Megosztás a következőn keresztül:


Támogatott identitások és hitelesítési módszerek

Ebben a cikkben röviden bemutatjuk, hogy milyen identitásokat és hitelesítési módszereket használhat az Azure Virtual Desktopban.

Identitások

Az Azure Virtual Desktop különböző típusú identitásokat támogat attól függően, hogy melyik konfigurációt választja. Ez a szakasz az egyes konfigurációkhoz használható identitásokat ismerteti.

Fontos

Az Azure Virtual Desktop nem támogatja a Microsoft Entra-azonosítóba való bejelentkezést egy felhasználói fiókkal, majd egy külön felhasználói fiókkal bejelentkezik a Windowsba. Ha egyszerre két különböző fiókkal jelentkezik be, az azt eredményezheti, hogy a felhasználók nem megfelelő munkamenet-gazdagéphez, helytelen vagy hiányzó adatokhoz csatlakoznak az Azure Portalon, és hibaüzenetek jelennek meg az alkalmazás csatolása vagy AZ MSIX-alkalmazás csatolása közben.

Helyszíni identitás

Mivel a felhasználókat a Microsoft Entra-azonosítón keresztül kell felderíteni az Azure Virtual Desktop eléréséhez, a csak Active Directory tartományi szolgáltatások (AD DS)-ben található felhasználói identitások nem támogatottak. Ez magában foglalja a Active Directory összevonási szolgáltatások (AD FS) (AD FS) különálló Active Directory-telepítéseket is.

Hibrid identitás

Az Azure Virtual Desktop a Microsoft Entra ID-n keresztül támogatja a hibrid identitásokat , beleértve az AD FS használatával összevont identitásokat is. Ezeket a felhasználói identitásokat kezelheti az AD DS-ben, és szinkronizálhatja őket a Microsoft Entra ID-val a Microsoft Entra Connect használatával. A Microsoft Entra ID-val is kezelheti ezeket az identitásokat, és szinkronizálhatja őket a Microsoft Entra Domain Services szolgáltatással.

Amikor hibrid identitásokkal fér hozzá az Azure Virtual Desktophoz, előfordulhat, hogy az Active Directory (AD) és a Microsoft Entra-azonosító felhasználójának egyszerű neve (UPN) vagy biztonsági azonosítója (SID) nem egyezik meg. Az AD-fiók user@contoso.local például megfelelhet user@contoso.com a Microsoft Entra-azonosítónak. Az Azure Virtual Desktop csak akkor támogatja ezt a konfigurációtípust, ha az AD- és a Microsoft Entra-azonosítós fiókokhoz tartozó UPN vagy SID megegyezik. A SID az AD-ben az "ObjectSID" felhasználói objektumtulajdonságra, a Microsoft Entra ID-ban pedig az "OnPremisesSecurityIdentifier" tulajdonságra hivatkozik.

Csak felhőalapú identitás

Az Azure Virtual Desktop csak felhőalapú identitásokat támogat a Microsoft Entra-hoz csatlakoztatott virtuális gépek használatakor. Ezeket a felhasználókat közvetlenül a Microsoft Entra ID-ban hozza létre és felügyeli.

Feljegyzés

Hibrid identitásokat is hozzárendelhet azokhoz az Azure Virtual Desktop-alkalmazáscsoportokhoz, amelyek a Microsoft Entra illesztés típusú munkamenet-gazdagépeket üzemeltetik.

Összevont identitások

Ha nem Microsoft Entra-azonosítót vagy Active Directory tartományi szolgáltatások, külső identitásszolgáltatót használ a felhasználói fiókok kezeléséhez, győződjön meg arról, hogy:

Külső identitás

Az Azure Virtual Desktop jelenleg nem támogatja a külső identitásokat.

