Metode autentikasi dan identitas yang didukung
Dalam artikel ini, kami akan memberi Anda ringkasan terkait jenis identitas dan metode autentikasi apa yang dapat Anda gunakan di Azure Virtual Desktop.
Identitas
Azure Virtual Desktop mendukung berbagai jenis identitas bergantung pada konfigurasi yang Anda pilih. Bagian ini menjelaskan identitas mana yang dapat Anda gunakan untuk setiap konfigurasi.
Penting
Azure Virtual Desktop tidak mendukung masuk ke MICROSOFT Entra ID dengan satu akun pengguna, lalu masuk ke Windows dengan akun pengguna terpisah. Masuk dengan dua akun berbeda pada saat yang sama dapat menyebabkan pengguna terhubung kembali ke host sesi yang salah, informasi yang salah atau hilang di portal Azure, dan pesan kesalahan muncul saat menggunakan lampiran aplikasi atau lampiran aplikasi MSIX.
Identitas lokal
Karena pengguna harus dapat ditemukan melalui ID Microsoft Entra untuk mengakses Azure Virtual Desktop, identitas pengguna yang hanya ada di Active Directory Domain Services (AD DS) tidak didukung. Hal ini termasuk penyebaran Active Directory mandiri dengan Layanan Federasi Direktori Aktif (AD FS).
Identitas hibrida
Azure Virtual Desktop mendukung identitas hibrid melalui ID Microsoft Entra, termasuk yang digabungkan menggunakan Layanan Federasi Direktori Aktif. Anda dapat mengelola identitas pengguna ini di AD DS dan menyinkronkannya ke ID Microsoft Entra menggunakan Microsoft Entra Connect. Anda juga dapat menggunakan ID Microsoft Entra untuk mengelola identitas ini dan menyinkronkannya ke Microsoft Entra Domain Services.
Saat mengakses Azure Virtual Desktop menggunakan identitas hibrid, terkadang Nama Prinsipal Pengguna (UPN) atau Pengidentifikasi Keamanan (SID) untuk pengguna di Direktori Aktif (AD) dan ID Microsoft Entra tidak cocok. Misalnya, akun user@contoso.local AD mungkin sesuai dengan user@contoso.com di ID Microsoft Entra. Azure Virtual Desktop hanya mendukung jenis konfigurasi ini jika UPN atau SID untuk akun AD dan Microsoft Entra ID Anda cocok. SID mengacu pada properti objek pengguna "ObjectSID" di AD dan "OnPremisesSecurityIdentifier" di MICROSOFT Entra ID.
Identitas hanya cloud
Azure Virtual Desktop mendukung identitas khusus cloud saat menggunakan VM yang bergabung dengan Microsoft Entra. Pengguna ini dibuat dan dikelola langsung di MICROSOFT Entra ID.
Catatan
Anda juga dapat menetapkan identitas hibrid ke grup Aplikasi Azure Virtual Desktop yang menghosting host Sesi dengan jenis gabungan Microsoft Entra.
Identitas federasi
Jika Anda menggunakan Penyedia Identitas (IdP) pihak ketiga, selain ID Microsoft Entra atau Layanan Domain Direktori Aktif, untuk mengelola akun pengguna, Anda harus memastikan bahwa:
- IdP Anda digabungkan dengan ID Microsoft Entra.
- Host sesi Anda bergabung dengan Microsoft Entra atau Gabungan hibrid Microsoft Entra.
- Anda mengaktifkan autentikasi Microsoft Entra ke host sesi.
Identitas Eksternal
Azure Virtual Desktop saat ini tidak mendukung identitas eksternal.
Metode autentikasi
Saat mengakses sumber daya Azure Virtual Desktop, ada tiga fase autentikasi terpisah:
- Autentikasi layanan cloud: Mengautentikasi ke layanan Azure Virtual Desktop, yang mencakup berlangganan sumber daya dan mengautentikasi ke Gateway, adalah dengan ID Microsoft Entra.
