你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在本文中,我们将简要概述可在 Azure 虚拟桌面中使用的标识和身份验证方法类型。
身份
Azure 虚拟桌面支持不同类型的标识,具体取决于你选择的配置。 本部分介绍可用于每个配置的标识。
重要
Azure 虚拟桌面不支持使用一个用户帐户登录到 Microsoft Entra ID,然后使用单独的用户帐户登录到 Windows。 使用两个不同的帐户同时登录可能会导致用户重新连接到错误的会话主机、Azure 门户中错误或缺少信息,以及使用应用附加时出现的错误消息。
本地标识
由于用户必须可通过Microsoft Entra ID来发现才能访问 Azure 虚拟桌面,因此不支持仅存在于 Active Directory 域服务 (AD DS) 中的用户标识。 这包括具有 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。
混合标识
Azure 虚拟桌面通过Microsoft Entra ID支持混合标识,包括使用 AD FS 联合标识的标识。 可以在 AD DS 中管理这些用户标识,并使用 Microsoft Entra Connect 将它们同步到Microsoft Entra ID。 还可以使用Microsoft Entra ID来管理这些标识,并将其同步到Microsoft Entra 域服务。
使用混合标识访问 Azure 虚拟桌面时,Active Directory (AD) 和 Microsoft Entra ID 的用户主体名称有时 (UPN) 或安全标识符 (SID) 不匹配。 例如,AD 帐户user@contoso.local可能对应于 user@contoso.com Microsoft Entra ID。 如果 AD 帐户和 Microsoft Entra ID 帐户的 UPN 或 SID 匹配,Azure 虚拟桌面仅支持这种类型的配置。 SID 引用 AD 中的用户对象属性“ObjectSID”和 Microsoft Entra ID 中的“OnPremisesSecurityIdentifier”。
仅限云标识
使用已加入Microsoft Entra VM 时,Azure 虚拟桌面支持仅限云标识。 这些用户直接在 Microsoft Entra ID 中创建和管理。
注意
还可以将混合标识分配给 Azure 虚拟桌面应用程序组,这些组托管联接类型的会话主机Microsoft Entra加入。
联合身份
如果使用除Microsoft Entra ID或Active Directory 域服务以外的第三方标识提供者 (IdP) 来管理用户帐户,必须确保:
- IdP 与 Microsoft Entra ID 联合。
- 会话主机已Microsoft Entra加入或Microsoft Entra混合联接。
- 对会话主机启用Microsoft Entra身份验证。
外部标识
Azure 虚拟桌面目前不支持 外部标识。
身份验证方法
访问 Azure 虚拟桌面资源时,有三个单独的身份验证阶段:
- 云服务身份验证:向 Azure 虚拟桌面服务进行身份验证(包括订阅资源和对网关进行身份验证)Microsoft Entra ID。
- 远程会话身份验证:对远程 VM 进行身份验证。 可通过多种方式向远程会话进行身份验证,包括建议的单一登录 (SSO) 。
- 会话内身份验证:对远程会话中的应用程序和网站进行身份验证。
对于每个身份验证阶段的不同客户端上可用的凭据列表, 请比较跨平台的客户端。
重要
为了使身份验证正常工作,本地计算机还必须能够访问 远程桌面客户端所需的 URL。
以下部分提供有关这些身份验证阶段的详细信息。
云服务身份验证
若要访问 Azure 虚拟桌面资源,必须先使用 Microsoft Entra ID 帐户登录,对服务进行身份验证。 每当订阅检索资源、在启动连接时连接到网关或向服务发送诊断信息时,都会进行身份验证。 用于此身份验证的Microsoft Entra ID资源是 Azure 虚拟桌面 (应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07) 。
多重身份验证
按照使用条件访问对 Azure 虚拟桌面强制实施Microsoft Entra多重身份验证中的说明,了解如何为部署强制实施Microsoft Entra多重身份验证。 本文还将介绍如何配置提示用户输入其凭据的频率。 部署Microsoft Entra联接的 VM 时,请注意已加入Microsoft Entra会话主机 VM 的额外步骤。
