Поддерживаемые удостоверения и способы проверки подлинности
В этой статье приведен краткий обзор видов удостоверений и способов проверки подлинности, которые можно использовать в Виртуальном рабочем столе Azure.
Удостоверения
Виртуальный рабочий стол Azure поддерживает различные типы удостоверений в зависимости от выбранной конфигурации. В этом разделе объясняется, какие удостоверения можно использовать для каждой конфигурации.
Внимание
Виртуальный рабочий стол Azure не поддерживает вход в Microsoft Entra ID с одной учетной записью пользователя, а затем войдите в Windows с помощью отдельной учетной записи пользователя. Вход с двумя разными учетными записями одновременно может привести к повторному подключению пользователей к неправильному узлу сеанса, неправильной или недостающей информации в портал Azure, а сообщения об ошибках отображаются при подключении приложения MSIX.
Локальный идентификатор
Так как пользователи должны быть доступны для обнаружения с помощью идентификатора Microsoft Entra для доступа к виртуальному рабочему столу Azure, удостоверения пользователей, которые существуют только в службах домен Active Directory (AD DS), не поддерживаются. К ним относятся автономные Active Directory развертывания со службами федерации Active Directory (AD FS).
Интеграция локальных каталогов с Azure Active Directory
Виртуальный рабочий стол Azure поддерживает гибридные удостоверения с помощью идентификатора Microsoft Entra, включая федеративные с помощью AD FS. Эти удостоверения пользователей можно управлять в AD DS и синхронизировать их с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение. Вы также можете использовать идентификатор Microsoft Entra для управления этими удостоверениями и синхронизации их с доменными службами Microsoft Entra.
При доступе к виртуальному рабочему столу Azure с помощью гибридных удостоверений иногда имя участника-пользователя (UPN) или идентификатор безопасности (SID) для пользователя в Active Directory (AD) и идентификатор Microsoft Entra ID не совпадают. Например, учетная запись user@contoso.local AD может соответствовать user@contoso.com идентификатору Microsoft Entra. Виртуальный рабочий стол Azure поддерживает только этот тип конфигурации, если имя участника-пользователя или идентификатор безопасности для учетных записей AD и Идентификатора Microsoft Entra совпадают. SID относится к свойству объекта пользователя ObjectSID в AD и OnPremisesSecurityIdentifier в Идентификаторе Microsoft Entra.
Удостоверение только для облака
Виртуальный рабочий стол Azure поддерживает облачные удостоверения при использовании присоединенных к Microsoft Entra виртуальных машин. Эти пользователи создаются и управляются непосредственно в идентификаторе Microsoft Entra.
Примечание.
Вы также можете назначить гибридные удостоверения группам приложений Виртуального рабочего стола Azure, в которых размещаются узлы сеансов соединения типа Microsoft Entra, присоединенных.
Сторонние поставщики удостоверений
Если вы используете поставщик удостоверений (IdP), отличный от идентификатора Microsoft Entra для управления учетными записями пользователей, необходимо убедиться, что:
- Поставщик удостоверений федеративн с идентификатором Microsoft Entra.
- Узлы сеансов присоединены к Microsoft Entra или присоединены к гибридному присоединению к Microsoft Entra.
- Проверка подлинности Microsoft Entra включена на узел сеанса.
Внешнее удостоверение
Виртуальный рабочий стол Azure сейчас не поддерживает внешние удостоверения.
методы проверки подлинности;
Для пользователей, подключающихся к удаленному сеансу, существует три отдельных точки проверки подлинности:
Проверка подлинности службы на виртуальном рабочем столе Azure: получение списка ресурсов, к к которые пользователь имеет доступ при доступе к клиенту. Интерфейс зависит от конфигурации учетной записи Microsoft Entra. Например, если у пользователя включена многофакторная проверка подлинности, пользователь запрашивает учетную запись пользователя и вторую форму проверки подлинности таким же образом, как и доступ к другим службам.
Узел сеанса: при запуске удаленного сеанса. Имя пользователя и пароль требуются для узла сеансов, но это удобно для пользователя, если включен единый вход.
