Настройка единого входа для Виртуального рабочего стола Azure с помощью идентификатора Microsoft Entra
Единый вход для виртуального рабочего стола Azure с помощью идентификатора Microsoft Entra обеспечивает простой вход для пользователей, подключающихся к узлам сеансов. При включении единого входа пользователи проходят проверку подлинности в Windows с помощью маркера идентификатора Microsoft Entra. Этот маркер позволяет использовать проверку подлинности без пароля и сторонних поставщиков удостоверений, которые объединяются с идентификатором Microsoft Entra при подключении к узлу сеанса, что обеспечивает удобство входа.
Единый вход с помощью идентификатора Microsoft Entra также обеспечивает удобный интерфейс для ресурсов на основе идентификаторов Microsoft Entra в сеансе. Дополнительные сведения об использовании проверки подлинности без пароля в сеансе см. в разделе "Без пароля в сеансе".
Чтобы включить единый вход с помощью проверки подлинности идентификатора Microsoft Entra, необходимо выполнить пять задач:
Включите проверку подлинности Microsoft Entra для протокола удаленного рабочего стола (RDP).
Скрыть диалоговое окно запроса согласия.
Создайте объект Kerberos Server, если домен Active Directory Services является частью среды. Дополнительные сведения о критериях включены в его раздел.
Проверьте свою политику условного доступа.
Настройте пул узлов, чтобы включить единый вход.
Перед включением единого входа
Прежде чем включить единый вход, ознакомьтесь со следующими сведениями об использовании в вашей среде.
Поведение блокировки сеанса
Если единый вход с помощью идентификатора Microsoft Entra включен, а удаленный сеанс заблокирован пользователем или политикой, можно выбрать, отключен ли сеанс или экран удаленной блокировки. Поведение по умолчанию заключается в отключении сеанса при блокировке.
При отключении режима блокировки сеанса отображается диалоговое окно, чтобы сообщить пользователям о том, что они были отключены. Пользователи могут выбрать параметр повторного подключения в диалоговом окне, когда они будут готовы снова подключиться. Это поведение выполняется по соображениям безопасности и обеспечивает полную поддержку проверки подлинности без пароля. Отключение сеанса обеспечивает следующие преимущества:
Согласованный вход с помощью идентификатора Microsoft Entra ID при необходимости.
Интерфейс единого входа и повторное подключение без запроса проверки подлинности, если разрешено политиками условного доступа.
Поддерживает проверку подлинности без пароля, например секретные ключи и устройства FIDO2, вопреки экрану удаленной блокировки.
Политики условного доступа, включая многофакторную проверку подлинности и частоту входа, повторно вычисляются при повторном подключении пользователя к сеансу.
Может потребоваться многофакторная проверка подлинности для возвращения в сеанс и запретить пользователям разблокироваться с помощью простого имени пользователя и пароля.
Если вы хотите настроить поведение блокировки сеанса для отображения экрана удаленной блокировки вместо отключения сеанса, см . статью "Настройка поведения блокировки сеанса".
Учетные записи администратора домена Active Directory с единым входом
В средах со службами домен Active Directory (AD DS) и гибридными учетными записями пользователей политика репликации паролей по умолчанию в контроллерах домена только для чтения запрещает репликацию паролей для членов групп безопасности администраторов домена и администраторов. Эта политика предотвращает вход этих учетных записей администратора в гибридные узлы Microsoft Entra, которые могут содержать запрос на ввод учетных данных. Кроме того, учетные записи администратора не могут получать доступ к локальным ресурсам, использующие проверку подлинности Kerberos из узлов, присоединенных к Microsoft Entra. Не рекомендуется подключаться к удаленному сеансу с помощью учетной записи, которая является администратором домена по соображениям безопасности.
Если необходимо внести изменения в узел сеансов в качестве администратора, войдите на узел сеанса с помощью учетной записи, отличной от администратора, используйте параметр запуска от имени администратора или средство runas из командной строки, чтобы изменить администратора.
Необходимые компоненты
Прежде чем включить единый вход, необходимо выполнить следующие предварительные требования:
Чтобы настроить клиент Microsoft Entra, необходимо назначить одну из следующих встроенных ролей Или эквивалентных ролей Microsoft Entra:
Узлы сеансов должны работать в одной из следующих операционных систем с установленным накопительным обновлением:
Windows 11 Корпоративная один или несколько сеансов с накопительными обновлениями 2022-10 для Windows 11 (KB5018418) или более поздней версии.
