Wybieranie strategii uwierzytelniania dla usługi Azure Virtual Desktop
W przypadku użytkowników łączących się z sesją zdalną istnieją trzy oddzielne punkty uwierzytelniania:
- Uwierzytelnianie usługi w usłudze Azure Virtual Desktop: pobieranie listy zasobów, do których użytkownik ma dostęp podczas uzyskiwania dostępu do klienta. Środowisko zależy od konfiguracji konta Microsoft Entra. Jeśli na przykład użytkownik ma włączone uwierzytelnianie wieloskładnikowe, zostanie wyświetlony monit o podanie konta użytkownika i drugiej formy uwierzytelniania w taki sam sposób, jak uzyskiwanie dostępu do innych usług.
- Host sesji: podczas uruchamiania sesji zdalnej. Nazwa użytkownika i hasło są wymagane dla hosta sesji, ale jest to bezproblemowe dla użytkownika, jeśli logowanie jednokrotne jest włączone.
- Uwierzytelnianie w sesji: nawiązywanie połączenia z innymi zasobami w ramach sesji zdalnej.
W poniższych sekcjach opisano szczegółowo każdy z tych punktów uwierzytelniania.
Uwierzytelnianie usługi
Aby uzyskać dostęp do zasobów usługi Azure Virtual Desktop, musisz najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Microsoft Entra. Uwierzytelnianie odbywa się za każdym razem, gdy subskrybujesz obszar roboczy, aby pobrać zasoby i połączyć się z aplikacjami lub komputerami stacjonarnymi. Możesz używać dostawców tożsamości innych firm, o ile sfederują się z identyfikatorem Entra firmy Microsoft.
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego, aby dowiedzieć się, jak wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft na potrzeby wdrożenia. W tym artykule opisano również sposób konfigurowania częstotliwości monitowania użytkowników o wprowadzenie poświadczeń. Podczas wdrażania maszyn wirtualnych dołączonych do firmy Microsoft entra należy pamiętać o dodatkowych krokach dotyczących maszyn wirtualnych hosta sesji dołączonych do firmy Microsoft.
Uwierzytelnianie bez hasła
Do uwierzytelniania w usłudze można użyć dowolnego typu uwierzytelniania obsługiwanego przez firmę Microsoft Entra ID, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO).
Uwierzytelnianie przy użyciu kart inteligentnych
Aby użyć karty inteligentnej do uwierzytelniania w usłudze Microsoft Entra ID, należy najpierw skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika lub skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft.
Uwierzytelnianie hosta sesji
Jeśli logowanie jednokrotne nie zostało jeszcze włączone lub zapisano poświadczenia lokalnie, musisz również uwierzytelnić się na hoście sesji podczas uruchamiania połączenia. Poniższa lista zawiera opis typów uwierzytelniania, które obecnie obsługuje każdy klient usługi Azure Virtual Desktop. Niektórzy klienci mogą wymagać użycia określonej wersji, którą można znaleźć w linku dla każdego typu uwierzytelniania.
| Klient | Obsługiwane typy uwierzytelniania |
|---|---|
| Klient klasyczny systemu Windows | Nazwa użytkownika i hasło Karta inteligentna zaufanie certyfikatu Windows Hello dla firm zaufanie klucza Windows Hello dla firm za pomocą certyfikatów Uwierzytelnianie Microsoft Entra |
| Aplikacja ze sklepu Azure Virtual Desktop Store | Nazwa użytkownika i hasło Karta inteligentna zaufanie certyfikatu Windows Hello dla firm zaufanie klucza Windows Hello dla firm za pomocą certyfikatów Uwierzytelnianie Microsoft Entra |
| Aplikacja pulpitu zdalnego | Nazwa użytkownika i hasło |
| Klient sieci Web | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu Android | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu iOS | Nazwa użytkownika i hasło Uwierzytelnianie Microsoft Entra |
| Klient systemu macOS | Nazwa użytkownika i hasło Karta inteligentna: obsługa logowania opartego na kartach inteligentnych przy użyciu przekierowania karty inteligentnej w wierszu polecenia Winlogon, gdy równoważenie obciążenia sieciowego nie jest negocjowane. Uwierzytelnianie Microsoft Entra |
Ważne
Aby uwierzytelnianie działało prawidłowo, komputer lokalny musi mieć również dostęp do wymaganych adresów URL dla klientów usług pulpitu zdalnego.
