Microsoft Entra присоединенных узлов сеансов в виртуальном рабочем столе Azure

В этой статье описывается процесс развертывания виртуальных машин, присоединенных к Microsoft Entra, и доступа к ним в Azure Виртуального рабочего стола. Microsoft Entra присоединенные виртуальные машины избавляют от необходимости прямой видимости от виртуальной машины к локальному или виртуализированному контроллеру домен Active Directory (DC) или развертыванию Доменные службы Microsoft Entra. В некоторых случаях это может полностью устранить необходимость в контроллере домена, упрощая развертывание среды и управление ею. Эти виртуальные машины также можно автоматически зарегистрировать в Intune для упрощения управления.

Известные ограничения

Следующие известные ограничения могут повлиять на доступ к локальным ресурсам или ресурсам Active Directory, присоединенным к домену, и их следует учитывать при принятии решения о том, подходит ли Microsoft Entra присоединенные виртуальные машины для вашей среды.

• Microsoft Entra присоединенные виртуальные машины поддерживают подключения из внешних удостоверений (предварительная версия).
• Microsoft Entra присоединенные виртуальные машины могут получить доступ только к общим ресурсам Файлы Azure для гибридных пользователей, используя Microsoft Entra Kerberos для профилей пользователей FSLogix.
• Приложение Магазина удаленных рабочих столов для Windows не поддерживает виртуальные машины, присоединенные к Microsoft Entra.

Развертывание виртуальных машин, присоединенных к Microsoft Entra

Виртуальные машины, присоединенные к Microsoft Entra, можно развернуть непосредственно из портал Azure при создании пула узлов или расширении существующего пула узлов. Чтобы развернуть виртуальную машину, присоединенную к Microsoft Entra, откройте вкладку Виртуальные машины, а затем выберите, следует ли присоединить виртуальную машину к Active Directory или Microsoft Entra идентификатор. Если выбрать идентификатор Microsoft Entra, вы можете автоматически зарегистрировать виртуальные машины в Intune, что позволяет легко управлять узлами сеансов. Помните, что параметр идентификатора Microsoft Entra присоединяет виртуальные машины только к тому же Microsoft Entra арендатору, в который вы находитесь.

Назначение доступа пользователей к пулам узлов

После создания пула узлов необходимо назначить пользователям доступ к их ресурсам. Чтобы предоставить доступ к ресурсам, добавьте каждого пользователя в группу приложений. Следуйте инструкциям в разделе Управление группами приложений , чтобы назначить пользователям доступ к приложениям и рабочим столам. По возможности рекомендуется использовать группы пользователей вместо отдельных пользователей.

Для Microsoft Entra присоединенных виртуальных машин в пулах узлов без конфигурации узла сеансов необходимо выполнить следующие дополнительные задачи в соответствии с требованиями к Active Directory или развертываниям на основе Доменные службы Microsoft Entra. Для пулов узлов, использующих конфигурацию узла сеансов, это дополнительное назначение ролей не требуется.

• Назначьте пользователям роль входа пользователя виртуальной машины , чтобы они могли войти в виртуальные машины.
• Назначьте администраторам, которым требуются права локального администратора, роль входа администратора виртуальной машины .

Чтобы предоставить пользователям доступ к виртуальным машинам, присоединенным к Microsoft Entra, необходимо настроить назначения ролей для виртуальной машины. Роль входа пользователя виртуальной машины или имени входа администратора виртуальной машины можно назначить на виртуальных машинах, в группе ресурсов, содержащей виртуальные машины, или в подписке. Мы рекомендуем назначить роль входа пользователя виртуальной машины той же группе пользователей, которая использовалась для группы приложений на уровне группы ресурсов, чтобы сделать ее применимой ко всем виртуальным машинам в пуле узлов.

Доступ к виртуальным машинам, присоединенным к Microsoft Entra

В этом разделе объясняется, как получить доступ к виртуальным машинам, присоединенным к Microsoft Entra, из разных клиентов Azure виртуальных рабочих столов.

