Выбор стратегии идентификации для виртуального рабочего стола Azure
В этом уроке мы рассмотрим, какие типы удостоверений и методов проверки подлинности можно использовать в виртуальном рабочем столе Azure.
Удостоверения
Виртуальный рабочий стол Azure поддерживает различные типы удостоверений в зависимости от выбранной конфигурации. В этом разделе объясняется, какие удостоверения можно использовать для каждой конфигурации.
Внимание
Виртуальный рабочий стол Azure не поддерживает вход в Microsoft Entra ID с одной учетной записью пользователя, а затем войдите в Windows с помощью отдельной учетной записи пользователя. Вход с двумя разными учетными записями одновременно может привести к повторному подключению пользователей к неправильному узлу сеанса, неправильной или недостающей информации в портал Azure, а сообщения об ошибках отображаются при подключении приложения или подключении приложения MSIX.
Локальный идентификатор
Так как пользователи должны быть доступны для обнаружения с помощью идентификатора Microsoft Entra для доступа к виртуальному рабочему столу Azure, удостоверения пользователей, которые существуют только в службах домен Active Directory (AD DS), не поддерживаются. К ним относятся автономные Active Directory развертывания со службами федерации Active Directory (AD FS).
Интеграция локальных каталогов с Azure Active Directory
Виртуальный рабочий стол Azure поддерживает гибридные удостоверения с помощью идентификатора Microsoft Entra, включая федеративные с помощью AD FS. Вы можете управлять этими удостоверениями пользователей в AD DS и синхронизировать их с идентификатором Microsoft Entra Connect с помощью Microsoft Entra Connect. Вы также можете использовать идентификатор Microsoft Entra для управления этими удостоверениями и синхронизации их с доменными службами Microsoft Entra.
При доступе к виртуальному рабочему столу Azure с помощью гибридных удостоверений иногда имя участника-пользователя (UPN) или идентификатор безопасности (SID) для пользователя в Active Directory (AD) и идентификатор Microsoft Entra ID не совпадают. Например, учетная запись [email protected] AD может соответствовать [email protected] идентификатору Microsoft Entra. Виртуальный рабочий стол Azure поддерживает только этот тип конфигурации, если имя участника-пользователя или идентификатор безопасности для учетных записей AD и Идентификатора Microsoft Entra совпадают. SID относится к свойству объекта пользователя ObjectSID в AD и OnPremisesSecurityIdentifier в Идентификаторе Microsoft Entra.
Удостоверение только для облака
Виртуальный рабочий стол Azure поддерживает облачные удостоверения при использовании присоединенных к Microsoft Entra виртуальных машин. Эти пользователи создаются и управляются непосредственно в идентификаторе Microsoft Entra.
Примечание.
Вы также можете назначить гибридные удостоверения группам приложений Виртуального рабочего стола Azure, в которых размещаются узлы сеансов соединения типа Microsoft Entra, присоединенных.
Сторонние поставщики удостоверений
Если вы используете поставщик удостоверений (IdP), отличный от идентификатора Microsoft Entra для управления учетными записями пользователей, необходимо убедиться, что:
- Поставщик удостоверений федеративн с идентификатором Microsoft Entra.
- Узлы сеансов присоединены к Microsoft Entra или присоединены к гибридному присоединению к Microsoft Entra.
- Проверка подлинности Microsoft Entra включена на узел сеанса.
Внешнее удостоверение
Виртуальный рабочий стол Azure сейчас не поддерживает внешние удостоверения.