为 Azure 虚拟桌面选择身份验证策略
对于连接到远程会话的用户,有三个单独的身份验证点:
- Azure 虚拟桌面的服务身份验证:检索用户在访问客户端时有权访问的资源列表。 该体验取决于 Microsoft Entra 帐户配置。 例如,如果用户启用了多重身份验证,则会提示用户输入其用户帐户和第二种身份验证形式,就像访问其他服务一样。
- 会话主机:启动远程会话时。 会话主机需要用户名和密码,但如果启用了单一登录 (SSO),用户将可以无缝直接登录。
- 会话内身份验证:在远程会话内连接到其他资源。
以下部分详细介绍了其中每个身份验证点。
服务身份验证
若要访问 Azure 虚拟桌面资源,必须先通过使用 Microsoft Entra 帐户登录来向服务进行身份验证。 每当你订阅某个工作区以检索你的资源时,并且每当你连接到应用或桌面时,都会进行身份验证。 你可以使用第三方标识提供者,只要它们通过 Microsoft Entra ID 进行联合身份验证即可。
多重身份验证
请按照使用条件访问为 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明来了解如何为你的部署强制实施 Microsoft Entra 多重身份验证。 该文还将介绍如何配置提示用户输入其凭据的频率。 在部署已加入 Microsoft Entra 的 VM 时,请注意已已加入 Microsoft Entra 的会话主机 VM 的额外步骤。
无密码身份验证
可以使用 Microsoft Entra 支持的任何身份验证类型,例如 Windows Hello 企业版和其他无密码身份验证选项(例如 FIDO 密钥)来向服务进行身份验证。
智能卡身份验证
若要使用智能卡向 Microsoft Entra ID 进行身份验证,必须首先为用户证书身份验证配置 AD FS 或配置基于 Microsoft Entra 证书的身份验证。
会话主机身份验证
如果尚未启用单一登录或未在本地保存你的凭据,则还需要在启动连接时向会话主机进行身份验证。 以下列表描述了每个 Azure 虚拟桌面客户端当前支持的身份验证类型。 某些客户端可能需要使用特定的版本,你可以在每种身份验证类型的链接中找到该版本。
| 客户端 | 支持的身份验证类型 |
|---|---|
| Windows 桌面客户端 | 用户名和密码 智能卡 Windows Hello 企业版证书信任 带有证书的 Windows Hello 企业版密钥信任 Microsoft Entra 身份验证 |
| Azure 虚拟桌面应用商店应用 | 用户名和密码 智能卡 Windows Hello 企业版证书信任 带有证书的 Windows Hello 企业版密钥信任 Microsoft Entra 身份验证 |
| 远程桌面应用 | 用户名和密码 |
| Web 客户端 | 用户名和密码 Microsoft Entra 身份验证 |
| Android 客户端 | 用户名和密码 Microsoft Entra 身份验证 |
| iOS 客户端 | 用户名和密码 Microsoft Entra 身份验证 |
| macOS 客户端 | 用户名和密码 智能卡:支持在未协商 NLA 时,在 Winlogon 提示处通过智能卡重定向进行基于智能卡的登录。 Microsoft Entra 身份验证 |
重要
为了使身份验证正常工作,你的本地计算机还必须能够访问远程桌面客户端所需的 URL。
单一登录 (SSO)
SSO 允许连接跳过会话主机凭据提示,并自动将用户登录到 Windows。 对于已加入 Microsoft Entra 或已建立 Microsoft Entra 混合联接的会话主机,建议启用“使用 Microsoft Entra 身份验证进行 SSO”。 Microsoft Entra 身份验证提供其他优势,包括无密码身份验证和对第三方标识提供者的支持。
Azure 虚拟桌面还对 Windows 桌面和 Web 客户端支持使用 Active Directory 联合身份验证服务 (AD FS) 的 SSO。
如果不使用 SSO,则对于每次连接,客户端都将提示用户输入其会话主机凭据。 若要避免系统提示,唯一的方法是将凭据保存在客户端中。 建议仅在安全设备上保存凭据,以防其他用户访问你的资源。
智能卡和 Windows Hello 企业版
对于会话主机身份验证,Azure 虚拟桌面支持 NT LAN Manager (NTLM) 和 Kerberos,但智能卡和 Windows Hello 企业版只能使用 Kerberos 登录。 为了使用 Kerberos,客户端需从域控制器上运行的密钥分发中心 (KDC) 服务获取 Kerberos 安全票证。 若要获取票证,客户端需要能够直接通过网络看到域控制器。 要实现此目的,你可以通过使用 VPN 连接或设置 KDC 代理服务器直接在公司网络中进行连接。
会话中身份验证
当你连接到远程应用或桌面后,系统可能会在会话中提示你进行身份验证。 本部分介绍了在此情况下如何使用用户名和密码之外的其他凭据。
会话内无密码身份验证
使用 Windows 桌面客户端时,Azure 虚拟桌面支持使用 Windows Hello 企业版或安全设备(如 FIDO 密钥)的会话内无密码身份验证。 当会话主机和本地电脑使用以下操作系统时,会自动启用无密码身份验证:
- 安装了适用于 Windows 11 的 2022-10 累积更新 (KB5018418) 或更高版本的 Windows 11 单会话或多会话。
- 安装了适用于 Windows 10 的 2022-10 累积更新 (KB5018410) 或更高版本更新的 Windows 10 单会话或多会话版本 20H2 或更高版本。
- 安装了适用于 Microsoft 服务器操作系统的 2022-10 累积更新 (KB5018421) 或更高版本更新的 Windows Server 2022。
若要在主机池上禁用无密码身份验证,必须自定义 RDP 属性。 可以在 Azure 门户中的“设备重定向”选项卡下找到“WebAuthn 重定向”属性,或使用 PowerShell 将 redirectwebauthn 属性设置为 0。
启用后,会话中的所有 WebAuthn 请求将重定向到本地电脑。 可以使用 Windows Hello 企业版或本地附加的安全设备来完成身份验证过程。
若要使用 Windows Hello 企业版或安全设备访问 Microsoft Entra 资源,必须为用户启用“FIDO2 安全密钥”作为身份验证方法。 若要启用此方法,请按照启用 FIDO2 安全密钥方法中的步骤进行操作。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保已在会话主机上安装智能卡驱动程序并启用了智能卡重定向。 请查看客户端比较图,以确保你的客户端支持智能卡重定向。