Hitelesítési módszerek

Az Azure Virtual Desktop-erőforrások elérésekor három különböző hitelesítési fázis létezik:

  • Felhőszolgáltatás-hitelesítés: Az Azure Virtual Desktop szolgáltatás hitelesítése, amely magában foglalja az erőforrásokra való feliratkozást és az átjáróra való hitelesítést, a Microsoft Entra-azonosítóval történik.
  • Távoli munkamenet-hitelesítés: Hitelesítés a távoli virtuális gépre. A távoli munkamenethez többféleképpen is hitelesíthetők, beleértve az ajánlott egyszeri bejelentkezést (SSO).
  • Munkameneten belüli hitelesítés: Hitelesítés a távoli munkameneten belüli alkalmazások és webhelyek számára.

A különböző ügyfeleken az egyes hitelesítési fázisokhoz elérhető hitelesítő adatok listájához hasonlítsa össze az ügyfeleket a különböző platformokon.

Fontos

Ahhoz, hogy a hitelesítés megfelelően működjön, a helyi gépnek hozzá kell férnie a távoli asztali ügyfelekhez szükséges URL-címekhez is.

A következő szakaszok további információkat nyújtanak ezekről a hitelesítési fázisokról.

Felhőszolgáltatás-hitelesítés

Az Azure Virtual Desktop-erőforrások eléréséhez először hitelesítenie kell magát a szolgáltatásban egy Microsoft Entra ID-fiókkal való bejelentkezéssel. A hitelesítés akkor történik, amikor előfizet az erőforrások lekérésére, az átjáróhoz való csatlakozásra a kapcsolat indításakor vagy a diagnosztikai adatok szolgáltatásnak való küldésekor. A hitelesítéshez használt Microsoft Entra-azonosító erőforrás az Azure Virtual Desktop (alkalmazásazonosító: 9cdead84-a844-4324-93f2-b2e6bb768d07).

Többtényezős hitelesítés

Kövesse a Microsoft Entra többtényezős hitelesítés kényszerítése az Azure Virtual Desktophoz feltételes hozzáféréssel című témakör utasításait, és ismerje meg, hogyan kényszerítheti ki a Microsoft Entra többtényezős hitelesítést az üzembe helyezéshez. Ez a cikk azt is ismerteti, hogyan konfigurálhatja, hogy a rendszer milyen gyakran kéri a felhasználóktól a hitelesítő adataik megadását. A Microsoft Entra-hoz csatlakoztatott virtuális gépek telepítésekor vegye figyelembe a Microsoft Entra-hoz csatlakoztatott munkamenetgazda virtuális gépek további lépéseit.

Jelszó nélküli hitelesítés

A szolgáltatásban való hitelesítéshez bármilyen, a Microsoft Entra-azonosító által támogatott hitelesítési típust használhat, például Vállalati Windows Hello és más jelszó nélküli hitelesítési lehetőségeket (például FIDO-kulcsokat).

Intelligens kártyás hitelesítés

Ahhoz, hogy intelligens kártyát használjon a Microsoft Entra-azonosító hitelesítéséhez, először konfigurálnia kell a Microsoft Entra tanúsítványalapú hitelesítést , vagy konfigurálnia kell az AD FS-t a felhasználói tanúsítványok hitelesítéséhez.

Külső identitásszolgáltatók

Használhat harmadik féltől származó identitásszolgáltatókat, ha azok összefonódnak a Microsoft Entra-azonosítóval.

Távoli munkamenet-hitelesítés

Ha még nem engedélyezte az egyszeri bejelentkezést, vagy helyben mentette a hitelesítő adatait, akkor a kapcsolat indításakor hitelesítést is kell végeznie a munkamenet-gazdagépen.

Egyszeri bejelentkezés (SSO)

Az egyszeri bejelentkezés lehetővé teszi, hogy a kapcsolat kihagyja a munkamenet-gazdagép hitelesítő adatait, és automatikusan bejelentkeztethesse a felhasználót a Windowsba a Microsoft Entra-hitelesítésen keresztül. A Microsoft Entra által csatlakoztatott vagy a Microsoft Entra hibrid csatlakozású munkamenet-gazdagépek esetében ajánlott engedélyezni az egyszeri bejelentkezést a Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés további előnyöket nyújt, például a jelszó nélküli hitelesítést és a külső identitásszolgáltatók támogatását.

