Поделиться через

Войдите на виртуальную машину Windows в Azure с помощью Microsoft Entra ID без использования пароля.

  • Статья

Организации могут повысить безопасность виртуальных машин Windows в Azure, интегрируя с проверкой подлинности Microsoft Entra. Теперь вы можете использовать идентификатор Microsoft Entra в качестве основной платформы проверки подлинности для протокола удаленного рабочего стола (RDP) в выпуске Windows Server 2019 Datacenter и более поздних версиях или Windows 10 1809 и более поздних версий. После этого вы сможете централизованно управлять политиками управления доступом на основе ролей (RBAC) Azure и условного доступа, которые разрешают или запрещают доступ к виртуальным машинам, и применять их принудительно.

В этой статье показано, как создать и настроить виртуальную машину Windows и войти с помощью проверки подлинности на основе идентификатора Microsoft Entra.

Существует множество преимуществ безопасности при использовании проверки подлинности на основе идентификаторов Microsoft Entra для входа на виртуальные машины Windows в Azure. К ним относятся:

  • Используйте аутентификацию Microsoft Entra, включая вход без пароля, чтобы войти на виртуальные машины Windows в Azure.

  • Уменьшение зависимости от учетных записей локальных администраторов.

  • Политики сложности паролей и времени существования паролей, настроенные для идентификатора Microsoft Entra, также помогают защитить виртуальные машины Windows.

  • С помощью Azure RBAC:

    • Укажите, кто может войти на виртуальную машину в качестве обычного пользователя или с правами администратора.
    • По мере присоединения пользователей к вашей группе или ухода из нее можно обновлять политику Azure RBAC для виртуальной машины, предоставляя соответствующий доступ.
    • Когда сотрудники покидают вашу организацию и их учетные записи пользователей, отключаются или удаляются из идентификатора Microsoft Entra, они больше не имеют доступа к ресурсам.

  • Настройте политики условного доступа для "устойчивых к фишингу MFA", используя управление требуемой степенью надежности проверки подлинности или обязательно требуя многофакторную аутентификацию и других сигналов, таких как риск входа пользователя, прежде чем вы сможете подключиться по RDP к виртуальным машинам Windows.

  • Используйте Azure Policy для развертывания и аудита политик, для требования входа в Microsoft Entra для виртуальных машин Windows и отмечать использование неподтверждённых локальных учетных записей на виртуальных машинах.

  • Используйте Intune для автоматизации и масштабирования присоединения Microsoft Entra с помощью автоматической регистрации в системе управления мобильными устройствами (MDM) виртуальных машин Windows Azure, которые являются частью развертывания инфраструктуры виртуальных рабочих столов (VDI).

    Для автоматической регистрации MDM требуются лицензии Microsoft Entra ID P1. Виртуальные машины Windows Server не поддерживают регистрацию MDM.

Примечание.

После включения этой возможности виртуальные машины Windows в Azure будут присоединены к Microsoft Entra. Вы не можете присоединить их к другому домену, например, к локальному Active Directory или доменным службам Microsoft Entra. Если это необходимо сделать, отключите виртуальную машину от идентификатора Microsoft Entra, удалив расширение. Кроме того, при развертывании поддерживаемого золотого образа следует учитывать, что функцию проверки подлинности Entra ID можно включить, установив соответствующее расширение после развертывания.

Требования

Поддерживаемые регионы Azure и дистрибутивы Windows

Пока эту функцию поддерживают следующие дистрибутивы Windows.

  • Windows Server 2019 Datacenter и более поздние версии
  • Windows 10 1809 и более поздние версии
  • Windows 11 21H2 и более поздние версии

Эта функция сейчас доступна в следующих облаках Azure.

  • Глобальная служба Azure
  • Azure для государственных организаций
  • Microsoft Azure под управлением 21Vianet

Требования к сети

Чтобы включить проверку подлинности Microsoft Entra для виртуальных машин Windows в Azure, необходимо убедиться, что конфигурация сети виртуальной машины разрешает исходящий доступ к следующим конечным точкам через TCP-порт 443.

