Войдите в виртуальную машину Windows в Azure с помощью Microsoft Entra ID и управления доступом на основе ролей Azure.

Организации могут повысить безопасность windows Server virtual machines в Azure путем интеграции с проверкой подлинности Microsoft Entra. Теперь вы можете использовать Microsoft Entra ID в качестве основной платформы проверки подлинности для Remote Desktop протокола (RDP) в поддерживаемых версиях Windows Server. Затем вы можете централизованно контролировать и применять управление доступом Azure на основе ролей (RBAC) и политики условного доступа, которые позволяют или запрещают доступ к виртуальным машинам.

В этой статье показано, как создать и настроить виртуальную машину Windows Server и выполнить вход с помощью проверки подлинности на основе Microsoft Entra ID.

Существует множество преимуществ безопасности при использовании проверки подлинности на основе Microsoft Entra ID для входа в Windows Server virtual machines в Azure. К ним относятся:

• Используйте проверку подлинности Microsoft Entra, включая вход без пароля, для входа в виртуальные машины Windows Server. Уменьшение зависимости от учетных записей локальных администраторов.
• Используйте политики сложности паролей и времени существования паролей, настроенные для Microsoft Entra ID, которые также помогают защитить виртуальные машины Windows Server.
• Используйте Azure управление доступом на основе ролей:
  • Укажите, кто может войти в систему как обычный пользователь или с правами администратора.
  • При присоединении или выходе участников команды можно обновить ролевую политику управления доступом Azure, чтобы предоставить доступ соответствующим образом.
  • Когда сотрудники уходят из вашей организации и их учетные записи пользователей деактивируются или удаляются из Microsoft Entra ID, они больше не имеют доступ к вашим ресурсам.
• Используйте политику условного доступа "MFA, устойчивый к фишингу", и другие сигналы, такие как риск входа пользователя.
• Используйте Azure Policy для развертывания и аудита политик, чтобы требовать входа в Microsoft Entra для виртуальных машин Windows Server и для пометки использования неутвержденных локальных учетных записей на виртуальных машинах.
• Используйте Intune для автоматизации и масштабирования подключения Microsoft Entra с автоматической регистрацией управления мобильными устройствами (MDM) для виртуальных машин Windows Azure, которые задействованы в развертываниях инфраструктуры виртуальных рабочих столов (VDI). Для автоматической регистрации MDM требуются лицензии Microsoft Entra ID P1.

Для автоматической регистрации MDM требуются лицензии Microsoft Entra ID P1. Виртуальные машины Windows Server не поддерживают регистрацию MDM.

Требования

Поддерживаемые регионы Azure и дистрибутивы Windows

Эта функция в настоящее время поддерживает следующие дистрибутивы Windows Server:

• Windows Server 2025 или более поздней версии, установленной с помощью классического интерфейса.

Эта функция теперь доступна в следующих Azure облаках:

• Azure Global
• Azure для государственных учреждений
• Microsoft Azure, управляемый 21Vianet

Требования к сети

Чтобы включить проверку подлинности Microsoft Entra для виртуальных машин в Azure, необходимо убедиться, что конфигурация сети разрешает исходящий доступ к следующим конечным точкам через TCP-порт 443.

Azure Global:

• https://enterpriseregistration.windows.net: регистрация устройства.

• http://169.254.169.254: конечная точка службы метаданных экземпляра Azure.

• https://login.microsoftonline.com: потоки проверки подлинности.

• https://pas.windows.net: потоки управления доступом на основе ролей Azure.

Azure Government:

• https://enterpriseregistration.microsoftonline.us: регистрация устройства.

• http://169.254.169.254: конечная точка службы метаданных экземпляра Azure.

• https://login.microsoftonline.us: потоки проверки подлинности.

• https://pasff.usgovcloudapi.net: потоки управления доступом на основе ролей Azure.

Microsoft Azure, управляемый 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn: регистрация устройства.

• http://169.254.169.254: конечная точка службы экземпляра метаданных Azure.

• https://login.chinacloudapi.cn: потоки проверки подлинности.

