Deploy Azure AD-join Virtual Machines in Azure Virtual Desktop

  • مقالة
  • قراءة خلال 5 دقائق

سترشدك هذه المقالة خلال عملية نشر الأجهزة الظاهرية المنضمة إلى Azure Active Directory والوصول إليها في سطح مكتب Azure الظاهري. تعمل الأجهزة الظاهرية المنضمة إلى Azure AD على إزالة الحاجة إلى وجود خط رؤية من الجهاز الظاهري إلى وحدة تحكم مجال Active Directory (DC) محلية أو افتراضية أو لنشر خدمات مجال Azure AD (Azure AD DS). في بعض الحالات، يمكن إزالة الحاجة إلى DC بالكامل، وتبسيط توزيع وإدارة البيئة. يمكن أيضا تسجيل هذه الأجهزة الظاهرية تلقائيا في Intune لسهولة الإدارة.

التكوينات المدعومة

يتم حاليا دعم التكوينات التالية مع الأجهزة الظاهرية المنضمة إلى Azure AD:

  • أجهزة سطح المكتب الشخصية مع ملفات تعريف المستخدم المحلي.
  • أسطح المكتب المجمعة المستخدمة كمربع انتقال. في هذا التكوين، يصل المستخدمون أولاً إلى الجهاز الظاهري لـ Azure Virtual Desktop قبل الاتصال بجهاز كمبيوتر آخر على الشبكة. يجب على المستخدمين عدم حفظ البيانات على الجهاز الظاهري.
  • أسطح مكتب مجمعة أو تطبيقات لا يحتاج المستخدمون فيها إلى حفظ البيانات على الجهاز الظاهري. على سبيل المثال، للتطبيقات التي تحفظ البيانات عبر الإنترنت أو تتصل بقاعدة بيانات بعيدة.
  • أجهزة سطح المكتب الشخصية أو المجمعة مع ملفات تعريف مستخدم FSLogix مع المستخدمين الذين تمت مزامنتهم من Active Directory.

يمكن أن تكون حسابات المستخدمين عبارة عن مستخدمين في السحابة فقط أو تمت مزامنتهم من مستأجر Azure AD نفسه.

القيود المعروفة

قد تؤثر القيود المعروفة التالية على الوصول إلى الموارد المحلية أو الموارد المرتبطة بمجال Active Directory ويجب مراعاتها عند تحديد ما إذا كانت الأجهزة الظاهرية المنضمة إلى Azure AD مناسبة لبيئتك. نوصي حاليا بالأجهزة الظاهرية المنضمة إلى Azure AD للسيناريوهات التي يحتاج فيها المستخدمون فقط إلى الوصول إلى الموارد المستندة إلى مجموعة النظراء أو المصادقة المستندة إلى Azure AD.

  • لا يدعم Azure Virtual Desktop (الكلاسيكي) الأجهزة الظاهرية المنضمة إلى Azure AD.
  • لا تدعم الأجهزة الظاهرية المنضمة إلى Azure AD حاليا المستخدمين الخارجيين.
  • يمكن للأجهزة الظاهرية المنضمة إلى Azure AD الوصول فقط إلى مشاركات ملفات Azure Files للمستخدمين الذين تمت مزامنتهم باستخدام Azure AD Kerberos.
  • لا يدعم عميل Windows Store حاليا الأجهزة الظاهرية المنضمة إلى Azure AD.
  • لا يدعم Azure Virtual Desktop حاليا تسجيل الدخول الأحادي للأجهزة الظاهرية المنضمة إلى Azure AD.

Deploy Azure AD-joined VMs

يمكنك نشر الأجهزة الظاهرية المنضمة إلى Azure AD مباشرة من مدخل Azure عند إنشاء تجمع مضيف جديد أو توسيع تجمع مضيف موجود. لنشر جهاز ظاهري مرتبط ب Azure AD، افتح علامة التبويب الأجهزة الظاهرية، ثم حدد ما إذا كنت تريد الانضمام إلى الجهاز الظاهري إلى Active Directory أو Azure Active Directory. يمنحك تحديد Azure Active Directory خيار تسجيل الأجهزة الظاهرية باستخدام Intune تلقائيا، مما يتيح لك إدارة مضيفي الجلسات بسهولة. ضع في اعتبارك أن خيار Azure Active Directory لن ينضم إلا إلى الأجهزة الظاهرية إلى مستأجر Azure AD نفسه مثل الاشتراك الذي تستخدمه.

ملاحظة

  • يجب أن تحتوي تجمعات المضيفين فقط على أجهزة ظاهرية من نفس نوع انضمام المجال. على سبيل المثال، يجب أن تكون الأجهزة الظاهرية المنضمة إلى Azure AD فقط مع الأجهزة الظاهرية الأخرى ل Azure AD، والعكس صحيح.
  • يجب أن تكون الأجهزة الظاهرية لتجمع المضيفين Windows 11 أو Windows 10 جلسة عمل واحدة أو متعددة الجلسات، الإصدار 2004 أو أحدث.

تعيين وصول المستخدم إلى تجمعات المضيفين

بعد إنشاء تجمع المضيفين، يجب تعيين حق وصول المستخدمين إلى مواردهم. لمنح حق الوصول إلى الموارد، أضف كل مستخدم إلى مجموعة التطبيقات. اتبع الإرشادات الواردة في إدارة مجموعات التطبيقات لتعيين وصول المستخدم إلى التطبيقات وأجهزة سطح المكتب. نوصي باستخدام مجموعات المستخدمين بدلاً من المستخدمين الفرديين كلما أمكن ذلك.

