Megosztás a következőn keresztül:

Egyszeri bejelentkezés konfigurálása az Azure Virtual Desktophoz a Microsoft Entra ID használatával

  • Cikk

Az Egyszeri bejelentkezés (SSO) az Azure Virtual Desktophoz a Microsoft Entra ID használatával zökkenőmentes bejelentkezési élményt nyújt a munkamenet-gazdagépekhez csatlakozó felhasználók számára. Ha engedélyezi az egyszeri bejelentkezést, a felhasználók Microsoft Entra ID-jogkivonat használatával hitelesítik magukat a Windowsban. Ez a jogkivonat lehetővé teszi a jelszó nélküli hitelesítést és a Microsoft Entra-azonosítóval összevont külső identitásszolgáltatók használatát a munkamenet-gazdagéphez való csatlakozáskor, így a bejelentkezés zökkenőmentessé válik.

A Microsoft Entra ID-t használó egyszeri bejelentkezés zökkenőmentes felhasználói élményt nyújt a Microsoft Entra ID-alapú erőforrások számára a munkameneten belül. A jelszó nélküli hitelesítés munkameneten belüli használatával kapcsolatos további információkért lásd a munkameneten belüli jelszó nélküli hitelesítést.

Az egyszeri bejelentkezés Microsoft Entra ID-hitelesítéssel való engedélyezéséhez öt feladatot kell elvégeznie:

  1. Engedélyezze a Microsoft Entra-hitelesítést távoli asztali protokollhoz (RDP).

  2. A hozzájárulási kérés párbeszédpanel elrejtése.

  3. Hozzon létre egy Kerberos Server-objektumot, ha Active Directory tartományi szolgáltatások a környezet része. A feltételekről további információt a szakasz tartalmaz.

  4. Tekintse át a feltételes hozzáférési szabályzatokat.

  5. Konfigurálja a gazdagépkészletet az egyszeri bejelentkezés engedélyezéséhez.

Az egyszeri bejelentkezés engedélyezése előtt

Az egyszeri bejelentkezés engedélyezése előtt tekintse át az alábbi információkat a környezetében való használatról.

Munkamenet-zárolási viselkedés

Ha engedélyezve van az egyszeri bejelentkezés a Microsoft Entra-azonosítóval, és a távoli munkamenetet a felhasználó vagy a szabályzat zárolja, megadhatja, hogy a munkamenet le van-e választva, vagy megjelenik a távoli zárolási képernyő. Az alapértelmezett viselkedés a munkamenet zároláskor történő leválasztása.

Amikor a munkamenet-zárolási viselkedés megszakad, megjelenik egy párbeszédpanel, amely tudatja a felhasználókat a kapcsolat megszakadásával. A felhasználók akkor választhatják az Újracsatlakozás lehetőséget a párbeszédpanelen, ha készen állnak az újracsatlakozásra. Ez a viselkedés biztonsági okokból és a jelszó nélküli hitelesítés teljes körű támogatásának biztosítása érdekében történik. A munkamenet leválasztása a következő előnyöket nyújtja:

  • Szükség esetén konzisztens bejelentkezési élmény a Microsoft Entra-azonosítón keresztül.

  • Egyszeri bejelentkezés és újracsatlakozás hitelesítési kérés nélkül, ha a feltételes hozzáférési szabályzatok engedélyezik.

  • Támogatja a jelszó nélküli hitelesítést, például a kulcsokat és a FIDO2-eszközöket, ellentétben a távoli zárolási képernyővel.

  • A feltételes hozzáférési szabályzatok, beleértve a többtényezős hitelesítést és a bejelentkezési gyakoriságot, újraértékelódnak, amikor a felhasználó újra csatlakozik a munkamenethez.

  • Többtényezős hitelesítést igényelhet a munkamenethez való visszatéréshez, és megakadályozhatja, hogy a felhasználók egyszerű felhasználónévvel és jelszóval oldják fel a zárolást.

Ha úgy szeretné konfigurálni a munkamenet-zárolási viselkedést, hogy a munkamenet leválasztása helyett a távoli zárolási képernyő jelenjen meg, olvassa el a munkamenet-zárolási viselkedés konfigurálása című témakört.

