支持的标识和身份验证方法
本文简要概述了适用于 Azure 虚拟桌面的标识和身份验证方法类型。
标识
Azure 虚拟桌面支持不同类型的标识,具体取决于你选择的配置。 本部分介绍了可用于每种配置的标识。
重要
Azure 虚拟桌面不支持使用一个用户帐户登录到 Microsoft Entra ID,之后又使用另一个用户帐户登录到 Windows。 同时使用两个不同的帐户登录可能会导致用户重新连接到错误的会话主机、Azure 门户中的信息不正确或缺失,以及在使用应用附加或 MSIX 应用附加时出现错误消息。
本地标识
由于用户必须可由 Microsoft Entra ID 发现才能访问 Azure 虚拟桌面,因此不支持仅存在于 Active Directory 域服务 (AD DS) 中的用户标识。 这包括使用 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。
混合标识
Azure 虚拟桌面通过 Microsoft Entra ID 支持混合标识,包括使用 AD FS 进行联合身份验证的标识。 可以在 AD DS 中管理这些用户标识,然后使用 Microsoft Entra Connect 将其同步到 Microsoft Entra ID。 还可使用 Microsoft Entra ID 管理这些标识,并将它们同步到 Microsoft Entra 域服务。
使用混合标识访问 Azure 虚拟桌面时,Active Directory (AD) 和 Microsoft Entra ID 中的用户主体名称 (UPN) 或用户安全标识符 (SID) 有时不匹配。 例如,AD 帐户 user@contoso.local 可能对应于 Microsoft Entra ID 中的 user@contoso.com。 仅当你的 AD 帐户与 Microsoft Entra ID 帐户的 UPN 或 SID 匹配时,Azure 虚拟桌面才支持此类型的配置。 SID 是指 AD 中的用户对象属性“ObjectSID”和 Microsoft Entra ID 中的“OnPremisesSecurityIdentifier”。
纯云标识
使用已加入 Microsoft Entra 的 VM 时,Azure 虚拟桌面支持仅限云标识。 这些用户是直接在 Microsoft Entra ID 中创建和管理的。
注意
还可以将混合标识分配给托管加入类型为“已加入 Microsoft Entra”的会话主机的 Azure 虚拟桌面应用程序组。
联合标识
如果使用 Microsoft Entra ID 或 Active Directory 域服务以外的第三方标识提供者 (IdP) 来管理用户帐户,则必须确保:
- 你的 IdP 已与 Microsoft Entra 联合。
- 你的会话主机已加入 Microsoft Entra 或已建立 Microsoft Entra 混合联接。
- 你对会话主机启用了 Microsoft Entra 身份验证。
外部标识
Azure 虚拟桌面当前不支持外部标识。
身份验证方法
访问 Azure 虚拟桌面资源时,有三个单独的身份验证阶段:
- 云服务身份验证:向 Azure 虚拟桌面服务进行身份验证(包括订阅资源和对网关进行身份验证)是通过 Microsoft Entra ID 进行的。
- 远程会话身份验证:向远程 VM 进行身份验证。 可通过多种方式向远程会话进行身份验证,包括建议的单一登录 (SSO)。
- 会话内身份验证:对远程会话中的应用程序和 Web 进行身份验证。
有关每个身份验证阶段不同客户端上可用的凭据列表,请参阅比较不同平台的客户端。
重要
为了使身份验证正常工作,你的本地计算机还必须能够访问远程桌面客户端所需的 URL。
以下部分将提供有关这些身份验证阶段的详细信息。
云服务身份验证
若要访问 Azure 虚拟桌面资源,必须先通过使用 Microsoft Entra ID 帐户登录来向服务进行身份验证。 每当订阅检索资源、在启动连接或将诊断信息发送到服务时连接到网关时,都会进行身份验证。 用于此身份验证的 Microsoft Entra ID 资源是 Azure 虚拟桌面(应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。
多重身份验证
请按照使用条件访问为 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明来了解如何为你的部署强制实施 Microsoft Entra 多重身份验证。 该文还将介绍如何配置提示用户输入其凭据的频率。 在部署已加入 Microsoft Entra 的 VM 时,请注意已已加入 Microsoft Entra 的会话主机 VM 的额外步骤。
智能卡身份验证
若要使用智能卡向 Microsoft Entra ID 进行身份验证,必须首先为用户证书身份验证配置 AD FS。
第三方标识提供程序
你可以使用第三方标识提供者,只要它们通过 Microsoft Entra ID 进行联合身份验证即可。
远程会话身份验证
如果尚未启用单一登录或未在本地保存你的凭据,则还需要在启动连接时向会话主机进行身份验证。
单一登录 (SSO)
SSO 允许连接跳过会话主机凭据提示,通过 Microsoft Entra 身份验证自动将用户登录到 Windows。 对于已加入 Microsoft Entra 或已建立 Microsoft Entra 混合联接的会话主机,建议启用“使用 Microsoft Entra 身份验证进行 SSO”。 Microsoft Entra 身份验证提供其他优势,包括无密码身份验证和对第三方标识提供者的支持。
Azure 虚拟桌面还对 Windows 桌面和 Web 客户端支持使用 Active Directory 联合身份验证服务 (AD FS) 的 SSO。
如果不使用 SSO,则对于每次连接,客户端都将提示用户输入其会话主机凭据。 若要避免系统提示,唯一的方法是将凭据保存在客户端中。 建议仅在安全设备上保存凭据,以防其他用户访问你的资源。
智能卡和 Windows Hello 企业版
对于会话主机身份验证,Azure 虚拟桌面支持 NT LAN Manager (NTLM) 和 Kerberos,但智能卡和 Windows Hello 企业版只能使用 Kerberos 登录。 为了使用 Kerberos,客户端需从域控制器上运行的密钥分发中心 (KDC) 服务获取 Kerberos 安全票证。 若要获取票证,客户端需要能够直接通过网络看到域控制器。 要实现此目的,你可以通过使用 VPN 连接或设置 KDC 代理服务器直接在公司网络中进行连接。
会话中身份验证
当你连接到远程应用或桌面后,系统可能会在会话中提示你进行身份验证。 本部分介绍了在此情况下如何使用用户名和密码之外的其他凭据。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保已在会话主机上安装智能卡驱动程序并启用了智能卡重定向。 查看 Windows 应用和远程桌面应用的比较图表,以便可以使用智能卡重定向。
后续步骤
- 是否想了解其他可确保部署安全性的方法? 请查看确保安全的最佳做法。
- 连接到已加入 Microsoft Entra 的 VM 时遇到问题? 请查看排查已加入 Microsoft Entra 的 VM 的连接问题。
- 会话内无密码身份验证出现问题? 请参阅排查 WebAuthn 重定向问题。
- 想要从公司网络外部使用智能卡? 请查看如何设置 KDC 代理服务器。