Глобальная служба Azure

  • https://enterpriseregistration.windows.net — для регистрации устройства.
  • http://169.254.169.254 — конечная точка службы метаданных Azure.
  • https://login.microsoftonline.com — для потоков проверки подлинности.
  • https://pas.windows.net используется для потоков Azure RBAC.

Azure для государственных организаций:

  • https://enterpriseregistration.microsoftonline.us — для регистрации устройства.
  • http://169.254.169.254 — конечная точка Службы метаданных экземпляров Azure.
  • https://login.microsoftonline.us — для потоков проверки подлинности.
  • https://pasff.usgovcloudapi.net — для потоков Azure RBAC.

Microsoft Azure, управляемый 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn — для регистрации устройства.
  • http://169.254.169.254 — адрес конечной точки Службы метаданных экземпляров Azure.
  • https://login.chinacloudapi.cn — для потоков проверки подлинности.
  • https://pas.chinacloudapi.cn — для потоков Azure RBAC.

Требования к проверке подлинности

Гостевые учетные записи Microsoft Entra не могут подключаться к виртуальным машинам Azure или виртуальным машинам Azure с включенной службой Bastion через аутентификацию Microsoft Entra.

Включение входа Microsoft Entra для виртуальной машины Windows в Azure

Чтобы использовать имя входа Microsoft Entra для виртуальной машины Windows в Azure, необходимо:

  1. Включите параметр входа Microsoft Entra для виртуальной машины.
  2. Настройте назначения ролей Azure для пользователей, которым разрешено войти на виртуальную машину.

Существует два способа включения входа Microsoft Entra для виртуальной машины Windows:

  • портал Azure при создании виртуальной машины Windows;
  • Azure Cloud Shell при создании виртуальной машины Windows или использовании существующей виртуальной машины Windows.

Примечание.

Если существует объект устройства с отображаемым именем, совпадающим с именем узла виртуальной машины, в которой установлено расширение, эта виртуальная машина не может присоединиться к каталогу Microsoft Entra из-за ошибки дублирования имени узла. Избегайте дублирования путем изменения имени узла.

Портал Azure

Вы можете включить вход Microsoft Entra для образов виртуальных машин в Центре обработки данных Windows Server 2019 или Windows 10 1809 и более поздних версий.

Чтобы создать виртуальную машину Центра обработки данных Windows Server 2019 в Azure с именем входа Microsoft Entra:

  1. Войдите на портал Azure с учетной записью, имеющей право на создание виртуальных машин, а затем выберите + Создать ресурс.

  2. Введите Windows Server в строку поиска Marketplace.

  3. Щелкните Windows Server и выберите Windows Server 2019 Datacenter в раскрывающемся списке Выберите план программного обеспечения.

  4. Нажмите кнопку создания.

  5. На вкладке "Управление" установите флажок "Вход с идентификатором Microsoft Entra ID" в разделе идентификатора Microsoft Entra ID.

    Снимок, где показана вкладка

  6. Убедитесь, что в разделе Идентификация выбран параметр Управляемое удостоверение, назначаемое системой. Это действие должно происходить автоматически после включения входа с помощью идентификатора Microsoft Entra.

  7. Выполните оставшиеся действия процесса создания виртуальной машины. Необходимо создать имя администратора и пароль для виртуальной машины.

Примечание.

Чтобы войти на виртуальную машину с помощью учетных данных Microsoft Entra, сначала необходимо настроить назначения ролей для виртуальной машины.

Azure Cloud Shell

Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. В Cloud Shell предварительно установлены и настроены общие инструменты Azure для использования с вашей учетной записью. Нажмите кнопку Копировать, чтобы скопировать код. Вставьте его в Cloud Shell и нажмите клавишу "ВВОД", чтобы выполнить код. Cloud Shell можно открыть разными способами:

  • Нажмите кнопку Попробовать в правом верхнем углу блока с кодом.
  • Откройте Cloud Shell в браузере.
  • Нажмите кнопку меню Cloud Shell в правом верхнем углу окна портала Azure.

Для этой статьи требуется запустить Azure CLI версии 2.0.31 или более поздней. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, ознакомьтесь со статьей Установка Azure CLI.

