你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在本文中,我们将简要概述可在Azure虚拟桌面中使用的标识和身份验证方法类型。
身份
Azure虚拟桌面支持不同类型的标识,具体取决于你选择的配置。 本部分介绍可用于每个配置的标识。
重要
Azure虚拟桌面不支持使用一个用户帐户登录到Microsoft Entra ID,然后使用单独的用户帐户登录到 Windows。 使用两个不同的帐户同时登录可能会导致用户重新连接到错误的会话主机、Azure 门户中错误或缺少信息,以及使用应用附加时出现的错误消息。
本地标识
由于用户必须可通过Microsoft Entra ID发现才能访问Azure虚拟桌面,因此不支持仅存在于 Active Directory 域服务 (AD DS) 中的用户标识。 这包括具有 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。
混合标识
Azure虚拟桌面通过Microsoft Entra ID支持混合标识,包括使用 AD FS 的联合标识。 可以在 AD DS 中管理这些用户标识,并使用 Microsoft Entra Connect 将它们同步到Microsoft Entra ID。 还可以使用Microsoft Entra ID来管理这些标识,并将其同步到Microsoft Entra 域服务。
使用混合标识访问Azure虚拟桌面时,Active Directory (AD) 中的用户,有时用户主体名称 (UPN) 或安全标识符 (SID) ,Microsoft Entra ID不匹配。 例如,AD 帐户user@contoso.local可能对应于 user@contoso.com Microsoft Entra ID。 Azure虚拟桌面仅支持此类配置,前提是 AD 帐户和 Microsoft Entra ID 帐户的 UPN 或 SID 都匹配。 SID 引用 AD 中的用户对象属性“ObjectSID”和 Microsoft Entra ID 中的“OnPremisesSecurityIdentifier”。
仅限云标识
使用已加入Microsoft Entra VM 时,Azure虚拟桌面支持仅限云标识。 这些用户直接在 Microsoft Entra ID 中创建和管理。
注意
还可以将混合标识分配给Azure虚拟桌面应用程序组,这些组托管联接类型的会话主机Microsoft Entra加入。
联合身份
如果使用除Microsoft Entra ID或Active Directory 域服务以外的第三方标识提供者 (IdP) 来管理用户帐户,必须确保:
- IdP 与 Microsoft Entra ID 联合。
- 会话主机已Microsoft Entra加入或Microsoft Entra混合联接。
- 对会话主机启用Microsoft Entra身份验证。
外部标识
外部标识支持允许邀请用户加入 Entra ID 租户,并向他们提供Azure虚拟桌面资源。 向 外部标识提供资源时,有几个要求和限制:
- 要求
- 会话主机作系统:会话主机必须运行Windows 11 企业版版本 24H2 或更高版本,并且安装了 Windows 11 (KB5065789) 或更高版本的 2025-09 累积汇报。
- 会话主机联接类型:会话主机必须是 Entra joined。
- 单一登录:必须为主机池配置 单一登录 。
- Windows App客户端:外部标识必须从 Windows 或 Web 浏览器上的Windows App进行连接。
- 限制
FSLogix:外部标识的 FSLogix 支持以预览版提供。 详细了解如何使用 Microsoft Entra ID 在Azure 文件存储上存储 FSLogix 配置文件容器。
Intune设备配置策略:分配给外部标识的设备配置策略不会应用于会话主机上的用户。 而是将设备配置策略分配给设备。
云可用性:此功能仅在Azure公有云中可用,但不适用于由世纪互联运营的政府云或Azure。
跨云邀请:不支持跨云用户。 只能向从社交标识提供者邀请的用户提供Azure虚拟桌面资源访问权限,Microsoft Entra来自Microsoft Azure商业云的用户或在劳动力租户中注册的其他标识提供者。 无法为从世纪互联运营Microsoft Azure 政府或Microsoft Azure邀请的用户分配Azure虚拟桌面资源。
令牌保护:Microsoft Entra对外部标识的令牌保护具有某些限制。 详细了解Windows App平台对令牌保护的支持。
Kerberos 身份验证:外部标识无法使用 Kerberos 或 NTLM 协议对本地资源进行身份验证。
Microsoft 365 应用:在以下的情况下,只能登录到 windows 桌面版 Microsoft 365 应用:
- 受邀用户是基于 Entra 的帐户或已获得Microsoft 365 应用版许可的 Microsoft 帐户。
- 来自主组织的条件访问策略不会阻止受邀用户访问 Microsoft 365 应用。
无论邀请的帐户如何,都可以通过在会话主机的 Web 浏览器中使用适当的 Microsoft 365 应用来访问Microsoft 365 个共享的文件。
有关为外部标识配置环境的建议和许可许可指南,请参阅Microsoft Entra B2B 最佳做法。
身份验证方法
访问Azure虚拟桌面资源时,有三个单独的身份验证阶段:
- 云服务身份验证:使用 Microsoft Entra ID 对Azure虚拟桌面服务进行身份验证,包括订阅资源和对网关进行身份验证。
- 远程会话身份验证:对远程 VM 进行身份验证。 可通过多种方式向远程会话进行身份验证,包括建议的单一登录 (SSO) 。