• https://pas.chinacloudapi.cn: потоки управления доступом на основе ролей Azure.

Требования к проверке подлинности

• Тип учетной записи пользователя: поддерживаются только стандартные учетные записи пользователей Microsoft Entra из того же клиента, что и виртуальная машина Windows Azure. Гостевые учетные записи (пользователи B2B) нельзя использовать для проверки подлинности.

• Управляемые идентичности: Необходимо включить управляемую удостоверение, назначенное системой, на вашей виртуальной машине Azure, прежде чем устанавливать расширение виртуальной машины Microsoft Entra для входа. Управляемые удостоверения хранятся в одном клиенте Microsoft Entra и в настоящее время не поддерживают сценарии между каталогами.

• Назначения ролей: Пользователям нужно назначить роль Вход администратора виртуальной машины или Вход пользователя виртуальной машины для входа в виртуальную машину. Наличие только роли владельца или участника не предоставляет права входа.

• Virtual Machine Administrator Login: Пользователи, которым назначена эта роль, могут войти в Azure виртуальную машину с правами администратора.

• Virtual Machine User Login: Пользователи, которым назначена эта роль, могут войти в Azure виртуальную машину с обычными правами пользователя.

• Методы проверки подлинности:

  • Проверка подлинности без пароля рекомендуется и поддерживается с помощью учетных данных Microsoft Entra
  • Проверка подлинности на основе паролей поддерживается с соответствующими назначениями ролей
  • Windows Hello для бизнеса поддерживается только с помощью модели доверия сертификатов (не модели доверия ключей).
  • Учетные записи локального администратора, созданные вручную путем добавления пользователей в локальные группы, не поддерживаются

Включение входа Microsoft Entra для виртуальной машины Windows в Azure

Чтобы использовать вход Microsoft Entra для виртуальной машины Windows, необходимо:

1. Включите расширение входа Microsoft Entra для устройства.
2. Настройте назначения ролей Azure для пользователей.

Включение расширения входа в Microsoft Entra

• Azure виртуальная машина под управлением Windows

Перед установкой расширения виртуальной машины для входа Microsoft Entra, необходимо включить управляемое системой назначаемое удостоверение на вашей виртуальной машине Azure. Управляемые удостоверения хранятся в одном клиенте Microsoft Entra и в настоящее время не поддерживают сценарии между каталогами.

В следующем примере показаны шаблоны Azure для расширений виртуальных машин Azure.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

Настройка назначений ролей

Чтобы назначить роли пользователей, необходимо иметь роль администратора доступа к данным виртуальной машины или любую роль, включающую действие Microsoft.Authorization/roleAssignments/write, например, роль Администратор управления доступом на основе ролей. Однако если вы используете другую роль, отличную от роли администратора доступа данных виртуальных машин, мы рекомендуем добавить условие для ограничения разрешений на создание назначений ролей.

• Virtual Machine Administrator Login: Пользователи, которым назначена эта роль, могут войти в Azure виртуальную машину с правами администратора.
• Virtual Machine User Login: Пользователи, которым назначена эта роль, могут войти в Azure виртуальную машину с обычными правами пользователя.

Следующая документация содержит пошаговые сведения о добавлении учетных записей пользователей в назначения ролей в Azure:

• Назначение ролей Azure с помощью Azure portal
• Назначение ролей Azure с помощью Azure CLI
• Назначение ролей Azure с помощью Azure PowerShell

Вход с помощью учетных данных Microsoft Entra на виртуальной машине Windows

Вы можете войти через RDP с помощью одного из двух методов:

• Без пароля, используя любые поддерживаемые учетные данные Microsoft Entra (рекомендуется)
• Пароль/без пароля с помощью Windows Hello для бизнеса, развернутых с использованием модели доверия на основе сертификатов

Вход с помощью проверки подлинности без пароля с помощью Microsoft Entra ID

Чтобы использовать аутентификацию без пароля для виртуальных машин Windows Server в Azure, узел сеанса (виртуальная машина) должен быть запущен:

• Windows Server 2022 с накопительным обновлением 2022–10 для операционной системы Microsoft Server (KB5018421) или более поздней версии.
• Windows Server 2025 или более поздняя версия.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия.

