Bejelentkezés az Azure-beli Windows rendszerű virtuális gépre Azure Active Directory hitelesítéssel (előzetes verzió)Sign in to Windows virtual machine in Azure using Azure Active Directory authentication (Preview)

A szervezetek mostantól Azure Active Directory (AD) hitelesítést használhatnak a Windows Server 2019 Datacenter Edition vagy Windows 10 1809 vagy újabb rendszert futtató Azure-beli virtuális gépek (VM-EK) számára.Organizations can now utilize Azure Active Directory (AD) authentication for their Azure virtual machines (VMs) running Windows Server 2019 Datacenter edition or Windows 10 1809 and later. Az Azure AD használatával a virtuális gépek hitelesítése lehetővé teszi a házirendek központi felügyeletét és betartatását.Using Azure AD to authenticate to VMs provides you with a way to centrally control and enforce policies. Az olyan eszközök, mint az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és az Azure AD feltételes hozzáférése lehetővé teszi, hogy ki férhet hozzá a virtuális géphez.Tools like Azure role-based access control (Azure RBAC) and Azure AD Conditional Access allow you to control who can access a VM. Ebből a cikkből megtudhatja, hogyan hozhat létre és konfigurálhat egy Windows Server 2019 rendszerű virtuális gépet az Azure AD-hitelesítés használatához.This article shows you how to create and configure a Windows Server 2019 VM to use Azure AD authentication.

Megjegyzés

Az Azure AD-bejelentkezés az Azure-beli Windows rendszerű virtuális gépek nyilvános előzetes verziója Azure Active Directory.Azure AD sign in for Azure Windows VMs is a public preview feature of Azure Active Directory. További információ az előzetes verziókról: a Microsoft Azure előzetes verziójának kiegészítő használati feltételei.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Az Azure AD-hitelesítés használatának számos előnye van az Azure-beli Windows rendszerű virtuális gépekre való bejelentkezéshez, beleértve a következőket:There are many benefits of using Azure AD authentication to log in to Windows VMs in Azure, including:

  • Használja ugyanazt az összevont vagy felügyelt Azure AD-beli hitelesítő adatokat, amelyeket általában használ.Utilize the same federated or managed Azure AD credentials you normally use.
  • A továbbiakban nem kell helyi rendszergazdai fiókokat kezelnie.No longer have to manage local administrator accounts.
  • Az Azure RBAC lehetővé teszi a megfelelő hozzáférés megadását a virtuális gépek igény szerinti eléréséhez, és ha már nincs rá szükség, távolítsa el azt.Azure RBAC allows you to grant the appropriate access to VMs based on need and remove it when it is no longer needed.
  • A virtuális géphez való hozzáférés engedélyezése előtt az Azure AD feltételes hozzáférése további követelményeket is kikényszerítheti, például:Before allowing access to a VM, Azure AD Conditional Access can enforce additional requirements such as:
    • Többtényezős hitelesítésMulti-factor authentication
    • Bejelentkezési kockázat-ellenőrzésiSign-in risk check
  • Automatizálhatja és méretezheti az Azure AD Joint az Azure Windows rendszerű virtuális gépekhez, amelyek részét képezik a VDI üzembe helyezésének.Automate and scale Azure AD join of Azure Windows VMs that are part for your VDI deployments.

Megjegyzés

Ha engedélyezi ezt a funkciót, az Azure-beli Windows rendszerű virtuális gépek az Azure AD-vel lesznek csatlakoztatva.Once you enable this capability, your Windows VMs in Azure will be Azure AD joined. Nem csatlakoztatható más tartományhoz, például a helyszíni AD-hez vagy az Azure AD DShoz.You cannot join it to other domain like on-premises AD or Azure AD DS. Ha így tesz, le kell választania a virtuális gépet az Azure AD-bérlőről a bővítmény eltávolításával.If you need to do so, you will need to disconnect the VM from your Azure AD tenant by uninstalling the extension.

KövetelményekRequirements

Támogatott Azure-régiók és Windows-disztribúciókSupported Azure regions and Windows distributions

A következő Windows-disztribúciók jelenleg a funkció előzetes verziójában támogatottak:The following Windows distributions are currently supported during the preview of this feature:

  • Windows Server 2019 DatacenterWindows Server 2019 Datacenter
  • Windows 10 1809 és újabb verziókWindows 10 1809 and later

Fontos

Az Azure AD-hez csatlakoztatott virtuális gépekkel létesített távoli kapcsolódás csak olyan Windows 10 rendszerű számítógépeken engedélyezett, amelyeken az Azure AD regisztrálva van (Windows 10 20H1), az Azure AD-hez csatlakoztatott vagy hibrid Azure AD-hez ugyanahhoz a címtárhoz csatlakozik, mint a virtuális gép.Remote connection to VMs joined to Azure AD is only allowed from Windows 10 PCs that are either Azure AD registered (starting Windows 10 20H1), Azure AD joined or hybrid Azure AD joined to the same directory as the VM.

A szolgáltatás előzetes verziójában jelenleg a következő Azure-régiók támogatottak:The following Azure regions are currently supported during the preview of this feature:

  • Minden Azure globális régióAll Azure global regions

Fontos

Az előzetes verziójú funkció használatához csak egy támogatott Windows-disztribúciót és egy támogatott Azure-régiót telepítsen.To use this preview feature, only deploy a supported Windows distribution and in a supported Azure region. A szolgáltatás jelenleg nem támogatott Azure Government vagy szuverén felhőkben.The feature is currently not supported in Azure Government or sovereign clouds.

