Wybieranie strategii tożsamości dla usługi Azure Virtual Desktop

Ukończone

W tej lekcji przedstawimy krótkie omówienie rodzajów tożsamości i metod uwierzytelniania, których można używać w usłudze Azure Virtual Desktop.

Tożsamości

Usługa Azure Virtual Desktop obsługuje różne typy tożsamości w zależności od wybranej konfiguracji. W tej sekcji opisano tożsamości, których można użyć dla każdej konfiguracji.

Ważne

Usługa Azure Virtual Desktop nie obsługuje logowania się do usługi Microsoft Entra ID przy użyciu jednego konta użytkownika, a następnie logowania się do systemu Windows przy użyciu oddzielnego konta użytkownika. Logowanie przy użyciu dwóch różnych kont w tym samym czasie może prowadzić do ponownego nawiązania połączenia z niewłaściwym hostem sesji, nieprawidłowymi lub brakującymi informacjami w witrynie Azure Portal oraz komunikatami o błędach wyświetlanymi podczas korzystania z dołączania aplikacji lub dołączania aplikacji MSIX.

Tożsamość lokalna

Ponieważ użytkownicy muszą być odnajdywalni za pośrednictwem identyfikatora Entra firmy Microsoft, aby uzyskać dostęp do usługi Azure Virtual Desktop, tożsamości użytkowników, które istnieją tylko w usługach domena usługi Active Directory (AD DS), nie są obsługiwane. Obejmuje to autonomiczne wdrożenia usługi Active Directory z usługami Active Directory Federation Services (AD FS).

Tożsamość hybrydowa

Usługa Azure Virtual Desktop obsługuje tożsamości hybrydowe za pośrednictwem identyfikatora Entra firmy Microsoft, w tym tożsamości federacyjnych przy użyciu usług AD FS. Możesz zarządzać tymi tożsamościami użytkowników w usługach AD DS i synchronizować je z identyfikatorem Entra FIRMY Microsoft przy użyciu programu Microsoft Entra Connect. Za pomocą identyfikatora Entra firmy Microsoft można również zarządzać tymi tożsamościami i synchronizować je z usługami Microsoft Entra Domain Services.

Podczas uzyskiwania dostępu do usługi Azure Virtual Desktop przy użyciu tożsamości hybrydowych czasami główna nazwa użytkownika (UPN) lub identyfikator zabezpieczeń (SID) użytkownika w usłudze Active Directory (AD) i identyfikator entra firmy Microsoft nie są zgodne. Na przykład konto user@contoso.local usługi AD może odpowiadać identyfikatorowi user@contoso.com Entra firmy Microsoft. Usługa Azure Virtual Desktop obsługuje tylko ten typ konfiguracji, jeśli jest zgodna zarówno nazwa UPN, jak i identyfikator SID dla kont ad i Microsoft Entra ID. Identyfikator SID odnosi się do właściwości obiektu użytkownika "ObjectSID" w usługach AD i "OnPremisesSecurityIdentifier" w identyfikatorze Entra firmy Microsoft.

Tożsamość tylko w chmurze

Usługa Azure Virtual Desktop obsługuje tożsamości tylko w chmurze w przypadku korzystania z maszyn wirtualnych dołączonych do firmy Microsoft Entra. Ci użytkownicy są tworzeni i zarządzani bezpośrednio w usłudze Microsoft Entra ID.

Uwaga

Tożsamości hybrydowe można również przypisać do grup aplikacji usługi Azure Virtual Desktop hostujących hosty hostujących hosty sesji typu przyłączone do firmy Microsoft Entra.

Dostawcy tożsamości innych firm

Jeśli do zarządzania kontami użytkowników używasz dostawcy tożsamości (IdP) innego niż identyfikator firmy Microsoft, musisz upewnić się, że:

• Twój dostawca tożsamości jest federacyjny z identyfikatorem Entra firmy Microsoft.
• Hosty sesji są przyłączone do firmy Microsoft lub dołączone hybrydowe rozwiązanie Microsoft Entra.
• Możesz włączyć uwierzytelnianie microsoft Entra na hoście sesji.

Tożsamość zewnętrzna

Usługa Azure Virtual Desktop obecnie nie obsługuje tożsamości zewnętrznych.