Windows 10 Корпоративная один или несколько сеансов с накопительными обновлениями 2022-10 для Windows 10 (KB5018410) или более поздней версии.
Windows Server 2022 с накопительным пакетом обновления 2022-10 для операционной системы Microsoft Server (KB5018421) или более поздней версии.
Узлы сеансов должны быть присоединены к Microsoft Entra или гибридное присоединение к Microsoft Entra. Узлы сеансов, присоединенные к доменным службам Microsoft Entra или к службам домен Active Directory, не поддерживаются.
Если гибридные узлы сеансов Microsoft Entra находятся в другом домене Active Directory, отличном от учетных записей пользователей, между двумя доменами должно быть двустороннее доверие. Без двустороннего доверия подключения возвращаются к старым протоколам проверки подлинности.
Установите пакет SDK Microsoft Graph PowerShell версии 2.9.0 или более поздней версии на локальном устройстве или в Azure Cloud Shell.
Поддерживаемый клиент удаленного рабочего стола для подключения к удаленному сеансу. Поддерживаются следующие клиенты:
Классический клиент Windows на локальных компьютерах под управлением Windows 10 или более поздней версии. Для подключения локального компьютера к идентификатору Microsoft Entra или домену Active Directory не требуется.
клиент macOS версии 10.8.2 или более поздней версии.
Клиент iOS версии 10.5.1 или более поздней версии.
Клиент Android версии 10.0.16 или более поздней версии.
Включение проверки подлинности Microsoft Entra для RDP
Сначала необходимо разрешить проверку подлинности Microsoft Entra для Windows в клиенте Microsoft Entra, что позволяет выдавать маркеры доступа RDP, позволяющие пользователям входить в узлы сеансов виртуального рабочего стола Azure. isRemoteDesktopProtocolEnabled Свойство имеет значение true для объекта субъекта-службы remoteDesktopSecurityConfiguration для следующих приложений Microsoft Entra:
| Имя приложения | Application ID |
|---|---|
| Удаленный рабочий стол (Майкрософт) | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
| Вход в Windows Cloud | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Внимание
В рамках предстоящего изменения мы переходим с Удаленный рабочий стол (Майкрософт) на windows Cloud Login, начиная с 2024 года. Настройка обоих приложений теперь гарантирует, что вы готовы к изменению.
Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell для создания нового объекта remoteDesktopSecurityConfiguration в субъекте-службе и задайте для свойства isRemoteDesktopProtocolEnabled значение true. Вы также можете использовать API Microsoft Graph с таким инструментом, как обозреватель Graph.
Откройте Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
Если вы используете Cloud Shell, убедитесь, что контекст Azure установлен в подписке, которую вы хотите использовать.
Если вы используете PowerShell локально, сначала войдите в Azure PowerShell, а затем убедитесь , что контекст Azure установлен в подписке, которую вы хотите использовать.
Убедитесь, что вы установили пакет SDK Microsoft Graph PowerShell из необходимых компонентов, а затем импортируйте модули Проверки подлинности и приложений Microsoft Graph и подключитесь к Microsoft Graph с
Application.Read.Allобластями,Application-RemoteDesktopConfig.ReadWrite.Allвыполнив следующие команды:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"Получите идентификатор объекта для каждого субъекта-службы и сохраните их в переменных, выполнив следующие команды:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").IdЗадайте для свойства
isRemoteDesktopProtocolEnabledtrueзначение, выполнив следующие команды. Выходные данные этих команд отсутствуют.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }Убедитесь, что свойство
isRemoteDesktopProtocolEnabledзаданоtrue, выполнив следующие команды:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspIdРезультат должен выглядеть примерно так:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Скрытие диалогового окна запроса согласия
По умолчанию при включении единого входа пользователи видят диалоговое окно, чтобы разрешить подключение к удаленному рабочему столу при подключении к новому узлу сеанса. Microsoft Entra запоминает до 15 узлов в течение 30 дней до запроса еще раз. Если пользователи видят этот диалог, чтобы разрешить подключение к удаленному рабочему столу, они могут выбрать "Да ", чтобы подключиться.
Это диалоговое окно можно скрыть, настроив список доверенных устройств. Чтобы настроить список устройств, создайте одну или несколько групп в идентификаторе Microsoft Entra, содержащей узлы сеансов, а затем добавьте идентификаторы групп в свойство субъектов-служб единого входа, Удаленный рабочий стол (Майкрософт) и входа в Windows Cloud.