A hálózatra vonatkozó követelményekNetwork requirements

Ha engedélyezni szeretné az Azure AD-hitelesítést az Azure-beli Windows rendszerű virtuális gépeken, biztosítania kell, hogy a virtuális gépek hálózati konfigurációja a 443-as TCP-porton keresztül engedélyezze a kimenő hozzáférést a következő végpontokhoz:To enable Azure AD authentication for your Windows VMs in Azure, you need to ensure your VMs network configuration permits outbound access to the following endpoints over TCP port 443:

  • https: / /enterpriseregistration.Windows.nethttps://enterpriseregistration.windows.net
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https: / /Device.login.microsoftonline.comhttps://device.login.microsoftonline.com
  • https: / /Pas.Windows.nethttps://pas.windows.net

Azure AD-bejelentkezés engedélyezése a Windows rendszerű virtuális gépeken az Azure-banEnabling Azure AD login in for Windows VM in Azure

Ha Azure AD-bejelentkezést szeretne használni a Windows rendszerű virtuális gépeken az Azure-ban, először engedélyeznie kell az Azure AD bejelentkezési lehetőséget a Windows rendszerű virtuális gépen, majd konfigurálnia kell az Azure szerepkör-hozzárendeléseket azon felhasználók számára, akik jogosultak a virtuális gépre való bejelentkezésre.To use Azure AD login in for Windows VM in Azure, you need to first enable Azure AD login option for your Windows VM and then you need to configure Azure role assignments for users who are authorized to login in to the VM. A Windows rendszerű virtuális gépekhez több módon is engedélyezheti az Azure AD-bejelentkezést:There are multiple ways you can enable Azure AD login for your Windows VM:

  • Windows rendszerű virtuális gép létrehozásakor a Azure Portal élmény használataUsing the Azure portal experience when creating a Windows VM
  • Windows rendszerű virtuális gép vagy meglévő Windows rendszerű virtuális gép létrehozásakor a Azure Cloud Shell élmény használataUsing the Azure Cloud Shell experience when creating a Windows VM or for an existing Windows VM

Az Azure AD-bejelentkezés engedélyezése Azure Portal virtuális gép létrehozásakorUsing Azure portal create VM experience to enable Azure AD login

Engedélyezheti az Azure AD-bejelentkezést a Windows Server 2019 Datacenter vagy a Windows 10 1809 és újabb rendszerű virtuálisgép-lemezképekhez.You can enable Azure AD login for Windows Server 2019 Datacenter or Windows 10 1809 and later VM images.

Windows Server 2019 Datacenter rendszerű virtuális gép létrehozása az Azure-ban Azure AD-bejelentkezéssel:To create a Windows Server 2019 Datacenter VM in Azure with Azure AD logon:

  1. Jelentkezzen be a Azure Portalbaegy olyan fiókkal, amely hozzáfér a virtuális gépek létrehozásához, majd válassza az + erőforrás létrehozásalehetőséget.Sign in to the Azure portal, with an account that has access to create VMs, and select + Create a resource.
  2. Írja be a Windows Server kifejezést a piactér keresési sávjában.Type Windows Server in Search the Marketplace search bar.
    1. Kattintson a Windows Server lehetőségre, és válassza a Windows Server 2019 Datacenter elemet a szoftvercsomag kiválasztása listából.Click Windows Server and choose Windows Server 2019 Datacenter from Select a software plan dropdown.
    2. Kattintson a Létrehozásgombra.Click on Create.
  3. A "felügyelet" lapon engedélyezze a HRE hitelesítő adatokkal (előzetes verzió) való bejelentkezést a Azure Active Directory szakasz alatt, a ki és belehetőségnél.On the "Management" tab, enable the option to Login with AAD credentials (Preview) under the Azure Active Directory section from Off to On.
  4. Győződjön megarról, hogy a rendszerhez rendelt felügyelt identitás az identitás szakaszban be értékre van állítva.Make sure System assigned managed identity under the Identity section is set to On. A műveletnek automatikusan kell történnie, ha engedélyezi a bejelentkezést az Azure AD-beli hitelesítő adatokkal.This action should happen automatically once you enable Login with Azure AD credentials.
  5. Ugorjon végig a virtuális gép létrehozásának további tapasztalatain.Go through the rest of the experience of creating a virtual machine. Ebben az előzetes verzióban létre kell hoznia egy rendszergazdai felhasználónevet és jelszót a virtuális géphez.During this preview, you will have to create an administrator username and password for the VM.

Bejelentkezés Azure AD-beli hitelesítő adatokkal virtuális gép létrehozása

Megjegyzés

Ahhoz, hogy az Azure AD-beli hitelesítő adataival jelentkezzen be a virtuális gépre, először konfigurálnia kell a virtuális géphez tartozó szerepkör-hozzárendeléseket az alábbi szakaszokban leírtak szerint.In order to log in to the VM using your Azure AD credential, you will first need to configure role assignments for the VM as described in one of the sections below.

Az Azure AD-bejelentkezés engedélyezésének Azure Cloud Shelli felületének használataUsing the Azure Cloud Shell experience to enable Azure AD login

Az Azure Cloud Shell egy olyan ingyenes interaktív kezelőfelület, amelyet a jelen cikkben található lépések végrehajtására használhat.Azure Cloud Shell is a free, interactive shell that you can use to run the steps in this article. A gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak a Cloud Shellben a fiókjával történő használathoz.Common Azure tools are preinstalled and configured in Cloud Shell for you to use with your account. A Másolás gombra kattintva másolja és illessze be a kódot a Cloud Shellbe, majd nyomja le az Enter billentyűt a futtatáshoz.Just select the Copy button to copy the code, paste it in Cloud Shell, and then press Enter to run it. A Cloud Shell többféleképpen is megnyitható:There are a few ways to open Cloud Shell:

Kattintson a Kipróbálás elemre egy kódblokk jobb felső sarkában.Select Try It in the upper-right corner of a code block. Nyissa meg a Cloud Shellt a böngészőben.Open Cloud Shell in your browser. Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.Select the Cloud Shell button on the menu in the upper-right corner of the Azure portal.

