Výběr strategie ověřování pro Azure Virtual Desktop
Pro uživatele připojující se ke vzdálené relaci existují tři samostatné ověřovací body:
- Ověřování služby pro Azure Virtual Desktop: Načtení seznamu prostředků, ke které má uživatel přístup při přístupu k klientovi. Prostředí závisí na konfiguraci účtu Microsoft Entra. Pokud má uživatel například povolené vícefaktorové ověřování, zobrazí se uživateli výzva k zadání uživatelského účtu a druhé formy ověřování stejným způsobem jako při přístupu k jiným službám.
- Hostitel relace: při spuštění vzdálené relace. Pro hostitele relace se vyžaduje uživatelské jméno a heslo, ale to je pro uživatele bezproblémové, pokud je povolené jednotné přihlašování (SSO).
- Ověřování v relaci: Připojení k jiným prostředkům ve vzdálené relaci
Následující části podrobně popisují každý z těchto bodů ověřování.
Ověřování služby
Pokud chcete získat přístup k prostředkům Azure Virtual Desktopu, musíte se nejprve ověřit ve službě přihlášením pomocí účtu Microsoft Entra. Ověřování probíhá vždy, když se přihlásíte k odběru pracovního prostoru, abyste získali prostředky a připojili se k aplikacím nebo desktopům. Zprostředkovatele identity třetích stran můžete použít, pokud se federují s ID Microsoft Entra.
Vícefaktorové ověřování
Postupujte podle pokynů v tématu Vynucení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop pomocí podmíněného přístupu a zjistěte, jak pro vaše nasazení vynutit vícefaktorové ověřování Microsoft Entra. Tento článek vám také řekne, jak nakonfigurovat, jak často se uživatelům zobrazí výzva k zadání přihlašovacích údajů. Při nasazování virtuálních počítačů připojených k Microsoft Entra si všimněte dodatečných kroků pro hostitelské virtuální počítače relace připojené k Microsoft Entra.
Ověřování bez hesla
K ověření ve službě můžete použít libovolný typ ověřování podporovaný ID Microsoft Entra, jako je Windows Hello pro firmy a další možnosti ověřování bez hesla (například klíče FIDO).
Ověřování čipovou kartou
Pokud chcete použít čipovou kartu k ověření v Microsoft Entra ID, musíte nejprve nakonfigurovat službu AD FS pro ověřování uživatelských certifikátů nebo nakonfigurovat ověřování založené na certifikátech Microsoft Entra.
Ověřování hostitele relace
Pokud jste ještě nepovolili jednotné přihlašování nebo jste přihlašovací údaje uložili místně, budete se také muset ověřit u hostitele relace při spuštění připojení. Následující seznam popisuje, jaké typy ověřování aktuálně podporuje každý klient služby Azure Virtual Desktop. Někteří klienti můžou vyžadovat použití konkrétní verze, kterou najdete na odkazu pro každý typ ověřování.
| Klient | Podporované typy ověřování |
|---|---|
| Desktopový klient Windows | Uživatelské jméno a heslo Čipová karta důvěryhodnost certifikátu Windows Hello pro firmy důvěryhodnost klíče Windows Hello pro firmy s certifikáty Ověřování Microsoft Entra |
| Aplikace Azure Virtual Desktop Store | Uživatelské jméno a heslo Čipová karta důvěryhodnost certifikátu Windows Hello pro firmy důvěryhodnost klíče Windows Hello pro firmy s certifikáty Ověřování Microsoft Entra |
| Aplikace Vzdálená plocha | Uživatelské jméno a heslo |
| Webový klient | Uživatelské jméno a heslo Ověřování Microsoft Entra |
| Klient pro Android | Uživatelské jméno a heslo Ověřování Microsoft Entra |
| Klient pro iOS | Uživatelské jméno a heslo Ověřování Microsoft Entra |
| Klient pro macOS | Uživatelské jméno a heslo Čipová karta: Podpora přihlášení založeného na čipové kartě pomocí přesměrování čipové karty na příkazovém řádku Winlogon, pokud nlA není vyjednáno. Ověřování Microsoft Entra |
Důležité
Aby ověřování fungovalo správně, musí mít místní počítač také přístup k požadovaným adresám URL pro klienty vzdálené plochy.