- 会话内身份验证:对远程会话中的应用程序和网站进行身份验证。
对于每个身份验证阶段的不同客户端上可用的凭据列表, 请比较跨平台的客户端。
重要
为了使身份验证正常工作,本地计算机还必须能够访问 远程桌面客户端所需的 URL。
以下部分提供有关这些身份验证阶段的详细信息。
云服务身份验证
若要访问Azure虚拟桌面资源,必须先使用 Microsoft Entra ID 帐户登录来向服务进行身份验证。 每当订阅检索资源、在启动连接时连接到网关或向服务发送诊断信息时,都会进行身份验证。 用于此身份验证的Microsoft Entra ID资源是Azure虚拟桌面 (应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07) 。
多重身份验证
按照使用条件访问对Azure虚拟桌面强制实施Microsoft Entra多重身份验证中的说明,了解如何对部署强制实施Microsoft Entra多重身份验证。 本文还将介绍如何配置提示用户输入其凭据的频率。 部署Microsoft Entra联接的 VM 时,请注意已加入Microsoft Entra会话主机 VM 的额外步骤。
无密码身份验证
可以使用Microsoft Entra ID支持的任何身份验证类型(例如Windows Hello 企业版和其他无密码身份验证选项 (例如 FIDO 密钥) )向服务进行身份验证。
智能卡身份验证
若要使用智能卡向Microsoft Entra ID进行身份验证,必须先配置Microsoft Entra基于证书的身份验证,或为用户证书身份验证配置 AD FS。
第三方标识提供者
可以使用第三方标识提供者,只要它们与Microsoft Entra ID联合。
远程会话身份验证
如果尚未启用 单一登录 或在本地保存凭据,则启动连接时还需要向会话主机进行身份验证。
单一登录 (SSO)
SSO 允许连接跳过会话主机凭据提示,并通过Microsoft Entra身份验证自动将用户登录到 Windows。 对于Microsoft Entra加入或Microsoft Entra混合联接的会话主机,建议使用Microsoft Entra身份验证启用 SSO。 Microsoft Entra身份验证提供其他优势,包括无密码身份验证和支持第三方标识提供者。
Azure虚拟桌面还支持使用适用于 Windows 桌面和 Web 客户端的 Active Directory 联合身份验证服务 (AD FS) 进行 SSO。
如果没有 SSO,客户端会提示用户为每个连接提供其会话主机凭据。 避免出现提示的唯一方法是在客户端中保存凭据。 建议仅在安全设备上保存凭据,以防止其他用户访问你的资源。
智能卡和Windows Hello 企业版
Azure虚拟桌面支持 NT LAN Manager (NTLM) 和 Kerberos 进行会话主机身份验证,但 Smart 卡 和 Windows Hello 企业版 只能使用 Kerberos 登录。 若要使用 Kerberos,客户端需要从密钥分发中心获取 Kerberos 安全票证, (域控制器上运行的 KDC) 服务。 若要获取票证,客户端需要域控制器的直接网络视线。 可以通过直接在公司网络中进行连接、使用 VPN 连接或设置 KDC 代理服务器来获取视线。
会话内身份验证
连接到 RemoteApp 或桌面后,系统可能会提示你在会话中进行身份验证。 本部分介绍如何在此方案中使用用户名和密码以外的凭据。
会话内无密码身份验证
Azure虚拟桌面在使用 Windows 桌面客户端时,支持使用Windows Hello 企业版或安全设备(例如 FIDO 密钥)进行会话内无密码身份验证。 当会话主机和本地电脑使用以下作系统时,将自动启用无密码身份验证:
- Windows 11单会话或多会话,其中安装了 Windows 11 (KB5018418) 或更高版本的 2022-10 累积汇报。
- Windows 10单会话或多会话版本 20H2 或更高版本,并安装了 Windows 10 (KB5018410) 或更高版本的 2022-10 累积汇报。
- Windows Server 2022 年,安装了适用于Microsoft服务器作系统的 2022-10 累积更新 (KB5018421) 或更高版本。
若要在主机池上禁用无密码身份验证,必须 自定义 RDP 属性。 可以在Azure 门户中的“设备重定向”选项卡下找到“WebAuthn 重定向”属性,或使用 PowerShell 将 redirectwebauthn 属性设置为 0。
启用后,会话中的所有 WebAuthn 请求都会重定向到本地电脑。 可以使用Windows Hello 企业版或本地附加的安全设备来完成身份验证过程。
若要使用Windows Hello 企业版或安全设备访问Microsoft Entra资源,必须启用 FIDO2 安全密钥作为用户的身份验证方法。 若要启用此方法,请按照 启用 FIDO2 安全密钥方法中的步骤作。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保已在会话主机上安装了智能卡驱动程序,并启用了智能卡重定向。 查看Windows App和远程桌面应用的比较图表,以便使用智能卡重定向。
后续步骤
- 是否对保护部署安全的其他方法感兴趣? 查看 安全最佳做法。
- 连接到已加入Microsoft Entra VM 时遇到问题? 请参阅排查与已加入Microsoft Entra VM 的连接问题。
- 会话内无密码身份验证出现问题? 请参阅 排查 WebAuthn 重定向问题。
- 想要使用企业网络外部的智能卡? 查看如何设置 KDC 代理服务器。