Ha a parancssori felület helyi telepítését és használatát választja, akkor ehhez a cikkhez az Azure CLI 2.0.31 vagy újabb verzióját kell futtatnia.If you choose to install and use the CLI locally, this article requires that you are running the Azure CLI version 2.0.31 or later. A verzió megkereséséhez futtassa a következő parancsot: az --version.Run az --version to find the version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítésecímű cikket.If you need to install or upgrade, see the article Install Azure CLI.

  1. Hozzon létre egy erőforráscsoportot az az group create paranccsal.Create a resource group with az group create.
  2. Hozzon létre egy virtuális gépet az az VM Create használatával egy támogatott régió támogatott eloszlásával.Create a VM with az vm create using a supported distribution in a supported region.
  3. Telepítse az Azure AD login VM-bővítményt.Install the Azure AD login VM extension.

A következő példa egy myVM nevű virtuális gépet telepít, amely az Win2019Datacenter-t használja egy myResourceGroup nevű erőforráscsoporthoz a southcentralus régióban.The following example deploys a VM named myVM that uses Win2019Datacenter, into a resource group named myResourceGroup, in the southcentralus region. Az alábbi példákban megadhatja a saját erőforráscsoport és a virtuális gépek nevét igény szerint.In the following examples, you can provide your own resource group and VM names as needed.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Megjegyzés

Az Azure AD bejelentkezési virtuálisgép-bővítmény telepítése előtt engedélyeznie kell a rendszerhez rendelt felügyelt identitást a virtuális gépen.It is required that you enable System assigned managed identity on your virtual machine before you install the Azure AD login VM extension.

A virtuális gép és a kapcsolódó erőforrások létrehozása csak néhány percet vesz igénybe.It takes a few minutes to create the VM and supporting resources.

Végül telepítse az Azure AD bejelentkezési virtuálisgép-bővítményét, hogy engedélyezze az Azure AD-bejelentkezést a Windows rendszerű virtuális gépeken.Finally, install the Azure AD login VM extension to enable Azure AD login for Windows VM. A virtuálisgép-bővítmények olyan kisméretű alkalmazások, amelyek üzembe helyezés utáni konfigurációs és automatizálási feladatokat biztosítanak az Azure-beli virtuális gépeken.VM extensions are small applications that provide post-deployment configuration and automation tasks on Azure virtual machines. Az az VM Extension SET paranccsal telepítse a AADLoginForWindows-bővítményt a myVM nevű virtuális gépre a myResourceGroup erőforráscsoporthoz:Use az vm extension set to install the AADLoginForWindows extension on the VM named myVM in the myResourceGroup resource group:

Megjegyzés

A AADLoginForWindows bővítményt telepítheti egy meglévő Windows Server 2019 vagy Windows 10 1809 és újabb rendszerű virtuális gépre az Azure AD-hitelesítés engedélyezéséhez.You can install AADLoginForWindows extension on an existing Windows Server 2019 or Windows 10 1809 and later VM to enable it for Azure AD authentication. Alább látható egy példa az az parancssori felületre.An example of AZ CLI is shown below.

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Ekkor megjelenik a (z) provisioningState Succeeded , ha a bővítmény telepítve van a virtuális gépen.The provisioningState of Succeeded is shown, once the extension is installed on the VM.

Szerepkör-hozzárendelések konfigurálása a virtuális géphezConfigure role assignments for the VM

Most, hogy létrehozta a virtuális gépet, konfigurálnia kell az Azure RBAC-szabályzatot annak meghatározásához, hogy ki tud bejelentkezni a virtuális gépre.Now that you have created the VM, you need to configure Azure RBAC policy to determine who can log in to the VM. A VM-bejelentkezés engedélyezéséhez két Azure-szerepkör használható:Two Azure roles are used to authorize VM login:

  • Virtuális gép rendszergazdai bejelentkezése: az ehhez a szerepkörhöz hozzárendelt felhasználók rendszergazdai jogosultságokkal jelentkezhetnek be egy Azure-beli virtuális gépre.Virtual Machine Administrator Login: Users with this role assigned can log in to an Azure virtual machine with administrator privileges.
  • Virtuális gép felhasználói bejelentkezése: az ehhez a szerepkörhöz hozzárendelt felhasználók rendszeres felhasználói jogosultságokkal jelentkezhetnek be egy Azure-beli virtuális gépre.Virtual Machine User Login: Users with this role assigned can log in to an Azure virtual machine with regular user privileges.

Megjegyzés

Annak engedélyezéséhez, hogy a felhasználó RDP-en keresztül jelentkezzen be a virtuális GÉPRE, hozzá kell rendelnie a virtuális gép rendszergazdai felhasználónevét vagy a virtuális gép felhasználói bejelentkezési szerepkörét.To allow a user to log in to the VM over RDP, you must assign either the Virtual Machine Administrator Login or Virtual Machine User Login role. Egy virtuális géphez hozzárendelt tulajdonosi vagy közreműködői szerepkörökkel rendelkező Azure-felhasználó nem jogosult automatikusan a virtuális gépre RDP-kapcsolaton keresztül bejelentkezni.An Azure user with the Owner or Contributor roles assigned for a VM do not automatically have privileges to log in to the VM over RDP. Ez a virtuális gépeket vezérlő személyek, illetve a virtuális gépeket elérő személyek között naplózható elkülönítést biztosít.This is to provide audited separation between the set of people who control virtual machines versus the set of people who can access virtual machines.

