Udostępnij za pośrednictwem

Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu identyfikatora Entra firmy Microsoft, w tym bez hasła

  • Artykuł

Organizacje mogą zwiększyć bezpieczeństwo maszyn wirtualnych z systemem Windows na platformie Azure dzięki integracji z uwierzytelnianiem firmy Microsoft Entra. Teraz możesz użyć identyfikatora Entra firmy Microsoft jako podstawowej platformy uwierzytelniania do protokołu RDP (Remote Desktop Protocol) w systemie Windows Server 2019 Datacenter w wersji lub nowszej lub Windows 10 1809 lub nowszej. Następnie można centralnie kontrolować i wymuszać kontrolę dostępu opartą na rolach (RBAC) platformy Azure i zasady dostępu warunkowego, które zezwalają na dostęp do maszyn wirtualnych lub odmawiają dostępu do tych maszyn wirtualnych.

W tym artykule pokazano, jak utworzyć i skonfigurować maszynę wirtualną z systemem Windows oraz zalogować się przy użyciu uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft.

Istnieje wiele zalet zabezpieczeń związanych z używaniem uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft w celu logowania się do maszyn wirtualnych z systemem Windows na platformie Azure. To na przykład:

  • Użyj uwierzytelniania Entra firmy Microsoft, w tym bez hasła, aby zalogować się do maszyn wirtualnych z systemem Windows na platformie Azure.

  • Zmniejsz zależność od kont administratorów lokalnych.

  • Złożoność hasła i zasady okresu istnienia hasła skonfigurowane dla identyfikatora Entra firmy Microsoft ułatwiają również zabezpieczanie maszyn wirtualnych z systemem Windows.

  • Za pomocą Azure RBAC:

    • Określ, kto może zalogować się do maszyny wirtualnej jako zwykły użytkownik lub z uprawnieniami administratora.
    • Gdy użytkownicy dołączają do zespołu lub opuszczają zespół, możesz zaktualizować zasady kontroli dostępu opartej na rolach platformy Azure dla maszyny wirtualnej, aby odpowiednio przyznać dostęp.
    • Gdy pracownicy opuszczają organizację i ich konta użytkowników są wyłączone lub usuwane z identyfikatora Entra firmy Microsoft, nie mają już dostępu do Twoich zasobów.

  • Skonfiguruj zasady dostępu warunkowego na "uwierzytelnianie odporne na wyłudzanie informacji" poprzez wymaganie siły uwierzytelniania lub uwierzytelniania wieloskładnikowego oraz innych sygnałów, takich jak ryzyko logowania użytkownika, zanim uzyskasz dostęp RDP do maszyn wirtualnych z systemem Windows.

  • Użyj usługi Azure Policy, aby wdrożyć zasady i przeprowadzić audyt, wymagając logowania do Microsoft Entra dla maszyn wirtualnych z systemem Windows oraz identyfikowania używania niezatwierdzonych kont lokalnych na tych maszynach.

  • Użyj Intune do automatyzacji i skalowania łączenia się z Microsoft Entra wraz z automatycznym rejestrowaniem maszyn wirtualnych Windows na platformie Azure, które są częścią wdrożeń infrastruktury wirtualnych pulpitów (VDI).

    Automatyczna rejestracja w rozwiązaniu MDM wymaga licencji Microsoft Entra ID P1. Maszyny wirtualne z systemem Windows Server nie obsługują rejestracji w rozwiązaniu MDM.

Uwaga

Po włączeniu tej funkcji, maszyny wirtualne z systemem Windows na platformie Azure zostaną zintegrowane z Microsoft Entra. Nie można ich przyłączyć do innej domeny, takiej jak lokalna usługa Active Directory lub Microsoft Entra Domain Services. Jeśli musisz to zrobić, odłącz maszynę wirtualną od identyfikatora Entra firmy Microsoft, odinstalowując rozszerzenie. Ponadto, jeśli wdrażasz obsługiwany złoty obraz, pamiętaj, że możesz włączyć uwierzytelnianie Entra ID, instalując dedykowane rozszerzenie po wdrożeniu.

Wymagania

Obsługiwane regiony platformy Azure i dystrybucje systemu Windows

Ta funkcja obsługuje obecnie następujące dystrybucje systemu Windows:

  • Windows Server 2019 Datacenter i nowsze
  • Windows 10 1809 lub nowszy
  • Windows 11 21H2 lub nowszy

Ta funkcja jest teraz dostępna w następujących chmurach platformy Azure:

  • Globalna platforma Azure
  • Azure dla Rządu
  • Platforma Microsoft Azure obsługiwana przez firmę 21Vianet

Wymagania dotyczące sieci

Aby włączyć uwierzytelnianie firmy Microsoft dla maszyn wirtualnych z systemem Windows na platformie Azure, upewnij się, że konfiguracja sieci maszyny wirtualnej zezwala na dostęp wychodzący do następujących punktów końcowych za pośrednictwem portu TCP 443.

