排查已加入 Microsoft Entra 的 VM 的连接问题

重要

本教程的内容适用于包含 Azure 资源管理器 Azure 虚拟桌面对象的 Azure 虚拟桌面。

本文可帮助解决与 Azure 虚拟桌面中已加入 Microsoft Entra 的会话主机 VM 的连接问题。

所有客户端

你的帐户配置为阻止你使用此设备

如果遇到错误，指出：

你的帐户已配置为阻止你使用此设备。 有关详细信息，请与系统管理员联系。

确保为用户帐户提供 虚拟机（VM）上的虚拟机用户登录角色 。

用户名或密码不正确

如果你无法登录并继续收到错误消息，指出你的凭据不正确，请首先确保你使用的是正确的凭据。 如果继续看到错误消息，请检查以确保已满足以下要求：

• 是否已将“虚拟机用户登录”的基于角色的访问控制 (RBAC) 权限分配给每个用户的 VM 或资源组？
• 你的条件访问策略是否对 Azure Windows VM 登录云应用程序排除了多重身份验证要求？

如果对这些问题中的任何一个回答为“否”，则需要重新配置多重身份验证。 要重新配置多重身份验证，请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明进行操作。

重要

VM 登录不支持按用户启用或强制执行的 Microsoft Entra 多重身份验证。 如果在 VM 上尝试使用多重身份验证登录，将无法登录并收到错误消息。

如果已将 Microsoft Entra 日志与 Azure Monitor 日志集成，以通过 Log Analytics 访问 Microsoft Entra 登录日志，则可查看是否已启用多重身份验证以及触发事件的条件访问策略。 显示的事件是 VM 的非交互式用户登录事件，这意味着 IP 地址似乎来自你的 VM 访问 Microsoft Entra ID 时使用的外部 IP 地址。

可以通过运行以下 Kusto 查询来访问登录日志：

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

Windows 桌面客户端

登录尝试失败

如果在Windows 安全凭据提示符上遇到“登录尝试失败”的错误，请验证以下内容：

• 你使用的设备已加入 Microsoft Entra 或 Microsoft Entra 混合，并且与会话主机位于同一 Microsoft Entra 租户中。
• 本地电脑和会话主机上均启用了 PKU2U 协议。
• 为用户帐户禁用了每用户多重身份验证，因为已加入 Microsoft Entra 的 VM 不支持此功能。

你尝试使用的登录方法不受允许

如果遇到错误：

不允许尝试使用的登录方法。 尝试其他登录方法或联系系统管理员。

你有限制访问的条件访问策略。 请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明，为已加入 Microsoft Entra 的 VM 强制实施 Microsoft Entra 多重身份验证。

指定的登录会话不存在。 它可能已被终止

如果遇到错误：

发生身份验证错误。 指定的登录会话不存在。 该会话可能已被终止。

验证配置单一登录时是否已正确创建和配置 Kerberos 服务器对象。

Web 客户端

登录失败。 请检查用户名和密码，然后重试

如果使用 Web 客户端时遇到以下错误：

唉，无法连接到 NAME。 登录失败。 请检查用户名和密码，然后重试。

确保 已从其他客户端启用连接。

由于安全错误，无法连接到远程电脑

如果遇到错误：

唉，无法连接到 NAME。 由于出现安全错误，无法连接到远程电脑。 如果这种情况持续发生，请向管理员或技术支持部门寻求帮助。

你有限制访问的条件访问策略。 请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明，为已加入 Microsoft Entra 的 VM 强制实施 Microsoft Entra 多重身份验证。

Android 和 Chrome OS 客户端

错误代码 2607 - 无法连接到远程电脑，因为你的凭据无效

如果使用 Android 客户端时遇到以下错误，错误代码为 2607：

无法连接到远程电脑，因为你的凭据不起作用。 远程计算机已加入 AADJ。

确保 已从其他客户端启用连接。

提供反馈

请访问 Azure 虚拟桌面技术社区，与产品团队和活跃的社区成员共同探讨 Azure 虚拟桌面服务。

后续步骤

• 有关对 Azure 虚拟桌面和升级跟踪进行故障排除的概述，请参阅 故障排除概述、反馈和支持。
• 若要排查在 Azure 虚拟桌面环境中创建 Azure 虚拟桌面环境和主机池时出现的问题，请参阅 主机池创建疑难解答。
• 若要排查在 Azure 虚拟桌面中配置虚拟机（VM）时出现的问题，请参阅 会话主机虚拟机配置疑难解答。
• 若要排查与 Azure 虚拟桌面代理或会话连接性相关的问题，请参阅排查常见的 Azure 虚拟桌面代理问题。
• 若要排查将 PowerShell 与 Azure 虚拟桌面配合使用时出现的问题，请参阅 Azure 虚拟桌面 PowerShell 故障排除。
• 若要完成故障排除教程，请参阅 快速入门：排查 ARM 模板 JSON 部署问题。