Udostępnij za pośrednictwem


Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu identyfikatora Entra firmy Microsoft, w tym bez hasła

Organizacje mogą zwiększyć bezpieczeństwo maszyn wirtualnych z systemem Windows na platformie Azure dzięki integracji z uwierzytelnianiem firmy Microsoft Entra. Teraz możesz użyć identyfikatora Entra firmy Microsoft jako podstawowej platformy uwierzytelniania do protokołu RDP (Remote Desktop Protocol) w systemie Windows Server 2019 Datacenter w wersji lub nowszej lub Windows 10 1809 lub nowszej. Następnie można centralnie kontrolować i wymuszać kontrolę dostępu opartą na rolach (RBAC) platformy Azure i zasady dostępu warunkowego, które zezwalają na dostęp do maszyn wirtualnych lub odmawiają dostępu do tych maszyn wirtualnych.

W tym artykule pokazano, jak utworzyć i skonfigurować maszynę wirtualną z systemem Windows oraz zalogować się przy użyciu uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft.

Istnieje wiele zalet zabezpieczeń związanych z używaniem uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft w celu logowania się do maszyn wirtualnych z systemem Windows na platformie Azure. To na przykład:

  • Użyj uwierzytelniania Entra firmy Microsoft, w tym bez hasła, aby zalogować się do maszyn wirtualnych z systemem Windows na platformie Azure.

  • Zmniejsz zależność od kont administratorów lokalnych.

  • Złożoność hasła i zasady okresu istnienia hasła skonfigurowane dla identyfikatora Entra firmy Microsoft ułatwiają również zabezpieczanie maszyn wirtualnych z systemem Windows.

  • Za pomocą kontroli dostępu opartej na rolach platformy Azure:

    • Określ, kto może zalogować się do maszyny wirtualnej jako zwykły użytkownik lub z uprawnieniami administratora.
    • Gdy użytkownicy dołączają do zespołu lub opuszczają zespół, możesz zaktualizować zasady kontroli dostępu opartej na rolach platformy Azure dla maszyny wirtualnej w celu udzielenia dostępu zgodnie z potrzebami.
    • Gdy pracownicy opuszczają organizację i ich konta użytkowników są wyłączone lub usuwane z identyfikatora Entra firmy Microsoft, nie mają już dostępu do Twoich zasobów.
  • Skonfiguruj zasady dostępu warunkowego do "uwierzytelniania odpornego na wyłudzanie informacji" przy użyciu funkcji wymagania kontroli nad udzielaniem siły uwierzytelniania lub wymagają uwierzytelniania wieloskładnikowego i innych sygnałów, takich jak ryzyko logowania użytkownika, przed rozpoczęciem korzystania z protokołu RDP na maszynach wirtualnych z systemem Windows.

  • Użyj usługi Azure Policy, aby wdrożyć i przeprowadzić inspekcję zasad, aby wymagać logowania firmy Microsoft dla maszyn wirtualnych z systemem Windows i flagować używanie niezatwierdzonych kont lokalnych na maszynach wirtualnych.

  • Użyj usługi Intune, aby zautomatyzować i skalować dołączanie do firmy Microsoft Entra za pomocą automatycznego rejestrowania maszyn wirtualnych z systemem Windows platformy Azure, które są częścią wdrożeń infrastruktury pulpitu wirtualnego (VDI).

    Automatyczna rejestracja w rozwiązaniu MDM wymaga licencji microsoft Entra ID P1. Maszyny wirtualne z systemem Windows Server nie obsługują rejestracji w rozwiązaniu MDM.

Uwaga

Po włączeniu tej możliwości maszyny wirtualne z systemem Windows na platformie Azure zostaną dołączone do firmy Microsoft Entra. Nie można ich przyłączyć do innej domeny, takiej jak lokalna usługa Active Directory lub Microsoft Entra Domain Services. Jeśli musisz to zrobić, odłącz maszynę wirtualną od identyfikatora Entra firmy Microsoft, odinstalowując rozszerzenie.

Wymagania

Obsługiwane regiony platformy Azure i dystrybucje systemu Windows

Ta funkcja obsługuje obecnie następujące dystrybucje systemu Windows:

  • Windows Server 2019 Datacenter i nowsze
  • Windows 10 1809 lub nowszy
  • Windows 11 21H2 lub nowszy

Ta funkcja jest teraz dostępna w następujących chmurach platformy Azure:

  • Globalna platforma Azure
  • Azure Government
  • Platforma Microsoft Azure obsługiwana przez firmę 21Vianet

Wymagania dotyczące sieci

Aby włączyć uwierzytelnianie firmy Microsoft dla maszyn wirtualnych z systemem Windows na platformie Azure, upewnij się, że konfiguracja sieci maszyny wirtualnej zezwala na dostęp wychodzący do następujących punktów końcowych za pośrednictwem portu TCP 443.

