Konfigurace jednotného přihlašování pro Azure Virtual Desktop pomocí ověřování Microsoft Entra ID

Tento článek vás provede procesem konfigurace jednotného přihlašování (SSO) pro Azure Virtual Desktop pomocí ověřování Microsoft Entra ID. Když povolíte jednotné přihlašování, uživatelé se ověřují ve Windows pomocí tokenu Microsoft Entra ID. Tento token umožňuje používat ověřování bez hesla a zprostředkovatele identity třetích stran, které se při připojování k hostiteli relace federují s ID Microsoft Entra a umožňují bezproblémové přihlašování.

Jednotné přihlašování pomocí ověřování Microsoft Entra ID také poskytuje bezproblémové prostředí pro prostředky založené na ID Microsoft Entra v rámci relace. Další informace o používání ověřování bez hesla v rámci relace najdete v tématu Ověřování bez hesla relace.

Pokud chcete povolit jednotné přihlašování pomocí ověřování Microsoft Entra ID, musíte provést pět úkolů:

1. Povolte ověřování Microsoft Entra pro protokol RDP (Remote Desktop Protocol).

2. Nakonfigurujte cílové skupiny zařízení.

3. Pokud je služba Doména služby Active Directory Services součástí vašeho prostředí, vytvořte objekt serveru Kerberos. Další informace o kritériích najdete v jeho části.

4. Zkontrolujte zásady podmíněného přístupu.

5. Nakonfigurujte fond hostitelů tak, aby povolil jednotné přihlašování.

Před povolením jednotného přihlašování

Než povolíte jednotné přihlašování, projděte si následující informace o jeho použití ve vašem prostředí.

Odpojení při uzamčení relace

Pokud je povolené jednotné přihlašování, přihlásíte se k Windows pomocí ověřovacího tokenu Microsoft Entra ID, který poskytuje podporu ověřování bez hesla pro Windows. Zamykací obrazovka Windows ve vzdálené relaci nepodporuje ověřovací tokeny Microsoft Entra ID ani metody ověřování bez hesla, jako jsou klíče FIDO. Nedostatek podpory těchto metod ověřování znamená, že uživatelé nemohou odemknout své obrazovky ve vzdálené relaci. Když se pokusíte uzamknout vzdálenou relaci, ať už prostřednictvím akce uživatele nebo zásad systému, relace se místo toho odpojí a služba odešle uživateli zprávu s vysvětlením, že byla odpojena.

Odpojení relace také zajišťuje, že když se připojení znovu spustí po určité době nečinnosti, Microsoft Entra ID znovu vyhodnocuje všechny příslušné zásady podmíněného přístupu.

Použití účtu správce domény služby Active Directory s jednotným přihlašováním

V prostředích se službami Doména služby Active Directory Services (AD DS) a hybridními uživatelskými účty zakazuje výchozí zásady replikace hesel na řadičích domény jen pro čtení replikaci pro členy doménových Správa a skupin zabezpečení Správa istrátory. Tato zásada brání těmto účtům správců v přihlášení k hostitelům hybridních připojených k Microsoft Entra a může se jim dál zobrazovat výzva k zadání přihlašovacích údajů. Zabrání také účtům správce v přístupu k místním prostředkům, které používají ověřování Kerberos z hostitelů připojených k Microsoft Entra.

Pokud chcete těmto účtům správců povolit připojení, když je povolené jednotné přihlašování, přečtěte si téma Povolení připojení účtů správce domény služby Active Directory.

Požadavky

Abyste mohli povolit jednotné přihlašování, musíte splnit následující požadavky:

• Pokud chcete nakonfigurovat tenanta Microsoft Entra, musíte mít přiřazenou jednu z následujících předdefinovaných rolí Microsoft Entra:

  • Správce aplikace
  • Správce cloudové aplikace
  • Globální správce

• Hostitelé relací musí používat jeden z následujících operačních systémů s nainstalovanou příslušnou kumulativní aktualizací:

  • Windows 11 Enterprise – jedna nebo více relací s nainstalovanou kumulativní Aktualizace 2022–10 pro Windows 11 (KB5018418) nebo novější.
  • Jeden nebo více relací Windows 10 Enterprise s nainstalovaným kumulativním Aktualizace 2022-10 pro Windows 10 (KB5018410) nebo novějším.
  • Windows Server 2022 s kumulativní aktualizací 2022-10 pro operační systém microsoft serveru (KB5018421) nebo novější.

• Hostitelé relací musí být připojeni k Microsoft Entra nebo hybridním členem Microsoft Entra. Hostitelé relací připojení ke službě Microsoft Entra Domain Services nebo Doména služby Active Directory Services se nepodporují.

  Pokud jsou hostitelé hybridní relace Microsoft Entra v jiné doméně služby Active Directory než uživatelské účty, musí mezi těmito dvěma doménami existovat obousměrný vztah důvěryhodnosti. Bez obousměrného vztahu důvěryhodnosti se připojení vrátí ke starším ověřovacím protokolům.