A virtuális gép szerepkör-hozzárendelései több módon is konfigurálhatók:There are multiple ways you can configure role assignments for VM:

  • Az Azure AD portál felületének használataUsing the Azure AD Portal experience
  • A Azure Cloud Shell felület használataUsing the Azure Cloud Shell experience

Az Azure AD Portal felületének használataUsing Azure AD Portal experience

Szerepkör-hozzárendelések konfigurálása az Azure AD-ben engedélyezett Windows Server 2019 Datacenter virtuális gépekhez:To configure role assignments for your Azure AD enabled Windows Server 2019 Datacenter VMs:

  1. Navigáljon az adott virtuális gép áttekintő oldaláraNavigate to the specific virtual machine overview page
  2. Válassza a hozzáférés-vezérlés (iam) lehetőséget a menüpontok közül.Select Access control (IAM) from the menu options
  3. Válassza a Hozzáadás, szerepkör-hozzárendelés hozzáadása lehetőséget a szerepkör-hozzárendelés hozzáadása ablaktábla megnyitásához.Select Add, Add role assignment to open the Add role assignment pane.
  4. A szerepkör legördülő listában válasszon ki egy szerepkört, például a virtuális gép rendszergazdai felhasználónevét vagy a virtuális gép felhasználói bejelentkezését.In the Role drop-down list, select a role such as Virtual Machine Administrator Login or Virtual Machine User Login.
  5. A Select (kiválasztás ) mezőben válasszon ki egy felhasználót, egy csoportot, egy szolgáltatásnevet vagy egy felügyelt identitást.In the Select field, select a user, group, service principal, or managed identity. Ha a listában nem látja a rendszerbiztonsági tagot, írhat a Kiválasztás mezőbe megjelenítendő nevek, e-mail-címek és objektumazonosítók a címtárban történő kereséséhez.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.
  6. A szerepkör hozzárendeléséhez válassza a Mentéslehetőséget.Select Save, to assign the role.

Néhány pillanat elteltével a rendszerbiztonsági tag a kiválasztott hatókörhöz rendeli a szerepkört.After a few moments, the security principal is assigned the role at the selected scope.

Szerepkörök társítása a virtuális géphez hozzáférő felhasználókhoz

A Azure Cloud Shell felület használataUsing the Azure Cloud Shell experience

Az alábbi példa az az role hozzárendelés Create paranccsal rendeli hozzá a virtuális gép rendszergazdai bejelentkezési szerepkörét a virtuális géphez az aktuális Azure-felhasználóhoz.The following example uses az role assignment create to assign the Virtual Machine Administrator Login role to the VM for your current Azure user. Az aktív Azure-fiókjának felhasználónevét az az Account showparanccsal szerezheti be, a hatókör pedig az előző lépésben létrehozott virtuális gépre az az VM showparanccsal.The username of your active Azure account is obtained with az account show, and the scope is set to the VM created in a previous step with az vm show. A hatókör egy erőforráscsoport vagy előfizetés szintjén is hozzárendelhető, és a szokásos Azure RBAC öröklési engedélyek is érvényesek.The scope could also be assigned at a resource group or subscription level, and normal Azure RBAC inheritance permissions apply. További információ: Bejelentkezés egy linuxos virtuális gépre az Azure-ban Azure Active Directory hitelesítés használatával.For more information, see Log in to a Linux virtual machine in Azure using Azure Active Directory authentication.

username=$(az account show --query user.name --output tsv)
vm=$(az vm show --resource-group myResourceGroup --name myVM --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $vm

Megjegyzés

Ha a HRE tartomány és a bejelentkezési Felhasználónév tartománya nem egyezik, meg kell adnia a felhasználói fiókjához tartozó objektumazonosítót --assignee-object-id , nem csak a felhasználónevét --assignee .If your AAD domain and logon username domain do not match, you must specify the object ID of your user account with the --assignee-object-id, not just the username for --assignee. A felhasználói fiókhoz tartozó objektumazonosítót az az ad User Listparanccsal kérheti le.You can obtain the object ID for your user account with az ad user list.

Az Azure-RBAC az Azure-előfizetési erőforrásokhoz való hozzáférés kezeléséhez való használatáról a következő cikkekben talál további információt:For more information on how to use Azure RBAC to manage access to your Azure subscription resources, see the following articles:

Feltételes hozzáférés használataUsing Conditional Access

A feltételes hozzáférési szabályzatok, például a többtényezős hitelesítés vagy a felhasználói bejelentkezés kockázatának érvényesítése előtt engedélyezheti a hozzáférést az Azure-beli Windows rendszerű virtuális gépekhez, amelyek engedélyezve vannak az Azure AD-bejelentkezéssel.You can enforce Conditional Access policies such as multi-factor authentication or user sign-in risk check before authorizing access to Windows VMs in Azure that are enabled with Azure AD sign in. A feltételes hozzáférési szabályzat alkalmazásához ki kell választania az "Azure Windows VM-bejelentkezés" alkalmazást a Cloud apps vagy a műveletek hozzárendelési beállításból, majd a bejelentkezési kockázatot feltételként kell használnia, és/vagy a többtényezős hitelesítést kell megadni hozzáférés-vezérlésként.To apply Conditional Access policy, you must select "Azure Windows VM Sign-In" app from the cloud apps or actions assignment option and then use Sign-in risk as a condition and/or require multi-factor authentication as a grant access control.