• Запустите Подключение к удалённому рабочему столу из поиска Windows или запустив mstsc.exe.
• Выберите "Использовать веб-учетную запись" для входа на удаленный компьютер на вкладке "Дополнительно ". Этот параметр эквивалентен свойству enablerdsaadauth RDP. Дополнительные сведения см. в разделе Поддерживаемые свойства RDP c Службами удалённых рабочих столов.
• Укажите имя удаленного компьютера и нажмите кнопку "Подключить".

• При появлении запроса на ввод учетных данных укажите имя пользователя в user@domain.com формате.
• Затем вам будет предложено разрешить подключение remote desktop при подключении к новому компьютеру. Microsoft Entra запоминает до 15 хостов в течение 30 дней, прежде чем снова запросить. Если вы видите это диалоговое окно, нажмите кнопку Да, чтобы подключиться.

Войти с использованием аутентификации с паролем или без пароля с помощью Microsoft Entra ID

Проверка подлинности на основе Password и Passwordless authentication поддерживается для входа в Windows virtual machines.

Для входа в виртуальную машину Windows Server 2019 с помощью Microsoft Entra ID:

1. Перейдите на страницу обзора виртуальной машины с поддержкой входа через Microsoft Entra.
2. Выберите Подключиться, чтобы открыть панель Подключение к виртуальной машине.
3. Выберите Скачать RDP-файл.
4. Выберите Open, чтобы открыть клиент подключения Remote Desktop.
5. Выберите "Подключиться", чтобы открыть диалоговое окно входа Windows.
6. Войдите с помощью учетных данных Microsoft Entra.

Теперь вы вошли в виртуальную машину Windows Server 2019 Azure с разрешениями роли в качестве пользователя виртуальной машины или администратора виртуальной машины.

Принудительное применение политик условного доступа

Вы можете применить политики условного доступа, такие как "устойчивые к фишингу MFA" или проверка риска входа пользователя, прежде чем пользователи смогут получить доступ к виртуальным машинам Windows Server на платформе Azure. Чтобы применить политику Условного доступа, необходимо выбрать приложение Microsoft Azure для входа в виртуальные машины Windows по назначению облачных приложений или действий.

Политики условного доступа, ограничивающие вход с помощью правил конфигурации устройства, не поддерживаются при подключении с устройством Windows Server. Руководство по настройке политик условного доступа см. в статье Tutorial: безопасные события входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Использование Azure Policy для соответствия стандартам и оценке соответствия требованиям

Используйте Azure Policy для:

• Убедитесь, что вход Microsoft Entra включен для новых и существующих виртуальных машин Windows Server.
• Оцените соответствие вашей среды в большом масштабе с помощью панели мониторинга соответствия требованиям.

Эта возможность обеспечивает множество уровней контроля. Вы можете пометить новые и существующие виртуальные машины Windows Server в вашей среде, не включающие вход в Microsoft Entra. Вы также можете использовать Azure Policy для развертывания расширения Microsoft Entra для Windows virtual machines в Azure.

Помимо этих возможностей, вы можете использовать Azure Policy для обнаружения и пометки компьютеров Windows, на которых были созданы неутвержденные локальные учетные записи. Дополнительные сведения см. в статье Azure Policy.

Устранение неполадок, связанных с развертыванием

Расширение AADLoginForWindows должно быть установлено успешно, чтобы устройство завершило процесс присоединения Microsoft Entra. Если расширение не удалось установить правильно, выполните следующие действия.

1. Подключитесь к устройству и проверьте файл CommandExecution.log в разделе C:\WindowsAzure\Logs\Plugins\Microsoft. Azure. ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Если расширение перезапускается после первоначального сбоя, журнал с ошибкой развертывания будет сохранен под именем CommandExecution_YYYYMMDDHHMMSSSSS.log.