Globalna platforma Azure:

  • https://enterpriseregistration.windows.net: w przypadku rejestracji urządzenia.
  • http://169.254.169.254: punkt końcowy usługi Azure Instance Metadata Service.
  • https://login.microsoftonline.com: w przypadku przepływów uwierzytelniania.
  • https://pas.windows.net: w przypadku przepływów kontroli dostępu opartej na rolach platformy Azure.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: w przypadku rejestracji urządzenia.
  • http://169.254.169.254: punkt końcowy usługi Azure Instance Metadata Service.
  • https://login.microsoftonline.us: w przypadku przepływów uwierzytelniania.
  • https://pasff.usgovcloudapi.net: w przypadku przepływów kontroli dostępu opartej na rolach platformy Azure.

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: w przypadku rejestracji urządzenia.
  • http://169.254.169.254: punkt końcowy usługi Azure Instance Metadata Service.
  • https://login.chinacloudapi.cn: w przypadku przepływów uwierzytelniania.
  • https://pas.chinacloudapi.cn: w przypadku przepływów kontroli dostępu opartej na rolach platformy Azure.

Wymagania dotyczące uwierzytelniania

Konta gościa microsoft Entra nie mogą łączyć się z maszynami wirtualnymi platformy Azure ani maszynami wirtualnymi z włączoną usługą Azure Bastion za pośrednictwem uwierzytelniania firmy Microsoft Entra.

Włączanie logowania do usługi Microsoft Entra dla maszyny wirtualnej z systemem Windows na platformie Azure

Aby użyć nazwy logowania microsoft Entra dla maszyny wirtualnej z systemem Windows na platformie Azure, musisz:

  1. Włącz opcję logowania entra firmy Microsoft dla maszyny wirtualnej.
  2. Konfigurowanie przypisań ról platformy Azure dla użytkowników, którzy mają uprawnienia do logowania się do maszyny wirtualnej.

Istnieją dwa sposoby włączania logowania do usługi Microsoft Entra dla maszyny wirtualnej z systemem Windows:

  • Witryna Azure Portal podczas tworzenia maszyny wirtualnej z systemem Windows.
  • Usługa Azure Cloud Shell podczas tworzenia maszyny wirtualnej z systemem Windows lub przy użyciu istniejącej maszyny wirtualnej z systemem Windows.

Uwaga

Jeśli obiekt urządzenia o tej samej nazwie displayName co nazwa hosta maszyny wirtualnej, na której zainstalowano rozszerzenie, maszyna wirtualna nie może dołączyć identyfikatora Entra firmy Microsoft z błędem duplikacji nazwy hosta. Unikaj duplikowania, modyfikując nazwę hosta.

Azure Portal

Możesz włączyć logowanie do usługi Microsoft Entra dla obrazów maszyn wirtualnych w systemie Windows Server 2019 Datacenter lub Windows 10 1809 lub nowszym.

Aby utworzyć maszynę wirtualną z systemem Windows Server 2019 Datacenter na platformie Azure przy użyciu nazwy logowania firmy Microsoft Entra:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta, które ma dostęp do tworzenia maszyn wirtualnych, a następnie wybierz pozycję + Utwórz zasób.

  2. Na pasku wyszukiwania Wyszukaj w witrynie Marketplace wpisz Windows Server.

  3. Wybierz pozycję Windows Server, a następnie z listy rozwijanej Wybierz plan oprogramowania wybierz pozycję Windows Server 2019 Datacenter.

  4. Wybierz pozycję Utwórz.

  5. Na karcie Zarządzanie zaznacz pole wyboru Login with Microsoft Entra ID (Logowanie przy użyciu identyfikatora entra firmy Microsoft) w sekcji Microsoft Entra ID.

    Zrzut ekranu przedstawiający kartę Zarządzanie na stronie witryny Azure Portal na potrzeby tworzenia maszyny wirtualnej.

  6. Upewnij się, że wybrano opcję Tożsamość zarządzana przypisana przez system w sekcji Tożsamość . Ta akcja powinna nastąpić automatycznie po włączeniu logowania za pomocą identyfikatora Entra firmy Microsoft.

  7. Zapoznaj się z resztą środowiska tworzenia maszyny wirtualnej. Musisz utworzyć nazwę użytkownika i hasło administratora dla maszyny wirtualnej.

Uwaga

Aby zalogować się do maszyny wirtualnej przy użyciu poświadczeń firmy Microsoft Entra, najpierw należy skonfigurować przypisania ról dla maszyny wirtualnej.

Azure Cloud Shell

Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, której możesz używać do wykonywania kroków opisanych w tym artykule. Typowe narzędzia platformy Azure są wstępnie zainstalowane i skonfigurowane w usłudze Cloud Shell na potrzeby użycia z poziomu konta. Wystarczy wybrać przycisk Kopiuj , aby skopiować kod, wkleić go w usłudze Cloud Shell, a następnie wybrać Enter, aby go uruchomić. Usługę Cloud Shell można otworzyć na kilka sposobów:

  • Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu.
  • Otwórz usługę Cloud Shell w swojej przeglądarce.
  • Wybierz przycisk Cloud Shell w menu w prawym górnym rogu witryny Azure Portal.

