Identiteter och autentiseringsmetoder som stöds
I den här artikeln ger vi dig en kort översikt över vilka typer av identiteter och autentiseringsmetoder du kan använda i Azure Virtual Desktop.
Identiteter
Azure Virtual Desktop stöder olika typer av identiteter beroende på vilken konfiguration du väljer. I det här avsnittet beskrivs vilka identiteter du kan använda för varje konfiguration.
Viktigt!
Azure Virtual Desktop stöder inte inloggning till Microsoft Entra-ID med ett användarkonto och loggar sedan in på Windows med ett separat användarkonto. Att logga in med två olika konton samtidigt kan leda till att användare återansluter till fel sessionsvärd, felaktig eller saknad information i Azure-portalen och felmeddelanden som visas när de använder MSIX-appanslutning.
Lokal identitet
Eftersom användare måste kunna identifieras via Microsoft Entra-ID för att få åtkomst till Azure Virtual Desktop stöds inte användaridentiteter som bara finns i Active Directory-domän Services (AD DS). Detta omfattar fristående Active Directory-distributioner med Active Directory Federation Services (AD FS) (AD FS).
Hybrididentitet
Azure Virtual Desktop stöder hybrididentiteter via Microsoft Entra-ID, inklusive de som federeras med HJÄLP av AD FS. Du kan hantera dessa användaridentiteter i AD DS och synkronisera dem till Microsoft Entra-ID med hjälp av Microsoft Entra Anslut. Du kan också använda Microsoft Entra-ID för att hantera dessa identiteter och synkronisera dem med Microsoft Entra Domain Services.
När du kommer åt Azure Virtual Desktop med hybrididentiteter matchar ibland inte användarens huvudnamn (UPN) eller säkerhetsidentifierare (SID) för användaren i Active Directory (AD) och Microsoft Entra-ID. AD-kontot user@contoso.local kan till exempel motsvara user@contoso.com i Microsoft Entra-ID. Azure Virtual Desktop stöder endast den här typen av konfiguration om antingen UPN- eller SID-kontona för både AD- och Microsoft Entra-ID matchar. SID refererar till användarobjektegenskapen "ObjectSID" i AD och "OnPremisesSecurityIdentifier" i Microsoft Entra-ID.
Identitet som endast är molnbaserad
Azure Virtual Desktop har stöd för molnbaserade identiteter när du använder Microsoft Entra-anslutna virtuella datorer. Dessa användare skapas och hanteras direkt i Microsoft Entra-ID.
Kommentar
Du kan också tilldela hybrididentiteter till Azure Virtual Desktop-programgrupper som är värdar för sessionsvärdar av kopplingstypen Microsoft Entra-ansluten.
Identitetsprovidrar från tredje part
Om du använder en annan identitetsprovider (IdP) än Microsoft Entra-ID för att hantera dina användarkonton måste du se till att:
- Din IdP är federerad med Microsoft Entra-ID.
- Dina sessionsvärdar är Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar.
- Du aktiverar Microsoft Entra-autentisering till sessionsvärden.
Extern identitet
Azure Virtual Desktop stöder för närvarande inte externa identiteter.
Autentiseringsmetoder
För användare som ansluter till en fjärrsession finns det tre separata autentiseringspunkter:
Tjänstautentisering till Azure Virtual Desktop: hämtar en lista över resurser som användaren har åtkomst till vid åtkomst till klienten. Upplevelsen beror på Microsoft Entra-kontokonfigurationen. Om användaren till exempel har aktiverat multifaktorautentisering uppmanas användaren att ange sitt användarkonto och en andra form av autentisering, på samma sätt som vid åtkomst till andra tjänster.
Sessionsvärd: när du startar en fjärrsession. Ett användarnamn och lösenord krävs för en sessionsvärd, men det är sömlöst för användaren om enkel inloggning (SSO) är aktiverat.