Megjegyzés

Ha a "többtényezős hitelesítés megkövetelése" lehetőséget használja hozzáférés-vezérlésre az "Azure Windows rendszerű virtuális gép bejelentkezési" alkalmazáshoz való hozzáféréshez, akkor az ügyfél részeként meg kell adnia a többtényezős hitelesítési jogcímet, amely az RDP-munkamenetet az Azure-beli cél Windows rendszerű virtuális gépre indítja.If you use "Require multi-factor authentication" as a grant access control for requesting access to the "Azure Windows VM Sign-In" app, then you must supply multi-factor authentication claim as part of the client that initiates the RDP session to the target Windows VM in Azure. Ezt csak akkor érheti el, ha egy Windows 10-ügyfélen a Windows Hello for Business PIN-kódot vagy biometrikus hitelesítést használja az RDP-ügyféllel.The only way to achieve this on a Windows 10 client is to use Windows Hello for Business PIN or biometric authentication with the RDP client. A biometrikus hitelesítés támogatása a Windows 10 1809-es verziójának RDP-ügyfeléhez lett hozzáadva.Support for biometric authentication was added to the RDP client in Windows 10 version 1809. A Windows Hello for Business hitelesítést használó távoli asztal csak a tanúsítvány-megbízhatósági modellt használó központi telepítések esetén érhető el, és jelenleg nem érhető el a kulcs megbízhatósági modellje számára.Remote desktop using Windows Hello for Business authentication is only available for deployments that use cert trust model and currently not available for key trust model.

Figyelmeztetés

Felhasználónkénti engedélyezett/kényszerített Azure-Multi-Factor Authentication nem támogatott a virtuális gép bejelentkezéséhez.Per-user Enabled/Enforced Azure Multi-Factor Authentication is not supported for VM sign-in.

Bejelentkezés Azure AD-beli hitelesítő adatokkal egy Windows rendszerű virtuális gépenLog in using Azure AD credentials to a Windows VM

Fontos

Az Azure AD-hez csatlakoztatott virtuális gépekkel létesített távoli kapcsolódás csak olyan Windows 10 rendszerű számítógépeken engedélyezett, amelyeken az Azure AD regisztrálva van (a minimálisan szükséges Build 20H1), vagy az Azure AD-hez csatlakoztatott vagy a hibrid Azure AD-hez ugyanahhoz a címtárhoz csatlakozik.Remote connection to VMs joined to Azure AD is only allowed from Windows 10 PCs that are either Azure AD registered (minimum required build is 20H1) or Azure AD joined or hybrid Azure AD joined to the same directory as the VM. Emellett az Azure AD-beli hitelesítő adatok használatával történő RDP-hez a felhasználónak a két Azure-szerepkör, a virtuális gép rendszergazdai bejelentkezése vagy a virtuális gép felhasználói bejelentkezési adatai közé kell tartoznia.Additionally, to RDP using Azure AD credentials, the user must belong to one of the two Azure roles, Virtual Machine Administrator Login or Virtual Machine User Login. Ha Azure AD-regisztrált Windows 10 rendszerű számítógépet használ, meg kell adnia a hitelesítő adatokat a AzureAD\UPN formátumban (például AzureAD\john@contoso.com ).If using an Azure AD registered Windows 10 PC, you must enter credentials in the AzureAD\UPN format (e.g. AzureAD\john@contoso.com). Jelenleg az Azure Bastion nem használható Azure Active Directory hitelesítéssel az AADLoginForWindows bővítménnyel való bejelentkezéshez. csak a közvetlen RDP használata támogatott.At this time, Azure Bastion can't be used to log in by using Azure Active Directory authentication with the AADLoginForWindows extension; only direct RDP is supported.

Bejelentkezés a Windows Server 2019 rendszerű virtuális gépre az Azure AD használatával:To log in to your Windows Server 2019 virtual machine using Azure AD:

  1. Navigáljon a virtuális gép áttekintés lapjára, amely engedélyezve van az Azure AD-bejelentkezéssel.Navigate to the overview page of the virtual machine that has been enabled with Azure AD logon.
  2. Válassza a Kapcsolódás lehetőséget a Kapcsolódás a virtuális géphez panel megnyitásához.Select Connect to open the Connect to virtual machine blade.
  3. Válassza az RDP-fájl letöltése lehetőséget.Select Download RDP File.
  4. Válassza a Megnyitás lehetőséget az távoli asztali kapcsolat-ügyfél elindításához.Select Open to launch the Remote Desktop Connection client.
  5. Válassza a Kapcsolódás lehetőséget a Windows bejelentkezési párbeszédpanelének elindításához.Select Connect to launch the Windows logon dialog.
  6. Jelentkezzen be az Azure AD-beli hitelesítő adataival.Logon using your Azure AD credentials.

Most bejelentkezett a Windows Server 2019 Azure-beli virtuális gépre a hozzárendelt szerepkör-engedélyekkel, mint például a VM-felhasználó vagy a VM-rendszergazda.You are now signed in to the Windows Server 2019 Azure virtual machine with the role permissions as assigned, such as VM User or VM Administrator.

Megjegyzés

Mentheti a t. RDP-fájl helyileg a számítógépen a távoli asztali kapcsolatok a virtuális géphez való elindításához ahelyett, hogy a Azure Portal a virtuális gép áttekintő lapjára kellene lépnie, és a csatlakozás lehetőséget kellene használnia.You can save the .RDP file locally on your computer to launch future remote desktop connections to your virtual machine instead of having to navigate to virtual machine overview page in the Azure portal and using the connect option.

HibaelhárításTroubleshoot

Üzembe helyezési problémák elhárításaTroubleshoot deployment issues

A AADLoginForWindows-bővítményt sikeresen kell telepíteni ahhoz, hogy a virtuális gép végre lehessen hajtani az Azure AD JOIN folyamatát.The AADLoginForWindows extension must install successfully in order for the VM to complete the Azure AD join process. Ha a virtuálisgép-bővítményt nem sikerül megfelelően telepíteni, hajtsa végre a következő lépéseket.Perform the following steps if the VM extension fails to install correctly.

