Desteklenen kimlikler ve kimlik doğrulama yöntemleri
Bu makalede, Azure Sanal Masaüstü'nde hangi kimlik türlerini ve kimlik doğrulama yöntemlerini kullanabileceğinize ilişkin kısa bir genel bakış sağlayacağız.
Kimlikler
Azure Sanal Masaüstü, seçtiğiniz yapılandırmaya bağlı olarak farklı kimlik türlerini destekler. Bu bölümde, her yapılandırma için hangi kimlikleri kullanabileceğiniz açıklanmaktadır.
Önemli
Azure Sanal Masaüstü, microsoft Entra ID'de tek bir kullanıcı hesabıyla oturum açmayı ve ardından ayrı bir kullanıcı hesabıyla Windows'ta oturum açmayı desteklemez. Aynı anda iki farklı hesapla oturum açmak, kullanıcıların yanlış oturum konağına yeniden bağlanmasına, Azure portalında yanlış veya eksik bilgilere ve MSIX uygulama ekleme kullanılırken hata iletilerinin görünmesine neden olabilir.
Şirket içi kimlik
Azure Sanal Masaüstü'ne erişmek için kullanıcıların Microsoft Entra Id aracılığıyla bulunması gerektiğinden, yalnızca Active Directory Etki Alanı Hizmetleri'nde (AD DS) bulunan kullanıcı kimlikleri desteklenmez. Bu, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile tek başına Active Directory dağıtımlarını içerir.
Karma kimlik
Azure Sanal Masaüstü, AD FS kullanan federasyonlar da dahil olmak üzere Microsoft Entra Kimliği aracılığıyla karma kimlikleri destekler. Bu kullanıcı kimliklerini AD DS'de yönetebilir ve Microsoft Entra Bağlan kullanarak Microsoft Entra Id ile eşitleyebilirsiniz. Ayrıca bu kimlikleri yönetmek ve Microsoft Entra Domain Services ile eşitlemek için Microsoft Entra Id kullanabilirsiniz.
Karma kimlikleri kullanarak Azure Sanal Masaüstü'ne erişirken, bazen Active Directory (AD) ve Microsoft Entra ID'deki kullanıcının Kullanıcı Asıl Adı (UPN) veya Güvenlik Tanımlayıcısı (SID) eşleşmez. Örneğin, AD hesabı user@contoso.local Microsoft Entra Id'ye user@contoso.com karşılık gelebilir. Azure Sanal Masaüstü bu tür yapılandırmayı yalnızca hem AD hem de Microsoft Entra ID hesaplarınızın UPN veya SID'si eşleşiyorsa destekler. SID, AD'de "ObjectSID" ve Microsoft Entra Id'de "OnPremisesSecurityIdentifier" kullanıcı nesnesi özelliğini ifade eder.
Yalnızca bulut kimliği
Azure Sanal Masaüstü, Microsoft Entra'ya katılmış VM'leri kullanırken yalnızca bulut kimliklerini destekler. Bu kullanıcılar doğrudan Microsoft Entra Id'de oluşturulur ve yönetilir.
Not
Karma kimlikleri, Microsoft Entra'ya katılmış katılım türünde Oturum konaklarını barındıran Azure Sanal Masaüstü Uygulaması gruplarına da atayabilirsiniz.
Üçüncü taraf kimlik sağlayıcıları
Kullanıcı hesaplarınızı yönetmek için Microsoft Entra Id dışında bir Kimlik Sağlayıcısı (IdP) kullanıyorsanız, aşağıdakilerden emin olmanız gerekir:
- IdP'niz Microsoft Entra Id ile birleştirilir.
- Oturum konaklarınız Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış.
- Oturum ana bilgisayarında Microsoft Entra kimlik doğrulamasını etkinleştirirsiniz.
Dış kimlik
Azure Sanal Masaüstü şu anda dış kimlikleri desteklemez.
Kimlik doğrulama yöntemleri
Uzak oturuma bağlanan kullanıcılar için üç ayrı kimlik doğrulama noktası vardır:
Azure Sanal Masaüstü'ne hizmet kimlik doğrulaması: kullanıcının istemciye erişirken eriştiği kaynakların listesini alma. Bu deneyim, Microsoft Entra hesabı yapılandırmasına bağlıdır. Örneğin, kullanıcı çok faktörlü kimlik doğrulaması etkinleştirildiyse, kullanıcıdan diğer hizmetlere erişirken olduğu gibi kullanıcı hesabı ve ikinci bir kimlik doğrulaması biçimi istenir.
Oturum konağı: uzak oturumu başlatırken. Oturum konağı için kullanıcı adı ve parola gerekir, ancak çoklu oturum açma (SSO) etkinse bu kullanıcı için sorunsuz olur.
Oturum içi kimlik doğrulaması: Uzak oturumdaki diğer kaynaklara bağlanma.