Проверка подлинности в сеансе: подключение к другим ресурсам в удаленном сеансе.
В следующих разделах подробно описаны все эти точки проверки подлинности.
Проверка подлинности службы
Чтобы получить доступ к ресурсам Виртуального рабочего стола Azure, необходимо сначала пройти проверку подлинности в службе, выполнив вход с помощью учетной записи Microsoft Entra. Проверка подлинности выполняется при подписке на рабочую область для получения ресурсов и подключении к приложениям или настольным компьютерам. Сторонние поставщики удостоверений можно использовать до тех пор, пока они федеративны с идентификатором Microsoft Entra.
Многофакторная проверка подлинности
Следуйте инструкциям в статье Принудительное применение многофакторной проверки подлинности Microsoft Entra для виртуального рабочего стола Azure с помощью условного доступа , чтобы узнать, как применить многофакторную проверку подлинности Microsoft Entra для развертывания. В этой статье также рассказывается, как настроить периодичность, с которой пользователи будут получать запрос на ввод учетных данных. При развертывании виртуальных машин, присоединенных к Microsoft Entra, обратите внимание на дополнительные действия для виртуальных машин узла сеанса, присоединенных к Microsoft Entra.
Проверка подлинности без пароля
Для проверки подлинности в службе можно использовать любой тип проверки подлинности, поддерживаемый идентификатором Microsoft Entra, например Windows Hello для бизнеса и другими параметрами проверки подлинности без пароля (например, ключами FIDO).
Аутентификация по смарт-карте
Чтобы использовать смарт-карта для проверки подлинности в идентификаторе Microsoft Entra ID, необходимо сначала настроить AD FS для проверки подлинности сертификата пользователя или настроить проверку подлинности на основе сертификата Microsoft Entra.
Проверка подлинности узла сеанса
Если вы еще не включили единый вход и не сохранили учетные данные локально, вам также потребуется пройти проверку подлинности на узле сеансов при запуске подключения. В следующем списке описаны типы проверки подлинности, поддерживаемые каждым клиентом Виртуального рабочего стола Azure. Для некоторых клиентов может потребоваться использовать определенную версию, которую можно найти по ссылке для каждого типа проверки подлинности.
| Клиент | Поддерживаемые типы проверки подлинности |
|---|---|
| Клиент классических приложений Windows | Имя пользователя и пароль Смарт-карта Доверие сертификату Windows Hello для бизнеса Доверие на основе ключей Windows Hello для бизнеса с использованием сертификатов Проверка подлинности Microsoft Entra |
| Приложение Магазина виртуальных рабочих столов Azure | Имя пользователя и пароль Смарт-карта Доверие сертификату Windows Hello для бизнеса Доверие на основе ключей Windows Hello для бизнеса с использованием сертификатов Проверка подлинности Microsoft Entra |
| Приложение удаленного рабочего стола | Имя пользователя и пароль |
| Веб-клиент | Имя пользователя и пароль Проверка подлинности Microsoft Entra |
| Клиент Android | Имя пользователя и пароль Проверка подлинности Microsoft Entra |
| Клиент iOS | Имя пользователя и пароль Проверка подлинности Microsoft Entra |
| Клиент macOS | Имя пользователя и пароль Смарт-карта. Добавлена поддержка входа на основе смарт-карт с помощью перенаправления смарт-карты в командной строке Winlogon, когда NLA не согласована. Проверка подлинности Microsoft Entra |
Внимание
Чтобы проверка подлинности работала правильно, локальный компьютер также должен иметь доступ к необходимым URL-адресам для Клиентов удаленного рабочего стола.
Единый вход
Единый вход позволяет подключению пропустить запрос учетных данных узла сеанса и автоматически выполнить вход пользователя в Windows. Для узлов сеансов, присоединенных к Microsoft Entra или гибридных присоединенных к Microsoft Entra, рекомендуется включить единый вход с помощью проверки подлинности Microsoft Entra. Проверка подлинности Microsoft Entra предоставляет другие преимущества, включая проверку подлинности без пароля и поддержку сторонних поставщиков удостоверений.
