Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
В этой статье мы кратко рассмотрим, какие типы удостоверений и методов проверки подлинности можно использовать в Azure Виртуального рабочего стола.
Удостоверения
Azure Виртуальный рабочий стол поддерживает различные типы удостоверений в зависимости от выбранной конфигурации. В этом разделе объясняется, какие удостоверения можно использовать для каждой конфигурации.
Важно!
Azure Виртуальный рабочий стол не поддерживает вход в Microsoft Entra ID с одной учетной записью пользователя, а затем вход в Windows с помощью отдельной учетной записи пользователя. Вход с двумя разными учетными записями одновременно может привести к повторному подключению пользователей к неправильному узлу сеанса, неправильным или отсутствующим сведениям в портал Azure, а также к сообщениям об ошибках при использовании подключения приложения.
Локальное удостоверение
Так как для доступа к виртуальному рабочему столу Azure пользователи должны быть доступны для обнаружения через Microsoft Entra ID, удостоверения пользователей, существующие только в доменные службы Active Directory (AD DS), не поддерживаются. Сюда входят автономные развертывания Active Directory с службы федерации Active Directory (AD FS) (AD FS).
Гибридное удостоверение
Azure Виртуальный рабочий стол поддерживает гибридные удостоверения через Microsoft Entra ID, в том числе федеративные с помощью AD FS. Вы можете управлять этими удостоверениями пользователей в AD DS и синхронизировать их с Microsoft Entra ID с помощью Microsoft Entra Connect. Вы также можете использовать Microsoft Entra ID для управления этими удостоверениями и их синхронизации с Доменные службы Microsoft Entra.
При доступе к виртуальному рабочему столу Azure с помощью гибридных удостоверений иногда имя участника-пользователя (UPN) или идентификатор безопасности (SID) для пользователя в Active Directory (AD) и Microsoft Entra ID не совпадают. Например, учетная запись [email protected] AD может соответствовать [email protected] в Microsoft Entra ID. Azure Виртуальный рабочий стол поддерживает этот тип конфигурации только в том случае, если имя участника-пользователя или идентификатор безопасности для учетных записей AD и Microsoft Entra ID совпадают. Sid — это свойство объекта пользователя ObjectSID в AD и OnPremisesSecurityIdentifier в Microsoft Entra ID.
Облачное удостоверение
Azure Виртуальный рабочий стол поддерживает только облачные удостоверения при использовании виртуальных машин, присоединенных к Microsoft Entra. Эти пользователи создаются и управляются непосредственно в Microsoft Entra ID.
Примечание.
Вы также можете назначить гибридные удостоверения Azure группам приложений виртуального рабочего стола, в которых размещаются узлы сеансов типа соединения Microsoft Entra присоединены.
Федеративное удостоверение
Если для управления учетными записями пользователей используется сторонний поставщик удостоверений (IdP), отличный от Microsoft Entra ID или доменные службы Active Directory, необходимо убедиться, что:
- Поставщик удостоверений объединен с Microsoft Entra ID.
- Узлы сеансов Microsoft Entra присоединены или Microsoft Entra гибридное присоединение.
- Вы включаете Microsoft Entra проверку подлинности на узле сеанса.
Внешнее удостоверение
Поддержка внешних удостоверений позволяет приглашать пользователей в клиент Entra ID и предоставлять им Azure ресурсы виртуального рабочего стола. Существует несколько требований и ограничений при предоставлении ресурсов для внешних удостоверений:
- Требования
- Операционная система узла сеансов. Узел сеансов должен работать Windows 11 Корпоративная версии 24H2 или более поздней с накопительным Обновления 2025-09 для Windows 11 (KB5065789) или более поздней версии.
- Тип соединения узла сеанса. Узел сеанса должен быть присоединен к Entra.
- Единый вход. Для пула узлов необходимо настроить единый вход .
- Windows App клиент. Внешнее удостоверение должно подключаться из Windows App в Windows или в веб-браузере.
- Ограничения
FSLogix: поддержка FSLogix доступна в предварительной версии для внешних удостоверений. Дополнительные сведения о том, как хранить контейнеры профилей FSLogix в Файлы Azure с помощью Microsoft Entra ID.
Intune политики конфигурации устройств. Политики конфигурации устройств, назначенные внешнему удостоверению, не будут применяться к пользователю на узле сеанса. Вместо этого назначьте устройствам политики конфигурации устройств.
Доступность облака. Эта функция доступна только в общедоступном облаке Azure, но не в облаке для государственных организаций или Azure, управляемом 21Vianet.
