Поделиться через

Вход в виртуальную машину Windows в Azure или Windows Server с поддержкой Arc с помощью идентификатора Microsoft Entra и управления доступом на основе ролей Azure

Организации могут повысить безопасность устройств Windows в Azure или подключиться с помощью Azure Arc путем интеграции с проверкой подлинности Microsoft Entra. Теперь вы можете использовать идентификатор Microsoft Entra в качестве основной платформы проверки подлинности для протокола удаленного рабочего стола (RDP) в поддерживаемых версиях Windows. Затем вы можете централизованно контролировать и применять управление доступом на основе ролей Azure (RBAC) и политики условного доступа, которые разрешают или запрещают доступ к устройствам.

В этой статье показано, как создать и настроить компьютер Windows и войти с помощью проверки подлинности на основе идентификатора Microsoft Entra.

Существует множество преимуществ безопасности при использовании проверки подлинности на основе идентификаторов Microsoft Entra для входа на устройства Windows в Azure или подключения с помощью Azure Arc. К ним относятся:

  • Используйте проверку подлинности Microsoft Entra, включая безпарольную аутентификацию, для входа на устройства Windows. Уменьшение зависимости от учетных записей локальных администраторов.
  • Используемые вами политики сложности паролей и срока действия паролей, настроенные для учетной записи Microsoft Entra ID, также помогают защитить устройства Windows.
  • Используйте управление доступом на основе ролей Azure:
    • Укажите, кто может войти в систему как обычный пользователь или с правами администратора.
    • При присоединении или выходе из команды вы можете обновить политику управления доступом на основе ролей Azure, чтобы предоставить доступ соответствующим образом.
    • Когда сотрудники покидают вашу организацию и их учетные записи пользователей, отключаются или удаляются из идентификатора Microsoft Entra, они больше не имеют доступа к ресурсам.
  • Используйте политику условного доступа "MFA, устойчивый к фишингу" и другие сигналы, такие как риск входа в систему пользователем.
  • Используйте политику Azure для развертывания и аудита политик, чтобы требовать входа Microsoft Entra для устройств Windows и пометить использование неутвержденных локальных учетных записей на устройствах.
  • Используйте Intune для автоматизации и масштабирования присоединения Microsoft Entra с помощью автоматической регистрации в системе управления мобильными устройствами (MDM) виртуальных машин Windows Azure, которые являются частью развертывания инфраструктуры виртуальных рабочих столов (VDI). Для автоматической регистрации MDM требуются лицензии Microsoft Entra ID P1. Виртуальные машины Windows Server не поддерживают регистрацию MDM.

Для автоматической регистрации MDM требуются лицензии Microsoft Entra ID P1. Виртуальные машины Windows Server не поддерживают регистрацию MDM.

Внимание

После включения этой функции ваша виртуальная машина Azure или машина с поддержкой Arc будет присоединена к Microsoft Entra. Вы не можете присоединить их к другому домену, например локальным доменным службам Active Directory или Microsoft Entra. Если это необходимо сделать, отключите устройство от Microsoft Entra, удалите расширение. Кроме того, при развертывании поддерживаемого золотого образа можно включить проверку подлинности идентификатора Microsoft Entra, установив расширение.

Требования

Поддерживаемые регионы Azure и дистрибутивы Windows

Пока эту функцию поддерживают следующие дистрибутивы Windows.

  • Windows 11 21H2 или более поздней версии.
  • Windows 10 версии 1809 или более поздней.
  • Windows Server 1809 или более поздней версии, установленной с подключением рабочей среды.
  • Windows 11 24H2 или более новая версия установлена.
  • Windows Server 2025 или более поздней версии, установленной с помощью классического интерфейса.

Эта функция сейчас доступна в следующих облаках Azure.

  • Глобальная служба Azure
  • Azure для государственных организаций
  • Microsoft Azure под управлением 21Vianet

Примечание.

Защищенные образы CIS поддерживают аутентификацию Microsoft Entra ID для продуктов Microsoft Windows Enterprise и Microsoft Windows Server. Дополнительные сведения см. в статье CIS Hardened Images on Microsoft Windows Enterprise.