Виртуальный рабочий стол Azure также поддерживает единый вход с использованием ADFS для клиентов в виде классического приложения Windows и веб-клиентов.
В отсутствие единого входа клиент запрашивает у пользователей учетные данные узла сеанса для каждого подключения. Единственный способ избежать запроса — сохранить учетные данные в клиенте. Мы рекомендуем сохранять учетные данные только на защищенных устройствах, чтобы предотвратить доступ других пользователей к вашим ресурсам.
Смарт-карта и Windows Hello для бизнеса
Виртуальный рабочий стол Azure поддерживает NT LAN Manager (NTLM) и Kerberos для проверки подлинности узла сеанса, однако смарт-карта и Windows Hello для бизнеса могут использовать только Kerberos для входа. Чтобы использовать Kerberos, клиенту придется получать билеты безопасности Kerberos из службы KDC (центра распространения ключей), запущенной на контроллере домена. Для получения билетов клиенту требуется прямая видимость контроллера домена в сети. Вы можете получить прямую видимость, установив подключение непосредственно к корпоративной сети, используя VPN-подключение или настроив прокси-сервер KDC.
Проверка подлинности в сеансе
После подключения к Удаленному приложению или рабочему столу может потребоваться проверка подлинности внутри сеанса. В этом разделе объясняется, как использовать в этом сценарии учетные данные, отличные от имени пользователя и пароля.
Проверка подлинности без пароля в сеансе
Виртуальный рабочий стол Azure поддерживает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO при использовании клиента Windows Desktop. Проверка подлинности без пароля включена автоматически, если узел сеанса и локальный компьютер используют следующие операционные системы:
- Windows 11 с одним или несколькими сеансами с накопительным Обновления 2022-10 для Windows 11 (КБ 5018418) или более поздней версии.
- Windows 10 с одним или несколькими сеансами версии 20H2 или более поздней версии с накопительным Обновления 2022-10 для Windows 10 (КБ 5018410) или более поздней версии.
- Windows Server 2022 с накопительным пакетом обновления 2022-10 для операционной системы Microsoft Server (КБ 5018421) или более поздней версии.
Чтобы отключить проверку подлинности без пароля в пуле узлов, необходимо настроить свойство RDP. Свойство перенаправления WebAuthn можно найти на вкладке перенаправления устройств в портал Azure или задать для свойства redirectwebauthn значение 0 с помощью PowerShell.
Если этот параметр включен, все запросы WebAuthn в сеансе перенаправляются на локальный компьютер. Для завершения процесса проверки подлинности можно использовать Windows Hello для бизнеса или локально подключенные устройства безопасности.
Чтобы получить доступ к ресурсам Microsoft Entra с Windows Hello для бизнеса или устройствами безопасности, необходимо включить ключ безопасности FIDO2 в качестве метода проверки подлинности для пользователей. Чтобы включить этот способ, выполните инструкции в статье Включить метод подключения с помощью ключа безопасности FIDO2.
Проверка подлинности с использованием смарт-карты в сеансе
Чтобы использовать смарт-карту в сеансе, убедитесь, что на узле сеансов установлены драйверы смарт-карт и включено перенаправление смарт-карт. Ознакомьтесь с таблицей сравнения клиентов и убедитесь, что клиент поддерживает перенаправление смарт-карт.
Следующие шаги
- Хотите узнать о других способах защиты развертывания? Изучите лучшие методики обеспечения безопасности.
- Наличие проблем с подключением к виртуальным машинам, присоединенным к Microsoft Entra? Просмотрите сведения об устранении неполадок подключений к виртуальным машинам, присоединенным к Microsoft Entra.
- Возникли проблемы с проверкой подлинности без пароля в сеансе? Перейдите к статье Устранение неполадок с перенаправлением WebAuthn.
- Хотите использовать смарт-карты за пределами корпоративной сети? Узнайте, как настроить прокси-сервер KDC.