Autentisering under sessionen: ansluta till andra resurser inom en fjärrsession.
I följande avsnitt beskrivs var och en av dessa autentiseringspunkter mer detaljerat.
Tjänstautentisering
För att få åtkomst till Azure Virtual Desktop-resurser måste du först autentisera till tjänsten genom att logga in med ett Microsoft Entra-konto. Autentisering sker när du prenumererar på en arbetsyta för att hämta dina resurser och ansluta till appar eller skrivbord. Du kan använda identitetsprovidrar från tredje part så länge de federeras med Microsoft Entra-ID.
Multifaktorautentisering
Följ anvisningarna i Framtvinga Microsoft Entra multifaktorautentisering för Azure Virtual Desktop med villkorlig åtkomst för att lära dig hur du framtvingar Microsoft Entra multifaktorautentisering för din distribution. Den här artikeln beskriver också hur du konfigurerar hur ofta användarna uppmanas att ange sina autentiseringsuppgifter. När du distribuerar Microsoft Entra-anslutna virtuella datorer bör du tänka på de extra stegen för virtuella Microsoft Entra-anslutna sessionsvärddatorer.
Lösenordsfri autentisering
Du kan använda valfri autentiseringstyp som stöds av Microsoft Entra-ID, till exempel Windows Hello för företag och andra alternativ för lösenordslös autentisering (till exempel FIDO-nycklar) för att autentisera till tjänsten.
Autentisering med smartkort
Om du vill använda ett smartkort för att autentisera till Microsoft Entra-ID måste du först konfigurera AD FS för autentisering med användarcertifikat eller konfigurera Microsoft Entra-certifikatbaserad autentisering.
Sessionsvärdautentisering
Om du inte redan har aktiverat enkel inloggning eller sparat dina autentiseringsuppgifter lokalt måste du också autentisera till sessionsvärden när du startar en anslutning. I följande lista beskrivs vilka typer av autentisering som varje Azure Virtual Desktop-klient stöder för närvarande. Vissa klienter kan kräva att en viss version används, som du hittar i länken för varje autentiseringstyp.
| Klient | Autentiseringstyper som stöds |
|---|---|
| Klient för Windows-skrivbordet | Användarnamn och lösenord Smartkort Windows Hello för företag certifikatförtroende Windows Hello för företag nyckelförtroende med certifikat Microsoft Entra-autentisering |
| Azure Virtual Desktop Store-app | Användarnamn och lösenord Smartkort Windows Hello för företag certifikatförtroende Windows Hello för företag nyckelförtroende med certifikat Microsoft Entra-autentisering |
| Fjärrskrivbordsapp | Användarnamn och lösenord |
| Webbklient | Användarnamn och lösenord Microsoft Entra-autentisering |
| Android-klient | Användarnamn och lösenord Microsoft Entra-autentisering |
| iOS-klient | Användarnamn och lösenord Microsoft Entra-autentisering |
| macOS-klient | Användarnamn och lösenord Smartkort: stöd för smartkortsbaserad inloggning med omdirigering av smartkort i Winlogon-prompten när NLA inte förhandlas. Microsoft Entra-autentisering |
Viktigt!
För att autentiseringen ska fungera korrekt måste den lokala datorn också kunna komma åt de URL:er som krävs för fjärrskrivbordsklienter.
Enkel inloggning (SSO)
Med enkel inloggning kan anslutningen hoppa över kommandotolken för sessionsvärdens autentiseringsuppgifter och automatiskt logga in användaren i Windows. För sessionsvärdar som är Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar rekommenderar vi att du aktiverar enkel inloggning med Microsoft Entra-autentisering. Microsoft Entra-autentisering ger andra fördelar, inklusive lösenordslös autentisering och stöd för identitetsprovidrar från tredje part.
Azure Virtual Desktop stöder även enkel inloggning med hjälp av Active Directory Federation Services (AD FS) (AD FS) för Windows Desktop- och webbklienter.
