Поддерживаемые удостоверения и способы проверки подлинности
В этой статье приведен краткий обзор видов удостоверений и способов проверки подлинности, которые можно использовать в Виртуальном рабочем столе Azure.
Удостоверения
Виртуальный рабочий стол Azure поддерживает различные типы удостоверений в зависимости от выбранной конфигурации. В этом разделе объясняется, какие удостоверения можно использовать для каждой конфигурации.
Внимание
Виртуальный рабочий стол Azure не поддерживает вход в Microsoft Entra ID с одной учетной записью пользователя, а затем войдите в Windows с помощью отдельной учетной записи пользователя. Вход с двумя разными учетными записями одновременно может привести к повторному подключению пользователей к неправильному узлу сеанса, неправильной или недостающей информации в портал Azure, а сообщения об ошибках отображаются при подключении приложения или подключении приложения MSIX.
Локальный идентификатор
Так как пользователи должны быть доступны для обнаружения с помощью идентификатора Microsoft Entra для доступа к виртуальному рабочему столу Azure, удостоверения пользователей, которые существуют только в службах домен Active Directory (AD DS), не поддерживаются. К ним относятся автономные Active Directory развертывания со службами федерации Active Directory (AD FS).
Интеграция локальных каталогов с Azure Active Directory
Виртуальный рабочий стол Azure поддерживает гибридные удостоверения с помощью идентификатора Microsoft Entra, включая федеративные с помощью AD FS. Вы можете управлять этими удостоверениями пользователей в AD DS и синхронизировать их с идентификатором Microsoft Entra Connect с помощью Microsoft Entra Connect. Вы также можете использовать идентификатор Microsoft Entra для управления этими удостоверениями и синхронизации их с доменными службами Microsoft Entra.
При доступе к виртуальному рабочему столу Azure с помощью гибридных удостоверений иногда имя участника-пользователя (UPN) или идентификатор безопасности (SID) для пользователя в Active Directory (AD) и идентификатор Microsoft Entra ID не совпадают. Например, учетная запись [email protected] AD может соответствовать [email protected] идентификатору Microsoft Entra. Виртуальный рабочий стол Azure поддерживает только этот тип конфигурации, если имя участника-пользователя или идентификатор безопасности для учетных записей AD и Идентификатора Microsoft Entra совпадают. SID относится к свойству объекта пользователя ObjectSID в AD и OnPremisesSecurityIdentifier в Идентификаторе Microsoft Entra.
Удостоверение только для облака
Виртуальный рабочий стол Azure поддерживает облачные удостоверения при использовании присоединенных к Microsoft Entra виртуальных машин. Эти пользователи создаются и управляются непосредственно в идентификаторе Microsoft Entra.
Примечание.
Вы также можете назначить гибридные удостоверения группам приложений Виртуального рабочего стола Azure, в которых размещаются узлы сеансов соединения типа Microsoft Entra, присоединенных.
Федеративное удостоверение
Если вы используете стороннего поставщика удостоверений (IdP), отличного от идентификатора Microsoft Entra или служб домен Active Directory, для управления учетными записями пользователей необходимо убедиться в следующем:
- Поставщик удостоверений федеративн с идентификатором Microsoft Entra.
- Узлы сеансов присоединены к Microsoft Entra или присоединены к гибридному присоединению к Microsoft Entra.
- Проверка подлинности Microsoft Entra включена на узел сеанса.
Внешнее удостоверение
Виртуальный рабочий стол Azure сейчас не поддерживает внешние удостоверения.
методы проверки подлинности;
При доступе к ресурсам виртуального рабочего стола Azure существует три отдельных этапа проверки подлинности:
- Проверка подлинности облачной службы. Проверка подлинности в службе виртуального рабочего стола Azure, которая включает подписку на ресурсы и проверку подлинности в шлюзе, имеет идентификатор Microsoft Entra.
- Проверка подлинности удаленного сеанса: проверка подлинности на удаленной виртуальной машине. Существует несколько способов проверки подлинности в удаленном сеансе, включая рекомендуемый единый вход.
- Проверка подлинности в сеансе: проверка подлинности в приложениях и веб-сайтах в удаленном сеансе.
Список учетных данных, доступных на разных клиентах для каждого этапа проверки подлинности, сравнивает клиенты на разных платформах.
Внимание
Чтобы проверка подлинности работала правильно, локальный компьютер также должен иметь доступ к необходимым URL-адресам для Клиентов удаленного рабочего стола.
В следующих разделах приведены дополнительные сведения об этих этапах проверки подлинности.
Проверка подлинности облачной службы
Чтобы получить доступ к ресурсам Виртуального рабочего стола Azure, необходимо сначала пройти проверку подлинности в службе, выполнив вход с помощью учетной записи идентификатора Microsoft Entra. Проверка подлинности происходит всякий раз, когда вы подписываетесь на получение ресурсов, подключитесь к шлюзу при запуске подключения или при отправке диагностических сведений в службу. Ресурс идентификатора Microsoft Entra, используемый для этой проверки подлинности, — это виртуальный рабочий стол Azure (идентификатор приложения 9cdead84-a84-4324-93f2-b2e6bb768d07).
Многофакторная проверка подлинности
Следуйте инструкциям в статье Принудительное применение многофакторной проверки подлинности Microsoft Entra для виртуального рабочего стола Azure с помощью условного доступа , чтобы узнать, как применить многофакторную проверку подлинности Microsoft Entra для развертывания. В этой статье также рассказывается, как настроить периодичность, с которой пользователи будут получать запрос на ввод учетных данных. При развертывании виртуальных машин, присоединенных к Microsoft Entra, обратите внимание на дополнительные действия для виртуальных машин узла сеанса, присоединенных к Microsoft Entra.