  1. Создайте группу ресурсов, выполнив команду az group create.
  2. Создайте виртуальную машину, выполнив команду az vm create. Используйте поддерживаемое распределение в поддерживаемом регионе.
  3. Установите расширение для входа Microsoft Entra в виртуальную машину.

В следующем примере виртуальная машина с именем myVM (которая использует Win2019Datacenter) развертывается в группе ресурсов с именем myResourceGroup в регионе southcentralus. В этом примере и в следующем можно при необходимости указать собственную группу ресурсов и имена виртуальных машин.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Примечание.

Перед установкой расширения Microsoft Entra для входа на виртуальную машину необходимо включить системно назначенное управляемое удостоверение на вашей виртуальной машине. Управляемые Идентичности хранятся в одном тенанте Microsoft Entra и в настоящее время не поддерживают сценарии кросс-директории.

Создание виртуальной машины и вспомогательных ресурсов занимает несколько минут.

Наконец, установите расширение виртуальной машины входа Microsoft Entra, чтобы включить вход Microsoft Entra для виртуальных машин Windows. Расширения виртуальных машин — это небольшие приложения, которые предоставляют задачи конфигурации и автоматизации после развертывания на виртуальных машинах Azure. Используйте команду az vm extension set, чтобы установить расширение AADLoginForWindows на виртуальной машине с именем myVM в группе ресурсов myResourceGroup.

Расширение AADLoginForWindows можно установить на существующей виртуальной машине Windows Server 2019 или Windows 10 1809 и более поздней версии, чтобы включить ее для проверки подлинности Microsoft Entra. В следующем примере для установки расширения используется Azure CLI:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

После установки расширения на виртуальной машине provisioningState отображается Succeeded.

Настройка назначений ролей для виртуальной машины

Теперь, когда вы создали виртуальную машину, необходимо назначить одну из следующих ролей Azure, чтобы определить, кто может войти в виртуальную машину. Чтобы назначить эти роли, необходимо иметь роль Администратора доступа к данным виртуальной машины или любую роль, включающую действие Microsoft.Authorization/roleAssignments/write, например роль Администратора контроля доступа на основе ролей. Однако если вы используете другую роль, отличную от роли администратора доступа к данным виртуальной машины, рекомендуется добавить условие, чтобы уменьшить разрешение на создание назначений ролей.

  • Имя входа администратора виртуальной машины: пользователи, которым назначена эта роль, могут войти на виртуальную машину Azure с правами администратора.
  • Имя входа пользователя виртуальной машины: пользователи, которым назначена эта роль, могут войти в виртуальную машину Azure с обычными привилегиями пользователя.

Чтобы разрешить пользователю войти на виртуальную машину через RDP, необходимо назначить роль входа администратора виртуальной машины или имени входа пользователя виртуальной машины ресурсу виртуальной машины.

Примечание.

Повышение пользователя до уровня прав локального администратора на виртуальной машине путем добавления пользователя в группу локальных администраторов или запуска команды net localgroup administrators /add "AzureAD\UserUpn" не поддерживается. Для авторизации входа виртуальной машины необходимо использовать указанные выше роли Azure.

Пользователь Azure, которому назначена роль владельца или участника для виртуальной машины, не имеет прав входа на виртуальную машину через RDP. Это необходимо, чтобы обеспечить прошедшее аудит разделение между пользователями, управляющими виртуальными машинами, и пользователями с доступом к виртуальным машинам.

Доступно два способа настройки назначений ролей для виртуальной машины:

  • Интерфейс Центра администрирования Microsoft Entra
  • интерфейс Azure Cloud Shell.

Примечание.

Для ролей "Роль входа администратора виртуальной машины" и "Роль входа пользователя виртуальной машины" используется dataActions, поэтому их нельзя назначать на уровне группы управления. В настоящее время эти роли можно назначать только на уровне подписки, группы ресурсов или конкретного ресурса.

Центр администрирования Microsoft Entra

Чтобы настроить назначения ролей для виртуальных машин Центра обработки данных Windows Server 2019 с поддержкой идентификатора Microsoft Entra:

  1. Выберите группу ресурсов, содержащую виртуальную машину и связанную с ней виртуальную сеть, сетевой интерфейс, общедоступный IP-адрес или ресурс подсистемы балансировки нагрузки.