Globalna platforma Azure:

  • https://enterpriseregistration.windows.net: do rejestracji urządzenia.
  • http://169.254.169.254: punkt końcowy usługi Azure Instance Metadata Service.
  • https://login.microsoftonline.com: dla przepływów uwierzytelniania.
  • https://pas.windows.net: dla przepływów RBAC Azure.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: W celu rejestracji urządzenia.
  • http://169.254.169.254: punkt końcowy usługi Azure Instance Metadata Service.
  • https://login.microsoftonline.us: Dla przepływów uwierzytelniania.
  • https://pasff.usgovcloudapi.net: w przypadku przepływów kontroli dostępu opartej na rolach platformy Azure.

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: Do rejestracji urządzenia.
  • http://169.254.169.254: punkt końcowy usługi Azure Instance Metadata Service.
  • https://login.chinacloudapi.cn: Dla przepływów uwierzytelniania.
  • https://pas.chinacloudapi.cn: dla przepływów kontroli dostępu opartej na rolach Azure.

Wymagania dotyczące uwierzytelniania

Konta gościa Microsoft Entra nie mogą łączyć się z maszynami wirtualnymi platformy Azure ani maszynami wirtualnymi z włączoną usługą Azure Bastion za pośrednictwem uwierzytelniania Microsoft Entra.

Włączanie logowania do usługi Microsoft Entra dla maszyny wirtualnej z systemem Windows na platformie Azure

Aby użyć nazwy logowania microsoft Entra dla maszyny wirtualnej z systemem Windows na platformie Azure, musisz:

  1. Włącz opcję logowania entra firmy Microsoft dla maszyny wirtualnej.
  2. Konfigurowanie przypisań ról platformy Azure dla użytkowników, którzy mają uprawnienia do logowania się do maszyny wirtualnej.

Istnieją dwa sposoby włączania logowania do usługi Microsoft Entra dla maszyny wirtualnej z systemem Windows:

  • Portal Azure podczas tworzenia maszyny wirtualnej z systemem Windows.
  • Usługa Azure Cloud Shell podczas tworzenia maszyny wirtualnej z systemem Windows lub przy użyciu istniejącej maszyny wirtualnej z systemem Windows.

Uwaga

Jeśli istnieje obiekt urządzenia z tym samym displayName co nazwa hosta maszyny wirtualnej, na której zainstalowano rozszerzenie, maszyna wirtualna nie może dołączyć do Microsoft Entra ID z powodu błędu duplikacji nazwy hosta. Unikaj duplikowania, modyfikując nazwę hosta.

Azure Portal

Możesz włączyć logowanie do usługi Microsoft Entra dla obrazów maszyn wirtualnych na platformie Windows Server 2019 Datacenter lub w systemie Windows 10 od wersji 1809 albo nowszej.

Aby utworzyć maszynę wirtualną z systemem Windows Server 2019 Datacenter na platformie Azure przy użyciu nazwy logowania firmy Microsoft Entra:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta, które ma dostęp do tworzenia maszyn wirtualnych, a następnie wybierz pozycję + Utwórz zasób.

  2. W pasku wyszukiwania Wyszukaj w witrynie Marketplace wpisz Windows Server.

  3. Wybierz pozycję Windows Server, a następnie z listy rozwijanej Wybierz plan oprogramowania wybierz pozycję Windows Server 2019 Datacenter.

  4. Wybierz pozycję Utwórz.

  5. Na karcie Zarządzanie zaznacz pole wyboru Logowanie za pomocą Microsoft Entra ID w sekcji Microsoft Entra ID.

    Zrzut ekranu przedstawiający kartę Zarządzanie na stronie witryny Azure Portal na potrzeby tworzenia maszyny wirtualnej.

  6. Upewnij się, że w sekcji Tożsamość wybrano Zarządzaną Tożsamość przypisaną przez system. Ta akcja powinna nastąpić automatycznie po włączeniu logowania za pomocą identyfikatora Entra firmy Microsoft.

  7. Zapoznaj się z resztą środowiska tworzenia maszyny wirtualnej. Musisz utworzyć nazwę użytkownika i hasło administratora dla maszyny wirtualnej.

Uwaga

Aby zalogować się do maszyny wirtualnej przy użyciu poświadczeń firmy Microsoft Entra, najpierw należy skonfigurować przypisania ról dla maszyny wirtualnej.

Azure Cloud Shell

Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, której możesz używać do wykonywania kroków opisanych w tym artykule. Typowe narzędzia platformy Azure są wstępnie zainstalowane i skonfigurowane w usłudze Cloud Shell na potrzeby użycia z poziomu konta. Wystarczy wybrać przycisk Kopiuj , aby skopiować kod, wkleić go w usłudze Cloud Shell, a następnie wybrać Enter, aby go uruchomić. Usługę Cloud Shell można otworzyć na kilka sposobów:

  • Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu.
  • Otwórz usługę Cloud Shell w swojej przeglądarce.
  • Wybierz przycisk Cloud Shell w menu w prawym górnym rogu witryny Azure Portal.

Ten artykuł wymaga uruchomienia interfejsu wiersza polecenia platformy Azure w wersji 2.0.31 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli musisz zainstalować lub uaktualnić, zobacz artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

  1. Utwórz grupę zasobów, uruchamiając polecenie az group create.
  2. Utwórz maszynę wirtualną, uruchamiając polecenie az vm create. Użyj obsługiwanej dystrybucji w obsługiwanym regionie.
  3. Zainstaluj rozszerzenie microsoft Entra login VM.