2. Откройте окно PowerShell на устройстве. Убедитесь, что следующие запросы к конечной точке службы метаданных экземпляра Azure, запущенной на узле, возвращают ожидаемые выходные данные:

   Для Azure virtual machines:

   Команда для выполнения	Ожидаемые выходные данные
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Исправление сведений о виртуальной машине Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Допустимый идентификатор клиента, связанный с подпиской Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Допустимый токен доступа, выданный Microsoft Entra ID для управляемого удостоверения, назначенного этой виртуальной машине.

3. Убедитесь, что необходимые конечные точки доступны на устройстве с помощью PowerShell:

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Замените <TenantID> идентификатором клиента Microsoft Entra, связанным с подпиской Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net и pas.windows.net должны возвращать 404 Not Found, что является ожидаемым поведением.

4. Просмотрите состояние устройства, выполнив команду dsregcmd /status. Цель состоит в том, чтобы состояние устройства отображалось как AzureAdJoined : YES.

   Действие присоединения к Microsoft Entra записывается в Event Viewer в журнале Регистрация устройств пользователей\Admin в Event Viewer (local)\Applications и Services Logs\Microsoft\Windows\User Device Registration\Admin.

Если работа расширения AADLoginForWindows завершается ошибкой с определенным кодом, можно выполнить следующие действия.

Имя устройства уже существует

Если объект устройства имеет такое же имя дисплея, что и имя хоста виртуальной машины Azure, устройство не сможет подключиться к Microsoft Entra из-за ошибки дублирования имени хоста. Избегайте дублирования путем модифицируя имя узла.

Код ошибки терминала 1007 и код выхода -2145648574

Код ошибки терминала 1007 и код выхода: 2145648574 преобразуются в DSREG_E_MSI_TENANTID_UNAVAILABLE. Расширение не может запрашивать сведения о клиенте Microsoft Entra.

Подключитесь к устройству от имени локального администратора и убедитесь, что конечная точка возвращает допустимый идентификатор клиента из службы метаданных экземпляра Azure. Выполните следующую команду из окна PowerShell с повышенными привилегиями на устройстве:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Эта проблема также может возникнуть, когда администратор пытается установить расширение AADLoginForWindows, но устройство не имеет управляемого удостоверения, назначаемого системой. В этом случае перейдите на панель идентификации устройства. На вкладке Назначено системой убедитесь, что для параметра Состояние установлено значение Вкл..

Код выхода: 2145648607

Код выхода -2145648607 преобразуется в DSREG_AUTOJOIN_DISC_FAILED. Расширение не может достичь конечной точки https://enterpriseregistration.windows.net.

1. Убедитесь, что необходимые конечные точки доступны на устройстве с помощью PowerShell:

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Замените <TenantID> идентификатором клиента (тенанта) Microsoft Entra для подписки Azure. Если вам нужно найти идентификатор арендатора, вы можете навести указатель мыши на имя вашей учетной записи или выбрать Entra ID, >, Свойства, >.

   Попытки подключения к enterpriseregistration.windows.net могут вернуть значение 404 Not Found, которое ожидается. Попытки подключения к pas.windows.net могут запрашивать учетные данные ПИН-кода или возвращать значение 404 Not Found. (Вам не нужно вводить ПИН-код.) Любого из вариантов достаточно, чтобы убедиться, что URL-адрес доступен.

2. Если какая-либо из команд завершается ошибкой с сообщением "Не удалось разрешить узел <URL>", попробуйте выполнить эту команду, чтобы определить, какой DNS-сервер использует Windows.

   nslookup <URL>

   Замените <URL> на полные доменные имена, используемые конечными точками, например login.microsoftonline.com.

3. Затем проверьте, удается ли выполнить команду, указав адрес общедоступного DNS-сервера:

   nslookup <URL> 208.67.222.222

4. При необходимости измените DNS-сервер, назначенный группе безопасности сети, к которой принадлежит устройство.

Код выхода: 51

Код выхода 51 преобразуется в "Это расширение не поддерживается в этой операционной системе".