• Nainstalujte sadu Microsoft Graph PowerShell SDK verze 2.9.0 nebo novější na místní zařízení nebo v Azure Cloud Shellu.

• Podporovaný klient vzdálené plochy pro připojení ke vzdálené relaci. Podporují se následující klienti:

  • Desktopový klient Windows na místních počítačích s Windows 10 nebo novějším. Není nutné, aby byl místní počítač připojený k MICROSOFT Entra ID nebo doméně Active Directory.
  • Webový klient.
  • Klient macOS verze 10.8.2 nebo novější.
  • Klient iOS verze 10.5.1 nebo novější.
  • Klient androidu verze 10.0.16 nebo novější

• Pokud chcete nakonfigurovat, aby se účet správce domény služby Active Directory mohl připojit, když je povolené jednotné přihlašování, potřebujete účet, který je členem skupiny zabezpečení Domain Správa s.

Povolení ověřování Microsoft Entra pro protokol RDP

Nejprve musíte povolit ověřování Microsoft Entra pro Windows ve vašem tenantovi Microsoft Entra, což umožňuje vydávání přístupových tokenů protokolu RDP, které uživatelům umožňují přihlásit se k hostitelům relací služby Azure Virtual Desktop. Vlastnost nastavíte isRemoteDesktopProtocolEnabled na hodnotu true u objektu instančního remoteDesktopSecurityConfiguration objektu pro následující aplikace Microsoft Entra:

Název aplikace	Application ID
Vzdálená plocha Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Přihlášení ke cloudu Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Důležité

V rámci nadcházející změny přecházíme z Vzdálená plocha Microsoft na přihlášení ke cloudu Windows od roku 2024. Konfigurace obou aplikací teď zajišťuje, že jste připraveni na změnu.

Ke konfiguraci instančního objektu použijte sadu Microsoft Graph PowerShell SDK k vytvoření nového objektu remoteDesktopSecurityConfiguration v instančním objektu a nastavte vlastnost isRemoteDesktopProtocolEnabled na true. Rozhraní Microsoft Graph API můžete použít také s nástrojem, jako je Graph Explorer.

1. Spusťte Azure Cloud Shell na webu Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   1. Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

   2. Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShellu a ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

2. Ujistěte se, že jste nainstalovali sadu Microsoft Graph PowerShell SDK z požadovaných součástí, pak naimportujte moduly Microsoft Graphu pro ověřování a aplikace a připojte se k Microsoft Graphu Application.Read.AllApplication-RemoteDesktopConfig.ReadWrite.All s obory spuštěním následujících příkazů:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Získejte ID objektu pro každý instanční objekt a uložte je do proměnných spuštěním následujících příkazů:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Nastavte vlastnost isRemoteDesktopProtocolEnabledtrue spuštěním následujících příkazů. Z těchto příkazů neexistuje žádný výstup.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Spuštěním následujících příkazů ověřte, že true je vlastnost isRemoteDesktopProtocolEnabled nastavená:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Výstup by měl být následující:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Konfigurace cílových skupin zařízení

Po povolení ověřování Microsoft Entra pro protokol RDP je potřeba nakonfigurovat cílové skupiny zařízení. Ve výchozím nastavení se uživatelům při povolování jednotného přihlašování zobrazí výzva k ověření v MICROSOFT Entra ID a povolení připojení ke vzdálené ploše při spuštění připojení k novému hostiteli relace. Microsoft Entra si pamatuje až 15 hostitelů po dobu 30 dnů, než se znovu zobrazí výzva. Pokud se zobrazí dialogové okno pro povolení připojení ke vzdálené ploše, vyberte Možnost Ano pro připojení.

Toto dialogové okno můžete skrýt a poskytnout jednotné přihlašování pro připojení ke všem hostitelům relací konfigurací seznamu důvěryhodných zařízení. Potřebujete vytvořit jednu nebo více skupin v MICROSOFT Entra ID, které obsahuje hostitele relací, a pak nastavit vlastnost instančních objektů pro stejné aplikace Vzdálená plocha Microsoft a Přihlášení ke cloudu Windows, jak se používá v předchozí části skupiny.

Tip

Doporučujeme použít dynamickou skupinu a nakonfigurovat pravidla dynamického členství tak, aby zahrnovala všechny hostitele relací služby Azure Virtual Desktop. Názvy zařízení v této skupině můžete použít, ale pro bezpečnější možnost můžete nastavit a používat atributy rozšíření zařízení pomocí rozhraní Microsoft Graph API. Dynamické skupiny se obvykle aktualizují během 5 až 10 minut, ale velké tenanty můžou trvat až 24 hodin.

Dynamické skupiny vyžadují licenci Microsoft Entra ID P1 nebo licenci Intune for Education. Další informace najdete v tématu Pravidla dynamického členství pro skupiny.

Pokud chcete nakonfigurovat instanční objekt, použijte sadu Microsoft Graph PowerShell SDK k vytvoření nového objektu targetDeviceGroup v instančním objektu s ID objektu dynamické skupiny a zobrazovaným názvem. Rozhraní Microsoft Graph API můžete použít také s nástrojem, jako je Graph Explorer.