Poniższy przykład wdraża maszynę wirtualną o nazwie myVM (która używa Win2019Datacenter) w grupie zasobów o nazwie myResourceGroup, w southcentralus regionie. W tym przykładzie i następnym możesz w razie potrzeby podać własną grupę zasobów i nazwy maszyn wirtualnych.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Uwaga

Przed zainstalowaniem rozszerzenia microsoft Entra login VM należy włączyć tożsamość zarządzaną przypisaną przez system na maszynie wirtualnej. Zarządzane tożsamości są przechowywane w pojedynczej dzierżawie Microsoft Entra i obecnie nie obsługują scenariuszy międzykatalogowych.

Utworzenie maszyny wirtualnej i zasobów pomocniczych potrwa kilka minut.

Na koniec zainstaluj rozszerzenie microsoft Entra login VM, aby włączyć logowanie microsoft Entra dla maszyn wirtualnych z systemem Windows. Rozszerzenia maszyn wirtualnych to małe aplikacje, które zapewniają konfigurację po wdrożeniu i zadania automatyzacji w usłudze Azure Virtual Machines. Użyj polecenia az vm extension, aby ustawić rozszerzenie AADLoginForWindows na maszynie wirtualnej o nazwie myVM w grupie zasobów myResourceGroup.

Rozszerzenie AADLoginForWindows można zainstalować na istniejącej maszynie wirtualnej z systemem Windows Server 2019 lub Windows 10 1809 lub nowszym, aby włączyć je na potrzeby uwierzytelniania firmy Microsoft Entra. W poniższym przykładzie użyto interfejsu wiersza polecenia platformy Azure do zainstalowania rozszerzenia:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Po zainstalowaniu rozszerzenia na maszynie wirtualnej, provisioningState zostanie pokazane Succeeded.

Konfigurowanie przypisań ról dla maszyny wirtualnej

Po utworzeniu maszyny wirtualnej musisz przypisać jedną z następujących ról platformy Azure, aby określić, kto może zalogować się do maszyny wirtualnej. Aby przypisać te role, musisz mieć rolę Administrator dostępu do danych maszyn wirtualnych, lub dowolną inną rolę, która obejmuje akcję Microsoft.Authorization/roleAssignments/write, taką jak rola Administrator kontroli dostępu opartej na rolach. Jeśli jednak używasz innej roli niż administrator dostępu do danych maszyny wirtualnej, zalecamy dodanie warunku w celu zmniejszenia uprawnień do tworzenia przypisań ról.

  • Logowanie administratora maszyny wirtualnej: użytkownicy, którzy mają przypisaną tę rolę, mogą logować się do maszyny wirtualnej platformy Azure z uprawnieniami administratora.
  • Logowanie użytkownika maszyny wirtualnej: użytkownicy, którzy mają przypisaną tę rolę, mogą logować się do maszyny wirtualnej platformy Azure przy użyciu zwykłych uprawnień użytkownika.

Aby zezwolić użytkownikowi na logowanie się do maszyny wirtualnej za pośrednictwem protokołu RDP, musisz przypisać rolę Logowanie administratora maszyny wirtualnej lub Logowanie użytkownika maszyny wirtualnej do zasobu maszyny wirtualnej.

Uwaga

Ręczne podniesienie użytkownika do roli administratora lokalnego na maszynie wirtualnej przez dodanie użytkownika do członka lokalnej grupy administratorów lub uruchomienie net localgroup administrators /add "AzureAD\UserUpn" polecenia nie jest obsługiwane. Aby autoryzować logowanie maszyny wirtualnej, musisz użyć powyższych ról platformy Azure.

Użytkownik platformy Azure, który ma przypisaną rolę Właściciel lub Współautor dla maszyny wirtualnej, nie ma automatycznie uprawnień do logowania się do maszyny wirtualnej za pośrednictwem protokołu RDP. Celem jest zapewnienie audytowanej separacji między grupą osób zarządzających maszynami wirtualnymi a grupą osób, które mogą uzyskiwać dostęp do maszyn wirtualnych.

Istnieją dwa sposoby konfigurowania przypisań ról dla maszyny wirtualnej:

  • Środowisko centrum administracyjnego firmy Microsoft Entra
  • Środowisko usługi Azure Cloud Shell

Uwaga

Role Logowania administratora maszyny wirtualnej i Logowania użytkownika maszyny wirtualnej używają dataActions, dlatego nie można ich przypisać w zakresie grupy zarządzania. Obecnie te role można przypisywać tylko w ramach subskrypcji, grupy zasobów lub zakresu zasobów.

Centrum administracyjne Microsoft Entra

Aby skonfigurować przypisania ról dla maszyn wirtualnych w wersji Datacenter, korzystających z usługi Microsoft Entra ID, z systemem Windows Server 2019:

  1. W obszarze Grupa zasobów wybierz grupę zasobów zawierającą maszynę wirtualną i skojarzona z nią sieć wirtualną, interfejs sieciowy, publiczny adres IP lub zasób modułu równoważenia obciążenia.