Расширение AADLoginForWindows предназначено для установки только в Azure virtual machines с операционными системами Windows Server 2022 или более поздней версии. Убедитесь, что ваша версия Windows Server поддерживается. Если расширение не поддерживается, удалите расширение.

Устранение проблем со входом

Чтобы устранить проблемы со входом, воспользуйтесь приведенными ниже сведениями.

Состояние устройства и единого входа (SSO) можно просмотреть, выполнив команду dsregcmd /status. Цель заключается в том, чтобы состояние устройства отображалось как AzureAdJoined : YES, а состояние единого входа — как AzureAdPrt : YES.

Вход RDP с помощью учетных записей Microsoft Entra фиксируется в обозревателе событий Event Viewer, в журнале Applications and Services Logs\Microsoft\Windows\AAD\Operational.

роль Azure не назначена

При запуске подключения remote desktop к устройству может появиться следующее сообщение об ошибке: "Учетная запись настроена для предотвращения использования этого устройства. За дополнительными сведениями обратитесь к своему системному администратору.

Проверьте политики управления доступом на основе ролей Azure, которые предоставляют пользователю роль Вход администратора виртуальных машин или Вход пользователя виртуальных машин.

Если у вас возникли проблемы с назначениями ролей Azure, см. статью Устранение неполадок управления доступом Azure на основе ролей.

Клиент не авторизован или требуется изменение пароля

При запуске подключения remote desktop к устройству может появиться следующее сообщение об ошибке: "Ваши учетные данные не работали".

Воспользуйтесь указанными ниже решениями.

• Клиентское устройство, которое вы используете для инициирования подключения к удаленному рабочему столу, должно быть присоединено к Microsoft Entra или иметь гибридное подключение к тому же каталогу Microsoft Entra. Дополнительные сведения об удостоверениях устройств см. в статье "Что такое удостоверение устройства?".

  Зарегистрированное клиентское устройство Microsoft Entra также поддерживается для запуска подключения RDP к виртуальной машине. При использовании клиентского устройства, которое зарегистрировано в Microsoft Entra (а не присоединено к Microsoft Entra или с гибридным присоединением Microsoft Entra) в качестве клиента RDP для начала подключений к виртуальной машине, нужно ввести учётные данные в формате AzureAD\UPN (например, AzureAD\john@contoso.com).

  Убедитесь, что расширение AADLoginForWindows не было удалено после завершения присоединения к Microsoft Entra.

  Кроме того, убедитесь, что политика безопасности Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру включена как на сервере, так и на клиенте.

• Убедитесь, что у пользователя нет временного пароля. Временные пароли нельзя использовать для входа в подключение remote desktop.

  Войдите с помощью учетной записи пользователя в веб-браузере. Например, войдите в Azure portal в частном окне просмотра. Если появится запрос на изменение пароля, настройте новый пароль. Затем повторите попытку подключения.

AADSTS293004: идентификатор целевого устройства в запросе xxx не найден в клиенте xxx

Причина.

Имя компьютера, введенное в mstsc, не соответствует ни одному из атрибутов hostnames для целевого устройства AADJ. Например, имя узла устройства AADJ — это короткое имя, например device_1, но имя компьютера, введенное в mstsc, — это полное доменное имя, например device_1.contoso.com.

Воспользуйтесь указанными ниже решениями.

Существует несколько способов устранения проблемы:

1. Измените запись HOSTS на клиентском компьютере, добавьте запись DNS, указывающую правильное имя устройства (подтверждение записи устройства AAD) на IP-адрес целевого компьютера. Используйте это имя устройства в mstsc.
2. Проверьте, управляется ли целевая машина, и задано ли имя хоста через групповую политику или MDM с помощью значения PrimaryDnsSuffix DNS-клиента ADMX_DnsClient Policy CSP | Microsoft Learn. Если это задано и неправильно, его необходимо удалить или задать правильно.
3. Если клиенту требуется использовать полное доменное имя (FQDN) для подключения, но имя устройства AAD — это короткое имя, войдите на целевой компьютер под учетной записью локального администратора и добавьте "Основной DNS-суффикс" для их доменного суффикса. Подробные инструкции:

• Перейдите на вкладку Расширенные системные параметры/свойства системы *>* Имя компьютера** —> нажмите кнопку "Изменить", чтобы переименовать компьютер -> нажмите кнопку "Дополнительно..." под существующим именем компьютера —> введите имя домена и нажмите кнопку "ОК "> Сохранить и перезагрузить".
• После этого мы можем RDP с полным доменным именем напрямую и не нужно изменять запись HOSTS.