Требования к сети

Чтобы включить проверку подлинности Microsoft Entra на виртуальных машинах на серверах Windows с поддержкой Azure или Arc, необходимо убедиться, что конфигурация сети разрешает исходящий доступ к следующим конечным точкам через TCP-порт 443.

Глобальная служба Azure

  • https://enterpriseregistration.windows.net: регистрация устройства.
  • http://169.254.169.254 — конечная точка службы метаданных Azure.
  • http://localhost:40342: конечная точка службы метаданных экземпляра Arc.
  • https://login.microsoftonline.com: потоки проверки подлинности.
  • https://pas.windows.net: потоки управления доступом на основе ролей Azure.

Azure для государственных организаций:

  • https://enterpriseregistration.microsoftonline.us: регистрация устройства.
  • http://169.254.169.254 — конечная точка службы метаданных Azure.
  • http://localhost:40342: конечная точка службы метаданных экземпляра Arc.
  • https://login.microsoftonline.us: потоки проверки подлинности.
  • https://pasff.usgovcloudapi.net: потоки управления доступом на основе ролей Azure.

Microsoft Azure, управляемый 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: регистрация устройства.
  • http://169.254.169.254 — конечная точка службы метаданных Azure.
  • http://localhost:40342: конечная точка службы метаданных экземпляра Arc.
  • https://login.chinacloudapi.cn: потоки проверки подлинности.
  • https://pas.chinacloudapi.cn: потоки управления доступом на основе ролей Azure.

Для серверов Windows с поддержкой Azure Arc дополнительные требования к сети предоставляются в документации по серверу, подключенном к Arc.

Требования к проверке подлинности

Гостевые учетные записи Microsoft Entra не могут подключаться к виртуальным машинам Azure, виртуальным машинам с поддержкой Бастиона Azure или серверам Windows с поддержкой Arc с помощью проверки подлинности Microsoft Entra.

Включение возможности входа Microsoft Entra для виртуальной машины Windows в Azure или Windows Server с поддержкой Arc

Чтобы использовать вход Microsoft Entra для виртуальной машины Windows в Azure или Windows Server с поддержкой Arc, необходимо:

  1. Включите расширение входа Microsoft Entra для устройства.
  2. Настройте назначения ролей Azure для пользователей.

Включение расширения входа в Microsoft Entra

Следуйте соответствующей ссылке для устройства, чтобы получить подробные инструкции по развертыванию и примеры.

Перед установкой расширения виртуальной машины Microsoft Entra на вашей виртуальной машине Azure или Windows Server с поддержкой Azure Arc необходимо включить системно назначаемое управляемое удостоверение. Управляемые удостоверения хранятся в одном клиенте Microsoft Entra и в настоящее время не поддерживают сценарии между каталогами.

В следующих примерах показаны шаблоны Azure для расширений виртуальных машин Azure и расширений для серверов Windows, поддерживающих Arc.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.HybridCompute/machines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2024-07-10",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "2.1.0.0",
        "autoUpgradeMinorVersion": true,
        "settings": {
            "mdmId": ""
        }
      }
    }
  ]
}

Примечание.

Для расширения входа в Microsoft Entra для Windows Server с поддержкой Arc требуется свойство mdmId, вложенное в settings. Значение свойства можно оставить как пустую строку.

После установки расширения на устройстве provisioningState отображается Succeeded.

Настройка назначений ролей

Учетная запись пользователя в Microsoft Entra должна быть добавлена в назначение ролей в Azure, прежде чем пользователь сможет войти в виртуальные машины Azure или Windows Server, подключенный к Arc. Одни и те же роли используются как для виртуальных машин Azure, так и для Windows Server с поддержкой Arc.

Чтобы назначить роли пользователей, необходимо иметь роль администратора доступа к данным виртуальной машины или любую роль, Microsoft.Authorization/roleAssignments/write включающую действие, например роль администратора управления доступом на основе ролей. Однако если вы используете другую роль, отличную от роли администратора доступа к данным виртуальной машины, рекомендуется добавить условие, чтобы уменьшить разрешение на создание назначений ролей.