  2. Wybierz pozycję Kontrola dostępu (IAM).

  3. Wybierz Dodaj>Dodaj przypisanie roli, aby otworzyć stronę Dodaj przypisanie roli.

  4. Przypisz następującą rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

    Ustawienie Wartość
    Rola Logowanie administratora maszyny wirtualnej lub logowanie użytkownika maszyny wirtualnej
    Przypisz dostęp do Użytkownik, grupa, jednostka usługi lub tożsamość zarządzana

    Zrzut ekranu przedstawiający stronę dodawania przypisania roli.

Azure Cloud Shell

W poniższym przykładzie użyto polecenia az role assignment create , aby przypisać rolę logowania administratora maszyny wirtualnej do maszyny wirtualnej dla bieżącego użytkownika platformy Azure. Możesz uzyskać nazwę użytkownika bieżącego konta platformy Azure przy użyciu polecenia az account show i ustawić zakres maszyny wirtualnej utworzonej w poprzednim kroku przy użyciu polecenia az vm show.

Zakres można również przypisać na poziomie grupy zasobów lub subskrypcji. Zwykłe uprawnienia dziedziczenia dla RBAC platformy Azure mają zastosowanie.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Uwaga

Jeśli domena Microsoft Entra i domena loginu użytkownika nie są zgodne, musisz określić identyfikator obiektu konta użytkownika, używając --assignee-object-id, a nie tylko nazwy użytkownika dla --assignee. Identyfikator obiektu dla konta użytkownika można uzyskać przy użyciu polecenia az ad user list.

Aby uzyskać więcej informacji o używaniu Azure RBAC do zarządzania dostępem do zasobów subskrypcji Azure, zobacz następujące artykuły:

Logowanie przy użyciu poświadczeń usługi Microsoft Entra na maszynie wirtualnej z systemem Windows

Możesz zalogować się za pośrednictwem protokołu RDP przy użyciu jednej z dwóch metod:

  1. Bez hasła przy użyciu dowolnego z obsługiwanych poświadczeń firmy Microsoft Entra (zalecane)
  2. Hasło/ograniczone bez hasła przy użyciu Windows Hello dla firm wdrożone przy użyciu modelu zaufania certyfikatów

Logowanie przy użyciu uwierzytelniania bez hasła przy użyciu identyfikatora Entra firmy Microsoft

Aby używać uwierzytelniania bez hasła dla maszyn wirtualnych z systemem Windows na platformie Azure, potrzebujesz maszyny klienckiej z systemem Windows i hosta sesji (VM) w następujących systemach operacyjnych:

Uwaga

W przypadku logowania się do opcji komputera zdalnego przy użyciu konta internetowego nie ma potrzeby dołączania urządzenia lokalnego do domeny lub identyfikatora Entra firmy Microsoft.

Aby nawiązać połączenie z komputerem zdalnym:

  • Uruchom Połączenie pulpitu zdalnego z Windows Search lub, uruchamiając polecenie mstsc.exe.
  • Wybierz opcję Użyj konta webowego, aby zalogować się do zdalnego komputera na karcie Zaawansowane. Ta opcja jest równoważna enablerdsaadauth właściwości RDP. Aby uzyskać więcej informacji, zobacz Obsługiwane właściwości protokołu RDP z usługami pulpitu zdalnego.
  • Określ nazwę komputera zdalnego i wybierz pozycję Połącz.

Ważne

Nie można używać adresu IP z opcją Użyj konta internetowego do logowania się do komputera zdalnego. Nazwa musi być zgodna z nazwą hosta urządzenia zdalnego w systemie Microsoft Entra ID i być dostępna w sieci, umożliwiając ustalanie adresu IP urządzenia zdalnego.

  • Po wyświetleniu monitu o poświadczenia określ nazwę użytkownika w formacie user@domain.com.
  • Podczas nawiązywania połączenia z nowym komputerem zostanie wyświetlony monit o zezwolenie na połączenie pulpitu zdalnego. Firma Microsoft Entra zapamiętuje maksymalnie 15 hostów przez 30 dni przed ponownym wyświetleniem monitu. Jeśli widzisz to okno dialogowe, wybierz pozycję Tak , aby nawiązać połączenie.

Ważne

Jeśli Twoja organizacja skonfigurowała i korzysta z dostępu warunkowego firmy Microsoft Entra, urządzenie musi spełniać wymagania dostępu warunkowego, aby zezwolić na połączenie z komputerem zdalnym. Zasady dostępu warunkowego mogą być stosowane do aplikacji Pulpit zdalny Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) w celu uzyskania kontrolowanego dostępu.

Uwaga

Ekran blokady systemu Windows w sesji zdalnej nie obsługuje tokenów uwierzytelniania entra firmy Microsoft ani metod uwierzytelniania bez hasła, takich jak klucze FIDO. Brak obsługi tych metod uwierzytelniania oznacza, że użytkownicy nie mogą odblokować ekranów w sesji zdalnej. Podczas próby zablokowania sesji zdalnej za pośrednictwem akcji użytkownika lub zasad systemowych sesja jest rozłączona, a usługa wysyła użytkownikowi komunikat wyjaśniający, że zostały rozłączone. Rozłączenie sesji gwarantuje również, że po ponownym uruchomieniu połączenia po okresie braku aktywności identyfikator Entra firmy Microsoft ponownie sprawdza odpowiednie zasady dostępu warunkowego.