  2. Выберите Управление доступом (IAM) .

  3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу Добавление назначения ролей.

  4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    Настройка Значение
    Роль Имя для входа администратора виртуальной машины или Имя для входа пользователя виртуальной машины
    Предоставить доступ Пользователь, группа, учетная запись службы или управляемая идентичность

    Снимок экрана: страница добавления назначения ролей.

Azure Cloud Shell

В следующем примере используется az role assignment create , чтобы назначить роль входа администратора виртуальной машины виртуальной машине для текущего пользователя Azure. Имя пользователя текущей учетной записи Azure можно получить с помощью команды az account show. В качестве области задается виртуальная машина, созданная на предыдущем шаге с помощью команды az vm show.

Вы также можете назначить область на уровне группы ресурсов или подписки. Применяются обычные разрешения наследования Azure RBAC.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Примечание.

Если домен Microsoft Entra и домен вашего имени пользователя для входа не совпадают, необходимо указать идентификатор объекта учетной записи пользователя с помощью --assignee-object-id, а не только имя пользователя для --assignee. Идентификатор объекта учетной записи пользователя можно получить с помощью команды az ad user list.

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

Вход с помощью учетных данных Microsoft Entra на виртуальную машину Windows

Вы можете войти через RDP с помощью одного из двух методов:

  1. Без пароля, используя любые поддерживаемые учетные данные Microsoft Entra (рекомендуется)
  2. Пароль или ограниченный пароль без пароля с помощью Windows Hello для бизнеса развернутой с помощью модели доверия сертификатов

Вход без пароля с помощью Microsoft Entra ID

Чтобы использовать проверку подлинности без пароля для виртуальных машин Windows в Azure, вам потребуется клиентский компьютер Windows и узел сеанса на следующих операционных системах:

Примечание.

При использовании веб-учетной записи для входа на удаленный компьютер не требуется присоединение локального устройства к домену или идентификатору Microsoft Entra.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия.

  • Запустите Удаленный рабочий стол через поиск Windows или выполните команду mstsc.exe.
  • Выберите "Использовать веб-учетную запись" для входа на удаленный компьютер на вкладке "Дополнительно ". Этот параметр эквивалентен свойству enablerdsaadauth RDP. Дополнительные сведения см. в статье Поддерживаемые свойства RDP с услугами удаленных рабочих столов.
  • Укажите имя удаленного компьютера и нажмите кнопку "Подключить".

Внимание

IP-адрес нельзя использовать с опцией Использовать веб-учетную запись для входа на удаленный компьютер. Имя должно соответствовать имени узла удаленного устройства в Microsoft Entra ID и быть доступным в сети, разрешаясь на IP-адрес удаленного устройства.

  • При появлении запроса на ввод учетных данных укажите имя пользователя в [email protected] формате.
  • Затем вам будет предложено разрешить подключение к удаленному рабочему столу при подключении к новому компьютеру. Microsoft Entra запоминает до 15 хостов в течение 30 дней, прежде чем снова запросить. Если вы видите это диалоговое окно, нажмите кнопку Да, чтобы подключиться.

Внимание

Если ваша организация настроена и использует условный доступ Microsoft Entra, устройство должно соответствовать требованиям условного доступа, чтобы разрешить подключение к удаленному компьютеру. Политики условного доступа могут применяться к приложению Удаленный рабочий стол (Майкрософт) (a4a365df-50f1-4397-bc59-1a1564b8bb9c) для управляемого доступа.

Примечание.

Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra или методы аутентификации без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс с помощью действия пользователя или системной политики сеанс будет отключен, а служба отправляет пользователю сообщение, объясняющее, что они были отключены. Отключение сеанса также гарантирует, что при повторном запуске подключения после периода бездействия идентификатор Microsoft Entra повторно вычисляет применимые политики условного доступа.