Ten artykuł wymaga uruchomienia interfejsu wiersza polecenia platformy Azure w wersji 2.0.31 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli musisz zainstalować lub uaktualnić, zobacz artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

  1. Utwórz grupę zasobów, uruchamiając polecenie az group create.
  2. Utwórz maszynę wirtualną, uruchamiając polecenie az vm create. Użyj obsługiwanej dystrybucji w obsługiwanym regionie.
  3. Zainstaluj rozszerzenie microsoft Entra login VM.

Poniższy przykład wdraża maszynę wirtualną o nazwie myVM (która używa Win2019Datacenter) w grupie zasobów o nazwie myResourceGroup, w southcentralus regionie. W tym przykładzie i następnym możesz w razie potrzeby podać własną grupę zasobów i nazwy maszyn wirtualnych.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Uwaga

Przed zainstalowaniem rozszerzenia microsoft Entra login VM należy włączyć tożsamość zarządzaną przypisaną przez system na maszynie wirtualnej. Tożsamości zarządzane są przechowywane w jednej dzierżawie firmy Microsoft Entra i obecnie nie obsługują scenariuszy między katalogami.

Utworzenie maszyny wirtualnej i zasobów pomocniczych potrwa kilka minut.

Na koniec zainstaluj rozszerzenie microsoft Entra login VM, aby włączyć logowanie microsoft Entra dla maszyn wirtualnych z systemem Windows. Rozszerzenia maszyn wirtualnych to małe aplikacje, które zapewniają konfigurację po wdrożeniu i zadania automatyzacji w usłudze Azure Virtual Machines. Użyj polecenia az vm extension set, aby zainstalować rozszerzenie AADLoginForWindows na maszynie wirtualnej o nazwie myVM w myResourceGroup grupie zasobów.

Rozszerzenie AADLoginForWindows można zainstalować na istniejącej maszynie wirtualnej z systemem Windows Server 2019 lub Windows 10 1809 lub nowszym, aby włączyć je na potrzeby uwierzytelniania firmy Microsoft Entra. W poniższym przykładzie użyto interfejsu wiersza polecenia platformy Azure do zainstalowania rozszerzenia:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Po zainstalowaniu rozszerzenia na maszynie wirtualnej provisioningState zostanie wyświetlone polecenie Succeeded.

Konfigurowanie przypisań ról dla maszyny wirtualnej

Po utworzeniu maszyny wirtualnej musisz przypisać jedną z następujących ról platformy Azure, aby określić, kto może zalogować się do maszyny wirtualnej. Aby przypisać te role, musisz mieć rolę Administratora dostępu do danych maszyny wirtualnej lub dowolną rolę obejmującą Microsoft.Authorization/roleAssignments/write akcję, taką jak rola Administrator kontroli dostępu opartej na rolach. Jeśli jednak używasz innej roli niż administrator dostępu do danych maszyny wirtualnej, zalecamy dodanie warunku w celu zmniejszenia uprawnień do tworzenia przypisań ról.

  • Logowanie administratora maszyny wirtualnej: użytkownicy, którzy mają przypisaną tę rolę, mogą logować się do maszyny wirtualnej platformy Azure z uprawnieniami administratora.
  • Logowanie użytkownika maszyny wirtualnej: użytkownicy, którzy mają przypisaną tę rolę, mogą logować się do maszyny wirtualnej platformy Azure przy użyciu zwykłych uprawnień użytkownika.

Aby zezwolić użytkownikowi na logowanie się do maszyny wirtualnej za pośrednictwem protokołu RDP, musisz przypisać rolę Logowanie administratora maszyny wirtualnej lub Logowanie użytkownika maszyny wirtualnej do zasobu maszyny wirtualnej.

Uwaga

Ręczne podniesienie użytkownika do roli administratora lokalnego na maszynie wirtualnej przez dodanie użytkownika do członka lokalnej grupy administratorów lub uruchomienie net localgroup administrators /add "AzureAD\UserUpn" polecenia nie jest obsługiwane. Aby autoryzować logowanie maszyny wirtualnej, musisz użyć powyższych ról platformy Azure.

Użytkownik platformy Azure, który ma przypisaną rolę Właściciel lub Współautor dla maszyny wirtualnej, nie ma automatycznie uprawnień do logowania się do maszyny wirtualnej za pośrednictwem protokołu RDP. Powodem jest zapewnienie inspekcji separacji między zestawem osób kontrolujących maszyny wirtualne a zestawem osób, które mogą uzyskiwać dostęp do maszyn wirtualnych.

Istnieją dwa sposoby konfigurowania przypisań ról dla maszyny wirtualnej:

  • Środowisko centrum administracyjnego firmy Microsoft Entra
  • Środowisko usługi Azure Cloud Shell

Uwaga

Role Logowania administratora maszyny wirtualnej i Logowania użytkownika maszyny wirtualnej używają funkcji dataActions, aby nie można było ich przypisać w zakresie grupy zarządzania. Obecnie te role można przypisywać tylko w ramach subskrypcji, grupy zasobów lub zakresu zasobów.

Centrum administracyjne Microsoft Entra

Aby skonfigurować przypisania ról dla maszyn wirtualnych z systemem Windows Server 2019 z obsługą identyfikatora entra firmy Microsoft:

  1. W obszarze Grupa zasobów wybierz grupę zasobów zawierającą maszynę wirtualną i skojarzona z nią sieć wirtualną, interfejs sieciowy, publiczny adres IP lub zasób modułu równoważenia obciążenia.

