الهويات المدعومة وطرق المصادقة

في هذه المقالة، سنقدم لك نظرة عامة موجزة حول أنواع الهويات وطرق المصادقة التي يمكنك استخدامها في Azure Virtual Desktop.

الهويات

يدعم سطح المكتب الظاهري من Azure أنواعًا مختلفة من الهويات بناءً على التكوين الذي تختاره. يوضّح هذا القسم الهويات التي يمكنك استخدامها لكل تكوين.

هوية محلية

نظرا لأنه يجب أن يكون المستخدمون قابلين للاكتشاف من خلال معرف Microsoft Entra للوصول إلى Azure Virtual Desktop، فإن هويات المستخدمين الموجودة فقط في خدمات مجال Active Directory (AD DS) غير مدعومة. يتضمن ذلك عمليات نشر Active Directory المستقلة مع خدمات الأمان المشترك لـ Active Directory (AD FS).

الهوية المختلطة

يدعم Azure Virtual Desktop الهويات المختلطة من خلال معرف Microsoft Entra، بما في ذلك تلك الموحدة باستخدام AD FS. يمكنك إدارة هويات المستخدمين هذه في AD DS ومزامنتها مع معرف Microsoft Entra باستخدام Microsoft Entra Connect. يمكنك أيضا استخدام معرف Microsoft Entra لإدارة هذه الهويات ومزامنتها مع Microsoft Entra Domain Services.

عند الوصول إلى Azure Virtual Desktop باستخدام الهويات المختلطة، في بعض الأحيان لا يتطابق اسم المستخدم الأساسي (UPN) أو معرف الأمان (SID) للمستخدم في Active Directory (AD) ومعرف Microsoft Entra. على سبيل المثال، قد يتوافق حساب user@contoso.local AD مع user@contoso.com في معرف Microsoft Entra. يدعم Azure Virtual Desktop هذا النوع من التكوين فقط إذا تطابق UPN أو SID لكل من حسابات AD وMicrosoft Entra ID. يشير SID إلى خاصية كائن المستخدم "ObjectSID" في AD و"OnPremisesSecurityIdentifier" في معرف Microsoft Entra.

هوية السحابة فقط

يدعم Azure Virtual Desktop هويات السحابة فقط عند استخدام الأجهزة الظاهرية المنضمة إلى Microsoft Entra. يتم إنشاء هؤلاء المستخدمين وإدارتهم مباشرة في معرف Microsoft Entra.

الهوية الموحدة

إذا كنت تستخدم موفر هوية (IdP) تابع لجهة خارجية، بخلاف معرف Microsoft Entra أو خدمات مجال Active Directory، لإدارة حسابات المستخدمين، فيجب عليك التأكد مما يلي:

• يتم توحيد IdP الخاص بك مع معرف Microsoft Entra.
• مضيفو الجلسة هم منضمون إلى Microsoft Entra أو Microsoft Entra مختلط منضمون.
• يمكنك تمكين مصادقة Microsoft Entra إلى مضيف الجلسة.

الهوية الخارجية

لا يدعم Azure Virtual Desktop حاليًا الهويات الخارجية.

طرق المصادقة

عند الوصول إلى موارد Azure Virtual Desktop، هناك ثلاث مراحل مصادقة منفصلة:

• مصادقة الخدمة السحابية: المصادقة على خدمة Azure Virtual Desktop، والتي تتضمن الاشتراك في الموارد والمصادقة على البوابة، مع معرف Microsoft Entra.
• مصادقة الجلسة عن بعد: المصادقة على الجهاز الظاهري البعيد. هناك طرق متعددة للمصادقة على جلسة العمل البعيدة، بما في ذلك تسجيل الدخول الأحادي الموصى به (SSO).
• المصادقة داخل الجلسة: المصادقة على التطبيقات ومواقع الويب داخل جلسة العمل البعيدة.

للحصول على قائمة بيانات الاعتماد المتوفرة على العملاء المختلفين لكل مرحلة من مراحل المصادقة، قارن العملاء عبر الأنظمة الأساسية.

توفر الأقسام التالية المزيد من المعلومات حول مراحل المصادقة هذه.