Вход с использованием пароля или ограниченной аутентификации без пароля с помощью Microsoft Entra ID

Внимание

Удаленное подключение к виртуальным машинам, присоединенным к Microsoft Entra ID, разрешено только с компьютеров, работающих под управлением Windows 10 или более поздней версии, которые зарегистрированы в Microsoft Entra (минимальная требуемая сборка — 20H1) или присоединены к Microsoft Entra, либо имеют гибридную регистрацию в Microsoft Entra, и принадлежат тому же каталогу, что и виртуальная машина. Кроме того, для RDP с помощью учетных данных Microsoft Entra пользователи должны принадлежать одному из двух ролей Azure, имени входа администратора виртуальной машины или имени входа пользователя виртуальной машины.

Если вы используете компьютер с Windows 10 или более поздней версии, зарегистрированный в Microsoft Entra, необходимо ввести учетные данные в формате AzureAD\UPN (например, AzureAD\[email protected]). В настоящее время вы можете использовать Azure Bastion для входа с аутентификацией Microsoft Entra через Azure CLI и родной RDP-клиент mstsc.

Чтобы войти в виртуальную машину Windows Server 2019 с помощью идентификатора Microsoft Entra, выполните следующие действия:

  1. Перейдите на страницу обзора виртуальной машины, которая была включена с помощью имени входа Microsoft Entra.
  2. Выберите Подключиться, чтобы открыть панель Подключение к виртуальной машине.
  3. Выберите Скачать RDP-файл.
  4. Нажмите кнопку Открыть, чтобы открыть клиент для подключения к удаленному рабочему столу.
  5. Выберите Подключиться, чтобы открыть диалоговое окно входа Windows.
  6. Войдите с помощью учетных данных Microsoft Entra.

Вы выполнили вход на виртуальную машину Windows Server 2019 в Azure с разрешениями назначенной роли, например пользователя виртуальной машины или администратора виртуальной машины.

Примечание.

Можно сохранить .RDP-файл локально на компьютере, чтобы запускать будущие подключения удаленного рабочего стола к виртуальной машине, вместо того чтобы переходить на страницу обзора виртуальной машины в портале Azure и использовать опцию подключения.

Применять политики условного доступа

Вы можете применять политики условного доступа, такие как «устойчивое к фишингу многофакторное аутентифицирование», с помощью управления доступом по требуемой надежности проверки подлинности или многофакторного аутентифицирования или проверки риска входа пользователя, до того как авторизовать доступ к виртуальным машинам Windows в Azure, которые включены с помощью Microsoft Entra. Чтобы применить политику условного доступа, необходимо выбрать приложение Microsoft Azure Windows Virtual Machine Sign-in из вариантов назначения облачных приложений или действий. Затем используйте риск входа в качестве условия или "фишингостойчивую MFA", используя для предоставления доступа контроль надежности проверки подлинности или требуйте MFA в качестве элемента управления.

Примечание.

Если вам требуется MFA в качестве элемента управления для предоставления доступа к приложению входа в виртуальную машину Microsoft Azure Windows, необходимо указать утверждение MFA в составе клиента, инициирующего сеанс RDP для целевой виртуальной машины Windows в Azure. Это можно сделать с помощью метода проверки подлинности без пароля для RDP, который удовлетворяет политикам условного доступа, однако если вы используете ограниченный метод без пароля для RDP, то единственный способ достичь этого в клиенте Windows 10 или более поздней версии — использовать Windows Hello для бизнеса ПИН-код или биометрические проверки подлинности с клиентом RDP. Поддержка биометрической проверки подлинности была добавлена в клиент RDP в Windows 10 версии 1809. Удаленный рабочий стол, использующий процедуру проверки подлинности Windows Hello для бизнеса, доступен только для развертываний, которые используют модель доверия сертификата. Сейчас он недоступен для модели доверия на основе ключей.

Использование Политики Azure для соответствия нормативным требованиям и стандартам

Использовать политику Azure для следующих целей:

  • Убедитесь, что для новых и существующих виртуальных машин Windows включен вход Microsoft Entra.
  • Оцените соответствие вашей среды в большом масштабе с помощью панели мониторинга соответствия требованиям.

Эта возможность обеспечивает множество уровней контроля. Вы можете пометить новые и существующие виртуальные машины Windows в вашей среде, у которых не включен вход в систему Microsoft Entra. Вы также можете использовать Azure Policy для развертывания расширения Microsoft Entra на новых виртуальных машинах Windows, на которых вход в систему Microsoft Entra не включен, и привести существующие виртуальные машины Windows к тому же стандарту.