  2. Wybierz pozycję Kontrola dostępu (IAM).

  3. Wybierz pozycję Dodaj>przypisanie roli, aby otworzyć stronę Dodawanie przypisania roli.

  4. Przypisz następującą rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

    Ustawienie Wartość
    Rola Logowanie administratora maszyny wirtualnej lub logowanie użytkownika maszyny wirtualnej
    Przypisz dostęp do Użytkownik, grupa, jednostka usługi lub tożsamość zarządzana

    Zrzut ekranu przedstawiający stronę dodawania przypisania roli.

Azure Cloud Shell

W poniższym przykładzie użyto polecenia az role assignment create , aby przypisać rolę logowania administratora maszyny wirtualnej do maszyny wirtualnej dla bieżącego użytkownika platformy Azure. Możesz uzyskać nazwę użytkownika bieżącego konta platformy Azure przy użyciu polecenia az account show i ustawić zakres maszyny wirtualnej utworzonej w poprzednim kroku przy użyciu polecenia az vm show.

Zakres można również przypisać na poziomie grupy zasobów lub subskrypcji. Mają zastosowanie normalne uprawnienia dziedziczenia RBAC platformy Azure.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Uwaga

Jeśli domena microsoft Entra i domena nazwy użytkownika logowania nie są zgodne, musisz określić identyfikator obiektu konta użytkownika przy użyciu , --assignee-object-ida nie tylko nazwy użytkownika dla --assignee. Identyfikator obiektu dla konta użytkownika można uzyskać przy użyciu polecenia az ad user list.

Aby uzyskać więcej informacji o sposobie używania kontroli dostępu opartej na rolach platformy Azure do zarządzania dostępem do zasobów subskrypcji platformy Azure, zobacz następujące artykuły:

Logowanie przy użyciu poświadczeń usługi Microsoft Entra na maszynie wirtualnej z systemem Windows

Możesz zalogować się za pośrednictwem protokołu RDP przy użyciu jednej z dwóch metod:

  1. Bez hasła przy użyciu dowolnego z obsługiwanych poświadczeń firmy Microsoft Entra (zalecane)
  2. Hasło/ograniczone bez hasła przy użyciu Windows Hello dla firm wdrożone przy użyciu modelu zaufania certyfikatów

Logowanie przy użyciu uwierzytelniania bez hasła przy użyciu identyfikatora Entra firmy Microsoft

Aby używać uwierzytelniania bez hasła dla maszyn wirtualnych z systemem Windows na platformie Azure, potrzebujesz maszyny klienckiej z systemem Windows i hosta sesji (VM) w następujących systemach operacyjnych:

Uwaga

W przypadku logowania się do opcji komputera zdalnego przy użyciu konta internetowego nie ma potrzeby dołączania urządzenia lokalnego do domeny lub identyfikatora Entra firmy Microsoft.

Aby nawiązać połączenie z komputerem zdalnym:

  • Uruchom połączenie pulpitu zdalnego z usługi Windows Search lub, uruchamiając polecenie mstsc.exe.
  • Wybierz pozycję Użyj konta internetowego, aby zalogować się do opcji komputera zdalnego na karcie Zaawansowane . Ta opcja jest równoważna enablerdsaadauth właściwości RDP. Aby uzyskać więcej informacji, zobacz Obsługiwane właściwości protokołu RDP z usługami pulpitu zdalnego.
  • Określ nazwę komputera zdalnego i wybierz pozycję Połącz.

Ważne

Nie można używać adresu IP z opcją Użyj konta internetowego do logowania się do komputera zdalnego. Nazwa musi być zgodna z nazwą hosta urządzenia zdalnego w usłudze Microsoft Entra ID i być adresowalne pod adresem IP urządzenia zdalnego.

  • Po wyświetleniu monitu o poświadczenia określ nazwę użytkownika w user@domain.com formacie.
  • Podczas nawiązywania połączenia z nowym komputerem zostanie wyświetlony monit o zezwolenie na połączenie pulpitu zdalnego. Firma Microsoft Entra zapamiętuje maksymalnie 15 hostów przez 30 dni przed ponownym wyświetleniem monitu. Jeśli widzisz to okno dialogowe, wybierz pozycję Tak , aby nawiązać połączenie.

Ważne

Jeśli Twoja organizacja skonfigurowała i korzysta z dostępu warunkowego firmy Microsoft Entra, urządzenie musi spełniać wymagania dostępu warunkowego, aby zezwolić na połączenie z komputerem zdalnym. Zasady dostępu warunkowego mogą być stosowane do aplikacji Pulpit zdalny Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) w celu uzyskania kontrolowanego dostępu.