Единый вход

Для оптимальной работы на всех платформах необходимо включить единый вход с использованием Microsoft Entra проверки подлинности при доступе к виртуальным машинам, присоединенным к Microsoft Entra. Выполните действия, описанные в разделе Настройка единого входа , чтобы обеспечить простое подключение.

Подключение с использованием устаревших протоколов проверки подлинности

Если вы предпочитаете не включать единый вход, можно использовать следующую конфигурацию, чтобы разрешить доступ к Microsoft Entra присоединенным виртуальным машинам.

Подключение с помощью клиента Windows Desktop

Конфигурация по умолчанию поддерживает подключения из Windows 11 или Windows 10 с помощью классического клиента Windows. Для входа на узел сеанса можно использовать учетные данные, смарт-карта, Windows Hello доверия сертификатов для бизнеса или Windows Hello доверия к ключу для бизнеса с сертификатами. Однако для доступа к узлу сеанса локальный компьютер должен соответствовать одному из следующих условий:

• Локальный компьютер Microsoft Entra присоединен к тому же клиенту Microsoft Entra, что и узел сеанса.
• Локальный компьютер Microsoft Entra гибридно присоединен к тому же клиенту Microsoft Entra, что и узел сеансов
• Локальный компьютер работает Windows 11 или Windows 10 версии 2004 или более поздней версии и Microsoft Entra зарегистрирован в том же клиенте Microsoft Entra, что и узел сеансов.

Если локальный компьютер не соответствует одному из этих условий, добавьте targetisaadjoined:i:1 в качестве настраиваемого свойства RDP в пул узлов. Эти подключения ограничены вводом имени пользователя и пароля при входе на узел сеанса.

Подключение с помощью других клиентов

Чтобы получить доступ к виртуальным машинам, присоединенным к Microsoft Entra, с помощью веб-клиентов, Android, macOS и iOS, необходимо добавить targetisaadjoined:i:1 в качестве настраиваемого свойства RDP в пул узлов. Эти подключения ограничены вводом имени пользователя и пароля при входе на узел сеанса.

Применение Microsoft Entra многофакторной проверки подлинности для виртуальных машин, присоединенных к сеансу Microsoft Entra

Вы можете использовать Microsoft Entra многофакторную проверку подлинности с виртуальными машинами, присоединенными к Microsoft Entra. Выполните действия, описанные в разделе Принудительное Microsoft Entra многофакторной проверки подлинности для виртуального рабочего стола Azure с помощью условного доступа, и обратите внимание на дополнительные действия для виртуальных машин узла сеансов, присоединенных к Microsoft Entra.

Если вы используете Microsoft Entra многофакторную проверку подлинности и не хотите ограничивать вход строгими методами проверки подлинности, такими как Windows Hello для бизнеса, необходимо исключить приложение Azure виртуальной машины Windows Sign-In из политики условного доступа.

Профили пользователей

Контейнеры профилей FSLogix можно использовать с виртуальными машинами, присоединенными к Microsoft Entra, при хранении на Файлы Azure при использовании гибридных учетных записей пользователей. Дополнительные сведения см. в статье Создание контейнера профиля с Файлы Azure и идентификатором Microsoft Entra.

Доступ к локальным ресурсам

Хотя вам не требуется Active Directory для развертывания или доступа к виртуальным машинам, присоединенным к Microsoft Entra, для доступа к локальным ресурсам из этих виртуальных машин требуется Active Directory и прямой видимости.

Дальнейшие действия

Теперь, когда вы развернули некоторые виртуальные машины, присоединенные к Microsoft Entra, рекомендуется включить единый вход перед подключением к поддерживаемой Azure клиента Виртуального рабочего стола, чтобы протестировать его в рамках сеанса пользователя. Чтобы узнать больше, проверка следующие статьи:

• Настройка единого входа
• Создание контейнера профиля с Файлы Azure и идентификатором Microsoft Entra
• Подключение с клиентом рабочего стола Windows
• Подключение с веб-клиентом
• Устранение неполадок подключений к виртуальным машинам, присоединенным к Microsoft Entra