Помимо этих возможностей, с помощью Политики Azure вы можете обнаруживать и помечать виртуальные машины Windows, на которых существуют неутвержденные локальные учетные записи. Дополнительные сведения см. в разделе о Политике Azure.

Устранение неполадок, связанных с развертыванием

Расширение AADLoginForWindows должно быть успешно установлено для виртуальной машины, чтобы завершить процесс присоединения Microsoft Entra. Если расширение виртуальной машины не удается правильно установить, выполните следующие действия.

  1. Подключение по RDP к виртуальной машине с помощью учетной записи локального администратора и изучите файл CommandExecution.log в папке C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Примечание.

    Если расширение перезапускается после первоначального сбоя, журнал с ошибкой развертывания будет сохранен под именем CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Откройте окно PowerShell на виртуальной машине. Убедитесь, что следующие запросы к конечной точке службы метаданных экземпляров Azure, запущенной на узле Azure, возвращают ожидаемые выходные данные:

    Команда для выполнения Ожидаемые выходные данные
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Правильные сведения о виртуальной машине Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Действительный идентификатор арендатора, связанный с подпиской Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Допустимый токен доступа, выданный Microsoft Entra ID для управляемого удостоверения, назначенного этой виртуальной машине.

    Примечание.

    Маркер доступа можно декодировать с помощью средства, например https://jwt.ms/. Убедитесь, что значение oid в маркере доступа соответствует управляемому удостоверению, назначенному виртуальной машине.

  3. С помощью PowerShell убедитесь в том, что необходимые конечные точки доступны из виртуальной машины.

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Примечание.

    Замените <TenantID> на идентификатор арендатора Microsoft Entra, который связан с подпиской Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net и pas.windows.net должны возвращать результат "404, не найдено", что является ожидаемым поведением.

  4. Просмотрите состояние устройства, выполнив команду dsregcmd /status. Цель состоит в том, чтобы состояние устройства отображалось как AzureAdJoined : YES.

    Примечание.

    Действие присоединения к Microsoft Entra фиксируется в Просмотре событий в журнале Регистрация пользовательских устройств\Админ в Просмотр событий (local)\Applications и Services Logs\Microsoft\Windows\User Device Registration\Admin.

Если работа расширения AADLoginForWindows завершается ошибкой с определенным кодом, можно выполнить следующие действия.

Код ошибки терминала 1007 и код выхода: 2145648574.

Код ошибки терминала 1007 и код выхода: 2145648574 преобразуются в DSREG_E_MSI_TENANTID_UNAVAILABLE. Расширение не может запрашивать сведения о клиенте Microsoft Entra.

Подключитесь к виртуальной машине от имени локального администратора и убедитесь, что конечная точка возвращает действительный идентификатор клиента из службы метаданных экземпляров Azure. Выполните следующую команду в окне PowerShell с повышенными привилегиями на виртуальной машине:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Такая проблема также может возникать, если администратор виртуальной машины пытается установить расширение AADLoginForWindows, но сначала виртуальная машина не была активирована управляемым удостоверением, назначаемым системой. В этом случае переходите на панель Идентификации виртуальной машины. На вкладке Назначено системой убедитесь, что для параметра Состояние установлено значение Вкл..

Код выхода: 2145648607

Код выхода -2145648607 преобразуется в DSREG_AUTOJOIN_DISC_FAILED. Расширение не может связаться с конечной точкой https://enterpriseregistration.windows.net.

  1. Убедитесь в том, что необходимые конечные точки доступны из виртуальной машины посредством PowerShell.

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Примечание.

    Замените <TenantID> на идентификатор клиента Microsoft Entra, который связан с подпиской Azure. Если вам нужно найти идентификатор арендатора, можно навести указатель мыши на имя учетной записи или выбрать Удостоверения>Обзор>Свойства>Идентификатор арендатора.

    При попытке подключения к enterpriseregistration.windows.net может быть возвращена ошибка 404 "Не найдено", что является ожидаемой реакцией. При попытке подключения к pas.windows.net может запрашиваться ПИН-код или возвращаться ошибка 404 Не найдено. (Вам не нужно вводить ПИН-код.) Любого из вариантов достаточно, чтобы убедиться, что URL-адрес доступен.