  • Имя входа администратора виртуальной машины: пользователи, которым назначена эта роль, могут войти на виртуальную машину Azure с правами администратора.
  • Имя входа пользователя виртуальной машины: пользователи, которым назначена эта роль, могут войти в виртуальную машину Azure с обычными привилегиями пользователя.

Примечание.

Повышение прав пользователя на роль локального администратора на устройстве путем добавления пользователя в группу локальных администраторов или выполнение net localgroup administrators /add "AzureAD\UserUpn" команды не поддерживается. Для авторизации входа необходимо использовать роли в Azure.

Примечание.

Пользователь Azure, которому назначена роль владельца или участника, автоматически не имеет привилегий для входа на устройства. Это необходимо, чтобы обеспечить прошедшее аудит разделение между пользователями, управляющими виртуальными машинами, и пользователями с доступом к виртуальным машинам.

Следующая документация содержит пошаговые сведения о добавлении учетных записей пользователей в назначения ролей в Azure:

Вход с помощью учетных данных Microsoft Entra на виртуальной машине Windows

Вы можете войти через RDP с помощью одного из двух методов:

  • Без пароля, используя любые поддерживаемые учетные данные Microsoft Entra (рекомендуется)
  • Использование пароля или ограниченного режима без пароля с Windows Hello для бизнеса, развернутое с использованием модели доверия сертификатам

Вход с помощью аутентификации без пароля с использованием Microsoft Entra ID

Чтобы использовать проверку подлинности без пароля для виртуальных машин Windows в Azure, вам потребуется клиентский компьютер Windows и узел сеанса на следующих операционных системах:

Примечание.

При использовании веб-учетной записи для входа на удаленный компьютер не требуется присоединение локального устройства к домену или идентификатору Microsoft Entra.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия.

  • Запустите Удаленный рабочий стол через поиск Windows или выполните команду mstsc.exe.
  • Выберите "Использовать веб-учетную запись" для входа на удаленный компьютер на вкладке "Дополнительно ". Этот параметр эквивалентен свойству enablerdsaadauth RDP. Дополнительные сведения см. в статье Поддерживаемые свойства RDP с услугами удаленных рабочих столов.
  • Укажите имя удаленного компьютера и нажмите кнопку "Подключить".

Внимание

IP-адрес не может быть использован с опцией Использовать веб-учетную запись для входа на удаленный компьютер. Имя должно соответствовать имени узла удаленного устройства в Microsoft Entra ID и быть доступным в сети, разрешаясь на IP-адрес удаленного устройства.

  • При появлении запроса на ввод учетных данных укажите имя пользователя в [email protected] формате.
  • Затем вам будет предложено разрешить подключение к удаленному рабочему столу при подключении к новому компьютеру. Microsoft Entra запоминает до 15 хостов в течение 30 дней, прежде чем снова запросить. Если вы видите это диалоговое окно, нажмите кнопку Да, чтобы подключиться.

Внимание

Если ваша организация использует условный доступ Microsoft Entra, устройство должно соответствовать требованиям условного доступа, чтобы разрешить подключение к удаленному компьютеру. Политики условного доступа могут применяться к приложению Удаленный рабочий стол (Майкрософт) (a4a365df-50f1-4397-bc59-1a1564b8bb9c) для управляемого доступа.

Примечание.

Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra или методы аутентификации без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс с помощью действия пользователя или системной политики сеанс будет отключен, а служба отправляет пользователю сообщение. Отключение сеанса также гарантирует, что при повторном запуске подключения после периода бездействия идентификатор Microsoft Entra повторно вычисляет применимые политики условного доступа.