Aşağıdaki bölümlerde bu kimlik doğrulama noktalarının her biri daha ayrıntılı olarak açıklanmaktadır.
Hizmet kimlik doğrulaması
Azure Sanal Masaüstü kaynaklarına erişmek için öncelikle bir Microsoft Entra hesabıyla oturum açarak hizmette kimlik doğrulaması yapmanız gerekir. Kimlik doğrulaması, kaynaklarınızı almak ve uygulamalara veya masaüstlerine bağlanmak için bir çalışma alanına her abone olduğunuzda gerçekleşir. Üçüncü taraf kimlik sağlayıcılarını, Microsoft Entra Kimliği ile federasyon yaptıkları sürece kullanabilirsiniz.
Çok faktörlü kimlik doğrulaması
Dağıtımınız için Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılmayı öğrenmek için Koşullu Erişim kullanarak Azure Sanal Masaüstü için Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılma başlığındaki yönergeleri izleyin. Bu makalede ayrıca kullanıcılarınızın kimlik bilgilerini girmelerinin isteneceği sıklıkları nasıl yapılandıracağınız da anlatılır. Microsoft Entra'ya katılmış VM'leri dağıtırken, Microsoft Entra'ya katılmış oturum ana bilgisayar VM'leri için ek adımları not edin.
Parolasız kimlik doğrulaması
Hizmette kimlik doğrulaması yapmak için İş İçin Windows Hello ve diğer parolasız kimlik doğrulama seçenekleri (örneğin FIDO anahtarları) gibi Microsoft Entra ID tarafından desteklenen herhangi bir kimlik doğrulama türünü kullanabilirsiniz.
Akıllı kart kimlik doğrulaması
Microsoft Entra Id'de kimlik doğrulaması yapmak üzere akıllı kart kullanmak için önce AD FS'yi kullanıcı sertifikası kimlik doğrulaması için yapılandırmanız veya Microsoft Entra sertifika tabanlı kimlik doğrulamasını yapılandırmanız gerekir.
Oturum konağı kimlik doğrulaması
Çoklu oturum açmayı etkinleştirmediyseniz veya kimlik bilgilerinizi yerel olarak kaydetmediyseniz, bağlantı başlatırken oturum ana bilgisayarında da kimlik doğrulaması yapmanız gerekir. Aşağıdaki listede, her Azure Sanal Masaüstü istemcisinin şu anda hangi kimlik doğrulama türlerini desteklediği açıklanmaktadır. Bazı istemciler, her kimlik doğrulama türü için bağlantıda bulabileceğiniz belirli bir sürümün kullanılmasını gerektirebilir.
İstemci | Desteklenen kimlik doğrulama türleri |
---|---|
Windows Masaüstü istemcisi | Kullanıcı adı ve parola Akıllı kart Sertifika güvenini İş İçin Windows Hello Sertifikalarla anahtar güveni İş İçin Windows Hello Microsoft Entra doğrulaması |
Azure Sanal Masaüstü Mağazası uygulaması | Kullanıcı adı ve parola Akıllı kart Sertifika güvenini İş İçin Windows Hello Sertifikalarla anahtar güveni İş İçin Windows Hello Microsoft Entra doğrulaması |
Uzak Masaüstü uygulaması | Kullanıcı adı ve parola |
Web istemcisi | Kullanıcı adı ve parola Microsoft Entra doğrulaması |
Android istemcisi | Kullanıcı adı ve parola Microsoft Entra doğrulaması |
iOS istemcisi | Kullanıcı adı ve parola Microsoft Entra doğrulaması |
macOS istemcisi | Kullanıcı adı ve parola Akıllı kart: NLA anlaşması yapılmadığında Winlogon isteminde akıllı kart yeniden yönlendirme kullanarak akıllı kart tabanlı oturum açma desteği. Microsoft Entra doğrulaması |
Önemli
Kimlik doğrulamasının düzgün çalışması için yerel makinenizin Uzak Masaüstü istemcileri için gerekli URL'lere de erişebilmesi gerekir.
Çoklu oturum açma (SSO)
SSO, bağlantının oturum ana bilgisayarı kimlik bilgisi istemini atlayıp kullanıcıyı Windows'ta otomatik olarak oturum açmasına olanak tanır. Microsoft Entra'ya katılmış veya Microsoft Entra karmasına katılmış oturum konakları için Microsoft Entra kimlik doğrulamasını kullanarak SSO'nun etkinleştirilmesi önerilir. Microsoft Entra kimlik doğrulaması, parolasız kimlik doğrulaması ve üçüncü taraf kimlik sağlayıcıları için destek de dahil olmak üzere başka avantajlar sağlar.
Azure Sanal Masaüstü, Windows Masaüstü ve web istemcileri için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanan SSO'ları da destekler.