Logowanie przy użyciu hasła lub ograniczonego uwierzytelniania bez użycia hasła z Microsoft Entra ID

Ważne

Zdalne połączenie z maszynami wirtualnymi, które są przyłączone do Microsoft Entra ID, jest dozwolone tylko z komputerów z systemem Windows 10 lub nowszym, które są zarejestrowane w Microsoft Entra (minimalna wymagana kompilacja to 20H1) lub przyłączone do Microsoft Entra czy przyłączone hybrydowo do Microsoft Entra do tego samego katalogu co maszyny wirtualne. Ponadto, aby korzystać z RDP przy użyciu poświadczeń Microsoft Entra, użytkownicy muszą należeć do jednej z dwóch ról usługi Azure: logowanie administratora maszyny wirtualnej lub logowanie użytkownika maszyny wirtualnej.

Jeśli używasz komputera zarejestrowanego przez Microsoft Entra z systemem Windows 10 lub nowszym, musisz wprowadzić poświadczenia w AzureAD\UPN formacie (na przykład AzureAD\john@contoso.com). Obecnie możesz użyć usługi Azure Bastion do logowania się przy użyciu uwierzytelniania firmy Microsoft Entra za pośrednictwem interfejsu wiersza polecenia platformy Azure i natywnego klienta RDP mstsc.

Aby zalogować się do maszyny wirtualnej z systemem Windows Server 2019 przy użyciu identyfikatora Entra firmy Microsoft:

  1. Przejdź do strony przeglądu maszyny wirtualnej, która została włączona przy użyciu logowania firmy Microsoft Entra.
  2. Wybierz Połącz, aby otworzyć okienko Połącz z maszyną wirtualną.
  3. Wybierz pozycję Pobierz plik RDP.
  4. Wybierz Otwórz, aby otworzyć klienta Połączenia pulpitu zdalnego.
  5. Wybierz pozycję Połącz, aby otworzyć okno dialogowe logowania systemu Windows.
  6. Zaloguj się przy użyciu poświadczeń usługi Microsoft Entra.

Teraz logujesz się do maszyny wirtualnej platformy Azure z systemem Windows Server 2019 z uprawnieniami roli przypisanymi, takimi jak użytkownik maszyny wirtualnej lub administrator maszyny wirtualnej.

Uwaga

Możesz zapisać plik .RDP lokalnie na swoim komputerze, aby uruchamiać przyszłe połączenia pulpitu zdalnego z maszyną wirtualną, zamiast przechodzić do strony przeglądu maszyny wirtualnej w portalu Azure i używać opcji połącz.

Wymuszanie zasad dostępu warunkowego

Możesz wymusić zasady dostępu warunkowego, takie jak "odporne na wyłudzenie informacji uwierzytelnianie wieloskładnikowe", przy użyciu opcji wymagania kontroli siły uwierzytelniania lub uwierzytelniania wieloskładnikowego lub sprawdzania ryzyka logowania użytkownika, zanim autoryzujesz dostęp do maszyn wirtualnych z systemem Windows na platformie Azure, które są włączone przy użyciu logowania firmy Microsoft Entra. Aby zastosować zasady dostępu warunkowego, należy wybrać aplikację Logowania do maszyny wirtualnej systemu Windows Microsoft Azure z poziomu opcji przypisywania aplikacji w chmurze lub akcji. Następnie użyj ryzyka logowania jako warunku albo "uwierzytelniania wieloskładnikowego odpornego na phishing", stosując kontrolę wymogu siły uwierzytelniania lub wymogu MFA jako kontroli nad przyznawaniem dostępu.

Uwaga

Jeśli potrzebujesz uwierzytelniania wieloskładnikowego jako środka kontrolnego przy przyznawaniu dostępu do aplikacji logowania na maszynie wirtualnej z systemem Windows na platformie Microsoft Azure, musisz podać potwierdzenie uwierzytelniania wieloskładnikowego jako część procesu klienta, który inicjuje sesję protokołu RDP do docelowej maszyny wirtualnej z systemem Windows na platformie Azure. Można to osiągnąć przy użyciu metody uwierzytelniania bez hasła dla protokołu RDP, która spełnia zasady dostępu warunkowego, jednak jeśli używasz ograniczonej metody bez hasła dla protokołu RDP, jedynym sposobem osiągnięcia tego w systemie Windows 10 lub nowszym jest użycie Windows Hello dla firm numeru PIN lub uwierzytelniania biometrycznego z klientem RDP. Dodano obsługę uwierzytelniania biometrycznego do klienta RDP w systemie Windows 10 w wersji 1809. Pulpit zdalny korzystający z uwierzytelniania Windows Hello dla firm jest dostępny tylko w przypadku wdrożeń korzystających z modelu zaufania certyfikatów. Obecnie nie jest dostępny dla modelu zaufania opartego na kluczach.

Używanie usługi Azure Policy do spełnienia standardów i oceny zgodności

Używanie usługi Azure Policy w celu:

  • Upewnij się, że logowanie firmy Microsoft Entra jest włączone dla nowych i istniejących maszyn wirtualnych z systemem Windows.
  • Sprawdź zgodność swojego środowiska na dużą skalę, korzystając z pulpitu nawigacyjnego zgodności.