مصادقة الخدمة السحابية

للوصول إلى موارد Azure Virtual Desktop، يجب أولا المصادقة على الخدمة عن طريق تسجيل الدخول باستخدام حساب معرف Microsoft Entra. تحدث المصادقة كلما اشتركت لاسترداد مواردك، اتصل بالبوابة عند بدء تشغيل اتصال أو عند إرسال معلومات تشخيصية إلى الخدمة. مورد معرف Microsoft Entra المستخدم لهذه المصادقة هو Azure Virtual Desktop (معرف التطبيق 9cdead84-a844-4324-93f2-b2e6bb768d07).

المصادقة متعددة العوامل

اتبع الإرشادات الواردة في فرض مصادقة Microsoft Entra متعددة العوامل ل Azure Virtual Desktop باستخدام الوصول المشروط لمعرفة كيفية فرض مصادقة Microsoft Entra متعددة العوامل لنشرك. ستطلعك هذه المقالة أيضًا على كيفية تكوين عدد المرات التي تتم فيها مطالبة المستخدمين بإدخال بيانات الاعتماد الخاصة بهم. عند نشر الأجهزة الظاهرية المنضمة إلى Microsoft Entra، لاحظ الخطوات الإضافية للأجهزة الظاهرية لمضيف الجلسة المنضمة إلى Microsoft Entra.

مصادقة لا تتطلب كلمة مرور

يمكنك استخدام أي نوع مصادقة يدعمه معرف Microsoft Entra، مثل Windows Hello للأعمال وخيارات المصادقة الأخرى بدون كلمة مرور (على سبيل المثال، مفاتيح FIDO)، للمصادقة على الخدمة.

مصادقة البطاقة الذكية

لاستخدام بطاقة ذكية للمصادقة على معرف Microsoft Entra، يجب أولا تكوين المصادقة المستندة إلى شهادة Microsoft Entra أو تكوين AD FS لمصادقة شهادة المستخدم.

موفرو هوية الجهات الخارجية

يمكنك استخدام موفري الهوية التابعين لجهة خارجية طالما أنهم متحدون مع معرف Microsoft Entra.

مصادقة الجلسة عن بعد

إذا لم تكن قد قمت بالفعل بتمكين تسجيل الدخول الأحادي أو حفظ بيانات الاعتماد محليًا، فستحتاج أيضًا إلى المصادقة على مضيف الجلسة عند بدء تشغيل الاتصال.

⁧⁩تسجيل الدخول الأحادي (SSO)

يسمح SSO بالاتصال بتخطي مطالبة بيانات اعتماد مضيف الجلسة وتسجيل دخول المستخدم تلقائيا إلى Windows من خلال مصادقة Microsoft Entra. بالنسبة لمضيفي الجلسة المنضمين إلى Microsoft Entra أو Microsoft Entra المختلطين، يوصى بتمكين تسجيل الدخول الأحادي باستخدام مصادقة Microsoft Entra. توفر مصادقة Microsoft Entra مزايا أخرى بما في ذلك المصادقة بدون كلمة مرور والدعم لموفري الهوية التابعين لجهة خارجية.

يدعم سطح المكتب الظاهري من Azure أيضًا تسجيل الدخول الأحادي باستخدام خدمات الأمان المشترك لـ Active Directory (AD FS) لعملاء سطح مكتب Windows والويب.

بدون تسجيل الدخول الأحادي، يطالب العميل المستخدمين ببيانات اعتماد مضيف جلسة العمل الخاصة بهم لكل اتصال. الطريقة الوحيدة لتجنب المطالبة هي حفظ بيانات الاعتماد في العميل. نوصيك فقط بحفظ بيانات الاعتماد على الأجهزة الآمنة لمنع المستخدمين الآخرين من الوصول إلى مواردك.