Logowanie jednokrotne
Logowanie jednokrotne umożliwia połączeniu pomijanie monitu poświadczeń hosta sesji i automatyczne logowanie użytkownika do systemu Windows. W przypadku hostów sesji dołączonych do firmy Microsoft Entra lub dołączonych hybrydowych do firmy Microsoft Entra zaleca się włączenie logowania jednokrotnego przy użyciu uwierzytelniania microsoft Entra. Uwierzytelnianie firmy Microsoft Entra zapewnia inne korzyści, takie jak uwierzytelnianie bez hasła i obsługa dostawców tożsamości innych firm.
Usługa Azure Virtual Desktop obsługuje również logowanie jednokrotne przy użyciu usług Active Directory Federation Services (AD FS) dla komputerów stacjonarnych z systemem Windows i klientów internetowych.
Bez logowania jednokrotnego klient wyświetli monit o podanie poświadczeń hosta sesji dla każdego połączenia. Jedynym sposobem uniknięcia monitowania jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom uzyskiwanie dostępu do zasobów.
Karta inteligentna i Windows Hello dla firm
Usługa Azure Virtual Desktop obsługuje zarówno protokół NT LAN Manager (NTLM) jak i Kerberos na potrzeby uwierzytelniania hosta sesji, jednak karta inteligentna i Windows Hello dla firm mogą logować się tylko przy użyciu protokołu Kerberos. Aby korzystać z protokołu Kerberos, klient musi pobrać bilety zabezpieczeń protokołu Kerberos z usługi Centrum dystrybucji kluczy (KDC) uruchomionej na kontrolerze domeny. Aby uzyskać bilety, klient potrzebuje bezpośredniego połączenia sieciowego z kontrolerem domeny. Możesz uzyskać widok, łącząc się bezpośrednio w sieci firmowej przy użyciu połączenia sieci VPN lub konfigurowania serwera proxy usługi KDC.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z usługą RemoteApp lub pulpitem może zostać wyświetlony monit o uwierzytelnienie wewnątrz sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
Usługa Azure Virtual Desktop obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO podczas korzystania z klienta klasycznego systemu Windows. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy host sesji i komputer lokalny korzystają z następujących systemów operacyjnych:
- Windows 11 single or multi-session with the 2022-10 Cumulative Updates for Windows 11 (KB5018418) or nowsza zainstalowana.
- System Windows 10 z jedną lub wieloma sesjami w wersji 20H2 lub nowszej z aktualizacjami zbiorczymi 2022-10 dla systemu Windows 10 (KB5018410) lub nowszym.
- Windows Server 2022 z aktualizacją zbiorczą 2022-10 dla systemu operacyjnego microsoft server (KB5018421) lub nowszego.
Aby wyłączyć uwierzytelnianie bez hasła w puli hostów, należy dostosować właściwość protokołu RDP. Właściwość przekierowania WebAuthn można znaleźć na karcie Przekierowanie urządzenia w witrynie Azure Portal lub ustawić właściwość redirectwebauthn na 0 przy użyciu programu PowerShell.
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, można użyć Windows Hello dla firm lub urządzeń zabezpieczeń dołączonych lokalnie.
Aby uzyskać dostęp do zasobów firmy Microsoft za pomocą Windows Hello dla firm lub urządzeń zabezpieczeń, musisz włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w artykule Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie za pomocą karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, upewnij się, że na hoście sesji zainstalowano sterowniki kart inteligentnych i włączono przekierowywanie kart inteligentnych. Przejrzyj wykres porównawczy klienta, aby upewnić się, że klient obsługuje przekierowywanie kart inteligentnych.