Uwaga

Ekran blokady systemu Windows w sesji zdalnej nie obsługuje tokenów uwierzytelniania entra firmy Microsoft ani metod uwierzytelniania bez hasła, takich jak klucze FIDO. Brak obsługi tych metod uwierzytelniania oznacza, że użytkownicy nie mogą odblokować ekranów w sesji zdalnej. Podczas próby zablokowania sesji zdalnej za pośrednictwem akcji użytkownika lub zasad systemowych sesja jest rozłączona, a usługa wysyła użytkownikowi komunikat wyjaśniający, że zostały rozłączone. Rozłączenie sesji gwarantuje również, że po ponownym uruchomieniu połączenia po okresie braku aktywności identyfikator Entra firmy Microsoft ponownie sprawdza odpowiednie zasady dostępu warunkowego.

Logowanie przy użyciu hasła/ograniczonego uwierzytelniania bez hasła przy użyciu identyfikatora Entra firmy Microsoft

Ważne

Zdalne połączenie z maszynami wirtualnymi, które są przyłączone do identyfikatora Entra firmy Microsoft, jest dozwolone tylko z komputerów z systemem Windows 10 lub nowszym, które są zarejestrowane przez firmę Microsoft Entra (minimalna wymagana kompilacja to 20H1) lub przyłączone hybrydy firmy Microsoft Entra lub Microsoft Entra do tego samego katalogu co maszyna wirtualna. Ponadto do protokołu RDP przy użyciu poświadczeń firmy Microsoft Entra użytkownicy muszą należeć do jednej z dwóch ról platformy Azure, identyfikatora logowania administratora maszyny wirtualnej lub logowania użytkownika maszyny wirtualnej.

Jeśli używasz zarejestrowanego komputera z systemem Windows 10 lub nowszym firmy Microsoft, musisz wprowadzić poświadczenia w AzureAD\UPN formacie (na przykład AzureAD\john@contoso.com). Obecnie możesz użyć usługi Azure Bastion do logowania się przy użyciu uwierzytelniania firmy Microsoft Entra za pośrednictwem interfejsu wiersza polecenia platformy Azure i natywnego klienta RDP mstsc.

Aby zalogować się do maszyny wirtualnej z systemem Windows Server 2019 przy użyciu identyfikatora Entra firmy Microsoft:

  1. Przejdź do strony przeglądu maszyny wirtualnej, która została włączona przy użyciu logowania firmy Microsoft Entra.
  2. Wybierz pozycję Połącz, aby otworzyć okienko Połącz z maszyną wirtualną .
  3. Wybierz pozycję Pobierz plik RDP.
  4. Wybierz pozycję Otwórz, aby otworzyć klienta podłączanie pulpitu zdalnego.
  5. Wybierz pozycję Połącz, aby otworzyć okno dialogowe logowania systemu Windows.
  6. Zaloguj się przy użyciu poświadczeń usługi Microsoft Entra.

Teraz logujesz się do maszyny wirtualnej platformy Azure z systemem Windows Server 2019 z uprawnieniami roli przypisanymi, takimi jak użytkownik maszyny wirtualnej lub administrator maszyny wirtualnej.

Uwaga

Możesz zapisać plik . Plik RDP lokalnie na komputerze, aby uruchomić przyszłe połączenia pulpitu zdalnego z maszyną wirtualną, zamiast przechodzić do strony przeglądu maszyny wirtualnej w witrynie Azure Portal i przy użyciu opcji połącz.

Wymuszanie zasad dostępu warunkowego

Możesz wymusić zasady dostępu warunkowego, takie jak "odporne na wyłudzenie informacji uwierzytelnianie wieloskładnikowe", przy użyciu opcji wymagania kontroli siły uwierzytelniania lub uwierzytelniania wieloskładnikowego lub sprawdzania ryzyka logowania użytkownika, zanim autoryzujesz dostęp do maszyn wirtualnych z systemem Windows na platformie Azure, które są włączone przy użyciu logowania firmy Microsoft Entra. Aby zastosować zasady dostępu warunkowego, należy wybrać aplikację Logowania maszyny wirtualnej systemu Windows platformy Microsoft Azure z poziomu opcji przypisywania aplikacji w chmurze lub akcji. Następnie należy użyć ryzyka logowania jako warunku lub "odpornej na wyłudzanie informacji uwierzytelniania siły kontroli lub wymagać uwierzytelniania wieloskładnikowego jako kontroli nad udzielaniem dostępu.

Uwaga

Jeśli potrzebujesz uwierzytelniania wieloskładnikowego jako kontrolki udzielania dostępu do aplikacji logowania maszyny wirtualnej z systemem Windows platformy Microsoft Azure, musisz podać oświadczenie uwierzytelniania wieloskładnikowego jako część klienta, który inicjuje sesję protokołu RDP do docelowej maszyny wirtualnej z systemem Windows na platformie Azure. Można to osiągnąć przy użyciu metody uwierzytelniania bez hasła dla protokołu RDP, która spełnia zasady dostępu warunkowego, jednak jeśli używasz ograniczonej metody bez hasła dla protokołu RDP, jedynym sposobem osiągnięcia tego w systemie Windows 10 lub nowszym jest użycie Windows Hello dla firm numeru PIN lub uwierzytelniania biometrycznego z klientem RDP. Dodano obsługę uwierzytelniania biometrycznego do klienta RDP w systemie Windows 10 w wersji 1809. Pulpit zdalny korzystający z uwierzytelniania Windows Hello dla firm jest dostępny tylko w przypadku wdrożeń korzystających z modelu zaufania certyfikatów. Obecnie nie jest dostępny dla modelu zaufania kluczy.