  1. RDP-t a virtuális géphez a helyi rendszergazdai fiók használatával, és vizsgálja meg a CommandExecuti'n. log naplófájltRDP to the VM using the local administrator account and examine the CommandExecuti'n.log under

    C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\0.3.1.0.C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\0.3.1.0.

    Megjegyzés

    Ha a bővítmény a kezdeti hiba után újraindul, a rendszer a központi telepítési hibát tartalmazó naplót CommandExecution_YYYYMMDDHHMMSSSSS. log néven menti.If the extension restarts after the initial failure, the log with the deployment error will be saved as CommandExecution_YYYYMMDDHHMMSSSSS.log. ""

  2. Nyisson meg egy PowerShell-parancssort a virtuális gépen, és ellenőrizze ezeket a lekérdezéseket az Azure-gazdagépen futó Instance Metadata Service (IMDS) végponton:Open a PowerShell command prompt on the VM and verify these queries against the Instance Metadata Service (IMDS) Endpoint running on the Azure host returns:

    Futtatandó parancsCommand to run Várt kimenetExpected output
    curl -H @{"Metadata"="true"} "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Az Azure-beli virtuális géppel kapcsolatos adatok javításaCorrect information about the Azure VM
    curl -H @{"Metadata"="true"} "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Az Azure-előfizetéshez társított érvényes bérlői azonosítóValid Tenant ID associated with the Azure Subscription
    curl -H @{"Metadata"="true"} "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" A virtuális géphez hozzárendelt felügyelt identitás Azure Active Directory által kiállított érvényes hozzáférési jogkivonatValid access token issued by Azure Active Directory for the managed identity that is assigned to this VM

    Megjegyzés

    A hozzáférési token dekódolható egy olyan eszköz használatával, mint a http://calebb.net/ .The access token can be decoded using a tool like http://calebb.net/. Ellenőrizze, hogy a hozzáférési jogkivonat "AppID" egyezik-e a virtuális géphez hozzárendelt felügyelt identitással.Verify the "appid" in the access token matches the managed identity assigned to the VM.

  3. Győződjön meg arról, hogy a szükséges végpontok elérhetők a virtuális gépről a parancssor használatával:Ensure the required endpoints are accessible from the VM using the command line:

    • Curl https: / /login.microsoftonline.com/-D –curl https://login.microsoftonline.com/ -D –
    • Curl https: / /login.microsoftonline.com/ <TenantID> /-D –curl https://login.microsoftonline.com/<TenantID>/ -D –

    Megjegyzés

    Cserélje le az t az Azure- <TenantID> előfizetéshez társított Azure ad-bérlői azonosítóra.Replace <TenantID> with the Azure AD Tenant ID that is associated with the Azure subscription.

    • Curl https: / /enterpriseregistration.Windows.net/-D-curl https://enterpriseregistration.windows.net/ -D -
    • Curl https: / /Device.login.microsoftonline.com/-D-curl https://device.login.microsoftonline.com/ -D -
    • Curl https: / /Pas.Windows.net/-D-curl https://pas.windows.net/ -D -
  4. Az eszköz állapotát a futtatásával lehet megtekinteni dsregcmd /status .The Device State can be viewed by running dsregcmd /status. A cél az eszköz állapotának megjelenítésére szolgál AzureAdJoined : YES .The goal is for Device State to show as AzureAdJoined : YES.

    Megjegyzés

    Az Azure AD JOIN tevékenység az eseménynaplóban, a felhasználói eszköz Registration\Admin naplójában rögzítve van.Azure AD join activity is captured in Event viewer under the User Device Registration\Admin log.

Ha a AADLoginForWindows bővítmény bizonyos hibakód esetén meghiúsul, a következő lépéseket hajthatja végre:If AADLoginForWindows extension fails with certain error code, you can perform the following steps:

1. probléma: a AADLoginForWindows bővítmény nem telepíthető a következő terminál-hibakódtal: "1007", kilépési kód:-2145648574.Issue 1: AADLoginForWindows extension fails to install with terminal error code '1007' and Exit code: -2145648574.

Ez a kilépési kód DSREG_E_MSI_TENANTID_UNAVAILABLE, mert a bővítmény nem tudja lekérdezni az Azure AD-bérlő adatait.This exit code translates to DSREG_E_MSI_TENANTID_UNAVAILABLE because the extension is unable to query the Azure AD Tenant information.

  1. Ellenőrizze, hogy az Azure-beli virtuális gép lekérheti-e a TenantID a Instance Metadata Service.Verify the Azure VM can retrieve the TenantID from the Instance Metadata Service.

  2. A virtuálisgép-rendszergazda megkísérli a AADLoginForWindows-bővítmény telepítését, de a rendszerhez rendelt felügyelt identitások nem engedélyezték először a virtuális gépet.The VM admin attempts to install the AADLoginForWindows extension, but a system assigned managed identity has not enabled the VM first. Navigáljon a virtuális gép Identity (identitás) paneljére.Navigate to the Identity blade of the VM. A rendszerhez rendelt lapon ellenőrizze, hogy az állapot be van-e kapcsolva.From the System assigned tab, verify Status is toggled to On.

2. probléma: a AADLoginForWindows bővítmény nem telepíthető a következő kilépési kóddal:-2145648607Issue 2: AADLoginForWindows extension fails to install with Exit code: -2145648607

Ez a kilépési kód lefordítja a DSREG_AUTOJOIN_DISC_FAILED, mert a bővítmény nem tudja elérni a https://enterpriseregistration.windows.net végpontot.This Exit code translates to DSREG_AUTOJOIN_DISC_FAILED because the extension is not able to reach the https://enterpriseregistration.windows.net endpoint.