البطاقة الذكية وWindows Hello للأعمال

يدعم سطح المكتب الظاهري من Azure كلا من NTLM (NTLM) وKerberos لمصادقة مضيف جلسة العمل، ولكن يمكن للبطاقة الذكية Windows Hello للأعمال استخدام Kerberos فقط لتسجيل الدخول. لاستخدام Kerberos، يحتاج العميل إلى الحصول على تذاكر أمان Kerberos من خدمة مركز توزيع المفاتيح (KDC) التي تعمل على وحدة تحكّم المجال. للحصول على تذاكر، يحتاج العميل إلى خط رؤية مباشر للشبكة إلى وحدة التحكم بالمجال. يمكنك الحصول على خط رؤية عن طريق الاتصال مباشرة داخل شبكة شركتك، باستخدام اتصال شبكة ظاهرية خاصة أو إعداد خادم وكيل KDC.

المصادقة في الجلسة

بمجرد الاتصال ب RemoteApp أو سطح المكتب، قد تتم مطالبتك بالمصادقة داخل الجلسة. يشرح هذا القسم كيفية استخدام بيانات الاعتماد بالإضافة إلى اسم المستخدم وكلمة المرور في هذا السيناريو.

مصادقة بدون كلمة مرور في جلسة العمل

يدعم Azure Virtual Desktop المصادقة بدون كلمة مرور في جلسة العمل باستخدام Windows Hello للأعمال أو أجهزة الأمان مثل مفاتيح FIDO عند استخدام عميل سطح مكتب Windows. يتم تمكين المصادقة بدون كلمة مرور تلقائيا عندما يستخدم مضيف الجلسة والكمبيوتر المحلي أنظمة التشغيل التالية:

• Windows 11 جلسة واحدة أو متعددة مع التحديثات التراكمية 2022-10 ل Windows 11 (KB5018418) أو تثبيتها لاحقا.
• Windows 10 أحادي أو متعدد الجلسات، الإصدارات 20H2 أو أحدث مع التحديثات التراكمية 2022-10 لنظام التشغيل Windows 10 (KB5018410) أو تثبيتها لاحقا.
• Windows Server 2022 مع التحديث التراكمي 2022-10 لنظام تشغيل خادم Microsoft (KB5018421) أو تثبيته لاحقا.

لتعطيل المصادقة بدون كلمة مرور على تجمع المضيف، يجب تخصيص خاصية RDP. يمكنك العثور على خاصية إعادة توجيه WebAuthn ضمن علامة التبويب إعادة توجيه الجهاز في مدخل Microsoft Azure أو تعيين خاصية redirectwebauthn إلى 0 باستخدام PowerShell.

عند التمكين، تتم إعادة توجيه جميع طلبات WebAuthn في جلسة العمل إلى الكمبيوتر المحلي. يمكنك استخدام Windows Hello للأعمال أو أجهزة الأمان المرفقة محليا لإكمال عملية المصادقة.

للوصول إلى موارد Microsoft Entra مع أجهزة Windows Hello للأعمال أو الأمان، يجب تمكين مفتاح أمان FIDO2 كطريقة مصادقة للمستخدمين. لتمكين هذا الأسلوب، اتبع الخطوات الواردة في تمكين أسلوب مفتاح الأمان FIDO2.

مصادقة البطاقة الذكية في جلسة العمل

لاستخدام بطاقة ذكية في الجلسة، تأكد من تثبيت برامج تشغيل البطاقة الذكية على مضيف الجلسة وتمكين إعادة توجيه البطاقة الذكية. راجع مخططات المقارنة لتطبيق Windows تطبيق سطحالمكتب البعيد لجعلك تستطيع استخدام إعادة توجيه البطاقة الذكية.

الخطوات التالية

• هل تشعر بالفضول حول طرق أخرى للحفاظ على أمان عملية التوزيع الخاصة بك؟ اطلع على أفضل الممارسات الأمنية لـ Microsoft.
• هل تواجه مشكلات في الاتصال بالأجهزة الظاهرية المنضمة إلى Microsoft Entra؟ انظر إلى استكشاف أخطاء الاتصالات بالأجهزة الظاهرية المنضمة إلى Microsoft Entra وإصلاحها.
• هل تواجه مشكلات في المصادقة بدون كلمة مرور في جلسة العمل؟ راجع استكشاف أخطاء إعادة توجيه WebAuthn وإصلاحها.
• هل تريد استخدام البطاقات الذكية من خارج شبكة شركتك؟ راجع كيفية إعداد خادم وكيل KDC.