بالنسبة إلى الأجهزة الظاهرية المنضمة إلى Azure AD، ستحتاج إلى القيام بأمرين إضافيين بالإضافة إلى متطلبات عمليات النشر المستندة إلى خدمات مجال Active Directory في Active Directory أو Azure:

  • قم بتعيين دور تسجيل دخول مستخدم الجهاز الظاهري للمستخدمين حتى يتمكنوا من تسجيل الدخول إلى الأجهزة الظاهرية.
  • قم بتعيين المسؤولين الذين يحتاجون إلى امتيازات إدارية محلية دور تسجيل الدخول إلى مسؤول الجهاز الظاهري .

لمنح المستخدمين حق الوصول إلى الأجهزة الظاهرية المنضمة إلى Azure AD، يجب تكوين تعيينات الأدوار للجهاز الظاهري. يمكنك تعيين دور تسجيل دخول مستخدم الجهاز الظاهري أو تسجيل الدخول إلى مسؤول الجهاز الظاهري إما على الأجهزة الظاهرية أو مجموعة الموارد التي تحتوي على الأجهزة الظاهرية أو الاشتراك. نوصي بتعيين دور تسجيل دخول مستخدم الجهاز الظاهري إلى نفس مجموعة المستخدمين التي استخدمتها لمجموعة التطبيقات على مستوى مجموعة الموارد لجعلها تنطبق على كافة الأجهزة الظاهرية في تجمع المضيف.

الوصول إلى الأجهزة الظاهرية Azure AD-join

يشرح هذا القسم كيفية الوصول إلى الأجهزة الظاهرية المنضمة إلى Azure AD من مختلف عملاء سطح المكتب الظاهري ل Azure.

الاتصال باستخدام عميل سطح مكتب Windows

يدعم التكوين الافتراضي الاتصالات من Windows 11 أو Windows 10 باستخدام عميل سطح المكتب Windows. يمكنك استخدام بيانات الاعتماد أو البطاقة الذكية أو الثقة في شهادة Windows Hello للأعمال أو Windows Hello للأعمالالثقة بالمفتاح مع الشهادات لتسجيل الدخول إلى مضيف الجلسة. ومع ذلك، للوصول إلى مضيف جلسة العمل، يجب أن يفي الكمبيوتر المحلي بأحد الشروط التالية:

  • الكمبيوتر المحلي هو Azure AD-انضم إلى نفس مستأجر Azure AD كمضيف جلسة عمل
  • الكمبيوتر المحلي مختلط Azure AD - انضم إلى نفس مستأجر Azure AD كمضيف جلسة عمل
  • الكمبيوتر المحلي قيد التشغيل Windows 11 أو Windows 10، الإصدار 2004 أو إصدار أحدث، وهو Azure AD مسجل لنفس مستأجر Azure AD كمضيف جلسة عمل

لتمكين الوصول من الأجهزة Windows غير المنضمة إلى Azure AD، أضف targetisaadjoined:i:1كخاصية RDP مخصصة إلى تجمع المضيف. تقتصر هذه الاتصالات على إدخال بيانات اعتماد اسم المستخدم وكلمة المرور عند تسجيل الدخول إلى مضيف جلسة العمل.

الاتصال استخدام العملاء الآخرين

للوصول إلى الأجهزة الظاهرية المنضمة إلى Azure AD باستخدام عملاء الويب وAndroid وmacOS وiOS، يجب إضافة targetisaadjoined:i:1كخاصية RDP مخصصة إلى تجمع المضيف. تقتصر هذه الاتصالات على إدخال بيانات اعتماد اسم المستخدم وكلمة المرور عند تسجيل الدخول إلى مضيف جلسة العمل.

تمكين MFA ل Azure AD انضم إلى الأجهزة الظاهرية

يمكنك تمكين المصادقة متعددة العوامل للأجهزة الظاهرية المنضمة إلى Azure AD عن طريق تعيين نهج الوصول المشروط على تطبيق Azure Virtual Desktop. لكي تنجح الاتصالات، يجب تعطيل المصادقة متعددة العوامل القديمة لكل مستخدم. إذا كنت لا تريد تقييد تسجيل الدخول إلى طرق مصادقة قوية مثل Windows Hello للأعمال، فستحتاج أيضا إلى استبعاد تطبيق Azure Windows VM Sign-In من سياسة الوصول المشروط.

ملفات تعريف المستخدمين

يمكنك استخدام حاويات ملف تعريف FSLogix مع الأجهزة الظاهرية المرتبطة ب Azure AD عند تخزينها على ملفات Azure أثناء استخدام حسابات المستخدمين التي تمت مزامنتها. لمزيد من المعلومات، راجع إنشاء حاوية ملف تعريف باستخدام Azure Files وAzure AD.

الوصول إلى الموارد المحلية

على الرغم من أنك لست بحاجة إلى Active Directory لنشر الأجهزة الظاهرية المنضمة إلى Azure AD أو الوصول إليها، إلا أن هناك حاجة إلى Active Directory وخط رؤية للوصول إلى الموارد المحلية من تلك الأجهزة الظاهرية. لمعرفة المزيد حول الوصول إلى الموارد المحلية، راجع كيفية عمل الدخول الموحد (SSO) إلى الموارد المحلية على الأجهزة المنضمة إلى Azure AD.

الخطوات التالية

الآن بعد أن قمت بنشر بعض الأجهزة الظاهرية المنضمة إلى Azure AD، يمكنك تسجيل الدخول إلى عميل Azure Virtual Desktop مدعوم لاختباره كجزء من جلسة عمل المستخدم. إذا كنت تريد معرفة كيفية الاتصال بجلسة، فراجع هذه المقالات: