Obsługiwane tożsamości i metody uwierzytelniania
W tym artykule przedstawimy krótkie omówienie rodzajów tożsamości i metod uwierzytelniania, których można używać w usłudze Azure Virtual Desktop.
Tożsamości
Usługa Azure Virtual Desktop obsługuje różne typy tożsamości w zależności od wybranej konfiguracji. W tej sekcji opisano tożsamości, których można użyć dla każdej konfiguracji.
Ważne
Usługa Azure Virtual Desktop nie obsługuje logowania się do usługi Microsoft Entra ID przy użyciu jednego konta użytkownika, a następnie logowania się do systemu Windows przy użyciu oddzielnego konta użytkownika. Logowanie przy użyciu dwóch różnych kont w tym samym czasie może prowadzić do ponownego nawiązania połączenia z niewłaściwym hostem sesji, nieprawidłowymi lub brakującymi informacjami w witrynie Azure Portal oraz komunikatami o błędach wyświetlanymi podczas korzystania z dołączania aplikacji lub dołączania aplikacji MSIX.
Tożsamość lokalna
Ponieważ użytkownicy muszą być odnajdywalni za pośrednictwem identyfikatora Entra firmy Microsoft, aby uzyskać dostęp do usługi Azure Virtual Desktop, tożsamości użytkowników, które istnieją tylko w usługach domena usługi Active Directory (AD DS), nie są obsługiwane. Obejmuje to autonomiczne wdrożenia usługi Active Directory z usługami Active Directory Federation Services (AD FS).
Tożsamość hybrydowa
Usługa Azure Virtual Desktop obsługuje tożsamości hybrydowe za pośrednictwem identyfikatora Entra firmy Microsoft, w tym tożsamości federacyjnych przy użyciu usług AD FS. Możesz zarządzać tymi tożsamościami użytkowników w usługach AD DS i synchronizować je z identyfikatorem Entra FIRMY Microsoft przy użyciu programu Microsoft Entra Connect. Za pomocą identyfikatora Entra firmy Microsoft można również zarządzać tymi tożsamościami i synchronizować je z usługami Microsoft Entra Domain Services.
Podczas uzyskiwania dostępu do usługi Azure Virtual Desktop przy użyciu tożsamości hybrydowych czasami główna nazwa użytkownika (UPN) lub identyfikator zabezpieczeń (SID) użytkownika w usłudze Active Directory (AD) i identyfikator entra firmy Microsoft nie są zgodne. Na przykład konto user@contoso.local usługi AD może odpowiadać identyfikatorowi user@contoso.com Entra firmy Microsoft. Usługa Azure Virtual Desktop obsługuje tylko ten typ konfiguracji, jeśli jest zgodna zarówno nazwa UPN, jak i identyfikator SID dla kont ad i Microsoft Entra ID. Identyfikator SID odnosi się do właściwości obiektu użytkownika "ObjectSID" w usługach AD i "OnPremisesSecurityIdentifier" w identyfikatorze Entra firmy Microsoft.
Tożsamość tylko w chmurze
Usługa Azure Virtual Desktop obsługuje tożsamości tylko w chmurze w przypadku korzystania z maszyn wirtualnych dołączonych do firmy Microsoft Entra. Ci użytkownicy są tworzeni i zarządzani bezpośrednio w usłudze Microsoft Entra ID.
Uwaga
Tożsamości hybrydowe można również przypisać do grup aplikacji usługi Azure Virtual Desktop hostujących hosty hostujących hosty sesji typu przyłączone do firmy Microsoft Entra.
Tożsamość federacyjna
Jeśli używasz dostawcy tożsamości innej firmy( IdP), innego niż Microsoft Entra ID lub domena usługi Active Directory Services, do zarządzania kontami użytkowników, musisz upewnić się, że:
- Twój dostawca tożsamości jest federacyjny z identyfikatorem Entra firmy Microsoft.
- Hosty sesji są przyłączone do firmy Microsoft lub dołączone hybrydowe rozwiązanie Microsoft Entra.
- Możesz włączyć uwierzytelnianie microsoft Entra na hoście sesji.
Tożsamość zewnętrzna
Usługa Azure Virtual Desktop obecnie nie obsługuje tożsamości zewnętrznych.
Metody uwierzytelniania
Podczas uzyskiwania dostępu do zasobów usługi Azure Virtual Desktop istnieją trzy oddzielne fazy uwierzytelniania:
- Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Azure Virtual Desktop, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, ma identyfikator Entra firmy Microsoft.
- Uwierzytelnianie sesji zdalnej: uwierzytelnianie na zdalnej maszynie wirtualnej. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne (SSO).
- Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych w ramach sesji zdalnej.
Aby uzyskać listę poświadczeń dostępnych na różnych klientach dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.
Ważne
Aby uwierzytelnianie działało prawidłowo, komputer lokalny musi mieć również dostęp do wymaganych adresów URL dla klientów usług pulpitu zdalnego.
Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.
Uwierzytelnianie usługi w chmurze
Aby uzyskać dostęp do zasobów usługi Azure Virtual Desktop, musisz najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Microsoft Entra ID. Uwierzytelnianie odbywa się za każdym razem, gdy subskrybujesz zasoby, połącz się z bramą podczas uruchamiania połączenia lub wysyłania informacji diagnostycznych do usługi. Zasób Microsoft Entra ID używany do tego uwierzytelniania to Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07).
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego, aby dowiedzieć się, jak wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft na potrzeby wdrożenia. W tym artykule opisano również sposób konfigurowania częstotliwości monitowania użytkowników o wprowadzenie poświadczeń. Podczas wdrażania maszyn wirtualnych dołączonych do firmy Microsoft entra należy pamiętać o dodatkowych krokach dotyczących maszyn wirtualnych hosta sesji dołączonych do firmy Microsoft.
Uwierzytelnianie bez hasła
Do uwierzytelniania w usłudze można użyć dowolnego typu uwierzytelniania obsługiwanego przez firmę Microsoft Entra ID, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO).
Uwierzytelnianie przy użyciu kart inteligentnych
Aby użyć karty inteligentnej do uwierzytelniania w usłudze Microsoft Entra ID, należy najpierw skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.
Dostawcy tożsamości innych firm
Możesz używać dostawców tożsamości innych firm, o ile sfederują się z identyfikatorem Entra firmy Microsoft.
Uwierzytelnianie sesji zdalnej
Jeśli logowanie jednokrotne nie zostało jeszcze włączone lub zapisano poświadczenia lokalnie, musisz również uwierzytelnić się na hoście sesji podczas uruchamiania połączenia.
Logowanie jednokrotne
Logowanie jednokrotne umożliwia połączeniu pomijanie monitu poświadczeń hosta sesji i automatyczne logowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania firmy Microsoft Entra. W przypadku hostów sesji dołączonych do firmy Microsoft Entra lub dołączonych hybrydowych do firmy Microsoft Entra zaleca się włączenie logowania jednokrotnego przy użyciu uwierzytelniania microsoft Entra. Uwierzytelnianie firmy Microsoft Entra zapewnia inne korzyści, takie jak uwierzytelnianie bez hasła i obsługa dostawców tożsamości innych firm.
Usługa Azure Virtual Desktop obsługuje również logowanie jednokrotne przy użyciu usług Active Directory Federation Services (AD FS) dla komputerów stacjonarnych z systemem Windows i klientów internetowych.
Bez logowania jednokrotnego klient monituje użytkowników o podanie poświadczeń hosta sesji dla każdego połączenia. Jedynym sposobem uniknięcia monitowania jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom uzyskiwanie dostępu do zasobów.
Karta inteligentna i Windows Hello dla firm
Usługa Azure Virtual Desktop obsługuje zarówno protokół NT LAN Manager (NTLM) jak i Kerberos na potrzeby uwierzytelniania hosta sesji, jednak karta inteligentna i Windows Hello dla firm mogą logować się tylko przy użyciu protokołu Kerberos. Aby korzystać z protokołu Kerberos, klient musi pobrać bilety zabezpieczeń protokołu Kerberos z usługi Centrum dystrybucji kluczy (KDC) uruchomionej na kontrolerze domeny. Aby uzyskać bilety, klient potrzebuje bezpośredniego połączenia sieciowego z kontrolerem domeny. Możesz uzyskać widok, łącząc się bezpośrednio w sieci firmowej przy użyciu połączenia sieci VPN lub konfigurowania serwera proxy usługi KDC.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z usługą RemoteApp lub pulpitem może zostać wyświetlony monit o uwierzytelnienie wewnątrz sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
Usługa Azure Virtual Desktop obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO podczas korzystania z klienta klasycznego systemu Windows. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy host sesji i komputer lokalny korzystają z następujących systemów operacyjnych:
- Windows 11 single or multi-session with the 2022-10 Cumulative Updates for Windows 11 (KB5018418) or nowsza zainstalowana.
- System Windows 10 z jedną lub wieloma sesjami w wersji 20H2 lub nowszej z aktualizacjami zbiorczymi 2022-10 dla systemu Windows 10 (KB5018410) lub nowszym.
- Windows Server 2022 z aktualizacją zbiorczą 2022-10 dla systemu operacyjnego microsoft server (KB5018421) lub nowszego.
Aby wyłączyć uwierzytelnianie bez hasła w puli hostów, należy dostosować właściwość protokołu RDP. Właściwość przekierowania WebAuthn można znaleźć na karcie Przekierowanie urządzenia w witrynie Azure Portal lub ustawić właściwość redirectwebauthn na 0 przy użyciu programu PowerShell.
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, można użyć Windows Hello dla firm lub urządzeń zabezpieczeń dołączonych lokalnie.
Aby uzyskać dostęp do zasobów firmy Microsoft za pomocą Windows Hello dla firm lub urządzeń zabezpieczeń, musisz włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w artykule Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie za pomocą karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, upewnij się, że na hoście sesji zainstalowano sterowniki kart inteligentnych i włączono przekierowywanie kart inteligentnych. Przejrzyj wykresy porównania dla aplikacji systemu Windows i aplikacji pulpitu zdalnego, aby umożliwić korzystanie z przekierowania kart inteligentnych.
Następne kroki
- Chcesz poznać inne sposoby zabezpieczania wdrożenia? Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń.
- Masz problemy z nawiązywaniem połączenia z maszynami wirtualnymi dołączonymi do firmy Microsoft? Zapoznaj się z artykułem Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi dołączonymi do firmy Microsoft.
- Masz problemy z uwierzytelnianiem bez hasła w sesji? Zobacz Rozwiązywanie problemów z przekierowywaniem protokołu WebAuthn.
- Chcesz używać kart inteligentnych spoza sieci firmowej? Zapoznaj się z instrukcjami konfigurowania serwera proxy usługi KDC.