Jednotné přihlašování (SSO)
Jednotné přihlašování umožňuje připojení přeskočit výzvu k zadání přihlašovacích údajů hostitele relace a automaticky přihlásit uživatele do Windows. U hostitelů relací, kteří jsou připojeni k Microsoft Entra nebo hybridnímu připojení Microsoft Entra, se doporučuje povolit jednotné přihlašování pomocí ověřování Microsoft Entra. Ověřování Microsoft Entra poskytuje další výhody, včetně ověřování bez hesla a podpory zprostředkovatelů identity třetích stran.
Azure Virtual Desktop také podporuje jednotné přihlašování pomocí Active Directory Federation Services (AD FS) (AD FS) pro desktopové a webové klienty Windows.
Bez jednotného přihlašování klient vyzve uživatele k zadání přihlašovacích údajů hostitele relace pro každé připojení. Jediným způsobem, jak se vyhnout zobrazení výzvy, je uložit přihlašovací údaje v klientovi. Doporučujeme ukládat přihlašovací údaje jenom na zabezpečených zařízeních, abyste ostatním uživatelům zabránili v přístupu k vašim prostředkům.
Čipová karta a Windows Hello pro firmy
Azure Virtual Desktop podporuje protokol NT LAN Manager (NTLM) i Kerberos pro ověřování hostitelů relací, ale čipová karta a Windows Hello pro firmy můžou k přihlášení používat protokol Kerberos. Pokud chcete používat Protokol Kerberos, musí klient získat lístky zabezpečení Kerberos ze služby KDC (Key Distribution Center) spuštěné na řadiči domény. Aby klient získal lístky, potřebuje přímý síťový dohled na řadič domény. Můžete získat přehled o tom, že se připojíte přímo v podnikové síti pomocí připojení VPN nebo nastavíte proxy server služby KDC.
Ověřování v relaci
Po připojení k RemoteAppu nebo ploše se může zobrazit výzva k ověření v rámci relace. Tato část vysvětluje, jak v tomto scénáři používat jiné přihlašovací údaje než uživatelské jméno a heslo.
Ověřování bez hesla v relaci
Azure Virtual Desktop podporuje ověřování bez hesla v relaci pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, jako jsou klíče FIDO při použití klienta Windows Desktop. Ověřování bez hesla se povolí automaticky, když hostitel relace a místní počítač používají následující operační systémy:
- Windows 11 – jedna nebo více relací s nainstalovanými kumulativními aktualizacemi 2022–10 pro Windows 11 (KB5018418) nebo novějšími.
- Windows 10 s jednou nebo více relacemi, verze 20H2 nebo novější s nainstalovanými kumulativními aktualizacemi 2022-10 pro Windows 10 (KB5018410) nebo novější.
- Windows Server 2022 s kumulativní aktualizací 2022-10 pro operační systém microsoft serveru (KB5018421) nebo novější.
Pokud chcete ve fondu hostitelů zakázat ověřování bez hesla, musíte přizpůsobit vlastnost RDP. Vlastnost přesměrování WebAuthn najdete na kartě Přesměrování zařízení na webu Azure Portal nebo nastavte vlastnost redirectwebauthn na hodnotu 0 pomocí PowerShellu.
Pokud je tato možnost povolená, všechny požadavky WebAuthn v relaci se přesměrují na místní počítač. K dokončení procesu ověřování můžete použít Windows Hello pro firmy nebo místně připojená bezpečnostní zařízení.
Pokud chcete získat přístup k prostředkům Microsoft Entra pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, musíte pro uživatele povolit klíč zabezpečení FIDO2 jako metodu ověřování. Pokud chcete tuto metodu povolit, postupujte podle kroků v části Povolení metody klíče zabezpečení FIDO2.
Ověřování čipovou kartou v relaci
Pokud chcete v relaci použít čipovou kartu, ujistěte se, že jste na hostiteli relace nainstalovali ovladače čipových karet a povolili přesměrování čipové karty. Zkontrolujte srovnávací graf klienta a ujistěte se, že váš klient podporuje přesměrování čipových karet.