Межоблачные приглашения: пользователи из нескольких облаков не поддерживаются. Вы можете предоставить доступ к ресурсам Azure виртуального рабочего стола только пользователям, которые вы приглашаете от поставщиков удостоверений социальных сетей, Microsoft Entra пользователей из коммерческого облака Microsoft Azure или других поставщиков удостоверений, зарегистрированных в вашем клиенте рабочей силы. Вы не можете назначить ресурсы Azure Виртуального рабочего стола для пользователей, которых вы приглашаете из Microsoft Azure для государственных организаций или Microsoft Azure, управляемых 21Vianet.
Защита маркеров: Microsoft Entra имеет определенные ограничения для защиты маркеров для внешних удостоверений. Узнайте больше о поддержке Windows App защиты маркеров на платформе.
Проверка подлинности Kerberos. Внешние удостоверения не могут проходить проверку подлинности в локальных ресурсах с помощью протоколов Kerberos или NTLM.
Приложения Microsoft 365. Вы можете войти в классическую версию приложений Microsoft 365 только в следующих случаях:
- Приглашенный пользователь является учетной записью на основе Entra или учетной записью Майкрософт, лицензированной для Приложения Microsoft 365.
- Приглашенный пользователь не блокирует доступ к приложениям Microsoft 365 политикой условного доступа из домашней организации.
Независимо от приглашенной учетной записи вы можете получить доступ к файлам Microsoft 365, к которым вам предоставлен общий доступ, с помощью соответствующего приложения Microsoft 365 в веб-браузере узла сеанса.
Рекомендации по настройке среды для внешних удостоверений и лицензирование см. в Microsoft Entra рекомендациях по B2B.
Методы проверки подлинности
При доступе к ресурсам Azure Виртуального рабочего стола существует три отдельных этапа проверки подлинности:
- Проверка подлинности облачной службы. Проверка подлинности в службе виртуального рабочего стола Azure, которая включает подписку на ресурсы и проверку подлинности шлюза, выполняется с помощью Microsoft Entra ID.
- Проверка подлинности удаленного сеанса. Проверка подлинности на удаленной виртуальной машине. Существует несколько способов проверки подлинности в удаленном сеансе, включая рекомендуемый единый вход .
- Проверка подлинности в сеансе. Проверка подлинности для приложений и веб-сайтов в удаленном сеансе.
Чтобы получить список учетных данных, доступных на разных клиентах для каждого этапа проверки подлинности, сравните клиенты на разных платформах.
Важно!
Чтобы проверка подлинности работала правильно, локальный компьютер также должен иметь доступ к требуемым URL-адресам для клиентов удаленного рабочего стола.
В следующих разделах содержатся дополнительные сведения об этих этапах проверки подлинности.
Проверка подлинности облачной службы
Чтобы получить доступ к ресурсам Azure Виртуального рабочего стола, необходимо сначала пройти проверку подлинности в службе, выполнив вход с помощью учетной записи Microsoft Entra ID. Проверка подлинности выполняется всякий раз, когда вы подписываетесь на получение ресурсов, подключаетесь к шлюзу при запуске подключения или при отправке диагностических сведений в службу. Ресурс Microsoft Entra ID, используемый для этой проверки подлинности, Azure Виртуальный рабочий стол (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07).
Многофакторная проверка подлинности
Следуйте инструкциям в разделе Принудительное Microsoft Entra многофакторной проверки подлинности для Azure Виртуального рабочего стола с помощью условного доступа, чтобы узнать, как применить Microsoft Entra многофакторную проверку подлинности для развертывания. В этой статье также показано, как настроить частоту запроса пользователей на ввод учетных данных. При развертывании виртуальных машин, присоединенных к Microsoft Entra, обратите внимание на дополнительные действия для виртуальных машин узла сеансов, присоединенных к Microsoft Entra.
Проверка подлинности без пароля
Для проверки подлинности в службе можно использовать любой тип проверки подлинности, поддерживаемый Microsoft Entra ID, например Windows Hello для бизнеса и другие параметры проверки подлинности без пароля (например, ключи FIDO).
Проверка подлинности интеллектуальной карта
Чтобы использовать смарт-карта для проверки подлинности для Microsoft Entra ID, необходимо сначала настроить проверку подлинности на основе сертификата Microsoft Entra или настроить AD FS для проверки подлинности на основе сертификата пользователя.
Сторонние поставщики удостоверений
Вы можете использовать сторонние поставщики удостоверений при условии, что они федеративны с Microsoft Entra ID.
Проверка подлинности удаленного сеанса
Если вы еще не включили единый вход или сохранили учетные данные локально, вам также потребуется пройти проверку подлинности на узле сеанса при запуске подключения.