Вход с использованием аутентификации с паролем или ограниченной аутентификации без пароля с Microsoft Entra ID

Внимание

Удаленное подключение к виртуальным машинам, присоединенным к Microsoft Entra ID, разрешено только с компьютеров, работающих под управлением Windows 10 или более поздней версии, которые зарегистрированы в Microsoft Entra (минимальная требуемая сборка — 20H1) или присоединены к Microsoft Entra, либо имеют гибридную регистрацию в Microsoft Entra, и принадлежат тому же каталогу, что и виртуальная машина. Кроме того, для RDP с помощью учетных данных Microsoft Entra пользователи должны принадлежать одному из двух ролей Azure, имени входа администратора виртуальной машины или имени входа пользователя виртуальной машины.

Если вы используете компьютер с Windows 10 или более поздней версии, зарегистрированный в Microsoft Entra, необходимо ввести учетные данные в формате AzureAD\UPN (например, AzureAD\[email protected]). В настоящее время вы можете использовать Бастион Azure для входа с помощью проверки подлинности Microsoft Entra с помощью Azure CLI и собственного клиента RDP mstsc.

Чтобы войти в виртуальную машину Windows Server 2019 с помощью идентификатора Microsoft Entra, выполните следующие действия:

  1. Перейдите на страницу обзора виртуальной машины с поддержкой входа через Microsoft Entra.
  2. Выберите Подключиться, чтобы открыть панель Подключение к виртуальной машине.
  3. Выберите Скачать RDP-файл.
  4. Нажмите кнопку Открыть, чтобы открыть клиент для подключения к удаленному рабочему столу.
  5. Выберите "Подключиться", чтобы открыть диалоговое окно входа Windows.
  6. Войдите с помощью учетных данных Microsoft Entra.

Вы выполнили вход на виртуальную машину Windows Server 2019 в Azure с разрешениями назначенной роли, например пользователя виртуальной машины или администратора виртуальной машины.

Примечание.

Вы можете сохранить .RDP файл локально на компьютере, чтобы начать будущие подключения к удаленному рабочему столу на виртуальной машине, а не перейти на страницу обзора виртуальной машины на портале Azure и использовать параметр подключения.

Применять политики условного доступа

Вы можете применять политики условного доступа, такие как устойчивый к фишингу многофакторная аутентификация (MFA) или проверка риска входа для пользователей, прежде чем пользователи смогут получить доступ к устройствам Windows в Azure или серверах Windows Server с поддержкой Arc. Чтобы применить политику условного доступа, необходимо выбрать приложение Microsoft Azure Windows Virtual Machine Sign-in из вариантов назначения облачных приложений или действий.

Политики условного доступа, ограничивающие вход с помощью правил конфигурации устройства, не поддерживаются при подключении с устройства Windows Server.

Примечание.

Если требуется MFA в качестве контрола, необходимо предоставить подтверждение MFA как часть клиента, который инициирует сеанс RDP на целевое устройство Windows. Приложение удаленного рабочего стола в Windows поддерживает политики условного доступа, однако при использовании веб-входа необходимо использовать ПИН-код Windows Hello для бизнеса или биометрическую проверку подлинности. Поддержка биометрической проверки подлинности была добавлена в клиент RDP в Windows 10 версии 1809. Удаленный рабочий стол с помощью проверки подлинности Windows Hello для бизнеса доступен только для развертываний, использующих модель доверия сертификатов и недоступных для модели доверия ключей.

Использование Политики Azure для соответствия нормативным требованиям и стандартам

Использовать политику Azure для следующих целей:

  • Убедитесь, что для новых и существующих устройств Windows включена функция входа Microsoft Entra.
  • Оцените соответствие вашей среды в большом масштабе с помощью панели мониторинга соответствия требованиям.

Эта возможность обеспечивает множество уровней контроля. Вы можете пометить новые и существующие устройства Windows в вашей инфраструктуре, на которых не включен вход в Microsoft Entra. Вы также можете использовать политику Azure для развертывания расширения Microsoft Entra на виртуальных машинах Windows в Azure или Windows Server с поддержкой Arc.

Помимо этих возможностей, вы можете использовать Azure Policy для обнаружения и пометки компьютеров Windows, на которых созданы неодобренные локальные учетные записи. Дополнительные сведения см. в разделе о Политике Azure.

