytkowników o poświadczenia hosta sesji dla każdego połączenia. Jedynym sposobem uniknięcia monitu jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom dostęp do zasobów.
Karta inteligentna i Windows Hello dla firm
Azure Virtual Desktop obsługuje zarówno nt LAN Manager (NTLM) i Kerberos do uwierzytelniania hosta sesji, jednak karta inteligentna i Windows Hello dla firm mogą używać protokołu Kerberos tylko do logowania. Aby korzystać z protokołu Kerberos, klient musi pobrać bilety zabezpieczeń Protokołu Kerberos z usługi Centrum dystrybucji kluczy (KDC) działającej na kontrolerze domeny. Aby uzyskać bilety, klient potrzebuje bezpośredniego połączenia sieciowego z kontrolerem domeny. Możesz uzyskać widok, łącząc się bezpośrednio w sieci firmowej, używając połączenia sieci VPN lub konfigurując serwer proxy centrum dystrybucji kluczy.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z usługą RemoteApp lub pulpitem może zostać wyświetlony monit o uwierzytelnienie w sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
Azure Virtual Desktop obsługuje uwierzytelnianie bez hasła w sesji przy użyciu urządzeń Windows Hello dla firm lub zabezpieczeń, takich jak klucze FIDO, podczas korzystania z klienta programu Windows Desktop. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy host sesji i komputer lokalny korzystają z następujących systemów operacyjnych:
- Windows 11 pojedynczą lub wielosesyjną z zainstalowanym Aktualizacje zbiorczym 2022–10 dla Windows 11 (KB5018418) lub nowszym.
- Windows 10 pojedynczą lub wielosesyjną wersję 20H2 lub nowszą z zainstalowanym Aktualizacje zbiorczym 2022–10 dla Windows 10 (KB5018410) lub nowszym.
- Windows Server 2022 r. z zainstalowaną aktualizacją zbiorczą 2022–10 dla systemu operacyjnego serwera firmy Microsoft (KB5018421) lub nowszą.
Aby wyłączyć uwierzytelnianie bez hasła w puli hostów, należy dostosować właściwość RDP. Właściwość przekierowania WebAuthn można znaleźć na karcie Przekierowanie urządzenia w Azure Portal lub ustawić właściwość redirectwebauthn na wartość 0 przy użyciu programu PowerShell.
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, możesz użyć Windows Hello dla firm lub lokalnie dołączonych urządzeń zabezpieczających.
Aby uzyskać dostęp do zasobów Microsoft Entra przy użyciu urządzeń Windows Hello dla firm lub urządzeń zabezpieczeń, należy włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w temacie Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, upewnij się, że zainstalowano sterowniki kart inteligentnych na hoście sesji i włączono przekierowanie kart inteligentnych. Przejrzyj wykresy porównawcze dla Windows App i aplikacji Pulpit zdalny, aby umożliwić korzystanie z przekierowania kart inteligentnych.
Następne kroki
- Masz ciekawy temat dotyczący innych sposobów zapewnienia bezpieczeństwa wdrożenia? Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń.
- Masz problemy z nawiązywaniem połączenia z maszynami wirtualnymi przyłączonymi do Microsoft Entra? Zobacz Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi przyłączonymi do Microsoft Entra.
- Masz problemy z uwierzytelnianiem bez hasła w sesji? Zobacz Rozwiązywanie problemów z przekierowaniem usługi WebAuthn.
- Chcesz używać kart inteligentnych spoza sieci firmowej? Sprawdź, jak skonfigurować serwer proxy centrum dystrybucji kluczy.