Aracılığıyla paylaş

Desteklenen kimlikler ve kimlik doğrulama yöntemleri

  • Makale

Bu makalede, Azure Sanal Masaüstü'nde hangi kimlik türlerini ve kimlik doğrulama yöntemlerini kullanabileceğinize ilişkin kısa bir genel bakış sağlayacağız.

Kimlikler

Azure Sanal Masaüstü, seçtiğiniz yapılandırmaya bağlı olarak farklı kimlik türlerini destekler. Bu bölümde, her yapılandırma için hangi kimlikleri kullanabileceğiniz açıklanmaktadır.

Önemli

Azure Sanal Masaüstü, microsoft Entra ID'de tek bir kullanıcı hesabıyla oturum açmayı ve ardından ayrı bir kullanıcı hesabıyla Windows'ta oturum açmayı desteklemez. Aynı anda iki farklı hesapla oturum açmak, kullanıcıların yanlış oturum konağına yeniden bağlanmasına, Azure portalında yanlış veya eksik bilgilere ve uygulama ekleme veya MSIX uygulama ekleme kullanılırken hata iletilerinin görünmesine neden olabilir.

Şirket içi kimlik

Azure Sanal Masaüstü'ne erişmek için kullanıcıların Microsoft Entra Id aracılığıyla bulunması gerektiğinden, yalnızca Active Directory Etki Alanı Hizmetleri'nde (AD DS) bulunan kullanıcı kimlikleri desteklenmez. Bu, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile tek başına Active Directory dağıtımlarını içerir.

Karma kimlik

Azure Sanal Masaüstü, AD FS kullanan federasyonlar da dahil olmak üzere Microsoft Entra Kimliği aracılığıyla karma kimlikleri destekler. Bu kullanıcı kimliklerini AD DS'de yönetebilir ve Microsoft Entra Connect'i kullanarak Microsoft Entra Id ile eşitleyebilirsiniz. Ayrıca bu kimlikleri yönetmek ve Microsoft Entra Domain Services ile eşitlemek için Microsoft Entra Id kullanabilirsiniz.

Karma kimlikleri kullanarak Azure Sanal Masaüstü'ne erişirken, bazen Active Directory (AD) ve Microsoft Entra ID'deki kullanıcının Kullanıcı Asıl Adı (UPN) veya Güvenlik Tanımlayıcısı (SID) eşleşmez. Örneğin, AD hesabı user@contoso.local Microsoft Entra Id'ye user@contoso.com karşılık gelebilir. Azure Sanal Masaüstü bu tür yapılandırmayı yalnızca hem AD hem de Microsoft Entra ID hesaplarınızın UPN veya SID'si eşleşiyorsa destekler. SID, AD'de "ObjectSID" ve Microsoft Entra Id'de "OnPremisesSecurityIdentifier" kullanıcı nesnesi özelliğini ifade eder.

Yalnızca bulut kimliği

Azure Sanal Masaüstü, Microsoft Entra'ya katılmış VM'leri kullanırken yalnızca bulut kimliklerini destekler. Bu kullanıcılar doğrudan Microsoft Entra Id'de oluşturulur ve yönetilir.

Not

Karma kimlikleri, Microsoft Entra'ya katılmış katılım türünde Oturum konaklarını barındıran Azure Sanal Masaüstü Uygulaması gruplarına da atayabilirsiniz.

Federasyon kimliği

Kullanıcı hesaplarınızı yönetmek için Microsoft Entra Id veya Active Directory Etki Alanı Services dışında bir üçüncü taraf Kimlik Sağlayıcısı (IdP) kullanıyorsanız şunları sağlamanız gerekir:

Dış kimlik

Azure Sanal Masaüstü şu anda dış kimlikleri desteklemez.

Kimlik doğrulama yöntemleri

Azure Sanal Masaüstü kaynaklarına erişirken üç ayrı kimlik doğrulama aşaması vardır:

  • Bulut hizmeti kimlik doğrulaması: Kaynaklara abone olmak ve Ağ Geçidi'ne kimlik doğrulaması yapmak da dahil olmak üzere Azure Sanal Masaüstü hizmetinde kimlik doğrulaması, Microsoft Entra Id ile gerçekleştirilir.
  • Uzak oturum kimlik doğrulaması: Uzak VM'de kimlik doğrulaması. Önerilen çoklu oturum açma (SSO) dahil olmak üzere uzak oturumda kimlik doğrulaması yapmanın birden çok yolu vardır.
  • Oturum içi kimlik doğrulaması: Uzak oturumdaki uygulamalarda ve web sitelerinde kimlik doğrulaması.