Требуется метод входа с многофакторной аутентификацией

При запуске подключения remote desktop к устройству может появиться следующее сообщение об ошибке: "Метод входа, который вы пытаетесь использовать, не разрешен. Попробуйте использовать другой метод входа или обратитесь к системному администратору".

Если вы настроите политику условного доступа, которая требует многофакторной аутентификации (MFA), необходимо убедиться, что устройство, инициирующее подключение, использует надежную проверку подлинности, например Windows Hello.

Другое сообщение об ошибке, связанное с MFA, — это сообщение об ошибке, описанное ранее: "Ваши учетные данные не работали".

Если вы настраиваете устаревшую настройку многофакторной аутентификации Microsoft Entra, установленную в режимах "Включено/Принудительно" для каждого пользователя, и видите ошибку, можно устранить проблему, удалив эту настройку MFA. Дополнительные сведения см. в статье Включение многофакторной проверки подлинности Microsoft Entra для каждого пользователя для защиты мероприятий входа.

Если Windows Hello для бизнеса не является вариантом, настройте политику условного доступа, которая исключает приложение для входа в виртуальную машину Microsoft Azure Windows. Дополнительные сведения о Windows Hello для бизнеса см. в разделе Windows Hello для бизнеса.

Использование Windows Hello проверки подлинности для бизнеса во время RDP доступно для развертываний, использующих модель доверия сертификатов или модель доверия ключей.

Поделитесь своими отзывами об этой функции или сообщите о проблемах с его использованием на форуме отзывов Microsoft Entra.

Отсутствует приложение

Если приложение Microsoft Azure Windows Virtual Machine Sign-in отсутствует в Conditional Access, убедитесь, что приложение находится в арендаторе:

1. Войдите в центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
2. Перейдите к Entra ID>приложениям для предприятий.
3. Удалите фильтры, чтобы просмотреть все приложения, и выполните поиск по запросу VM. Если вы не видите Microsoft Azure Sign-in для виртуальной машины Windows в результатах, это значит, что учетная запись службы отсутствует в арендаторе.

Другой способ проверить его можно с помощью Graph PowerShell:

1. Установите пакет SDK Для Graph PowerShell.
2. Запустите Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", а затем "Application.ReadWrite.All".
3. Войдите с помощью учетной записи Global Administrator.
4. Согласие на запрос разрешений.
5. Запустите Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

   • Если при выполнении этой команды нет вывода данных и вы возвращаетесь в строку приглашения PowerShell, то можно создать служебный принципал с помощью следующей команды Graph PowerShell:

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • Успешные выходные данные показывают, что приложение входа в виртуальную машину Windows Azure Microsoft и его идентификатор были созданы.

6. Выйдите из Graph PowerShell с помощью команды Disconnect-MgGraph.

Некоторые арендаторы могут видеть приложение с именем Azure вход для виртуальной машины Windows, вместо Microsoft Azure вход для виртуальной машины Windows. Приложение имеет тот же идентификатор приложения 372140e0-b3b7-4226-8ef9-d57986796201.

Невозможно использовать эту функцию, если применяется политика условного доступа для соответствующего устройства на ресурсе входа в виртуальную машину Windows в Azure, и вы подключаетесь с устройства под управлением Windows Server.

Конфигурация соответствия устройств Windows Server в политике условного доступа не поддерживается.

Следующие шаги

Дополнительные сведения о Microsoft Entra ID см. в разделе Что такое Microsoft Entra ID?.