Совет
Мы рекомендуем использовать динамическую группу и настроить правила динамического членства, чтобы включить все узлы сеансов Виртуального рабочего стола Azure. Имена устройств в этой группе можно использовать, но для более безопасного варианта можно задать и использовать атрибуты расширения устройства с помощью API Microsoft Graph. Хотя динамические группы обычно обновляются в течение 5–10 минут, крупные клиенты могут занять до 24 часов.
Для динамических групп требуется лицензия Microsoft Entra ID P1 или Intune для образовательных учреждений. Дополнительные сведения см. в разделе "Правила динамического членства" для групп.
Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell для создания нового объекта targetDeviceGroup в субъекте-службе с идентификатором объекта динамической группы и отображаемого имени. Вы также можете использовать API Microsoft Graph с таким инструментом, как обозреватель Graph.
Создайте динамическую группу в идентификаторе Microsoft Entra, содержащую узлы сеансов, для которых нужно скрыть диалоговое окно. Запишите идентификатор объекта группы для следующего шага.
В том же сеансе PowerShell создайте
targetDeviceGroupобъект, выполнив следующие команды, заменив<placeholders>их собственными значениями:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"Добавьте группу
targetDeviceGroupв объект, выполнив следующие команды:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdgВыходные данные должны быть похожи на следующий пример:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hostsПовторите шаги 2 и 3 для каждой группы, которую нужно добавить в
targetDeviceGroupобъект, до 10 групп.Если позже необходимо удалить группу устройств из
targetDeviceGroupобъекта, выполните следующие команды, заменив<placeholders>их собственными значениями:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Создание объекта сервера Kerberos
Если узлы сеансов соответствуют следующим критериям, необходимо создать объект сервера Kerberos. Дополнительные сведения см. в разделе "Включение входа ключа безопасности без пароля" в локальные ресурсы с помощью идентификатора Microsoft Entra, в частности в разделе "Создание объекта сервера Kerberos:
Узел сеанса присоединен к гибридному соединению Microsoft Entra. Для завершения проверки подлинности на контроллере домена необходимо иметь объект сервера Kerberos.
Узел сеанса присоединен к Microsoft Entra, а среда содержит контроллеры домена Active Directory. У пользователей должен быть объект сервера Kerberos для доступа к локальным ресурсам, таким как общие папки SMB и встроенная проверка подлинности Windows на веб-сайтах.
Внимание
Если включить единый вход на узлах сеансов microsoft Entra hybrid joined, не создавая объект сервера Kerberos, при попытке подключения к удаленному сеансу может произойти одно из следующих действий.
- Появится сообщение об ошибке, в котором говорится, что определенный сеанс не существует.
- Единый вход будет пропущен, и вы увидите стандартное диалоговое окно проверки подлинности для узла сеанса.
Чтобы устранить эти проблемы, создайте объект сервера Kerberos, а затем снова подключитесь.
Проверка политик условного доступа
Если включен единый вход, новое приложение Идентификатора Microsoft Entra представлено для проверки подлинности пользователей на узле сеанса. Если у вас есть политики условного доступа, которые применяются при доступе к виртуальному рабочему столу Azure, ознакомьтесь с рекомендациями по настройке многофакторной проверки подлинности , чтобы обеспечить пользователям необходимый интерфейс.
Настройка пула узлов для включения единого входа
Чтобы включить единый вход в пул узлов, необходимо настроить следующее свойство RDP, которое можно сделать с помощью портал Azure или PowerShell. Инструкции по настройке свойств RDP можно найти в разделе "Настройка свойств протокола удаленного рабочего стола ( RDP) для пула узлов.
В портал Azure задайте для подключения единый вход Microsoft Entra с помощью проверки подлинности Microsoft Entra для предоставления единого входа.
Для PowerShell задайте для свойства enablerdsaadauth значение 1.
Следующие шаги
Ознакомьтесь с проверкой подлинности без пароля в сеансе, чтобы узнать, как включить проверку подлинности без пароля.
Узнайте, как настроить поведение блокировки сеанса для виртуального рабочего стола Azure.
Дополнительные сведения о Microsoft Entra Kerberos см. в статье "Глубокое изучение принципов работы Microsoft Entra Kerberos".
Если возникли проблемы, перейдите к разделу "Устранение неполадок подключений к виртуальным машинам, присоединенным к Microsoft Entra".