Az Azure Virtual Desktop támogatja az egyszeri bejelentkezést is a Windows Desktop és a webes ügyfelek Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával.

Egyszeri bejelentkezés nélkül az ügyfél minden kapcsolathoz kéri a felhasználókat a munkamenet-gazdagép hitelesítő adatainak megadására. A rendszer csak úgy kerülheti el a kérést, ha menti a hitelesítő adatokat az ügyfélben. Javasoljuk, hogy csak biztonságos eszközökön mentse a hitelesítő adatokat, hogy más felhasználók ne férhessenek hozzá az erőforrásokhoz.

Intelligens kártya és Vállalati Windows Hello

Az Azure Virtual Desktop az NT LAN Managert (NTLM) és a Kerberost is támogatja a munkamenet-gazdagép-hitelesítéshez, de az intelligens kártya és a Vállalati Windows Hello csak a Kerberos használatával tudnak bejelentkezni. A Kerberos használatához az ügyfélnek kerberos biztonsági jegyeket kell beszereznie egy tartományvezérlőn futó kulcsterjesztési központ (KDC) szolgáltatásból. A jegyek beszerzéséhez az ügyfélnek közvetlen hálózatkezelési vonalra van szüksége a tartományvezérlőhöz. Ha közvetlenül a vállalati hálózaton belül csatlakozik, VPN-kapcsolattal vagy KDC proxykiszolgálót állít be, akkor a látóhatárt is elérheti.

Munkameneten belüli hitelesítés

Miután csatlakozott a RemoteApphoz vagy az asztalhoz, előfordulhat, hogy a rendszer a munkameneten belül kéri a hitelesítést. Ez a szakasz bemutatja, hogyan használhat más hitelesítő adatokat, mint a felhasználónevet és a jelszót ebben a forgatókönyvben.

Munkameneten belüli jelszó nélküli hitelesítés

Az Azure Virtual Desktop támogatja a munkameneten belüli jelszó nélküli hitelesítést Vállalati Windows Hello vagy biztonsági eszközök, például FIDO-kulcsok használatával a Windows Desktop-ügyfél használatakor. A jelszó nélküli hitelesítés automatikusan engedélyezve van, ha a munkamenetgazda és a helyi számítógép a következő operációs rendszereket használja:

Ha le szeretné tiltani a jelszó nélküli hitelesítést a gazdagépkészleten, testre kell szabnia egy RDP-tulajdonságot. A WebAuthn átirányítási tulajdonságot az Azure Portal Eszközátirányítás lapján találja, vagy a RedirectWebauthn tulajdonságot 0 értékre állíthatja a PowerShell használatával.

Ha engedélyezve van, a munkamenet összes WebAuthn-kérése átirányítva lesz a helyi számítógépre. A hitelesítési folyamat befejezéséhez használhat Vállalati Windows Hello vagy helyileg csatlakoztatott biztonsági eszközöket.

A Microsoft Entra-erőforrások Vállalati Windows Hello vagy biztonsági eszközökkel való eléréséhez engedélyeznie kell a FIDO2 biztonsági kulcsot hitelesítési módszerként a felhasználók számára. A módszer engedélyezéséhez kövesse a FIDO2 biztonsági kulcs engedélyezése módszer lépéseit.

Munkameneten belüli intelligens kártyahitelesítés

Ha intelligens kártyát szeretne használni a munkamenetben, győződjön meg arról, hogy telepítette az intelligenskártya-illesztőprogramokat a munkamenet-gazdagépen, és engedélyezte az intelligens kártya átirányítását. Tekintse át a Windows App és a Távoli asztali alkalmazás összehasonlító diagramjait, hogy intelligenskártya-átirányítást használjon.

Következő lépések