Устранение неполадок, связанных с развертыванием

Расширение AADLoginForWindows должно быть установлено успешно, чтобы устройство завершило процесс присоединения Microsoft Entra. Если расширение не удалось установить правильно, выполните следующие действия.

  1. Подключитесь к устройству и проверьте файл CommandExecution.log в разделе C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Если расширение перезапускается после первоначального сбоя, журнал с ошибкой развертывания будет сохранен под именем CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Откройте окно PowerShell на устройстве. Убедитесь, что следующие запросы к конечной точке службы метаданных экземпляра Azure, запущенной на узле, возвращают ожидаемые выходные данные:

    Для виртуальных машин Azure:

    Команда для выполнения Ожидаемые выходные данные
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Правильные сведения о виртуальной машине Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Действительный идентификатор арендатора, связанный с подпиской Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Допустимый токен доступа, выданный службой Microsoft Entra для управляемого удостоверения, назначенному этой виртуальной машине.

    Для серверов Windows с поддержкой Arc:

    Команда для выполнения Ожидаемые выходные данные
    curl.exe -H Metadata:true "http://localhost:40342/metadata/instance?api-version=2017-08-01" Правильные сведения о Windows Server с поддержкой Azure Arc
    curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/info?api-version=2018-02-01" Действительный идентификатор арендатора, связанный с подпиской Azure
    curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Допустимый токен доступа, выданный решением Microsoft Entra ID для управляемого удостоверения, назначенного этому серверу Windows с поддержкой Azure Arc.

    Маркер доступа можно декодировать с помощью средства, например https://jwt.ms/. Убедитесь, что значение oid в маркере доступа соответствует управляемой идентичности устройства.

  3. Убедитесь, что необходимые конечные точки доступны на устройстве с помощью PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Замените <TenantID> идентификатором арендатора Microsoft Entra, связанным с подпиской Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net и pas.windows.net должны возвращать результат "404, не найдено", что является ожидаемым поведением.

  4. Просмотрите состояние устройства, выполнив команду dsregcmd /status. Цель состоит в том, чтобы состояние устройства отображалось как AzureAdJoined : YES.

    Действие присоединения к Microsoft Entra фиксируется в Просмотре событий в журнале Регистрация пользовательских устройств\Админ в Просмотр событий (local)\Applications и Services Logs\Microsoft\Windows\User Device Registration\Admin.

Если работа расширения AADLoginForWindows завершается ошибкой с определенным кодом, можно выполнить следующие действия.

Имя устройства уже существует

Если объект устройства с таким же DisplayName, что и имя узла виртуальной машины Azure, устройству не удается присоединиться к Microsoft Entra из-за ошибки дублирования имени узла. Избегайте дублирования путем изменения имени узла.

Код ошибки терминала 1007 и код выхода -2145648574

Код ошибки терминала 1007 и код выхода: 2145648574 преобразуются в DSREG_E_MSI_TENANTID_UNAVAILABLE. Расширение не может запрашивать сведения о клиенте Microsoft Entra.

Подключитесь к устройству от имени локального администратора и убедитесь, что конечная точка возвращает допустимый идентификатор клиента из службы метаданных экземпляра Azure. Выполните следующую команду из окна PowerShell с повышенными привилегиями на устройстве:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Эта проблема также может возникнуть, когда администратор пытается установить расширение AADLoginForWindows, но устройство не имеет управляемого удостоверения, назначаемого системой. В этом случае перейдите на панель идентификации устройства. На вкладке Назначено системой убедитесь, что для параметра Состояние установлено значение Вкл..

Код выхода: 2145648607

Код выхода -2145648607 преобразуется в DSREG_AUTOJOIN_DISC_FAILED. Расширение не может связаться с конечной точкой https://enterpriseregistration.windows.net.

  1. Убедитесь, что необходимые конечные точки доступны на устройстве с помощью PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Замените <TenantID> идентификатором арендатора Microsoft Entra в подписке Azure. Если вам нужно найти идентификатор арендатора, вы можете навести указатель мыши на имя вашей учетной записи или выбрать Entra ID, >, Свойства, >.