无密码身份验证
可以使用Microsoft Entra ID支持的任何身份验证类型(例如Windows Hello 企业版和其他无密码身份验证选项 (例如 FIDO 密钥) )向服务进行身份验证。
智能卡身份验证
若要使用智能卡向Microsoft Entra ID进行身份验证,必须先配置Microsoft Entra基于证书的身份验证,或为用户证书身份验证配置 AD FS。
第三方标识提供者
可以使用第三方标识提供者,只要它们与Microsoft Entra ID联合。
远程会话身份验证
如果尚未启用 单一登录 或在本地保存凭据,则启动连接时还需要向会话主机进行身份验证。
单一登录 (SSO)
SSO 允许连接跳过会话主机凭据提示,并通过Microsoft Entra身份验证自动将用户登录到 Windows。 对于Microsoft Entra加入或Microsoft Entra混合联接的会话主机,建议使用Microsoft Entra身份验证启用 SSO。 Microsoft Entra身份验证提供其他优势,包括无密码身份验证和支持第三方标识提供者。
Azure 虚拟桌面还支持使用适用于 Windows 桌面和 Web 客户端的 Active Directory 联合身份验证服务 (AD FS) 的 SSO。
如果没有 SSO,客户端会提示用户为每个连接提供其会话主机凭据。 避免出现提示的唯一方法是在客户端中保存凭据。 建议仅在安全设备上保存凭据,以防止其他用户访问你的资源。
智能卡和Windows Hello 企业版
Azure 虚拟桌面支持 NT LAN Manager (NTLM) 和 Kerberos 进行会话主机身份验证,但 Smart 卡 和 Windows Hello 企业版 只能使用 Kerberos 登录。 若要使用 Kerberos,客户端需要从密钥分发中心获取 Kerberos 安全票证, (域控制器上运行的 KDC) 服务。 若要获取票证,客户端需要域控制器的直接网络视线。 可以通过直接在公司网络中进行连接、使用 VPN 连接或设置 KDC 代理服务器来获取视线。
会话内身份验证
连接到 RemoteApp 或桌面后,系统可能会提示你在会话中进行身份验证。 本部分介绍如何在此方案中使用用户名和密码以外的凭据。
会话内无密码身份验证
使用 Windows 桌面客户端时,Azure 虚拟桌面支持使用Windows Hello 企业版或安全设备(例如 FIDO 密钥)进行会话内无密码身份验证。 当会话主机和本地电脑使用以下作系统时,将自动启用无密码身份验证:
- Windows 11单会话或多会话,其中安装了 Windows 11 (KB5018418) 或更高版本的 2022-10 累积汇报。
- Windows 10单会话或多会话版本 20H2 或更高版本,并安装了 Windows 10 (KB5018410) 或更高版本的 2022-10 累积汇报。
- Windows Server 2022 年,安装了适用于Microsoft服务器作系统的 2022-10 累积更新 (KB5018421) 或更高版本。
若要在主机池上禁用无密码身份验证,必须 自定义 RDP 属性。 可以在Azure 门户中的“设备重定向”选项卡下找到“WebAuthn 重定向”属性,或使用 PowerShell 将 redirectwebauthn 属性设置为 0。
启用后,会话中的所有 WebAuthn 请求都会重定向到本地电脑。 可以使用Windows Hello 企业版或本地附加的安全设备来完成身份验证过程。
若要使用Windows Hello 企业版或安全设备访问Microsoft Entra资源,必须启用 FIDO2 安全密钥作为用户的身份验证方法。 若要启用此方法,请按照 启用 FIDO2 安全密钥方法中的步骤作。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保已在会话主机上安装了智能卡驱动程序,并启用了智能卡重定向。 查看Windows App和远程桌面应用的比较图表,以便使用智能卡重定向。
后续步骤
- 是否对保护部署安全的其他方法感兴趣? 查看 安全最佳做法。
- 连接到已加入Microsoft Entra VM 时遇到问题? 请参阅排查与已加入Microsoft Entra VM 的连接问题。
- 会话内无密码身份验证出现问题? 请参阅 排查 WebAuthn 重定向问题。
- 想要使用企业网络外部的智能卡? 查看如何设置 KDC 代理服务器。