Używanie usługi Azure Policy do spełnienia standardów i oceny zgodności

Używanie usługi Azure Policy w celu:

  • Upewnij się, że logowanie firmy Microsoft Entra jest włączone dla nowych i istniejących maszyn wirtualnych z systemem Windows.
  • Ocena zgodności środowiska na dużą skalę na pulpicie nawigacyjnym zgodności.

Dzięki tej funkcji można użyć wielu poziomów wymuszania. Możesz oznaczyć nowe i istniejące maszyny wirtualne z systemem Windows w środowisku, które nie mają włączonego logowania firmy Microsoft Entra. Za pomocą usługi Azure Policy można również wdrożyć rozszerzenie Microsoft Entra na nowych maszynach wirtualnych z systemem Windows, które nie mają włączonego logowania firmy Microsoft Entra, i skorygować istniejące maszyny wirtualne z systemem Windows do tego samego standardu.

Oprócz tych możliwości można użyć usługi Azure Policy do wykrywania i flagowania maszyn wirtualnych z systemem Windows, które mają niezatwierdzone konta lokalne utworzone na ich maszynach. Aby dowiedzieć się więcej, zapoznaj się z tematem Azure Policy.

Rozwiązywanie problemów z wdrażaniem

Rozszerzenie AADLoginForWindows musi zostać pomyślnie zainstalowane, aby maszyna wirtualna zakończyła proces dołączania do firmy Microsoft. Jeśli nie można poprawnie zainstalować rozszerzenia maszyny wirtualnej, wykonaj następujące kroki:

  1. Nawiąż połączenie RDP z maszyną wirtualną przy użyciu konta administratora lokalnego i sprawdź plik CommandExecution.log w folderze C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Uwaga

    Jeśli rozszerzenie zostanie uruchomione ponownie po początkowym błędzie, dziennik z błędem wdrożenia zostanie zapisany jako CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Otwórz okno programu PowerShell na maszynie wirtualnej. Sprawdź, czy następujące zapytania względem punktu końcowego usługi Azure Instance Metadata Service uruchomionego na hoście platformy Azure zwracają oczekiwane dane wyjściowe:

    Polecenie do uruchomienia Oczekiwane dane wyjściowe
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Poprawne informacje o maszynie wirtualnej platformy Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Prawidłowy identyfikator dzierżawy skojarzony z subskrypcją platformy Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Prawidłowy token dostępu wystawiony przez identyfikator firmy Microsoft Entra dla tożsamości zarządzanej przypisanej do tej maszyny wirtualnej

    Uwaga

    Token dostępu można zdekodować przy użyciu narzędzia takiego jak https://jwt.ms/. Sprawdź, czy oid wartość w tokenie dostępu jest zgodna z tożsamością zarządzaną przypisaną do maszyny wirtualnej.

  3. Upewnij się, że wymagane punkty końcowe są dostępne z maszyny wirtualnej za pośrednictwem programu PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Uwaga

    Zastąp ciąg <TenantID> identyfikatorem dzierżawy Entra firmy Microsoft skojarzonym z subskrypcją platformy Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.neti pas.windows.net powinien zwrócić 404 Nie znaleziono, co jest oczekiwane zachowanie.

  4. Wyświetl stan urządzenia, uruchamiając polecenie dsregcmd /status. Celem jest, aby stan urządzenia był wyświetlany jako AzureAdJoined : YES.

    Uwaga

    Działanie dołączania do firmy Microsoft Entra jest przechwytywane w Podgląd zdarzeń w dzienniku Rejestracji urządzenia użytkownika\Administrator pod adresem Podgląd zdarzeń (lokalnie)\Dzienniki aplikacji i usług\Microsoft\Windows\Rejestracja urządzenia użytkownika\Administrator.

Jeśli rozszerzenie AADLoginForWindows zakończy się niepowodzeniem z kodem błędu, możesz wykonać następujące kroki.

Kod błędu terminalu 1007 i kod zakończenia —2145648574.

Kod błędu terminalu 1007 i kod zakończenia — 2145648574 przetłumaczyć na DSREG_E_MSI_TENANTID_UNAVAILABLE. Rozszerzenie nie może wykonywać zapytań dotyczących informacji o dzierżawie firmy Microsoft.

Połącz się z maszyną wirtualną jako administrator lokalny i sprawdź, czy punkt końcowy zwraca prawidłowy identyfikator dzierżawy z usługi Azure Instance Metadata Service. Uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień na maszynie wirtualnej:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Ten problem może również wystąpić, gdy administrator maszyny wirtualnej spróbuje zainstalować rozszerzenie AADLoginForWindows, ale tożsamość zarządzana przypisana przez system nie włączyła najpierw maszyny wirtualnej. W takim przypadku przejdź do okienka Tożsamość maszyny wirtualnej. Na karcie Przypisane przez system sprawdź, czy przełącznik Stan jest ustawiony na włączone.

Kod zakończenia — 2145648607

Kod zakończenia — 2145648607 przekłada się na DSREG_AUTOJOIN_DISC_FAILED. Rozszerzenie nie może uzyskać dostępu do punktu końcowego https://enterpriseregistration.windows.net .