Единый вход (SSO)
Единый вход позволяет подключению пропускать запрос учетных данных узла сеанса и автоматически входить пользователя в Windows с помощью Microsoft Entra проверки подлинности. Для узлов сеансов, которые Microsoft Entra присоединены или Microsoft Entra гибридным присоединением, рекомендуется включить единый вход с помощью проверки подлинности Microsoft Entra. Microsoft Entra проверка подлинности предоставляет другие преимущества, включая проверку подлинности без пароля и поддержку сторонних поставщиков удостоверений.
Azure Виртуальный рабочий стол также поддерживает единый вход с помощью службы федерации Active Directory (AD FS) (AD FS) для классических и веб-клиентов Windows.
Без единого входа клиент запрашивает у пользователей учетные данные узла сеансов для каждого подключения. Единственный способ избежать запроса — сохранить учетные данные в клиенте. Рекомендуется сохранять учетные данные только на защищенных устройствах, чтобы запретить другим пользователям доступ к вашим ресурсам.
Интеллектуальные карта и Windows Hello для бизнеса
Azure Виртуальный рабочий стол поддерживает NT LAN Manager (NTLM) и Kerberos для проверки подлинности узла сеансов, однако smart карта и Windows Hello для бизнеса могут использовать Kerberos только для входа. Чтобы использовать Kerberos, клиенту необходимо получить билеты безопасности Kerberos из службы Центра распространения ключей (KDC), работающей на контроллере домена. Чтобы получить билеты, клиенту требуется прямая сетевая прямая видимость контроллера домена. Вы можете получить прямую видимость, подключив непосредственно в корпоративной сети, используя VPN-подключение или настроив прокси-сервер KDC.
Проверка подлинности в сеансе
После подключения к RemoteApp или рабочему столу в сеансе может появиться запрос на проверку подлинности. В этом разделе объясняется, как использовать в этом сценарии учетные данные, отличные от имени пользователя и пароля.
Проверка подлинности без пароля в сеансе
Azure Виртуальный рабочий стол поддерживает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO, при использовании клиента рабочего стола Windows. Проверка подлинности без пароля включается автоматически, если узел сеансов и локальный компьютер используют следующие операционные системы:
- Windows 11 один или несколько сеансов с установленным накопительным Обновления 2022-10 для Windows 11 (KB5018418) или более поздней версии.
- Windows 10 односеансовой или многосеансовой версии 20H2 или более поздней с установленным накопительным Обновления 2022-10 для Windows 10 (KB5018410) или более поздней версии.
- Windows Server 2022 г. с установленным накопительным обновлением 2022-10 для серверной операционной системы Майкрософт (KB5018421) или более поздней версии.
Чтобы отключить проверку подлинности без пароля в пуле узлов, необходимо настроить свойство RDP. Вы можете найти свойство перенаправления WebAuthn на вкладке Перенаправление устройств в портал Azure или задать для свойства redirectwebauthnзначение 0 с помощью PowerShell.
Если этот параметр включен, все запросы WebAuthn в сеансе перенаправляются на локальный компьютер. Для завершения процесса проверки подлинности можно использовать Windows Hello для бизнеса или подключенные локально устройства безопасности.
Чтобы получить доступ к ресурсам Microsoft Entra с помощью Windows Hello для бизнеса или устройств безопасности, необходимо включить ключ безопасности FIDO2 в качестве метода проверки подлинности для пользователей. Чтобы включить этот метод, выполните действия, описанные в разделе Включение метода ключа безопасности FIDO2.
Проверка подлинности интеллектуальной карта в сеансе
Чтобы использовать интеллектуальный карта в сеансе, убедитесь, что установлены драйверы интеллектуальной карта на узле сеанса и включена функция перенаправления интеллектуальной карта. Просмотрите диаграммы сравнения для Windows App и приложения удаленного рабочего стола, чтобы вы могли использовать интеллектуальное карта перенаправление.
Дальнейшие действия
- Хотите узнать о других способах обеспечения безопасности развертывания? Ознакомьтесь с рекомендациями по обеспечению безопасности.
- Возникли проблемы при подключении к виртуальным машинам, присоединенным к Microsoft Entra? См. раздел Устранение неполадок подключений к виртуальным машинам, присоединенным к Microsoft Entra.
- Возникли проблемы с проверкой подлинности без пароля в сеансе? См . статью Устранение неполадок с перенаправлением WebAuthn.
- Хотите использовать смарт-карты за пределами корпоративной сети? Узнайте, как настроить прокси-сервер KDC.