    При попытке подключения к enterpriseregistration.windows.net может быть возвращена ошибка 404 "Не найдено", что является ожидаемой реакцией. При попытке подключения к pas.windows.net может запрашиваться ПИН-код или возвращаться ошибка 404 Не найдено. (Вам не нужно вводить ПИН-код.) Любого из вариантов достаточно, чтобы убедиться, что URL-адрес доступен.

  2. Если какая-либо из команд завершается ошибкой с сообщением "Не удалось разрешить узел <URL>", попробуйте выполнить эту команду, чтобы определить, какой DNS-сервер использует Windows.

    nslookup <URL>

    Замените <URL> на полные доменные имена, используемые конечными точками, например login.microsoftonline.com.

  3. Затем проверьте, удается ли выполнить команду, указав адрес общедоступного DNS-сервера:

    nslookup <URL> 208.67.222.222

  4. При необходимости измените DNS-сервер, назначенный группе безопасности сети, к которой принадлежит устройство.

Код выхода: 51

Код выхода 51 преобразуется в "Это расширение не поддерживается в этой операционной системе".

Расширение AADLoginForWindows предназначено для установки только на виртуальных машинах Azure с операционными системами Windows Server 2019 или Windows 10 версии 1809 или более поздней, а также на серверах Windows с поддержкой Arc и операционными системами Windows Server 2025 или Windows 11 версии 24H2. Убедитесь, что ваша версия или сборка Windows поддерживается. Если расширение не поддерживается, удалите расширение.

Устранение проблем со входом

Чтобы устранить проблемы со входом, воспользуйтесь приведенными ниже сведениями.

Состояние устройства и единого входа (SSO) можно просмотреть, выполнив команду dsregcmd /status. Цель заключается в том, чтобы состояние устройства отображалось как AzureAdJoined : YES, а состояние единого входа — как AzureAdPrt : YES.

Вход RDP с помощью учетных записей Microsoft Entra фиксируется в Просмотре событий в журналах приложений и служб\Microsoft\Windows\AAD\Operational.

Роль Azure не назначена

При запуске подключения удаленного рабочего стола к устройству может появиться следующее сообщение об ошибке: "Учетная запись настроена для предотвращения использования этого устройства. За дополнительными сведениями обратитесь к своему системному администратору.

Снимок экрана с сообщением о том, что ограничения вашей учетной записи запрещают вход в систему с данного устройства.

Проверьте политики управления доступом на основе ролей Azure , которые предоставляют пользователю роль входа администратора виртуальной машины или имени входа пользователя виртуальной машины.

Если у вас возникли проблемы с назначениями ролей Azure, см. статью "Устранение неполадок управления доступом на основе ролей Azure".

Клиент не авторизован или требуется изменение пароля

При запуске подключения удаленного рабочего стола к устройству может появиться следующее сообщение об ошибке: "Ваши учетные данные не работали".

Снимок экрана с сообщением о том, что указанные учетные данные недействительны.

Воспользуйтесь указанными ниже решениями.

  • Компьютер с Windows 10 или более поздней версии, который вы используете для инициирования подключения к удаленному рабочему столу, должен быть присоединен к Microsoft Entra или гибридно присоединен к тому же каталогу Microsoft Entra. Дополнительные сведения об удостоверениях устройств см. в статье "Что такое удостоверение устройства?".

    Windows 10 Build 20H1 добавил поддержку зарегистрированного компьютера Microsoft Entra для инициирования RDP-подключения к вашему устройству. При использовании компьютера, зарегистрированного в Microsoft Entra (а не присоединенного к Microsoft Entra или гибридного соединения Microsoft Entra), в качестве клиента RDP для запуска подключений к устройству необходимо ввести учетные данные в формате AzureAD\UPN (например, AzureAD\[email protected]).

    Убедитесь, что расширение AADLoginForWindows не было удалено после завершения присоединения к Microsoft Entra.

    Кроме того, убедитесь, что политика безопасности Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру включена как на сервере, так и на клиенте.

  • Убедитесь, что у пользователя нет временного пароля. Временные пароли нельзя использовать для входа в подключение к удаленному рабочему столу.