Проверка подлинности без пароля
Для проверки подлинности в службе можно использовать любой тип проверки подлинности, поддерживаемый идентификатором Microsoft Entra, например Windows Hello для бизнеса и другими параметрами проверки подлинности без пароля (например, ключами FIDO).
Аутентификация по смарт-карте
Чтобы использовать смарт-карту для проверки подлинности в идентификаторе Microsoft Entra, необходимо сначала настроить проверку подлинности на основе сертификата Microsoft Entra или настроить AD FS для проверки подлинности сертификата пользователя.
Сторонние поставщики удостоверений
Сторонние поставщики удостоверений можно использовать до тех пор, пока они федеративны с идентификатором Microsoft Entra.
Проверка подлинности удаленного сеанса
Если вы еще не включили единый вход и не сохранили учетные данные локально, вам также потребуется пройти проверку подлинности на узле сеансов при запуске подключения.
Единый вход
Единый вход позволяет подключению пропускать запрос учетных данных узла сеанса и автоматически входить пользователя в Windows с помощью проверки подлинности Microsoft Entra. Для узлов сеансов, присоединенных к Microsoft Entra или гибридных присоединенных к Microsoft Entra, рекомендуется включить единый вход с помощью проверки подлинности Microsoft Entra. Проверка подлинности Microsoft Entra предоставляет другие преимущества, включая проверку подлинности без пароля и поддержку сторонних поставщиков удостоверений.
Виртуальный рабочий стол Azure также поддерживает единый вход с использованием ADFS для клиентов в виде классического приложения Windows и веб-клиентов.
Без единого входа клиент запрашивает пользователям учетные данные узла сеанса для каждого подключения. Единственный способ избежать запроса — сохранить учетные данные в клиенте. Мы рекомендуем сохранять учетные данные только на защищенных устройствах, чтобы предотвратить доступ других пользователей к вашим ресурсам.
Смарт-карта и Windows Hello для бизнеса
Виртуальный рабочий стол Azure поддерживает NT LAN Manager (NTLM) и Kerberos для проверки подлинности узла сеанса, однако смарт-карта и Windows Hello для бизнеса могут использовать только Kerberos для входа. Чтобы использовать Kerberos, клиенту придется получать билеты безопасности Kerberos из службы KDC (центра распространения ключей), запущенной на контроллере домена. Для получения билетов клиенту требуется прямая видимость контроллера домена в сети. Вы можете получить прямую видимость, установив подключение непосредственно к корпоративной сети, используя VPN-подключение или настроив прокси-сервер KDC.
Проверка подлинности в сеансе
После подключения к Удаленному приложению или рабочему столу может потребоваться проверка подлинности внутри сеанса. В этом разделе объясняется, как использовать в этом сценарии учетные данные, отличные от имени пользователя и пароля.
Проверка подлинности без пароля в сеансе
Виртуальный рабочий стол Azure поддерживает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO при использовании клиента Windows Desktop. Проверка подлинности без пароля включена автоматически, если узел сеанса и локальный компьютер используют следующие операционные системы:
- Windows 11 с одним или несколькими сеансами с накопительными обновлениями 2022-10 для Windows 11 (KB5018418) или более поздней версии.
- Windows 10 с одним или несколькими сеансами версии 20H2 или более поздней версии с накопительными обновлениями 2022-10 для Windows 10 (KB5018410) или более поздней версии.
- Windows Server 2022 с накопительным пакетом обновления 2022-10 для операционной системы Microsoft Server (KB5018421) или более поздней версии.
Чтобы отключить проверку подлинности без пароля в пуле узлов, необходимо настроить свойство RDP. Свойство перенаправления WebAuthn можно найти на вкладке перенаправления устройств в портал Azure или задать для свойства redirectwebauthn значение 0 с помощью PowerShell.
Если этот параметр включен, все запросы WebAuthn в сеансе перенаправляются на локальный компьютер. Для завершения процесса проверки подлинности можно использовать Windows Hello для бизнеса или локально подключенные устройства безопасности.
Чтобы получить доступ к ресурсам Microsoft Entra с Windows Hello для бизнеса или устройствами безопасности, необходимо включить ключ безопасности FIDO2 в качестве метода проверки подлинности для пользователей. Чтобы включить этот способ, выполните инструкции в статье Включить метод подключения с помощью ключа безопасности FIDO2.
Проверка подлинности с использованием смарт-карты в сеансе
Чтобы использовать смарт-карту в сеансе, убедитесь, что на узле сеансов установлены драйверы смарт-карт и включено перенаправление смарт-карт. Просмотрите диаграммы сравнения для приложения Windows и приложения удаленного рабочего стола, чтобы использовать перенаправление смарт-карт.
Следующие шаги
- Хотите узнать о других способах защиты развертывания? Изучите лучшие методики обеспечения безопасности.
- Наличие проблем с подключением к виртуальным машинам, присоединенным к Microsoft Entra? Просмотрите сведения об устранении неполадок подключений к виртуальным машинам, присоединенным к Microsoft Entra.
- Возникли проблемы с проверкой подлинности без пароля в сеансе? Перейдите к статье Устранение неполадок с перенаправлением WebAuthn.
- Хотите использовать смарт-карты за пределами корпоративной сети? Узнайте, как настроить прокси-сервер KDC.