Active Directory tartományi rendszergazdai fiókok egyszeri bejelentkezéssel

Az Active Directory tartományi szolgáltatások (AD DS) és hibrid felhasználói fiókokkal rendelkező környezetekben az írásvédett tartományvezérlők alapértelmezett jelszóreplikációs szabályzata letiltja a tartományi rendszergazdák és rendszergazdák biztonsági csoportok tagjainak jelszóreplikálását. Ez a szabályzat megakadályozza, hogy ezek a rendszergazdai fiókok bejelentkezhessenek a Hibrid Microsoft Entra-gazdagépekre, és előfordulhat, hogy továbbra is kérik őket a hitelesítő adataik megadására. Azt is megakadályozza, hogy a rendszergazdai fiókok hozzáférjenek a Microsoft Entra-hoz csatlakoztatott gazdagépek Kerberos-hitelesítést használó helyszíni erőforrásaihoz. Biztonsági okokból nem javasoljuk a távoli munkamenethez való csatlakozást tartományi rendszergazdai fiókkal.

Ha rendszergazdaként módosítania kell egy munkamenet-gazdagépet, jelentkezzen be a munkamenet-gazdagépre egy nem rendszergazdai fiókkal, majd a futtatás rendszergazdai beállítással vagy a parancssor futtató eszközével váltson rendszergazdai fiókra.

Előfeltételek

Az egyszeri bejelentkezés engedélyezése előtt meg kell felelnie a következő előfeltételeknek:

  • A Microsoft Entra-bérlő konfigurálásához az alábbi beépített Microsoft Entra-szerepkörök egyikét kell hozzárendelnie:

  • A munkamenet-gazdagépeknek az alábbi operációs rendszerek egyikét kell futtatniuk a megfelelő kumulatív frissítéssel:

  • A munkamenet-gazdagépeknek a Microsoft Entra-hoz vagy a Hibrid Microsoft Entra-hoz kell csatlakozniuk. A Microsoft Entra Domain Serviceshez vagy Active Directory tartományi szolgáltatások csak a munkamenet-gazdagépek nem támogatottak.

    Ha a Microsoft Entra hibrid csatlakoztatott munkamenet-gazdagépei más Active Directory-tartományban vannak, mint a felhasználói fiókok, kétirányú megbízhatósági kapcsolatnak kell lennie a két tartomány között. A kétirányú megbízhatóság nélkül a kapcsolatok a régebbi hitelesítési protokollokra esnek vissza.

  • Telepítse a Microsoft Graph PowerShell SDK 2.9.0-s vagy újabb verzióját a helyi eszközön vagy az Azure Cloud Shellben.

  • A windowsos alkalmazás vagy a távoli asztali ügyfél támogatott verziójával kapcsolódhat távoli munkamenethez. A következő platformok és verziók támogatottak:

    • Windows-alkalmazás:

      • Windows: A Windows Alkalmazás minden verziója. Nincs szükség arra, hogy a helyi számítógép csatlakozzon a Microsoft Entra-azonosítóhoz vagy egy Active Directory-tartományhoz.
      • macOS: 10.9.10-es vagy újabb verzió.
      • iOS/iPadOS: 10.5.2-es vagy újabb verzió.
      • Webböngésző.

    • Távoli asztali ügyfél:

Microsoft Entra-hitelesítés engedélyezése RDP-hez

Először engedélyeznie kell a Microsoft Entra-hitelesítést a Windowshoz a Microsoft Entra-bérlőben, amely lehetővé teszi az RDP-hozzáférési jogkivonatok kiállítását, amelyek lehetővé teszik a felhasználók számára, hogy bejelentkezhessenek az Azure Virtual Desktop-munkamenet-gazdagépekre. A tulajdonságot isRemoteDesktopProtocolEnabled igaz értékre állítja remoteDesktopSecurityConfiguration a szolgáltatásnév objektumán a következő Microsoft Entra-alkalmazásokhoz:

Alkalmazásnév Pályázat azonosítója
Microsoft Távoli asztal a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud-bejelentkezés 270efc09-cd0d-444b-a71f-39af4910ec45

Fontos

Egy közelgő változás részeként 2024-től áttérünk a Microsoft Távoli asztal-ról a Windows Cloud Login szolgáltatásra. Ha mindkét alkalmazást konfigurálja, már készen áll a módosításra.

