Azure 虚拟桌面中已加入Microsoft Entra会话主机

本文将指导你完成在 Azure 虚拟桌面中部署和访问已加入Microsoft Entra虚拟机的过程。 Microsoft Entra加入的 VM 无需从 VM 到本地或虚拟化Active Directory 域控制器 (DC) 或部署Microsoft Entra 域服务。 在某些情况下，它可以完全消除对 DC 的需求，从而简化环境的部署和管理。 为了便于管理，还可以在 Intune 中自动注册这些 VM。

已知限制

以下已知限制可能会影响对已加入域的本地或 Active Directory 资源的访问，在决定Microsoft Entra加入的 VM 是否适合你的环境时，应考虑这些限制。

• 已加入Microsoft Entra VM 当前不支持外部标识，例如Microsoft Entra企业到企业 (B2B) 和Microsoft Entra企业到消费者 (B2C) 。
• Microsoft Entra加入的 VM 只能使用 Microsoft Entra Kerberos for FSLogix 用户配置文件访问混合用户的Azure 文件存储共享。
• 适用于 Windows 的远程桌面应用商店应用不支持Microsoft Entra加入的 VM。

部署Microsoft Entra联接的 VM

创建新的主机池或扩展现有主机池时，可以直接从Azure 门户部署已加入Microsoft Entra VM。 若要部署Microsoft Entra联接的 VM，请打开“虚拟机”选项卡，然后选择是将 VM 加入 Active Directory 还是Microsoft Entra ID。 选择Microsoft Entra ID可让你选择自动使用Intune注册 VM，从而轻松管理会话主机。 请记住，Microsoft Entra ID选项只会将 VM 加入到与你所在的订阅相同的Microsoft Entra租户。

分配用户对主机池的访问权限

创建主机池后，必须向用户分配对其资源的访问权限。 若要授予对资源的访问权限，请将每个用户添加到应用程序组。 按照 管理应用程序组 中的说明分配用户对应用和桌面的访问权限。 建议尽可能使用用户组而不是单个用户。

对于没有会话主机配置的主机池中已加入Microsoft Entra VM，需要根据 Active Directory 或基于 Microsoft Entra 域服务 的部署的要求执行以下额外任务。 对于使用会话主机配置的主机池，不需要此附加角色分配。

• 为用户分配 虚拟机用户登录 角色，以便他们可以登录到 VM。
• 为需要本地管理权限的管理员分配 虚拟机管理员登录 角色。

若要向用户授予对已加入MICROSOFT ENTRA VM 的访问权限，必须为 VM 配置角色分配。 可以在 VM、包含 VM 的资源组或订阅上分配虚拟机 用户登录 名或虚拟机 管理员登录 角色。 建议将虚拟机用户登录角色分配给在资源组级别用于应用程序组的同一用户组，使其应用于主机池中的所有 VM。

访问已加入Microsoft Entra VM

本部分介绍如何从不同的 Azure 虚拟桌面客户端访问已加入Microsoft Entra VM。

单一登录

为了在所有平台上获得最佳体验，应在访问Microsoft Entra加入的 VM 时使用Microsoft Entra身份验证启用单一登录体验。 按照 配置单一登录 的步骤提供无缝连接体验。

使用旧式身份验证协议进行连接

如果不想启用单一登录，可以使用以下配置来启用对已加入Microsoft Entra VM 的访问。

使用 Windows 桌面客户端进行连接

默认配置支持使用 Windows 桌面客户端Windows 11或Windows 10的连接。 可以使用凭据、智能卡、Windows Hello 企业版证书信任或Windows Hello 企业版密钥信任和证书登录到会话主机。 但是，若要访问会话主机，本地电脑必须满足以下条件之一：

• 本地电脑Microsoft Entra加入到与会话主机相同的Microsoft Entra租户
• 本地电脑Microsoft Entra混合加入到与会话主机相同的Microsoft Entra租户
• 本地电脑运行Windows 11或Windows 10版本 2004 或更高版本，Microsoft Entra注册到与会话主机相同的Microsoft Entra租户

如果本地电脑不满足以下条件之一，请将 targetisaadjoined：i：1 作为 自定义 RDP 属性 添加到主机池。 登录会话主机时，这些连接仅限于输入用户名和密码凭据。

使用其他客户端进行连接

若要使用 Web、Android、macOS 和 iOS 客户端访问已加入Microsoft Entra VM，必须将 targetisaadjoined：i：1 作为自定义 RDP 属性添加到主机池。 登录会话主机时，这些连接仅限于输入用户名和密码凭据。

为已加入Microsoft Entra会话 VM 强制实施Microsoft Entra多重身份验证

可以将Microsoft Entra多重身份验证用于已加入Microsoft Entra VM。 按照使用条件访问对 Azure 虚拟桌面强制实施Microsoft Entra多重身份验证的步骤，并记下已加入Microsoft Entra会话主机 VM 的额外步骤。

如果使用Microsoft Entra多重身份验证，并且不想限制登录到强身份验证方法（如Windows Hello 企业版），则需要从条件访问策略中排除 Azure Windows VM Sign-In 应用。

用户配置文件

在使用混合用户帐户时，可将 FSLogix 配置文件容器与Microsoft Entra联接的 VM 存储在Azure 文件存储上。 有关详细信息，请参阅使用Azure 文件存储和Microsoft Entra ID创建配置文件容器。

访问本地资源

虽然不需要 Active Directory 来部署或访问已加入Microsoft Entra的 VM，但需要 Active Directory 和它的视线才能从这些 VM 访问本地资源。 若要详细了解如何访问本地资源，请参阅如何在已加入Microsoft Entra设备上使用本地资源的 SSO。

后续步骤

现在，你已部署一些已加入Microsoft Entra的 VM，建议先启用单一登录，然后再使用受支持的 Azure 虚拟桌面客户端进行连接，以在用户会话中对其进行测试。 若要了解详细信息，检查以下文章：

• 配置单一登录
• 创建具有Azure 文件存储和Microsoft Entra ID的配置文件容器
• 使用 Windows 桌面客户端连接
• 使用 Web 客户端连接
• 排查与已加入Microsoft Entra VM 的连接问题