Kimlik doğrulama aşamalarının her biri için farklı istemcilerde kullanılabilen kimlik bilgilerinin listesi için istemcileri platformlar arasında karşılaştırın.

Önemli

Kimlik doğrulamasının düzgün çalışması için yerel makinenizin Uzak Masaüstü istemcileri için gerekli URL'lere de erişebilmesi gerekir.

Aşağıdaki bölümlerde bu kimlik doğrulama aşamaları hakkında daha fazla bilgi sağlanır.

Bulut hizmeti kimlik doğrulaması

Azure Sanal Masaüstü kaynaklarına erişmek için önce bir Microsoft Entra ID hesabıyla oturum açarak hizmette kimlik doğrulaması yapmanız gerekir. Kaynaklarınızı almak için abone olduğunuzda, bağlantı başlatırken veya hizmete tanılama bilgileri gönderirken ağ geçidine bağlandığınızda kimlik doğrulaması gerçekleşir. Bu kimlik doğrulaması için kullanılan Microsoft Entra Id kaynağı Azure Sanal Masaüstü'dür (uygulama kimliği 9cdead84-a844-4324-93f2-b2e6bb768d07).

Çok faktörlü kimlik doğrulaması

Dağıtımınız için Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılmayı öğrenmek için Koşullu Erişim kullanarak Azure Sanal Masaüstü için Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılma başlığındaki yönergeleri izleyin. Bu makalede ayrıca kullanıcılarınızın kimlik bilgilerini girmelerinin isteneceği sıklıkları nasıl yapılandıracağınız da anlatılır. Microsoft Entra'ya katılmış VM'leri dağıtırken, Microsoft Entra'ya katılmış oturum ana bilgisayar VM'leri için ek adımları not edin.

Parolasız kimlik doğrulaması

Hizmette kimlik doğrulaması yapmak için İş İçin Windows Hello ve diğer parolasız kimlik doğrulama seçenekleri (örneğin FIDO anahtarları) gibi Microsoft Entra ID tarafından desteklenen herhangi bir kimlik doğrulama türünü kullanabilirsiniz.

Akıllı kart kimlik doğrulaması

Microsoft Entra Kimliği'ne kimlik doğrulaması yapmak üzere akıllı kart kullanmak için önce Microsoft Entra sertifika tabanlı kimlik doğrulamasını yapılandırmanız veya kullanıcı sertifikası kimlik doğrulaması için AD FS'yi yapılandırmanız gerekir.

Üçüncü taraf kimlik sağlayıcıları

Üçüncü taraf kimlik sağlayıcılarını, Microsoft Entra Kimliği ile federasyon yaptıkları sürece kullanabilirsiniz.

Uzak oturum kimlik doğrulaması

Çoklu oturum açmayı etkinleştirmediyseniz veya kimlik bilgilerinizi yerel olarak kaydetmediyseniz, bağlantı başlatırken oturum ana bilgisayarında da kimlik doğrulaması yapmanız gerekir.

Çoklu oturum açma (SSO)

SSO, bağlantının oturum ana bilgisayarı kimlik bilgisi istemini atlayıp Microsoft Entra kimlik doğrulaması aracılığıyla kullanıcıyı Windows'ta otomatik olarak oturum açmasına olanak tanır. Microsoft Entra'ya katılmış veya Microsoft Entra karmasına katılmış oturum konakları için Microsoft Entra kimlik doğrulamasını kullanarak SSO'nun etkinleştirilmesi önerilir. Microsoft Entra kimlik doğrulaması, parolasız kimlik doğrulaması ve üçüncü taraf kimlik sağlayıcıları için destek de dahil olmak üzere başka avantajlar sağlar.

Azure Sanal Masaüstü, Windows Masaüstü ve web istemcileri için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanan SSO'ları da destekler.