  1. Ellenőrizze, hogy a szükséges végpontok elérhetők-e a virtuális gépről a parancssor használatával:Verify the required endpoints are accessible from the VM using the command line:

    • Curl https: / /login.microsoftonline.com/-D –curl https://login.microsoftonline.com/ -D –
    • Curl https: / /login.microsoftonline.com/ <TenantID> /-D –curl https://login.microsoftonline.com/<TenantID>/ -D –

    Megjegyzés

    Cserélje le az t az Azure- <TenantID> előfizetéshez társított Azure ad-bérlői azonosítóra.Replace <TenantID> with the Azure AD Tenant ID that is associated with the Azure subscription. Ha meg kell találnia a bérlő AZONOSÍTÓját, a fiók neve fölé helyezheti a címtár/bérlő AZONOSÍTÓját, vagy kiválaszthatja Azure Active Directory > tulajdonságok > Directory-azonosító a Azure Portalban.If you need to find the tenant ID, you can hover over your account name to get the directory / tenant ID, or select Azure Active Directory > Properties > Directory ID in the Azure portal.

    • Curl https: / /enterpriseregistration.Windows.net/-D-curl https://enterpriseregistration.windows.net/ -D -
    • Curl https: / /Device.login.microsoftonline.com/-D-curl https://device.login.microsoftonline.com/ -D -
    • Curl https: / /Pas.Windows.net/-D-curl https://pas.windows.net/ -D -
  2. Ha a parancsok bármelyike sikertelen "nem sikerült feloldani a gazdagépet <URL> ", próbálja meg futtatni ezt a parancsot a virtuális gép által használt DNS-kiszolgáló meghatározásához.If any of the commands fails with "Could not resolve host <URL>", try running this command to determine the DNS server that is being used by the VM.

    nslookup <URL>

    Megjegyzés

    Cserélje le a kifejezést a <URL> végpontok által használt teljes tartománynevek (például "login.microsoftonline.com") helyére.Replace <URL> with the fully qualified domain names used by the endpoints, such as "login.microsoftonline.com".

  3. Ezután ellenőrizze, hogy a nyilvános DNS-kiszolgáló meghatározása lehetővé teszi-e a parancs sikerességét:Next, see if specifying a public DNS server allows the command to succeed:

    nslookup <URL> 208.67.222.222

  4. Szükség esetén módosítsa a hálózati biztonsági csoporthoz hozzárendelt DNS-kiszolgálót, amelyhez az Azure-beli virtuális gép tartozik.If necessary, change the DNS server that is assigned to the network security group that the Azure VM belongs to.

3. probléma: a AADLoginForWindows bővítmény nem telepíthető a következő kilépési kóddal: 51Issue 3: AADLoginForWindows extension fails to install with Exit code: 51

A 51-es kilépési kód lefordítja a következőre: "Ez a kiterjesztés nem támogatott a virtuális gép operációs rendszerében".Exit code 51 translates to "This extension is not supported on the VM's operating system".

A nyilvános előzetes verzióban a AADLoginForWindows-bővítmény csak Windows Server 2019 vagy Windows 10 rendszerre (Build 1809 vagy újabb verzió) készült.At Public Preview, the AADLoginForWindows extension is only intended to be installed on Windows Server 2019 or Windows 10 (Build 1809 or later). Győződjön meg arról, hogy a Windows verziója támogatott.Ensure the version of Windows is supported. Ha a Windows-Build nem támogatott, távolítsa el a virtuálisgép-bővítményt.If the build of Windows is not supported, uninstall the VM Extension.

Bejelentkezési problémák elhárításaTroubleshoot sign-in issues

Az Azure AD-beli hitelesítő adatokkal való RDP-vel való kísérlet során előforduló gyakori hibák közé tartoznak a hozzárendelt Azure-szerepkörök, a jogosulatlan ügyfelek vagy a 2FA bejelentkezési módszere.Some common errors when you try to RDP with Azure AD credentials include no Azure roles assigned, unauthorized client, or 2FA sign-in method required. Az alábbi információk segítségével javítsa ki ezeket a problémákat.Use the following information to correct these issues.

Az eszköz és az egyszeri bejelentkezés állapota a futtatásával tekinthető meg dsregcmd /status .The Device and SSO State can be viewed by running dsregcmd /status. A cél az eszköz állapotának megjelenítése AzureAdJoined : YES és SSO State megjelenítése AzureAdPrt : YES .The goal is for Device State to show as AzureAdJoined : YES and SSO State to show AzureAdPrt : YES.

Emellett az Azure AD-fiókokat használó RDP-bejelentkezés az eseménynaplóban, a AAD\Operational-eseménynaplóban is rögzítve van.Also, RDP Sign-in using Azure AD accounts is captured in Event viewer under the AAD\Operational event logs.

Az Azure-szerepkör nincs hozzárendelveAzure role not assigned

Ha a következő hibaüzenet jelenik meg, amikor távoli asztali kapcsolattal kezdeményezi a virtuális gépet:If you see the following error message when you initiate a remote desktop connection to your VM:

  • A fiókja úgy van konfigurálva, hogy megakadályozza az eszköz használatát.Your account is configured to prevent you from using this device. További információért forduljon a rendszergazdáhozFor more info, contact your system administrator

A fiókja úgy van konfigurálva, hogy megakadályozza az eszköz használatát.