Dzięki tej funkcji można użyć wielu poziomów wymuszania. Możesz oznaczyć nowe i istniejące maszyny wirtualne z systemem Windows w środowisku, które nie mają włączonego logowania firmy Microsoft Entra. Za pomocą usługi Azure Policy można również wdrożyć rozszerzenie Microsoft Entra na nowych maszynach wirtualnych z systemem Windows, które nie mają włączonego logowania firmy Microsoft Entra, i skorygować istniejące maszyny wirtualne z systemem Windows do tego samego standardu.

Oprócz tych możliwości można użyć usługi Azure Policy do wykrywania i flagowania maszyn wirtualnych z systemem Windows, które mają niezatwierdzone konta lokalne utworzone na ich maszynach. Aby dowiedzieć się więcej, zapoznaj się z tematem Azure Policy.

Rozwiązywanie problemów z wdrażaniem

Rozszerzenie AADLoginForWindows musi zostać pomyślnie zainstalowane, aby maszyna wirtualna zakończyła proces dołączania do firmy Microsoft. Jeśli nie można poprawnie zainstalować rozszerzenia maszyny wirtualnej, wykonaj następujące kroki:

  1. Nawiąż połączenie RDP z maszyną wirtualną przy użyciu konta administratora lokalnego i sprawdź plik CommandExecution.log w folderze C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Uwaga

    Jeśli rozszerzenie zostanie uruchomione ponownie po początkowym błędzie, dziennik z błędem wdrożenia zostanie zapisany jako CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Otwórz okno programu PowerShell na maszynie wirtualnej. Sprawdź, czy następujące zapytania względem punktu końcowego usługi Azure Instance Metadata Service uruchomionego na hoście platformy Azure zwracają oczekiwane dane wyjściowe:

    Polecenie do uruchomienia Oczekiwane dane wyjściowe
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Poprawne informacje o maszynie wirtualnej platformy Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Prawidłowy identyfikator dzierżawcy skojarzony z subskrypcją Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Prawidłowy token dostępu wystawiony przez Microsoft Entra ID dla tożsamości zarządzanej przypisanej do tej maszyny wirtualnej.

    Uwaga

    Token dostępu można zdekodować przy użyciu narzędzia takiego jak https://jwt.ms/. Sprawdź, czy oid wartość w tokenie dostępu jest zgodna z tożsamością zarządzaną przypisaną do maszyny wirtualnej.

  3. Upewnij się, że wymagane punkty końcowe są dostępne z maszyny wirtualnej za pośrednictwem programu PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Uwaga

    Zastąp element <TenantID> identyfikatorem dzierżawcy Microsoft Entra związanym z subskrypcją platformy Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net i pas.windows.net powinny zwrócić 404 Nie znaleziono, co jest oczekiwanym zachowaniem.

  4. Wyświetl stan urządzenia, uruchamiając polecenie dsregcmd /status. Celem jest, aby stan urządzenia był wyświetlany jako AzureAdJoined : YES.

    Uwaga

    Aktywność łączenia z Microsoft Entra jest rejestrowana w Podglądzie zdarzeń w dzienniku Rejestracja urządzenia użytkownika\Admin pod ścieżką Podgląd zdarzeń (lokalnie)\Dzienniki aplikacji i usług oraz Microsoft\Windows\Rejestracja urządzenia użytkownika\Admin.

Jeśli rozszerzenie AADLoginForWindows zakończy się niepowodzeniem z kodem błędu, możesz wykonać następujące kroki.

Kod błędu terminalu 1007 i kod zakończenia —2145648574.

Kod błędu terminalu 1007 i kod zakończenia — 2145648574 przetłumaczyć na DSREG_E_MSI_TENANTID_UNAVAILABLE. Rozszerzenie nie może zapytać o informacje dotyczące dzierżawcy Microsoft Entra.

Połącz się z maszyną wirtualną jako administrator lokalny i sprawdź, czy punkt końcowy zwraca prawidłowy identyfikator dzierżawy z usługi Azure Instance Metadata Service. Uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień na maszynie wirtualnej:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Ten problem może również wystąpić, gdy administrator maszyny wirtualnej spróbuje zainstalować rozszerzenie AADLoginForWindows, ale tożsamość zarządzana przypisana przez system nie włączyła najpierw maszyny wirtualnej. W takim przypadku przejdź do okienka Tożsamość maszyny wirtualnej. Na karcie Przypisane przez system sprawdź, czy przełącznik statusu jest ustawiony na Włączone.

Kod zakończenia — 2145648607

Kod zakończenia — 2145648607 przekłada się na DSREG_AUTOJOIN_DISC_FAILED. Rozszerzenie nie może osiągnąć punktu końcowego https://enterpriseregistration.windows.net.

  1. Sprawdź, czy wymagane punkty końcowe są dostępne z maszyny wirtualnej za pośrednictwem programu PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Uwaga

    Zastąp ciąg <TenantID> identyfikatorem dzierżawy Entra firmy Microsoft skojarzonym z subskrypcją platformy Azure. Jeśli chcesz znaleźć tenant ID, najedź kursorem na nazwę konta lub wybierz opcję TożsamośćPrzeglądWłaściwościTenant ID.