- Autentikasi sesi jarak jauh: Mengautentikasi ke komputer virtual jarak jauh. Ada beberapa cara untuk mengautentikasi ke sesi jarak jauh, termasuk akses menyeluruh (SSO) yang direkomendasikan.
- Autentikasi dalam sesi: Mengautentikasi ke aplikasi dan situs web dalam sesi jarak jauh.
Untuk daftar kredensial yang tersedia pada klien yang berbeda untuk setiap fase autentikasi, bandingkan klien di seluruh platform.
Penting
Agar autentikasi berfungsi baik, komputer lokal harus dapat mengakses URL yang diperlukan untuk klien Desktop Jauh.
Bagian berikut ini menyediakan informasi selengkapnya tentang fase autentikasi ini.
Autentikasi layanan cloud
Untuk mengakses sumber daya Azure Virtual Desktop, Anda harus terlebih dahulu mengautentikasi ke layanan dengan masuk dengan akun ID Microsoft Entra. Autentikasi terjadi setiap kali Anda berlangganan untuk mengambil sumber daya Anda, menyambungkan ke gateway saat meluncurkan koneksi atau saat mengirim informasi diagnostik ke layanan. Sumber daya ID Microsoft Entra yang digunakan untuk autentikasi ini adalah Azure Virtual Desktop (ID aplikasi 9cdead84-a844-4324-93f2-b2e6bb768d07).
Autentikasi multifaktor
Ikuti instruksi di Terapkan autentikasi multifaktor Microsoft Entra untuk Azure Virtual Desktop menggunakan Akses Bersyarah untuk mempelajari cara menerapkan autentikasi multifaktor Microsoft Entra untuk penyebaran Anda. Artikel itu juga akan memberi tahu Anda cara mengonfigurasi seberapa sering pengguna Anda diminta untuk memasukkan info masuk mereka. Saat menyebarkan VM yang bergabung dengan Microsoft Entra, perhatikan langkah tambahan untuk VM host sesi gabungan Microsoft Entra.
Autentikasi tanpa kata sandi
Anda dapat menggunakan jenis autentikasi apa pun yang didukung oleh ID Microsoft Entra, seperti Windows Hello untuk Bisnis dan opsi autentikasi tanpa kata sandi lainnya (misalnya, kunci FIDO), untuk mengautentikasi ke layanan.
Mengonfigurasi Autentikasi Kartu Pintar
Untuk menggunakan kartu pintar untuk mengautentikasi ke ID Microsoft Entra, Anda harus terlebih dahulu mengonfigurasi autentikasi berbasis sertifikat Microsoft Entra atau mengonfigurasi AD FS untuk autentikasi sertifikat pengguna.
Penyedia identitas pihak ketiga
Anda dapat menggunakan penyedia identitas pihak ketiga selama mereka bergabung dengan ID Microsoft Entra.
Autentikasi sesi jarak jauh
Jika Anda belum mengaktifkan akses menyeluruh atau menyimpan info masuk Anda secara lokal, Anda juga harus mengautentikasi ke host sesi saat membuat koneksi.
Akses menyeluruh (SSO)
SSO memungkinkan koneksi untuk melewati permintaan kredensial host sesi dan secara otomatis memasukkan pengguna ke Windows melalui autentikasi Microsoft Entra. Untuk host sesi yang bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra, disarankan untuk mengaktifkan SSO menggunakan autentikasi Microsoft Entra. Autentikasi Microsoft Entra memberikan manfaat lain termasuk autentikasi tanpa kata sandi dan dukungan untuk penyedia identitas pihak ketiga.
Azure Virtual Desktop juga mendukung SSO menggunakan Layanan Federasi Direktori Aktif (ADFS) untuk klien Desktop Windows dan web.
Tanpa SSO, klien meminta pengguna untuk kredensial host sesi mereka untuk setiap koneksi. Satu-satunya cara agar tidak diminta adalah untuk menyimpan kredensial di klien. Sebaiknya hanya simpan info masuk pada perangkat yang aman untuk mencegah pengguna lain mengakses sumber daya Anda.