1. Vytvořte dynamickou skupinu v MICROSOFT Entra ID obsahující hostitele relací, pro které chcete dialogové okno skrýt. Poznamenejte si ID objektu skupiny pro další krok.

2. Ve stejné relaci PowerShellu targetDeviceGroup vytvořte objekt spuštěním následujících příkazů a nahraďte <placeholders> vlastními hodnotami:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Přidejte skupinu do objektu targetDeviceGroup spuštěním následujících příkazů:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Výstup by měl být podobný:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Opakujte kroky 2 a 3 pro každou skupinu, kterou chcete přidat k objektu targetDeviceGroup , maximálně 10 skupin.

4. Pokud později potřebujete odebrat skupinu zařízení z objektu targetDeviceGroup , spusťte následující příkazy a nahraďte <placeholders> vlastními hodnotami:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Vytvoření objektu serveru Kerberos

Pokud hostitelé relací splňují následující kritéria, musíte vytvořit objekt serveru Kerberos:

• Hostitelem relace je hybridní připojení Microsoft Entra. K dokončení ověřování na řadiči domény musíte mít objekt serveru Kerberos.
• Váš hostitel relace je připojený k Microsoft Entra a vaše prostředí obsahuje řadiče domény služby Active Directory. Aby uživatelé měli přístup k místním prostředkům, jako jsou sdílené složky SMB, a ověřování integrované s Windows na weby, musíte mít objekt serveru Kerberos.

Důležité

Pokud před vytvořením objektu serveru Kerberos povolíte jednotné přihlašování u hostitelů hybridních relací připojených k Microsoft Entra, může dojít k jedné z následujících věcí:

• Zobrazí se chybová zpráva s oznámením, že konkrétní relace neexistuje.
• Jednotné přihlašování se přeskočí a zobrazí se standardní dialogové okno ověřování pro hostitele relace.

Pokud chcete tyto problémy vyřešit, vytvořte objekt serveru Kerberos a pak se znovu připojte.

Kontrola zásad podmíněného přístupu

Když je povolené jednotné přihlašování, zavádí se nová aplikace Microsoft Entra ID pro ověřování uživatelů na hostiteli relace. Pokud máte zásady podmíněného přístupu, které platí pro přístup ke službě Azure Virtual Desktop, projděte si doporučení týkající se nastavení vícefaktorového ověřování a ujistěte se, že uživatelé mají požadované prostředí.

Konfigurace fondu hostitelů pro povolení jednotného přihlašování

Pokud chcete povolit jednotné přihlašování ve fondu hostitelů, musíte nakonfigurovat následující vlastnost protokolu RDP, kterou můžete provést pomocí webu Azure Portal nebo PowerShellu. Postup konfigurace vlastností protokolu RDP najdete v části Přizpůsobení vlastností protokolu RDP (Remote Desktop Protocol) pro fond hostitelů.

• Na webu Azure Portal nastavte jednotné přihlašování Microsoft Entra na Připojení iony k poskytování jednotného přihlašování pomocí ověřování Microsoft Entra.
• V PowerShellu nastavte vlastnost enablerdsaadauth na hodnotu 1.

Povolit připojení účtů správce domény služby Active Directory

Pokud chcete povolit, aby se účty správce domény služby Active Directory připojily, když je povolené jednotné přihlašování:

1. Na zařízení, které používáte ke správě domény služby Active Directory, otevřete konzolu Uživatelé a počítače služby Active Directory pomocí účtu, který je členem skupiny zabezpečení Domain Správa s.

2. Otevřete organizační jednotku Řadiče domény pro vaši doménu.

3. Vyhledejte objekt AzureADKerberos, klikněte na něj pravým tlačítkem myši a vyberte Vlastnosti.

4. Vyberte kartu Zásady replikace hesel.

5. Změňte zásadu pro Správa domény z Odepřít na Povolit.

6. Odstraňte zásadu pro Správa istrátory. Skupina Domain Správa s je členem skupiny Správa istrators, takže odepření replikace správcům ji také zakáže pro správce domény.

7. Kliknutím na TLAČÍTKO OK uložte provedené změny.

Další kroky

• Přečtěte si ověřování bez hesla v relaci a zjistěte, jak povolit ověřování bez hesla.
• Další informace o protokolu Microsoft Entra Kerberos naleznete v tématu Podrobné informace o fungování protokolu Microsoft Entra Kerberos
• Pokud přistupujete ke službě Azure Virtual Desktop z našeho desktopového klienta Windows, přečtěte si téma Připojení s desktopovým klientem Windows.
• Pokud přistupujete ke službě Azure Virtual Desktop z našeho webového klienta, přečtěte si Připojení s webovým klientem.
• Pokud narazíte na nějaké problémy, přejděte na Řešení potíží s připojeními k virtuálním počítačům připojeným k Microsoft Entra.