Támogatott identitások és hitelesítési módszerek
Ebben a cikkben röviden bemutatjuk, hogy milyen identitásokat és hitelesítési módszereket használhat az Azure Virtual Desktopban.
Identitások
Az Azure Virtual Desktop különböző típusú identitásokat támogat attól függően, hogy melyik konfigurációt választja. Ez a szakasz az egyes konfigurációkhoz használható identitásokat ismerteti.
Fontos
Az Azure Virtual Desktop nem támogatja a Microsoft Entra-azonosítóba való bejelentkezést egy felhasználói fiókkal, majd egy külön felhasználói fiókkal bejelentkezik a Windowsba. Ha egyszerre két különböző fiókkal jelentkezik be, az azt eredményezheti, hogy a felhasználók nem megfelelő munkamenet-gazdagéphez, helytelen vagy hiányzó adatokhoz csatlakoznak az Azure Portalon, és hibaüzenetek jelennek meg az alkalmazás csatolása vagy AZ MSIX-alkalmazás csatolása közben.
Helyszíni identitás
Mivel a felhasználókat a Microsoft Entra-azonosítón keresztül kell felderíteni az Azure Virtual Desktop eléréséhez, a csak Active Directory tartományi szolgáltatások (AD DS)-ben található felhasználói identitások nem támogatottak. Ez magában foglalja a Active Directory összevonási szolgáltatások (AD FS) (AD FS) különálló Active Directory-telepítéseket is.
Hibrid identitás
Az Azure Virtual Desktop a Microsoft Entra ID-n keresztül támogatja a hibrid identitásokat , beleértve az AD FS használatával összevont identitásokat is. Ezeket a felhasználói identitásokat kezelheti az AD DS-ben, és szinkronizálhatja őket a Microsoft Entra ID-val a Microsoft Entra Connect használatával. A Microsoft Entra ID-val is kezelheti ezeket az identitásokat, és szinkronizálhatja őket a Microsoft Entra Domain Services szolgáltatással.
Amikor hibrid identitásokkal fér hozzá az Azure Virtual Desktophoz, előfordulhat, hogy az Active Directory (AD) és a Microsoft Entra-azonosító felhasználójának egyszerű neve (UPN) vagy biztonsági azonosítója (SID) nem egyezik meg. Az AD-fiók user@contoso.local például megfelelhet user@contoso.com a Microsoft Entra-azonosítónak. Az Azure Virtual Desktop csak akkor támogatja ezt a konfigurációtípust, ha az AD- és a Microsoft Entra-azonosítós fiókokhoz tartozó UPN vagy SID megegyezik. A SID az AD-ben az "ObjectSID" felhasználói objektumtulajdonságra, a Microsoft Entra ID-ban pedig az "OnPremisesSecurityIdentifier" tulajdonságra hivatkozik.
Csak felhőalapú identitás
Az Azure Virtual Desktop csak felhőalapú identitásokat támogat a Microsoft Entra-hoz csatlakoztatott virtuális gépek használatakor. Ezeket a felhasználókat közvetlenül a Microsoft Entra ID-ban hozza létre és felügyeli.
Feljegyzés
Hibrid identitásokat is hozzárendelhet azokhoz az Azure Virtual Desktop-alkalmazáscsoportokhoz, amelyek a Microsoft Entra illesztés típusú munkamenet-gazdagépeket üzemeltetik.
Összevont identitások
Ha nem Microsoft Entra-azonosítót vagy Active Directory tartományi szolgáltatások, külső identitásszolgáltatót használ a felhasználói fiókok kezeléséhez, győződjön meg arról, hogy:
- Az identitásszolgáltató a Microsoft Entra-azonosítóval van összevonva.
- A munkamenet-gazdagépek a Microsoft Entra-hoz csatlakoznak, vagy a Microsoft Entra hibrid csatlakozik.
- Engedélyezi a Microsoft Entra-hitelesítést a munkamenet-gazdagépen.
Külső identitás
Az Azure Virtual Desktop jelenleg nem támogatja a külső identitásokat.
Hitelesítési módszerek
Az Azure Virtual Desktop-erőforrások elérésekor három különböző hitelesítési fázis létezik:
- Felhőszolgáltatás-hitelesítés: Az Azure Virtual Desktop szolgáltatás hitelesítése, amely magában foglalja az erőforrásokra való feliratkozást és az átjáróra való hitelesítést, a Microsoft Entra-azonosítóval történik.
- Távoli munkamenet-hitelesítés: Hitelesítés a távoli virtuális gépre. A távoli munkamenethez többféleképpen is hitelesíthetők, beleértve az ajánlott egyszeri bejelentkezést (SSO).
- Munkameneten belüli hitelesítés: Hitelesítés a távoli munkameneten belüli alkalmazások és webhelyek számára.
A különböző ügyfeleken az egyes hitelesítési fázisokhoz elérhető hitelesítő adatok listájához hasonlítsa össze az ügyfeleket a különböző platformokon.
Fontos
Ahhoz, hogy a hitelesítés megfelelően működjön, a helyi gépnek hozzá kell férnie a távoli asztali ügyfelekhez szükséges URL-címekhez is.
A következő szakaszok további információkat nyújtanak ezekről a hitelesítési fázisokról.
Felhőszolgáltatás-hitelesítés
Az Azure Virtual Desktop-erőforrások eléréséhez először hitelesítenie kell magát a szolgáltatásban egy Microsoft Entra ID-fiókkal való bejelentkezéssel. A hitelesítés akkor történik, amikor előfizet az erőforrások lekérésére, az átjáróhoz való csatlakozásra a kapcsolat indításakor vagy a diagnosztikai adatok szolgáltatásnak való küldésekor. A hitelesítéshez használt Microsoft Entra-azonosító erőforrás az Azure Virtual Desktop (alkalmazásazonosító: 9cdead84-a844-4324-93f2-b2e6bb768d07).
Többtényezős hitelesítés
Kövesse a Microsoft Entra többtényezős hitelesítés kényszerítése az Azure Virtual Desktophoz feltételes hozzáféréssel című témakör utasításait, és ismerje meg, hogyan kényszerítheti ki a Microsoft Entra többtényezős hitelesítést az üzembe helyezéshez. Ez a cikk azt is ismerteti, hogyan konfigurálhatja, hogy a rendszer milyen gyakran kéri a felhasználóktól a hitelesítő adataik megadását. A Microsoft Entra-hoz csatlakoztatott virtuális gépek telepítésekor vegye figyelembe a Microsoft Entra-hoz csatlakoztatott munkamenetgazda virtuális gépek további lépéseit.
Jelszó nélküli hitelesítés
A szolgáltatásban való hitelesítéshez bármilyen, a Microsoft Entra-azonosító által támogatott hitelesítési típust használhat, például Vállalati Windows Hello és más jelszó nélküli hitelesítési lehetőségeket (például FIDO-kulcsokat).
Intelligens kártyás hitelesítés
Ahhoz, hogy intelligens kártyát használjon a Microsoft Entra-azonosító hitelesítéséhez, először konfigurálnia kell a Microsoft Entra tanúsítványalapú hitelesítést , vagy konfigurálnia kell az AD FS-t a felhasználói tanúsítványok hitelesítéséhez.
Külső identitásszolgáltatók
Használhat harmadik féltől származó identitásszolgáltatókat, ha azok összefonódnak a Microsoft Entra-azonosítóval.
Távoli munkamenet-hitelesítés
Ha még nem engedélyezte az egyszeri bejelentkezést, vagy helyben mentette a hitelesítő adatait, akkor a kapcsolat indításakor hitelesítést is kell végeznie a munkamenet-gazdagépen.
Egyszeri bejelentkezés (SSO)
Az egyszeri bejelentkezés lehetővé teszi, hogy a kapcsolat kihagyja a munkamenet-gazdagép hitelesítő adatait, és automatikusan bejelentkeztethesse a felhasználót a Windowsba a Microsoft Entra-hitelesítésen keresztül. A Microsoft Entra által csatlakoztatott vagy a Microsoft Entra hibrid csatlakozású munkamenet-gazdagépek esetében ajánlott engedélyezni az egyszeri bejelentkezést a Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés további előnyöket nyújt, például a jelszó nélküli hitelesítést és a külső identitásszolgáltatók támogatását.
Az Azure Virtual Desktop támogatja az egyszeri bejelentkezést is a Windows Desktop és a webes ügyfelek Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával.
Egyszeri bejelentkezés nélkül az ügyfél minden kapcsolathoz kéri a felhasználókat a munkamenet-gazdagép hitelesítő adatainak megadására. A rendszer csak úgy kerülheti el a kérést, ha menti a hitelesítő adatokat az ügyfélben. Javasoljuk, hogy csak biztonságos eszközökön mentse a hitelesítő adatokat, hogy más felhasználók ne férhessenek hozzá az erőforrásokhoz.
Intelligens kártya és Vállalati Windows Hello
Az Azure Virtual Desktop az NT LAN Managert (NTLM) és a Kerberost is támogatja a munkamenet-gazdagép-hitelesítéshez, de az intelligens kártya és a Vállalati Windows Hello csak a Kerberos használatával tudnak bejelentkezni. A Kerberos használatához az ügyfélnek kerberos biztonsági jegyeket kell beszereznie egy tartományvezérlőn futó kulcsterjesztési központ (KDC) szolgáltatásból. A jegyek beszerzéséhez az ügyfélnek közvetlen hálózatkezelési vonalra van szüksége a tartományvezérlőhöz. Ha közvetlenül a vállalati hálózaton belül csatlakozik, VPN-kapcsolattal vagy KDC proxykiszolgálót állít be, akkor a látóhatárt is elérheti.
Munkameneten belüli hitelesítés
Miután csatlakozott a RemoteApphoz vagy az asztalhoz, előfordulhat, hogy a rendszer a munkameneten belül kéri a hitelesítést. Ez a szakasz bemutatja, hogyan használhat más hitelesítő adatokat, mint a felhasználónevet és a jelszót ebben a forgatókönyvben.
Munkameneten belüli jelszó nélküli hitelesítés
Az Azure Virtual Desktop támogatja a munkameneten belüli jelszó nélküli hitelesítést Vállalati Windows Hello vagy biztonsági eszközök, például FIDO-kulcsok használatával a Windows Desktop-ügyfél használatakor. A jelszó nélküli hitelesítés automatikusan engedélyezve van, ha a munkamenetgazda és a helyi számítógép a következő operációs rendszereket használja:
- Windows 11 egyszeri vagy több munkamenet a Windows 11 2022–10-es kumulatív frissítéseivel (KB5018418) vagy újabb verziójával.
- Windows 10 egy- vagy több munkamenetes, 20H2-es vagy újabb verzió a Windows 10 2022-10 kumulatív frissítéseivel (KB5018410) vagy újabb verziójával.
- Windows Server 2022 a Microsoft server operációs rendszer (KB5018421) vagy újabb verziójának 2022–10-es kumulatív frissítésével.
Ha le szeretné tiltani a jelszó nélküli hitelesítést a gazdagépkészleten, testre kell szabnia egy RDP-tulajdonságot. A WebAuthn átirányítási tulajdonságot az Azure Portal Eszközátirányítás lapján találja, vagy a RedirectWebauthn tulajdonságot 0 értékre állíthatja a PowerShell használatával.
Ha engedélyezve van, a munkamenet összes WebAuthn-kérése átirányítva lesz a helyi számítógépre. A hitelesítési folyamat befejezéséhez használhat Vállalati Windows Hello vagy helyileg csatlakoztatott biztonsági eszközöket.
A Microsoft Entra-erőforrások Vállalati Windows Hello vagy biztonsági eszközökkel való eléréséhez engedélyeznie kell a FIDO2 biztonsági kulcsot hitelesítési módszerként a felhasználók számára. A módszer engedélyezéséhez kövesse a FIDO2 biztonsági kulcs engedélyezése módszer lépéseit.
Munkameneten belüli intelligens kártyahitelesítés
Ha intelligens kártyát szeretne használni a munkamenetben, győződjön meg arról, hogy telepítette az intelligenskártya-illesztőprogramokat a munkamenet-gazdagépen, és engedélyezte az intelligens kártya átirányítását. Tekintse át a Windows App és a Távoli asztali alkalmazás összehasonlító diagramjait, hogy intelligenskártya-átirányítást használjon.
Következő lépések
- Kíváncsi más módszerekre, amelyekkel biztonságossá teheti az üzembe helyezést? Tekintse meg a biztonsági ajánlott eljárásokat.
- Problémákat tapasztal a Microsoft Entra-hoz csatlakoztatott virtuális gépekhez való csatlakozáskor? Tekintse meg a Microsoft Entra-hoz csatlakoztatott virtuális gépek kapcsolatainak hibaelhárítását.
- Problémákat tapasztal a munkameneten belüli jelszó nélküli hitelesítéssel kapcsolatban? Lásd: WebAuthn-átirányítás hibaelhárítása.
- Szeretne intelligens kártyákat használni a vállalati hálózaton kívülről? Tekintse át, hogyan állíthat be KDC proxykiszolgálót.