A szolgáltatásnév konfigurálásához a Microsoft Graph PowerShell SDK-val hozzon létre egy új remoteDesktopSecurityConfiguration objektumot a szolgáltatásnéven, és állítsa a tulajdonságot isRemoteDesktopProtocolEnabled a következőre true. A Microsoft Graph API-t egy olyan eszközzel is használhatja, mint a Graph Explorer.

  1. Nyissa meg az Azure Cloud Shellt az Azure Portalon a PowerShell-termináltípussal , vagy futtassa a PowerShellt a helyi eszközön.

  1. Győződjön meg arról, hogy az előfeltételek közül telepítette a Microsoft Graph PowerShell SDK-t, majd importálja a Hitelesítés és alkalmazások Microsoft Graph-modulokat, és az alábbi parancsok futtatásával csatlakozzon a Microsoft Graphhoz a hatókörökkel és Application-RemoteDesktopConfig.ReadWrite.All a Application.Read.All hatókörökkel:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Kérje le az egyes szolgáltatásnevek objektumazonosítóját, és tárolja őket változókban az alábbi parancsok futtatásával:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Állítsa be a tulajdonságot isRemoteDesktopProtocolEnabledtrue az alábbi parancsok futtatásával. Ezekből a parancsokból nincs kimenet.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Győződjön meg arról, hogy true a tulajdonság isRemoteDesktopProtocolEnabled a következő parancsok futtatásával van beállítva:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    Mindkét parancs kimenetének a következőnek kell lennie:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Ha az egyszeri bejelentkezés engedélyezve van, a felhasználók alapértelmezés szerint egy párbeszédpanelen engedélyezik a távoli asztali kapcsolatot, amikor új munkamenet-gazdagéphez csatlakoznak. A Microsoft Entra 30 napig legfeljebb 15 gazdagépet jegyez meg, mielőtt újra rákérdez. Ha a felhasználók ezt a párbeszédet úgy látják, hogy engedélyezik a távoli asztali kapcsolatot, az Igen lehetőséget választva csatlakozhatnak.

Ezt a párbeszédpanelt elrejtheti a megbízható eszközök listájának konfigurálásával. Az eszközök listájának konfigurálásához hozzon létre egy vagy több csoportot a Munkamenet-gazdagépeket tartalmazó Microsoft Entra-azonosítóban, majd adja hozzá a csoportazonosítókat az SSO szolgáltatásnevek, a Microsoft Távoli asztal és a Windows Cloud Login egyik tulajdonságához.

Tipp.

Javasoljuk, hogy használjon dinamikus csoportot, és konfigurálja a dinamikus tagsági szabályokat úgy, hogy az tartalmazza az összes Azure Virtual Desktop-munkamenet gazdagépét. Ebben a csoportban használhatja az eszközneveket, de biztonságosabb megoldásként beállíthatja és használhatja az eszközbővítmény-attribútumokat a Microsoft Graph API-val. Bár a dinamikus csoportok általában 5–10 percen belül frissülnek, a nagy bérlők akár 24 órát is igénybe vehetnek.

A dinamikus csoportokhoz a Microsoft Entra ID P1 licenc vagy az Intune for Education licenc szükséges. További információ: Dinamikus tagsági szabályok csoportokhoz.

A szolgáltatásnév konfigurálásához a Microsoft Graph PowerShell SDK használatával hozzon létre egy új targetDeviceGroup objektumot a szolgáltatásnéven a dinamikus csoport objektumazonosítójával és megjelenítendő nevével. A Microsoft Graph API-t egy olyan eszközzel is használhatja, mint a Graph Explorer.

