Wybieranie strategii uwierzytelniania dla usługi Azure Virtual Desktop
W przypadku użytkowników łączących się z sesją zdalną istnieją trzy oddzielne punkty uwierzytelniania:
- Uwierzytelnianie usługi w usłudze Azure Virtual Desktop: pobieranie listy zasobów, do których użytkownik ma dostęp podczas uzyskiwania dostępu do klienta. Doświadczenie zależy od konfiguracji konta Microsoft Entra. Jeśli na przykład użytkownik ma włączone uwierzytelnianie wieloskładnikowe, zostanie wyświetlony monit o podanie konta użytkownika i drugiej formy uwierzytelniania w taki sam sposób, jak uzyskiwanie dostępu do innych usług.
- Host sesji: podczas uruchamiania sesji zdalnej. Nazwa użytkownika i hasło są wymagane dla hosta sesji, ale jest to bezproblemowe dla użytkownika, jeśli logowanie jednokrotne jest włączone.
- Uwierzytelnianie w sesji: nawiązywanie połączenia z innymi zasobami w ramach sesji zdalnej.
W poniższych sekcjach opisano szczegółowo każdy z tych punktów uwierzytelniania.
Uwierzytelnianie usługi
Aby uzyskać dostęp do zasobów usługi Azure Virtual Desktop, musisz najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Microsoft Entra. Uwierzytelnianie odbywa się za każdym razem, gdy subskrybujesz obszar roboczy, aby pobrać zasoby i połączyć się z aplikacjami lub komputerami stacjonarnymi. Możesz używać dostawców tożsamości innych firm, o ile sfederują się z identyfikatorem Entra firmy Microsoft.
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego, aby dowiedzieć się, jak wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft na potrzeby wdrożenia. W tym artykule opisano również sposób konfigurowania częstotliwości monitowania użytkowników o wprowadzenie poświadczeń. Podczas wdrażania maszyn wirtualnych dołączonych do Microsoft Entra należy pamiętać o dodatkowych krokach dotyczących maszyn wirtualnych hosta sesji dołączonych do Microsoft Entra.
Uwierzytelnianie bez hasła
Do uwierzytelniania w usłudze można użyć dowolnego typu uwierzytelniania obsługiwanego przez firmę Microsoft Entra ID, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO).
Uwierzytelnianie przy użyciu kart inteligentnych
Aby użyć karty inteligentnej do uwierzytelniania w usłudze Microsoft Entra ID, należy najpierw skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika lub skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft.
Uwierzytelnianie hosta sesji
Jeśli nie włączono logowania jednokrotnego lub nie zapisano poświadczeń lokalnie, trzeba również uwierzytelnić się na hoście sesji przy nawiązywaniu połączenia. Poniższa lista zawiera opis typów uwierzytelniania, które obecnie obsługuje każdy klient usługi Azure Virtual Desktop. Niektórzy klienci mogą wymagać użycia określonej wersji, którą można znaleźć w linku dla każdego typu uwierzytelniania.
| Klient | Obsługiwane typy uwierzytelniania |
|---|---|
| Klient pulpitowy systemu Windows | Nazwa użytkownika i hasło Karta inteligentna Zaufanie certyfikatów Windows Hello dla firm Zaufanie klucza w Windows Hello dla Firm za pomocą certyfikatów Uwierzytelnianie Microsoft Entra |
| Aplikacja ze sklepu Azure Virtual Desktop Store | Nazwa użytkownika i hasło Karta inteligentna Zaufanie certyfikatów Windows Hello dla firm Zaufanie klucza w Windows Hello dla Firm za pomocą certyfikatów Uwierzytelnianie Microsoft Entra |
| Aplikacja pulpitu zdalnego | Nazwa użytkownika i hasło |
| Klient sieci Web | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu Android | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu iOS | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu macOS | Nazwa użytkownika i hasło Karta inteligentna: obsługa logowania opartego na kartach inteligentnych przy użyciu przekierowania karty inteligentnej w wierszu polecenia Winlogon, gdy równoważenie obciążenia sieciowego nie jest negocjowane. Uwierzytelnianie Microsoft Entra |
Ważne
Aby uwierzytelnianie działało prawidłowo, komputer lokalny musi mieć również dostęp do wymaganych adresów URL dla klientów usług pulpitu zdalnego.