    Войдите с помощью учетной записи пользователя в веб-браузере. Например, войдите в портал Azure в частном окне просмотра. Если появится запрос на изменение пароля, настройте новый пароль. Затем повторите попытку подключения.

Требуется метод входа с многофакторной аутентификацией

При запуске подключения к удаленному рабочему столу к устройству может появиться следующее сообщение об ошибке: "Метод входа, который вы пытаетесь использовать, не разрешен. Попробуйте использовать другой метод входа или обратитесь к системному администратору".

Снимок экрана с сообщением о том, что выбранный метод входа запрещено использовать.

Если вы настроите политику условного доступа, требующую MFA, необходимо убедиться, что устройство, инициирующее подключение, использует надежную проверку подлинности, например Windows Hello.

Другое сообщение об ошибке, связанное с MFA, — это сообщение об ошибке, описанное ранее: "Ваши учетные данные не работали".

Снимок экрана с сообщением о том, что указанные учетные данные недействительны.

Если вы настраиваете устаревшую настройку многофакторной аутентификации Microsoft Entra, установленную в режимах "Включено/Принудительно" для каждого пользователя, и видите ошибку, можно устранить проблему, удалив эту настройку MFA. Дополнительные сведения см. в статье Включение многофакторной проверки подлинности Microsoft Entra для каждого пользователя для защиты мероприятий входа.

Если Windows Hello для бизнеса не является параметром, настройте политику условного доступа, которая исключает приложение входа в виртуальную машину Microsoft Azure Windows. Дополнительные сведения о Windows Hello для бизнеса см. в обзоре Windows Hello для бизнеса.

Поддержка биометрической проверки подлинности с помощью RDP добавлена в Windows 10 версии 1809. Использование проверки подлинности Windows Hello для бизнеса во время RDP доступно для развертываний, использующих модель доверия сертификатов или модель доверия ключей.

Поделитесь своими отзывами об этой функции или сообщите о проблемах с его использованием на форуме отзывов Microsoft Entra.

Отсутствует приложение

Если приложение для входа в виртуальную машину Microsoft Azure Windows отсутствует в условном доступе, убедитесь, что приложение находится в клиенте:

  1. Авторизуйтесь в системе управления Microsoft Entra как минимум как Администратор облачных приложений.
  2. Перейдите к Entra ID>приложениям для предприятий.
  3. Удалите фильтры, чтобы просмотреть все приложения, и выполните поиск по запросу VM. Если вы не видите вход в виртуальную машину Microsoft Azure Windows среди результатов, значит, уполномоченный субъект отсутствует в арендаторе.

Другой способ проверить его можно с помощью Graph PowerShell:

  1. Установите пакет SDK Для Graph PowerShell.
  2. Запустите Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", а затем "Application.ReadWrite.All".
  3. Войдите с помощью учетной записи глобального администратора.
  4. Согласие на запрос разрешений.
  5. Запустите Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

    • Если при выполнении этой команды нет вывода данных и вы возвращаетесь в строку приглашения PowerShell, то можно создать служебный принципал с помощью следующей команды Graph PowerShell:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • Успешные выходные данные показывают, что приложение для входа в виртуальную машину Microsoft Azure Windows и его идентификатор были созданы.

  6. Выйдите из Graph PowerShell с помощью команды Disconnect-MgGraph.

Некоторые арендаторы могут видеть приложение под именем "Вход в Azure Windows VM" вместо "Вход в виртуальную машину Microsoft Azure Windows". Приложение имеет тот же идентификатор приложения 372140e0-b3b7-4226-8ef9-d57986796201.

Не удается использовать эту возможность, если применяется политика условного доступа, требующая совместимого устройства, к ресурсу входа виртуальной машины Azure Windows, и вы подключаетесь с устройства Windows Server.

Конфигурация соответствия устройств Windows Server в политике условного доступа не поддерживается.

Следующие шаги

Дополнительные сведения об идентификаторе Microsoft Entra см. в разделе "Что такое идентификатор Microsoft Entra?".