Kartu pintar dan Windows Hello untuk Bisnis
Azure Virtual Desktop mendukung NT LAN Manager (NTLM) dan Kerberos untuk autentikasi host sesi, tetapi Kartu pintar dan Windows Hello untuk Bisnis hanya dapat menggunakan Kerberos untuk masuk. Untuk menggunakan Kerberos, klien perlu mendapatkan tiket keamanan Kerberos dari layanan Pusat Distribusi Kunci (KDC) yang berjalan di pengontrol domain. Untuk mendapatkan tiket, klien memerlukan garis pandang jaringan langsung ke pengontrol domain. Anda bisa mendapatkan garis pandang dengan menghubungkan langsung dalam jaringan perusahaan Anda, menggunakan koneksi VPN atau menyiapkan Server Proksi KDC.
Autentikasi dalam sesi
Setelah tersambung ke RemoteApp atau desktop, Anda mungkin diminta untuk autentikasi di dalam sesi. Bagian ini menjelaskan cara menggunakan info masuk selain nama pengguna dan kata sandi dalam skenario ini.
Autentikasi tanpa kata sandi dalam sesi
Azure Virtual Desktop mendukung autentikasi tanpa kata sandi dalam sesi menggunakan Windows Hello untuk Bisnis atau perangkat keamanan seperti kunci FIDO saat menggunakan klien Windows Desktop. Autentikasi tanpa kata sandi diaktifkan secara otomatis ketika host sesi dan PC lokal menggunakan sistem operasi berikut:
- Windows 11 tunggal atau multi-sesi dengan Pembaruan Kumulatif 2022-10 untuk Windows 11 (KB5018418) atau yang lebih baru diinstal.
- Windows 10 tunggal atau multi-sesi, versi 20H2 atau yang lebih baru dengan Pembaruan Kumulatif 2022-10 untuk Windows 10 (KB5018410) atau yang lebih baru diinstal.
- Windows Server 2022 dengan Pembaruan Kumulatif 2022-10 untuk sistem operasi server Microsoft (KB5018421) atau yang lebih baru diinstal.
Untuk menonaktifkan autentikasi tanpa kata sandi pada kumpulan host, Anda harus menyesuaikan properti RDP. Anda dapat menemukan properti pengalihan WebAuthn di bawah tab Pengalihan perangkat di portal Azure atau mengatur properti redirectwebauthn ke 0 menggunakan PowerShell.
Saat diaktifkan, semua permintaan WebAuthn dalam sesi dialihkan ke PC lokal. Anda dapat menggunakan Windows Hello untuk Bisnis atau perangkat keamanan yang terpasang secara lokal untuk menyelesaikan proses autentikasi.
Untuk mengakses sumber daya Microsoft Entra dengan Windows Hello untuk Bisnis atau perangkat keamanan, Anda harus mengaktifkan Kunci Keamanan FIDO2 sebagai metode autentikasi untuk pengguna Anda. Untuk mengaktifkan metode ini, ikuti langkah-langkah dalam Mengaktifkan metode kunci keamanan FIDO2.
Autentikasi kartu pintar dalam sesi
Untuk menggunakan kartu pintar dalam sesi Anda, pastikan Anda telah memasang driver kartu pintar pada host sesi dan mengaktifkan pengalihan kartu cerdas. Tinjau bagan perbandingan untuk Aplikasi Windows dan aplikasi Desktop Jauh untuk membuat Anda dapat menggunakan pengalihan kartu pintar.
Langkah berikutnya
- Penasaran dengan cara lain untuk menjaga penyebaran Anda tetap aman? Lihat Praktik terbaik keamanan.
- Mengalami masalah saat menyambungkan ke VM yang bergabung dengan Microsoft Entra? Lihat Memecahkan masalah koneksi ke VM yang bergabung dengan Microsoft Entra.
- Mengalami masalah dengan autentikasi tanpa kata sandi dalam sesi? Lihat Memecahkan masalah pengalihan WebAuthn.
- Ingin menggunakan kartu pintar dari luar jaringan perusahaan Anda? Tinjau cara menyiapkan Server proksi KDC.