Utan enkel inloggning uppmanar klienten användarna att ange sina autentiseringsuppgifter för sessionsvärden för varje anslutning. Det enda sättet att undvika att bli tillfrågad är att spara autentiseringsuppgifterna i klienten. Vi rekommenderar att du bara sparar autentiseringsuppgifter på säkra enheter för att förhindra att andra användare kommer åt dina resurser.
Smartkort och Windows Hello för företag
Azure Virtual Desktop stöder både NT LAN Manager (NTLM) och Kerberos för sessionsvärdautentisering, men smartkort och Windows Hello för företag kan bara använda Kerberos för att logga in. Om du vill använda Kerberos måste klienten hämta Kerberos-säkerhetsbiljetter från en KDC-tjänst (Key Distribution Center) som körs på en domänkontrollant. För att få biljetter behöver klienten en direkt nätverkslinje till domänkontrollanten. Du kan få en siktlinje genom att ansluta direkt i företagets nätverk, använda en VPN-anslutning eller konfigurera en KDC-proxyserver.
Autentisering under sessionen
När du är ansluten till remoteappen eller skrivbordet kan du uppmanas att autentisering i sessionen. I det här avsnittet beskrivs hur du använder andra autentiseringsuppgifter än användarnamn och lösenord i det här scenariot.
Lösenordslös autentisering under sessionen
Azure Virtual Desktop stöder lösenordslös autentisering under sessionen med Windows Hello för företag eller säkerhetsenheter som FIDO-nycklar när du använder Windows Desktop-klienten. Lösenordsfri autentisering aktiveras automatiskt när sessionsvärden och den lokala datorn använder följande operativsystem:
- Windows 11 med en eller flera sessioner med kumulativ Uppdateringar 2022-10 för Windows 11 (KB5018418) eller senare installerat.
- Windows 10 enkel eller flera sessioner, version 20H2 eller senare med 2022-10 Kumulativ Uppdateringar för Windows 10 (KB5018410) eller senare installerat.
- Windows Server 2022 med den kumulativa uppdateringen 2022–2010 för Microsoft Server-operativsystemet (KB5018421) eller senare installerad.
Om du vill inaktivera lösenordslös autentisering i värdpoolen måste du anpassa en RDP-egenskap. Du hittar omdirigeringsegenskapen WebAuthn under fliken Enhetsomdirigering i Azure-portalen eller ange egenskapen redirectwebauthn till 0 med hjälp av PowerShell.
När det är aktiverat omdirigeras alla WebAuthn-begäranden i sessionen till den lokala datorn. Du kan använda Windows Hello för företag eller lokalt anslutna säkerhetsenheter för att slutföra autentiseringsprocessen.
Om du vill komma åt Microsoft Entra-resurser med Windows Hello för företag eller säkerhetsenheter måste du aktivera FIDO2-säkerhetsnyckeln som en autentiseringsmetod för dina användare. Om du vill aktivera den här metoden följer du stegen i Metoden Aktivera FIDO2-säkerhetsnyckel.
Autentisering med smartkort under sessionen
Om du vill använda ett smartkort i sessionen kontrollerar du att du har installerat smartkortsdrivrutinerna på sessionsvärden och aktiverat omdirigering av smartkort. Granska klientjämförelsediagrammet för att se till att klienten stöder smartkortomdirigering.
Nästa steg
- Vill du veta mer om andra sätt att skydda distributionen? Se metodtips för säkerhet.
- Har du problem med att ansluta till Microsoft Entra-anslutna virtuella datorer? Titta på Felsöka anslutningar till Microsoft Entra-anslutna virtuella datorer.
- Har du problem med lösenordsfri autentisering under sessionen? Se Felsöka omdirigering av WebAuthn.
- Vill du använda smartkort utanför företagets nätverk? Granska hur du konfigurerar en KDC-proxyserver.