Ellenőrizze, hogy konfigurálta-e az Azure RBAC-házirendeket a virtuális gép számára, amely megadja a felhasználónak a virtuális gép rendszergazdai felhasználónevét vagy a virtuális gép felhasználói bejelentkezési szerepkörét:Verify that you have configured Azure RBAC policies for the VM that grants the user either the Virtual Machine Administrator Login or Virtual Machine User Login role:

Jogosulatlan ügyfélUnauthorized client

Ha a következő hibaüzenet jelenik meg, amikor távoli asztali kapcsolattal kezdeményezi a virtuális gépet:If you see the following error message when you initiate a remote desktop connection to your VM:

  • A hitelesítő adatai nem működnekYour credentials did not work

A hitelesítő adatai nem működnek

Győződjön meg arról, hogy a távoli asztali kapcsolat kezdeményezéséhez használt Windows 10 rendszerű számítógép vagy az Azure AD-hez csatlakoztatott vagy a hibrid Azure AD ugyanahhoz az Azure AD-címtárhoz van csatlakoztatva, amelyben a virtuális gép csatlakoztatva van.Verify that the Windows 10 PC you are using to initiate the remote desktop connection is one that is either Azure AD joined, or hybrid Azure AD joined to the same Azure AD directory where your VM is joined to. Az eszköz identitásával kapcsolatos további információkért tekintse meg az eszköz identitásátismertető cikket.For more information about device identity, see the article What is a device identity.

Megjegyzés

A Windows 10 Build 20H1 támogatja az Azure AD-ban regisztrált SZÁMÍTÓGÉPeket, hogy RDP-kapcsolatokat kezdeményezzenek a virtuális géppel.Windows 10 Build 20H1 added support for an Azure AD registered PC to initiate RDP connection to your VM. Ha egy regisztrált Azure AD-t (nem az Azure AD-hez csatlakoztatott vagy hibrid Azure AD-csatlakoztatott) futtató számítógépet használ a virtuális géphez való kapcsolatok kezdeményezéséhez, meg kell adnia a hitelesítő adatokat a következő formátumban: AzureAD\UPn (például AzureAD\john@contoso.com ).When using an Azure AD registered (not Azure AD joined or hybrid Azure AD joined) PC as the RDP client to initiate connections to your VM, you must enter credentials in the format AzureAD\UPn (e.g. AzureAD\john@contoso.com).

Azt is ellenőrizze, hogy az Azure AD JOIN befejeződése után nem lett-e eltávolítva az AADLoginForWindows bővítmény.Also, verify the AADLoginForWindows extension has not been uninstalled after Azure AD join has completed.

MFA bejelentkezési módszer szükségesMFA sign-in method required

Ha a következő hibaüzenet jelenik meg, amikor távoli asztali kapcsolattal kezdeményezi a virtuális gépet:If you see the following error message when you initiate a remote desktop connection to your VM:

  • A használni kívánt bejelentkezési módszer nem engedélyezett.The sign-in method you're trying to use isn't allowed. Próbálkozzon másik bejelentkezési módszerrel, vagy forduljon a rendszergazdához.Try a different sign-in method or contact your system administrator.

A használni kívánt bejelentkezési módszer nem engedélyezett.

Ha olyan feltételes hozzáférési szabályzatot állított be, amely a többtényezős hitelesítés (MFA) használatát igényli az erőforráshoz való hozzáféréshez, meg kell győződnie arról, hogy a Windows 10 rendszerű számítógép egy erős hitelesítési módszer, például a Windows Hello használatával kezdeményezi a távoli asztali kapcsolatot a virtuális géppel.If you have configured a Conditional Access policy that requires multi-factor authentication (MFA) before you can access the resource, then you need to ensure that the Windows 10 PC initiating the remote desktop connection to your VM signs in using a strong authentication method such as Windows Hello. Ha nem használ erős hitelesítési módszert a távoli asztali kapcsolathoz, az előző hibaüzenet jelenik meg.If you do not use a strong authentication method for your remote desktop connection, you will see the previous error.

Ha még nem telepítette a vállalati Windows Hello szolgáltatást, és ha ez nem lehetséges, kizárhatja az MFA-követelményt úgy, hogy a feltételes hozzáférési szabályzatot, amely kizárja az "Azure Windows VM-bejelentkezés" alkalmazást az MFA-t igénylő felhőalapú alkalmazások listájából.If you have not deployed Windows Hello for Business and if that is not an option for now, you can exclude MFA requirement by configuring Conditional Access policy that excludes "Azure Windows VM Sign-In" app from the list of cloud apps that require MFA. A vállalati Windows Hello szolgáltatással kapcsolatos további tudnivalókért tekintse meg a vállalati Windows Hello áttekintésecímű témakört.To learn more about Windows Hello for Business, see Windows Hello for Business Overview.

Megjegyzés

A Windows Hello for Business PIN-kódjának RDP protokollal való hitelesítését a Windows 10 több verzióra is támogatja, azonban a Windows 10 1809-es verziójában hozzá lett adva a biometrikus hitelesítés támogatása az RDP használatával.Windows Hello for Business PIN authentication with RDP has been supported by Windows 10 for several versions, however support for Biometric authentication with RDP was added in Windows 10 version 1809. Ha a Windows Hello for Business hitelesítést használja az RDP-ben, csak a CERT megbízhatósági modellt használó központi telepítések esetén érhető el, és a kulcs megbízhatósági modellje jelenleg nem érhető el.Using Windows Hello for Business auth during RDP is only available for deployments that use cert trust model and currently not available for key trust model.

Az előzetes verzióval kapcsolatos visszajelzésPreview feedback

Ossza meg visszajelzését erről az előzetes verziójú szolgáltatásról, vagy jelentse a problémát az Azure ad visszajelzési fórumánakhasználatával.Share your feedback about this preview feature or report issues using it on the Azure AD feedback forum.

Következő lépésekNext steps

További információ a Azure Active Directoryről: Mi az Azure Active DirectoryFor more information on Azure Active Directory, see What is Azure Active Directory