  1. Hozzon létre egy dinamikus csoportot a Microsoft Entra-azonosítóban, amely tartalmazza azokat a munkamenet-gazdagépeket, amelyeknek el szeretné rejteni a párbeszédpanelt. Jegyezze fel a csoport objektumazonosítóját a következő lépéshez.

  2. Ugyanabban a PowerShell-munkamenetben hozzon létre egy targetDeviceGroup objektumot az alábbi parancsok futtatásával, és cserélje le a <placeholders> saját értékeire:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Adja hozzá a csoportot az targetDeviceGroup objektumhoz az alábbi parancsok futtatásával:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    A kimenetnek az alábbi példához hasonlónak kell lennie:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Ismételje meg a 2. és a 3. lépést minden olyan csoportnál, amelyet hozzá szeretne adni az targetDeviceGroup objektumhoz, legfeljebb 10 csoportig.

  4. Ha később el kell távolítania egy eszközcsoportot az targetDeviceGroup objektumból, futtassa a következő parancsokat, és cserélje le a <placeholders> saját értékeire:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Kerberos-kiszolgálóobjektum létrehozása

Ha a munkamenet-gazdagépek megfelelnek a következő feltételeknek, létre kell hoznia egy Kerberos-kiszolgálóobjektumot. További információ: Jelszó nélküli biztonsági kulcs bejelentkezésének engedélyezése a helyszíni erőforrásokba a Microsoft Entra ID használatával, konkrétan a Kerberos Server-objektum létrehozásához szükséges szakasz:

  • A munkamenet-gazdagép a Microsoft Entra hibrid csatlakoztatása. Kerberos-kiszolgálóobjektummal kell rendelkeznie a tartományvezérlő hitelesítésének befejezéséhez.

  • A munkamenet-gazdagéphez a Microsoft Entra csatlakozik, és a környezete Active Directory-tartományvezérlőket tartalmaz. Rendelkeznie kell egy Kerberos-kiszolgálóobjektummal a felhasználók számára a helyszíni erőforrásokhoz való hozzáféréshez, például az SMB-megosztásokhoz és a Windows által integrált webhelyekhez való hitelesítéshez.

Fontos

Ha kerberos-kiszolgálóobjektum létrehozása nélkül engedélyezi az egyszeri bejelentkezést a Microsoft Entra hibrid csatlakoztatott munkamenet-gazdagépeken, a távoli munkamenethez való csatlakozáskor az alábbi műveletek egyike történhet:

  • Hibaüzenet jelenik meg arról, hogy az adott munkamenet nem létezik.
  • A rendszer kihagyja az egyszeri bejelentkezést, és megjelenik egy szabványos hitelesítési párbeszédpanel a munkamenetgazda számára.

A problémák megoldásához hozza létre a Kerberos-kiszolgálóobjektumot, majd csatlakozzon újra.

A feltételes hozzáférési szabályzatok áttekintése

Ha engedélyezve van az egyszeri bejelentkezés, egy új Microsoft Entra-azonosító alkalmazás jön létre a felhasználók hitelesítéséhez a munkamenet-gazdagépen. Ha az Azure Virtual Desktop elérésekor érvényes feltételes hozzáférési szabályzatokkal rendelkezik, tekintse át a többtényezős hitelesítés beállítására vonatkozó javaslatokat, hogy a felhasználók a kívánt felhasználói élményt biztosíthassák.

A gazdagépkészlet konfigurálása az egyszeri bejelentkezés engedélyezéséhez

A gazdagépkészlet egyszeri bejelentkezésének engedélyezéséhez konfigurálnia kell a következő RDP-tulajdonságot, amelyet az Azure Portal vagy a PowerShell használatával tehet meg. Az RDP-tulajdonságok konfigurálásához szükséges lépéseket a gazdagépkészlet Távoli asztali protokoll (RDP) tulajdonságainak testreszabása című témakörben találja.

  • Az Azure Portalon állítsa be a Microsoft Entra egyszeri bejelentkezését a kapcsolatokra , és a Microsoft Entra-hitelesítés használatával biztosítja az egyszeri bejelentkezést.

  • PowerShell esetén állítsa az enablerdsaadauth tulajdonságot 1 értékre.

Következő lépések