  1. Sprawdź, czy wymagane punkty końcowe są dostępne z maszyny wirtualnej za pośrednictwem programu PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Uwaga

    Zastąp ciąg <TenantID> identyfikatorem dzierżawy Entra firmy Microsoft skojarzonym z subskrypcją platformy Azure. Jeśli chcesz znaleźć identyfikator dzierżawy, możesz umieścić wskaźnik myszy na nazwie konta lub wybrać pozycję Identyfikator dzierżawy Właściwości>przeglądu>tożsamości.>

    Próby nawiązania połączenia enterpriseregistration.windows.net mogą zwrócić błąd 404 Nie znaleziono, co jest oczekiwane. Próby nawiązania połączenia pas.windows.net mogą spowodować wyświetlenie monitu o podanie poświadczeń numeru PIN lub zwrócenie wartości 404 Nie znaleziono. (Nie musisz wprowadzać numeru PIN). Jeden z nich jest wystarczający, aby sprawdzić, czy adres URL jest osiągalny.

  2. Jeśli którekolwiek z poleceń zakończy się niepowodzeniem z komunikatem "Nie można rozpoznać hosta <URL>", spróbuj uruchomić to polecenie, aby określić, z którego serwera DNS korzysta maszyna wirtualna:

    nslookup <URL>

    Uwaga

    Zastąp <URL> ciąg w pełni kwalifikowanymi nazwami domen używanymi przez punkty końcowe, takimi jak login.microsoftonline.com.

  3. Sprawdź, czy określenie publicznego serwera DNS umożliwia pomyślne użycie polecenia:

    nslookup <URL> 208.67.222.222

  4. W razie potrzeby zmień serwer DNS przypisany do sieciowej grupy zabezpieczeń, do której należy maszyna wirtualna platformy Azure.

Kod zakończenia 51

Kod zakończenia 51 przekłada się na "To rozszerzenie nie jest obsługiwane w systemie operacyjnym maszyny wirtualnej".

Rozszerzenie AADLoginForWindows ma być zainstalowane tylko w systemie Windows Server 2019 lub Windows 10 (kompilacja 1809 lub nowsza). Upewnij się, że wersja lub kompilacja systemu Windows jest obsługiwana. Jeśli rozszerzenie nie jest obsługiwane, odinstaluj je.

Rozwiązywanie problemów z logowaniem

Skorzystaj z poniższych informacji, aby rozwiązać problemy z logowaniem.

Stan urządzenia i logowania jednokrotnego można wyświetlić, uruchamiając polecenie dsregcmd /status. Celem jest, aby stan urządzenia był wyświetlany jako AzureAdJoined : YES i dla stanu logowania jednokrotnego w celu wyświetlenia AzureAdPrt : YES.

Logowanie RDP za pośrednictwem kont Microsoft Entra jest przechwytywane w Podgląd zdarzeń w obszarze Dzienniki aplikacji i usług\Microsoft\Windows\AAD\Operational dzienniki zdarzeń.

Rola platformy Azure nie została przypisana

Podczas inicjowania połączenia pulpitu zdalnego z maszyną wirtualną może zostać wyświetlony następujący komunikat o błędzie: "Twoje konto jest skonfigurowane, aby uniemożliwić korzystanie z tego urządzenia. Aby uzyskać więcej informacji, skontaktuj się z administratorem systemu.

Zrzut ekranu przedstawiający komunikat informujący o skonfigurowaniu konta w celu uniemożliwienia korzystania z tego urządzenia.

Sprawdź, czy skonfigurowano zasady kontroli dostępu opartej na rolach platformy Azure dla maszyny wirtualnej, które przyznają użytkownikowi rolę Logowanie administratora maszyny wirtualnej lub Logowanie użytkownika maszyny wirtualnej.

Uwaga

Jeśli masz problemy z przypisaniami ról platformy Azure, zobacz Rozwiązywanie problemów z kontrolą dostępu opartą na rolach platformy Azure.

Wymagana zmiana nieautoryzowanego klienta lub hasła

Podczas inicjowania połączenia pulpitu zdalnego z maszyną wirtualną może zostać wyświetlony następujący komunikat o błędzie: "Twoje poświadczenia nie zadziałały".

Zrzut ekranu przedstawiający komunikat informujący o tym, że poświadczenia nie działały.

Wypróbuj następujące rozwiązania:

  • Komputer z systemem Windows 10 lub nowszym używany do inicjowania połączenia pulpitu zdalnego musi być przyłączony do firmy Microsoft Entra lub przyłączony hybrydowy microsoft Entra do tego samego katalogu Firmy Microsoft Entra. Aby uzyskać więcej informacji na temat tożsamości urządzenia, zobacz artykuł Co to jest tożsamość urządzenia?.

    Uwaga

    System Windows 10 Build 20H1 dodał obsługę zarejestrowanego komputera firmy Microsoft w celu zainicjowania połączenia RDP z maszyną wirtualną. Jeśli używasz komputera zarejestrowanego przez firmę Microsoft Entra (nie przyłączonego do firmy Microsoft lub przyłączonego hybrydowego microsoft Entra) jako klienta RDP do inicjowania połączeń z maszyną wirtualną, musisz wprowadzić poświadczenia w formacie AzureAD\UPN (na przykład AzureAD\john@contoso.com).