    Próby nawiązania połączenia z enterpriseregistration.windows.net mogą zwrócić błąd "404 Nie znaleziono", co jest zachowaniem zgodnym z oczekiwaniami. Próby nawiązania połączenia z pas.windows.net mogą wywołać monit o wprowadzenie numeru PIN lub zwrócić błąd 404 Nie znaleziono. (Nie musisz wprowadzać numeru PIN). Jeden z nich jest wystarczający, aby sprawdzić, czy adres URL jest osiągalny.

  2. Jeśli którekolwiek z poleceń zakończy się niepowodzeniem z komunikatem "Nie można rozpoznać hosta <URL>", spróbuj uruchomić to polecenie, aby określić, z którego serwera DNS korzysta maszyna wirtualna:

    nslookup <URL>

    Uwaga

    Zastąp <URL> w pełni kwalifikowanymi nazwami domen, które używają końcówki, takimi jak login.microsoftonline.com.

  3. Sprawdź, czy określenie publicznego serwera DNS umożliwia pomyślne użycie polecenia:

    nslookup <URL> 208.67.222.222

  4. W razie potrzeby zmień serwer DNS przypisany do sieciowej grupy zabezpieczeń, do której należy maszyna wirtualna platformy Azure.

Kod zakończenia 51

Kod zakończenia 51 przekłada się na "To rozszerzenie nie jest obsługiwane w systemie operacyjnym maszyny wirtualnej".

Rozszerzenie AADLoginForWindows ma być zainstalowane tylko w systemie Windows Server 2019 lub Windows 10 (kompilacja 1809 lub nowsza). Upewnij się, że wersja lub kompilacja systemu Windows jest obsługiwana. Jeśli rozszerzenie nie jest obsługiwane, odinstaluj je.

Rozwiązywanie problemów z logowaniem

Skorzystaj z poniższych informacji, aby rozwiązać problemy z logowaniem.

Stan urządzenia i logowania jednokrotnego można wyświetlić, uruchamiając polecenie dsregcmd /status. Celem jest, aby stan urządzenia był wyświetlany jako AzureAdJoined : YES oraz stan logowania jednokrotnego (SSO) jako AzureAdPrt : YES.

Logowanie RDP za pośrednictwem kont Microsoft Entra jest rejestrowane w Podglądzie zdarzeń w ramach Dzienniki aplikacji i usług\Microsoft\Windows\AAD\Operational.

Rola platformy Azure nie została przypisana

Podczas inicjowania połączenia pulpitu zdalnego z maszyną wirtualną może zostać wyświetlony następujący komunikat o błędzie: "Twoje konto jest skonfigurowane, aby uniemożliwić korzystanie z tego urządzenia. Aby uzyskać więcej informacji, skontaktuj się z administratorem systemu.

Zrzut ekranu przedstawiający komunikat informujący o skonfigurowaniu konta w celu uniemożliwienia korzystania z tego urządzenia.

Sprawdź, czy skonfigurowano zasady kontroli dostępu opartego na rolach (RBAC) platformy Azure dla maszyny wirtualnej, które nadają użytkownikowi rolę Logowanie administratora maszyny wirtualnej lub Logowanie użytkownika maszyny wirtualnej.

Uwaga

Jeśli masz problemy z przypisaniami ról platformy Azure, zobacz Rozwiązywanie problemów z Azure RBAC.

Wymagana zmiana nieautoryzowanego klienta lub hasła

Podczas inicjowania połączenia pulpitu zdalnego z maszyną wirtualną może zostać wyświetlony następujący komunikat o błędzie: "Twoje poświadczenia nie zadziałały".

Zrzut ekranu przedstawiający komunikat informujący o tym, że poświadczenia nie działały.

Wypróbuj następujące rozwiązania:

  • Komputer z systemem Windows 10 lub nowszym używany do inicjowania połączenia pulpitu zdalnego musi być przyłączony do Microsoft Entra lub hybrydowo przyłączony do tego samego katalogu Microsoft Entra. Aby uzyskać więcej informacji na temat tożsamości urządzenia, zobacz artykuł Co to jest tożsamość urządzenia?.

    Uwaga

    System Windows 10 Build 20H1 dodał obsługę komputera zarejestrowanego w Microsoft Entra, umożliwiając zainicjowanie połączenia RDP z maszyną wirtualną. Jeśli używasz komputera zarejestrowanego w usłudze Microsoft Entra (nie przyłączonego do Microsoft Entra ani przyłączonego hybrydowo z Microsoft Entra) jako klient RDP do inicjowania połączeń z maszyną wirtualną, musisz wprowadzić poświadczenia w formacie AzureAD\UPN (na przykład AzureAD\john@contoso.com).

    Sprawdź, czy rozszerzenie AADLoginForWindows nie zostało odinstalowane po zakończeniu dołączania do firmy Microsoft Entra.

    Upewnij się również, że zasada zabezpieczeń sieciowych zabezpieczenia sieci: Zezwalaj na żądania uwierzytelniania PKU2U do tego komputera, aby używać tożsamości online jest włączona zarówno na serwerze , jak i na kliencie.

  • Sprawdź, czy użytkownik nie ma tymczasowego hasła. Hasła tymczasowe nie mogą służyć do logowania się do połączenia pulpitu zdalnego.