SSO olmadan istemci, kullanıcılardan her bağlantı için oturum ana bilgisayar kimlik bilgilerini ister. İstenmesini önlemenin tek yolu, kimlik bilgilerini istemciye kaydetmektir. Diğer kullanıcıların kaynaklarınıza erişmesini önlemek için kimlik bilgilerini yalnızca güvenli cihazlara kaydetmenizi öneririz.

Akıllı kart ve İş İçin Windows Hello

Azure Sanal Masaüstü, oturum konağı kimlik doğrulaması için hem NT LAN Manager (NTLM) hem de Kerberos'u destekler, ancak Akıllı kart ve İş İçin Windows Hello oturum açmak için yalnızca Kerberos kullanabilir. Kerberos kullanmak için istemcinin, etki alanı denetleyicisinde çalışan bir Anahtar Dağıtım Merkezi (KDC) hizmetinden Kerberos güvenlik biletleri alması gerekir. Bilet almak için istemcinin etki alanı denetleyicisine doğrudan bir ağ bağlantısına ihtiyacı vardır. Doğrudan şirket ağınıza bağlanarak, VPN bağlantısı kullanarak veya bir KDC Proxy sunucusu ayarlayarak bir görüş hattı elde edebilirsiniz.

Oturum içi kimlik doğrulaması

RemoteApp'inize veya masaüstünüze bağlandıktan sonra oturumda kimlik doğrulaması yapmanız istenebilir. Bu bölümde, bu senaryoda kullanıcı adı ve parola dışındaki kimlik bilgilerinin nasıl kullanılacağı açıklanmaktadır.

Oturum içi parolasız kimlik doğrulaması

Azure Sanal Masaüstü, Windows Masaüstü istemcisini kullanırken İş İçin Windows Hello veya FIDO anahtarları gibi güvenlik cihazlarını kullanarak oturum içi parolasız kimlik doğrulamasını destekler. Oturum konağı ve yerel bilgisayar aşağıdaki işletim sistemlerini kullandığında parolasız kimlik doğrulaması otomatik olarak etkinleştirilir:

Konak havuzunuzda parolasız kimlik doğrulamasını devre dışı bırakmak için RDP özelliğini özelleştirmeniz gerekir. WebAuthn yeniden yönlendirme özelliğini Azure portalındaki Cihaz yeniden yönlendirme sekmesinde bulabilir veya PowerShell kullanarak redirectwebauthn özelliğini 0 olarak ayarlayabilirsiniz.

Etkinleştirildiğinde, oturumdaki tüm WebAuthn istekleri yerel bilgisayara yönlendirilir. Kimlik doğrulama işlemini tamamlamak için İş İçin Windows Hello veya yerel olarak bağlı güvenlik cihazlarını kullanabilirsiniz.

İş İçin Windows Hello veya güvenlik cihazlarıyla Microsoft Entra kaynaklarına erişmek için FIDO2 Güvenlik Anahtarı'nı kullanıcılarınız için kimlik doğrulama yöntemi olarak etkinleştirmeniz gerekir. Bu yöntemi etkinleştirmek için FIDO2 güvenlik anahtarı yöntemini etkinleştirme'deki adımları izleyin.

Oturum içi akıllı kart kimlik doğrulaması

Oturumunuzda akıllı kart kullanmak için, akıllı kart sürücülerini oturum konağına yüklediğinizden ve akıllı kart yeniden yönlendirmesini etkinleştirdiğinizden emin olun. Akıllı kart yeniden yönlendirmesini kullanabilmeniz için Windows Uygulaması ve Uzak Masaüstü uygulamasının karşılaştırma grafiklerini gözden geçirin.

Sonraki adımlar

  • Dağıtımınızı güvenli tutmanın diğer yollarını mı merak ediyorsun? Güvenlikle ilgili en iyi yöntemler'e göz atın.
  • Microsoft Entra'ya katılmış VM'lere bağlanırken sorun mu yaşıyorsunuz? Microsoft Entra'ya katılmış VM'lerle bağlantı sorunlarını giderme makalesine bakın.
  • Oturum içi parolasız kimlik doğrulamasıyla ilgili sorun mu yaşıyorsunuz? Bkz . WebAuthn yeniden yönlendirme sorunlarını giderme.
  • Kurumsal ağınızın dışından akıllı kartlar kullanmak mı istiyorsunuz? KDC Proxy sunucusu ayarlamayı gözden geçirin.