有安全性意識的客戶,例如財務或政府組織,通常會使用智慧卡登入。 智慧卡需要多重要素驗證 (MFA) ,讓部署更安全。 不過,針對 Azure 虛擬桌面會話的 RDP 部分,智慧卡需要直接連線或「視線」,Active Directory (AD) 域控制器進行 Kerberos 驗證。 如果沒有此直接連線,使用者就無法從遠端連線自動登入組織的網路。 Azure 虛擬桌面部署中的使用者可以使用 KDC Proxy 服務來 Proxy 此驗證流量,並從遠端登入。 KDC Proxy 允許驗證 Azure 虛擬桌面工作階段的遠端桌面通訊協定,讓使用者安全地登入。 這可讓您更輕鬆地在家工作,並讓特定災害復原案例更順暢地執行。
不過,設定 KDC Proxy 通常牽涉到在 Windows Server 2016 或更新版本中指派 Windows Server 閘道角色。 如何使用遠端桌面服務角色登入 Azure 虛擬桌面? 為了回答這一點,讓我們快速查看元件。
Azure 虛擬桌面服務有兩個需要驗證的元件:
- Azure 虛擬桌面用戶端中的摘要,可為使用者提供他們可存取的可用桌面或應用程式清單。 此驗證程式會在 Microsoft Entra ID 中進行,這表示此元件不是本文的焦點。
- 用戶選取其中一個可用資源所產生的 RDP 工作階段。 此元件使用 Kerberos 驗證,而且需要遠端使用者的 KDC Proxy。
本文將說明如何在 Azure 虛擬桌面用戶端的 Azure 入口網站 中設定摘要。 如果您想要瞭解如何設定 RD 閘道角色,請參閱 部署 RD 閘道角色。
必要條件
若要使用 KDC Proxy 設定 Azure 虛擬桌面工作階段主機,您需要下列專案:
- 存取 Azure 入口網站 和 Azure 系統管理員帳戶。
- 遠端用戶端電腦必須至少執行 Windows 10,並已安裝 Windows 桌面用戶端。 目前不支援 Web 用戶端。
- 您的電腦上必須已安裝 KDC Proxy。 若要瞭解如何執行這項作,請參閱 設定 Azure 虛擬桌面的 RD 閘道角色。
- 計算機的 OS 必須 Windows Server 2016 或更新版本。
一旦確定您符合這些需求,就可以開始使用。
如何設定 KDC Proxy
若要設定 KDC Proxy:
以系統管理員身分登入 Azure 入口網站。
移至 [Azure 虛擬桌面] 頁面。
選取您要啟用 KDC Proxy 的主機集區,然後選取 [RDP 屬性]。
選取 [ 進階 ] 索引標籤,然後輸入下列格式的值而不含空格:
kdcproxyname:s:<fqdn>
![顯示已選取 [進階] 索引卷標的螢幕快照,其中已輸入步驟 4 中所述的值。](media/advanced-tab-selected.png)
選取 [儲存]。
選取的主機集區現在應該會開始發出 RDP 連線檔案,其中包含您在步驟 4 中輸入的 kdcproxyname 值。
後續步驟
若要瞭解如何管理 KDC Proxy 的遠端桌面服務端並指派 RD 閘道角色,請參閱 部署 RD 閘道角色。
如果您有興趣調整 KDC Proxy 伺服器,請參閱將 高可用性新增至 RD Web 和閘道 Web 前端瞭解如何設定 KDC Proxy 的高可用性。