    Zaloguj się przy użyciu konta użytkownika w przeglądarce internetowej. Na przykład zaloguj się do witryny Azure Portal w prywatnym oknie przeglądania. Jeśli zostanie wyświetlony monit o zmianę hasła, ustaw nowe hasło. Następnie spróbuj ponownie nawiązać połączenie.

Wymagany sposób logowania za pomocą uwierzytelniania wieloskładnikowego

Podczas inicjowania połączenia pulpitu zdalnego z maszyną wirtualną może zostać wyświetlony następujący komunikat o błędzie: "Metoda logowania, której próbujesz użyć, nie jest dozwolona. Spróbuj użyć innej metody logowania lub skontaktuj się z administratorem systemu.

Zrzut ekranu przedstawiający komunikat informujący, że metoda logowania, której próbujesz użyć, nie jest dozwolona.

Jeśli skonfigurowałeś zasady dostępu warunkowego wymagające uwierzytelniania wieloskładnikowego lub dziedzicznego uwierzytelniania wieloskładnikowego Microsoft Entra włączonego lub wymuszonego na poziomie użytkownika przed uzyskaniem dostępu do zasobu, musisz upewnić się, że komputer z systemem Windows 10 lub nowszym, który inicjuje połączenie pulpitu zdalnego z Twoją maszyną wirtualną, loguje się przy użyciu silnej metody uwierzytelniania, takiej jak Windows Hello. Jeśli nie używasz silnej metody uwierzytelniania dla połączenia pulpitu zdalnego, zostanie wyświetlony błąd.

Inny komunikat o błędzie związany z uwierzytelnianiem wieloskładnikowym jest opisany wcześniej: "Twoje poświadczenia nie działały".

Zrzut ekranu przedstawiający komunikat informujący, że poświadczenia nie zadziałały.

Jeśli skonfigurowałeś dziedziczne ustawienie uwierzytelniania wieloskładnikowego Microsoft Entra, włączone/wymuszone dla użytkownika i zobaczysz powyższy błąd, możesz rozwiązać problem, usuwając dziedziczne ustawienie MFA dla użytkownika. Aby uzyskać więcej informacji, zobacz artykuł Enable per-user Microsoft Entra multifactor authentication to secure sign-in events (Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników w celu zabezpieczenia zdarzeń logowania).

Jeśli nie wdrożono Windows Hello dla firm i jeśli nie jest to obecnie opcja, możesz skonfigurować zasady dostępu warunkowego wykluczające aplikację logowania maszyny wirtualnej platformy Microsoft Azure z systemem Windows z listy aplikacji w chmurze, które wymagają uwierzytelniania wieloskładnikowego. Aby dowiedzieć się więcej na temat Windows Hello dla firm, zobacz Windows Hello dla firm omówienie.

Uwaga

Windows Hello dla firm: uwierzytelnianie za pomocą protokołu RDP było obsługiwane w kilku wersjach systemu Windows 10. Dodano obsługę uwierzytelniania biometrycznego przy użyciu protokołu RDP w systemie Windows 10 w wersji 1809. Korzystanie z uwierzytelniania Windows Hello dla firm podczas protokołu RDP jest dostępne dla wdrożeń korzystających z modelu zaufania certyfikatów lub modelu zaufania klucza.

Podziel się swoją opinią na temat tej funkcji lub zgłoś problemy z używaniem jej na forum opinii firmy Microsoft Entra.

Brak aplikacji

Jeśli w dostępie warunkowym brakuje aplikacji logowania do maszyny wirtualnej z systemem Windows na platformie Microsoft Azure, upewnij się, że aplikacja znajduje się w dzierżawie:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw.
  3. Usuń filtry, aby wyświetlić wszystkie aplikacje i wyszukać VM. Jeśli nie widzisz Logowanie do maszyny wirtualnej z systemem Microsoft Azure Windows jako wyniku, w dzierżawie brakuje uprawnienia usługowego.

Innym sposobem sprawdzenia jest użycie programu Graph PowerShell:

  1. Zainstaluj zestaw SDK Graph dla PowerShell, jeśli jeszcze tego nie zrobiłeś.
  2. Uruchom Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", a następnie "Application.ReadWrite.All".
  3. Zaloguj się przy użyciu konta administratora globalnego.
  4. Zgoda na zapytanie o zgodę.
  5. Uruchom program Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

    • Jeśli to polecenie nie zwróci żadnych danych wyjściowych i powróci do wiersza polecenia programu PowerShell, możesz utworzyć jednostkę usługi za pomocą następującego polecenia programu Graph PowerShell:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • Pomyślne dane wyjściowe pokazują, że utworzono aplikację logowania do maszyny wirtualnej Windows w Microsoft Azure wraz z jej identyfikatorem.

  6. Wyloguj się z programu Graph PowerShell przy użyciu polecenia Disconnect-MgGraph.

Napiwek

Niektórzy najemcy mogą zobaczyć aplikację o nazwie Azure Windows VM Sign-in zamiast Microsoft Azure Windows Virtual Machine Sign-in. Aplikacja będzie mieć ten sam identyfikator aplikacji 372140e0-b3b7-4226-8ef9-d579867966201.

Następne kroki

Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz Co to jest microsoft Entra ID?.