  2. Если выполнение одной из команд приводит к ошибке "Не удалось сопоставить узел <URL>", попробуйте выполнить следующую команду, чтобы определить сервер DNS, используемый виртуальной машиной.

    nslookup <URL>

    Примечание.

    Замените <URL> на полные доменные имена, используемые конечными точками, например login.microsoftonline.com.

  3. Затем проверьте, удается ли выполнить команду, указав адрес общедоступного DNS-сервера:

    nslookup <URL> 208.67.222.222

  4. При необходимости измените DNS-сервер, назначенный группе безопасности сети, к которой принадлежит виртуальная машина Azure.

Код выхода: 51

Код выхода 51 преобразуется в "Это расширение не поддерживается в операционной системе виртуальной машины".

Расширение AADLoginForWindows можно устанавливать только в Windows Server 2019 или Windows 10 (сборка 1809 или более поздняя версия). Убедитесь, что ваша версия или сборка Windows поддерживается. Если расширение не поддерживается, удалите расширение.

Устранение проблем со входом

Чтобы устранить проблемы со входом, воспользуйтесь приведенными ниже сведениями.

Состояние устройства и единого входа (SSO) можно просмотреть, выполнив команду dsregcmd /status. Цель заключается в том, чтобы состояние устройства отображалось как AzureAdJoined : YES, а состояние единого входа — как AzureAdPrt : YES.

Вход RDP с помощью учетных записей Microsoft Entra фиксируется в Просмотре событий в журналах приложений и служб\Microsoft\Windows\AAD\Operational.

Роль Azure не назначена

При запуске подключения к виртуальной машине с помощью удаленного рабочего стола может появиться следующее сообщение об ошибке: "Настройки вашей учетной записи запрещают использование этого устройства. За дополнительными сведениями обратитесь к своему системному администратору.

Снимок экрана с сообщением о том, что ограничения вашей учетной записи запрещают вход в систему с данного устройства.

Проверьте наличие настроенных политик Azure RBAC для виртуальной машины, которая предоставляет пользователю роль "Имя для входа администратора виртуальной машины" или "Имя для входа пользователя виртуальной машины".

Примечание.

Если вы столкнулись с проблемами назначения ролей Azure, см. статью Устранение неполадок Azure RBAC.

Клиент не авторизован или требуется изменение пароля

При запуске подключения удаленного рабочего стола к виртуальной машине может появиться следующее сообщение об ошибке: "Учетные данные недействительны".

Снимок экрана с сообщением о том, что указанные учетные данные недействительны.

Воспользуйтесь указанными ниже решениями.

  • Компьютер с Windows 10 или более поздней версии, который вы используете для инициирования подключения к удаленному рабочему столу, должен быть присоединен к Microsoft Entra или гибридно присоединен к тому же каталогу Microsoft Entra. Дополнительные сведения об удостоверениях устройств см. в статье "Что такое удостоверение устройства?".

    Примечание.

    Windows 10 Build 20H1 добавил поддержку зарегистрированного компьютера Microsoft Entra для запуска подключения RDP к виртуальной машине. При использовании компьютера, зарегистрированного в Microsoft Entra (а не присоединенного к Microsoft Entra или гибридного соединения Microsoft Entra), в качестве клиента RDP для запуска подключений к виртуальной машине необходимо ввести учетные данные в формате AzureAD\UPN (например, AzureAD\[email protected]).

    Убедитесь, что расширение AADLoginForWindows не было удалено после завершения присоединения к Microsoft Entra.

    Кроме того, убедитесь, что политика безопасности Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру включена как на сервере, так и на клиенте.

  • Убедитесь, что у пользователя нет временного пароля. Временные пароли нельзя использовать для входа в подключение к удаленному рабочему столу.

    Войдите с помощью учетной записи пользователя в веб-браузере. Например, войдите в портал Azure в частном окне просмотра. Если появится запрос на изменение пароля, настройте новый пароль. Затем повторите попытку подключения.