SSO olmadan istemci, kullanıcılardan her bağlantı için oturum ana bilgisayar kimlik bilgilerini ister. İstenmesini önlemenin tek yolu, kimlik bilgilerini istemciye kaydetmektir. Diğer kullanıcıların kaynaklarınıza erişmesini önlemek için kimlik bilgilerini yalnızca güvenli cihazlara kaydetmenizi öneririz.
Akıllı kart ve İş İçin Windows Hello
Azure Sanal Masaüstü, oturum konağı kimlik doğrulaması için hem NT LAN Manager (NTLM) hem de Kerberos'u destekler, ancak Akıllı kart ve İş İçin Windows Hello oturum açmak için yalnızca Kerberos kullanabilir. Kerberos kullanmak için istemcinin, etki alanı denetleyicisinde çalışan bir Anahtar Dağıtım Merkezi (KDC) hizmetinden Kerberos güvenlik biletleri alması gerekir. Bilet almak için istemcinin etki alanı denetleyicisine doğrudan bir ağ bağlantısına ihtiyacı vardır. Doğrudan şirket ağınıza bağlanarak, VPN bağlantısı kullanarak veya bir KDC Proxy sunucusu ayarlayarak bir görüş hattı elde edebilirsiniz.
Oturum içi kimlik doğrulaması
RemoteApp'inize veya masaüstünüze bağlandıktan sonra oturumda kimlik doğrulaması yapmanız istenebilir. Bu bölümde, bu senaryoda kullanıcı adı ve parola dışındaki kimlik bilgilerinin nasıl kullanılacağı açıklanmaktadır.
Oturum içi parolasız kimlik doğrulaması
Azure Sanal Masaüstü, Windows Masaüstü istemcisini kullanırken İş İçin Windows Hello veya FIDO anahtarları gibi güvenlik cihazlarını kullanarak oturum içi parolasız kimlik doğrulamasını destekler. Oturum konağı ve yerel bilgisayar aşağıdaki işletim sistemlerini kullandığında parolasız kimlik doğrulaması otomatik olarak etkinleştirilir:
- Windows 11 için 2022-10 Toplu Güncelleştirmeler (KB5018418) veya üzeri yüklü windows 11 tek veya çok oturumlu.
- Windows 10 tek veya çok oturumlu, Windows 10 için 2022-10 Toplu Güncelleştirmeler (KB5018410) veya üzeri yüklü olan 20H2 veya üzeri sürümler.
- Microsoft server işletim sistemi (KB5018421) veya üzeri için 2022-10 Toplu Güncelleştirmesi'nin yüklü olduğu Windows Server 2022.
Konak havuzunuzda parolasız kimlik doğrulamasını devre dışı bırakmak için RDP özelliğini özelleştirmeniz gerekir. WebAuthn yeniden yönlendirme özelliğini Azure portalındaki Cihaz yeniden yönlendirme sekmesinde bulabilir veya PowerShell kullanarak redirectwebauthn özelliğini 0 olarak ayarlayabilirsiniz.
Etkinleştirildiğinde, oturumdaki tüm WebAuthn istekleri yerel bilgisayara yönlendirilir. Kimlik doğrulama işlemini tamamlamak için İş İçin Windows Hello veya yerel olarak bağlı güvenlik cihazlarını kullanabilirsiniz.
İş İçin Windows Hello veya güvenlik cihazlarıyla Microsoft Entra kaynaklarına erişmek için FIDO2 Güvenlik Anahtarı'nı kullanıcılarınız için kimlik doğrulama yöntemi olarak etkinleştirmeniz gerekir. Bu yöntemi etkinleştirmek için FIDO2 güvenlik anahtarı yöntemini etkinleştirme'deki adımları izleyin.
Oturum içi akıllı kart kimlik doğrulaması
Oturumunuzda akıllı kart kullanmak için, akıllı kart sürücülerini oturum konağına yüklediğinizden ve akıllı kart yeniden yönlendirmesini etkinleştirdiğinizden emin olun. İstemcinizin akıllı kart yeniden yönlendirmesini desteklediğinden emin olmak için istemci karşılaştırma grafiğini gözden geçirin.
Sonraki adımlar
- Dağıtımınızı güvenli tutmanın diğer yollarını mı merak ediyorsun? Güvenlikle ilgili en iyi yöntemler'e göz atın.
- Microsoft Entra'ya katılmış VM'lere bağlanırken sorun mu yaşıyorsunuz? Microsoft Entra'ya katılmış VM'lerle bağlantı sorunlarını giderme makalesine bakın.
- Oturum içi parolasız kimlik doğrulamasıyla ilgili sorun mu yaşıyorsunuz? Bkz . WebAuthn yeniden yönlendirme sorunlarını giderme.
- Kurumsal ağınızın dışından akıllı kartlar kullanmak mı istiyorsunuz? KDC Proxy sunucusu ayarlamayı gözden geçirin.