Logowanie jednokrotne
Logowanie jednokrotne umożliwia połączeniu pomijanie monitu poświadczeń hosta sesji i automatyczne logowanie użytkownika do systemu Windows. W przypadku hostów sesji połączonych z Microsoft Entra lub w trybie hybrydowym, zaleca się włączenie SSO (logowania jednokrotnego) przy użyciu uwierzytelniania Microsoft Entra. Uwierzytelnianie firmy Microsoft Entra zapewnia inne korzyści, takie jak uwierzytelnianie bez hasła i obsługa dostawców tożsamości innych firm.
Usługa Azure Virtual Desktop obsługuje również logowanie jednokrotne przy użyciu usług Active Directory Federation Services (AD FS) dla komputerów stacjonarnych z systemem Windows i klientów internetowych.
Bez użycia jednokrotnego logowania, klient będzie wyświetlał monit o podanie poświadczeń hosta sesji przy każdym połączeniu. Jedynym sposobem uniknięcia monitowania jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom uzyskiwanie dostępu do zasobów.
Karta inteligentna i Windows Hello dla firm
Usługa Azure Virtual Desktop obsługuje zarówno protokół NT LAN Manager (NTLM) jak i Kerberos na potrzeby uwierzytelniania hosta sesji, jednak karta inteligentna i Windows Hello dla firm mogą logować się tylko przy użyciu protokołu Kerberos. Aby korzystać z Kerberos, klient musi pobrać bilety zabezpieczeń Kerberos z usługi Centrum dystrybucji kluczy (KDC) uruchomionej na kontrolerze domeny. Aby uzyskać bilety, klient potrzebuje bezpośredniego połączenia sieciowego z kontrolerem domeny. Możesz uzyskać widok, łącząc się bezpośrednio w sieci firmowej przy użyciu połączenia sieci VPN lub konfigurowania serwera proxy usługi KDC.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z usługą RemoteApp lub pulpitem może zostać wyświetlony monit o uwierzytelnienie wewnątrz sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
Usługa Azure Virtual Desktop obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO podczas korzystania z klienta klasycznego systemu Windows. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy host sesji i komputer lokalny korzystają z następujących systemów operacyjnych:
- Windows 11 w trybie jedno lub wielosesyjnym z zainstalowanymi aktualizacjami zbiorczymi dla Windows 11 z października 2022 (KB5018418) lub nowszymi.
- System Windows 10 z jedną lub wieloma sesjami w wersji 20H2 lub nowszej z aktualizacjami zbiorczymi 2022-10 dla systemu Windows 10 (KB5018410) lub nowszymi.
- Windows Server 2022 z aktualizacją zbiorczą 2022-10 dla systemu operacyjnego Microsoft Server (KB5018421) lub nowszą.
Aby wyłączyć uwierzytelnianie bez hasła w puli hostów, należy dostosować właściwość protokołu RDP. Możesz znaleźć właściwość przekierowania WebAuthn na karcie Przekierowanie urządzenia w portalu Azure lub ustawić właściwość redirectwebauthn na 0 przy użyciu programu PowerShell.
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, można użyć Windows Hello dla firm lub urządzeń zabezpieczeń dołączonych lokalnie.
Aby uzyskać dostęp do zasobów firmy Microsoft za pomocą Windows Hello dla firm lub urządzeń zabezpieczeń, musisz włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w artykule Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie za pomocą karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, upewnij się, że na hoście sesji zainstalowano sterowniki kart inteligentnych i włączono przekierowywanie kart inteligentnych. Przejrzyj wykres porównawczy klienta, aby upewnić się, że klient obsługuje przekierowywanie kart inteligentnych.