Требуется метод входа с многофакторной аутентификацией

При запуске подключения к виртуальной машине с помощью удаленного рабочего стола может появиться следующее сообщение об ошибке: "Этот метод входа запрещено использовать. Попробуйте использовать другой метод входа или обратитесь к системному администратору".

Снимок экрана с сообщением о том, что выбранный метод входа запрещено использовать.

Если вы настроили политику условного доступа, которая требует многофакторной проверки подлинности, либо устаревшую настройку Microsoft Entra, включенную/принудительно включенную для каждого пользователя, прежде чем вы сможете получить доступ к ресурсу, убедитесь, что компьютер с Windows 10 или более поздней версией, который инициирует подключение к удаленному рабочему столу вашей виртуальной машины, выполняет вход, используя надежный метод проверки подлинности, например, Windows Hello. Если вы не используете надежный метод проверки подлинности для подключения к удаленному рабочему столу, появится ошибка.

Другое сообщение об ошибке, связанное с многофакторной проверкой подлинности, — это сообщение об ошибке, описанное ранее: "Учетные данные недействительны".

Снимок экрана с сообщением о том, что указанные учетные данные недействительны.

Если вы настроили устаревшую настройку многофакторной аутентификации Microsoft Entra для каждого пользователя с параметрами «Включено» или «Принудительно», и вы видите вышеуказанную ошибку, вы можете устранить проблему, удалив настройку МФА для каждого пользователя. Дополнительные сведения см. в статье Включение многофакторной проверки подлинности Microsoft Entra для каждого пользователя для защиты мероприятий входа.

Если вы еще не развернули Windows Hello для бизнеса и если это еще не вариант, можно настроить политику условного доступа, которая исключает приложение входа в виртуальную машину Microsoft Azure Windows из списка облачных приложений, требующих многофакторной проверки подлинности. Дополнительные сведения о Windows Hello для бизнеса см. в обзоре Windows Hello для бизнеса.

Примечание.

Проверка подлинности по RDP с помощью ПИН-кода в Windows Hello для бизнеса поддерживалась в нескольких версиях Windows 10. Поддержка биометрической проверки подлинности с помощью RDP добавлена в Windows 10 версии 1809. Использование проверки подлинности Windows Hello для бизнеса во время RDP доступно для развертываний, использующих модель доверия сертификатов или модель доверия ключей.

Поделитесь своими отзывами об этой функции или сообщите о проблемах с его использованием на форуме отзывов Microsoft Entra.

Отсутствует приложение

Если приложение для входа в виртуальную машину Microsoft Azure Windows отсутствует в условном доступе, убедитесь, что приложение находится в клиенте:

  1. Авторизуйтесь в системе управления Microsoft Entra как минимум как Администратор облачных приложений.
  2. Перейдите к Identity>приложениям>корпоративным приложениям.
  3. Удалите фильтры, чтобы просмотреть все приложения, и выполните поиск по запросу VM. Если вы не видите вход в виртуальную машину Microsoft Azure Windows среди результатов, значит, уполномоченный субъект отсутствует в арендаторе.

Другой способ проверить его можно с помощью Graph PowerShell:

  1. установите SDK Graph для PowerShell, если вы еще этого не сделали.
  2. Запустите Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", а затем "Application.ReadWrite.All".
  3. Войдите с помощью учетной записи глобального администратора.
  4. Согласие на запрос разрешений.
  5. Запустите Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

    • Если эта команда не выводит выходные данные и возвращает вас в строку PowerShell, можно создать субъект-службу с помощью следующей команды Graph PowerShell:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • Успешные выходные данные показывают, что приложение для входа в виртуальную машину Microsoft Azure Windows и его идентификатор были созданы.

  6. Выйдите из Graph PowerShell с помощью команды Disconnect-MgGraph.

Совет

Некоторые арендаторы могут видеть приложение под именем "Вход в Azure Windows VM" вместо "Вход в виртуальную машину Microsoft Azure Windows". Приложение будет иметь тот же идентификатор приложения 372140e0-b3b7-4226-8ef9-d57986796201.

Следующие шаги

Дополнительные сведения об идентификаторе Microsoft Entra см. в разделе "Что такое идентификатор Microsoft Entra?".