    Sprawdź, czy rozszerzenie AADLoginForWindows nie zostało odinstalowane po zakończeniu dołączania do firmy Microsoft Entra.

    Upewnij się również, że zabezpieczenia sieci zasad zabezpieczeń: Zezwalaj na żądania uwierzytelniania PKU2U na tym komputerze do korzystania z tożsamości online jest włączone zarówno na serwerze , jak i na kliencie.

  • Sprawdź, czy użytkownik nie ma tymczasowego hasła. Hasła tymczasowe nie mogą służyć do logowania się do połączenia pulpitu zdalnego.

    Zaloguj się przy użyciu konta użytkownika w przeglądarce internetowej. Na przykład zaloguj się do witryny Azure Portal w prywatnym oknie przeglądania. Jeśli zostanie wyświetlony monit o zmianę hasła, ustaw nowe hasło. Następnie spróbuj ponownie nawiązać połączenie.

Wymagana metoda logowania uwierzytelniania wieloskładnikowego

Podczas inicjowania połączenia pulpitu zdalnego z maszyną wirtualną może zostać wyświetlony następujący komunikat o błędzie: "Metoda logowania, której próbujesz użyć, nie jest dozwolona. Spróbuj użyć innej metody logowania lub skontaktuj się z administratorem systemu.

Zrzut ekranu przedstawiający komunikat informujący, że metoda logowania, której próbujesz użyć, nie jest dozwolona.

Jeśli skonfigurowano zasady dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego lub starszej wersji włączonej dla użytkownika/wymuszonej uwierzytelniania wieloskładnikowego firmy Microsoft Entra przed uzyskaniem dostępu do zasobu, należy upewnić się, że komputer z systemem Windows 10 lub nowszym, który inicjuje połączenie pulpitu zdalnego z maszyną wirtualną, loguje się przy użyciu silnej metody uwierzytelniania, takiej jak Windows Hello. Jeśli nie używasz silnej metody uwierzytelniania dla połączenia pulpitu zdalnego, zostanie wyświetlony błąd.

Inny komunikat o błędzie związany z uwierzytelnianiem wieloskładnikowym jest opisany wcześniej: "Twoje poświadczenia nie działały".

Zrzut ekranu przedstawiający komunikat informujący, że poświadczenia nie zadziałały.

Jeśli skonfigurowano starsze ustawienie uwierzytelniania wieloskładnikowego firmy Microsoft włączone/wymuszone przez użytkownika i zostanie wyświetlony powyższy błąd, możesz rozwiązać ten problem, usuwając ustawienie uwierzytelniania wieloskładnikowego dla użytkownika. Aby uzyskać więcej informacji, zobacz artykuł Enable per-user Microsoft Entra multifactor authentication to secure sign-in events (Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników w celu zabezpieczenia zdarzeń logowania).

Jeśli nie wdrożono Windows Hello dla firm i jeśli nie jest to obecnie opcja, możesz skonfigurować zasady dostępu warunkowego wykluczające aplikację logowania maszyny wirtualnej platformy Microsoft Azure z systemem Windows z listy aplikacji w chmurze, które wymagają uwierzytelniania wieloskładnikowego. Aby dowiedzieć się więcej na temat Windows Hello dla firm, zobacz Windows Hello dla firm omówienie.

Uwaga

Windows Hello dla firm uwierzytelnianie za pomocą protokołu RDP jest obsługiwane w przypadku kilku wersji systemu Windows 10. Dodano obsługę uwierzytelniania biometrycznego przy użyciu protokołu RDP w systemie Windows 10 w wersji 1809. Korzystanie z uwierzytelniania Windows Hello dla firm podczas protokołu RDP jest dostępne dla wdrożeń korzystających z modelu zaufania certyfikatów lub modelu zaufania klucza.

Podziel się swoją opinią na temat tej funkcji lub zgłoś problemy z używaniem jej na forum opinii firmy Microsoft Entra.

Brak aplikacji

Jeśli w dostępie warunkowym brakuje aplikacji logowania maszyny wirtualnej platformy Microsoft Azure z systemem Windows, upewnij się, że aplikacja znajduje się w dzierżawie:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  3. Usuń filtry, aby wyświetlić wszystkie aplikacje i wyszukać maszynę wirtualną. Jeśli w związku z tym nie widzisz logowania maszyny wirtualnej z systemem Microsoft Azure z systemem Windows, w dzierżawie brakuje jednostki usługi.

Napiwek

Niektóre dzierżawy mogą zobaczyć aplikację o nazwie Logowanie maszyny wirtualnej z systemem Windows platformy Azure zamiast logowania do maszyny wirtualnej z systemem Windows platformy Microsoft Azure. Aplikacja będzie mieć ten sam identyfikator aplikacji 372140e0-b3b7-4226-8ef9-d579867966201.

Następne kroki

Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz Co to jest microsoft Entra ID?.