支持的标识和身份验证方法
本文简要概述了适用于 Azure 虚拟桌面的标识和身份验证方法类型。
标识
Azure 虚拟桌面支持不同类型的标识,具体取决于你选择的配置。 本部分介绍了可用于每种配置的标识。
重要
Azure 虚拟桌面不支持使用一个用户帐户登录到 Microsoft Entra ID,之后又使用另一个用户帐户登录到 Windows。 使用两个不同的帐户同时登录可能会导致用户重新连接到错误的会话主机,Azure 门户中的信息不正确或缺失,在使用 MSIX 应用附加时出现错误消息。
本地标识
由于用户必须可由 Microsoft Entra ID 发现才能访问 Azure 虚拟桌面,因此不支持仅存在于 Active Directory 域服务 (AD DS) 中的用户标识。 这包括使用 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。
混合标识
Azure 虚拟桌面通过 Microsoft Entra ID 支持混合标识,包括使用 AD FS 进行联合身份验证的标识。 可以在 AD DS 中管理这些用户标识,然后使用 Microsoft Entra Connect 将其同步到 Microsoft Entra ID。 还可使用 Microsoft Entra ID 管理这些标识,并将它们同步到 Microsoft Entra 域服务。
使用混合标识访问 Azure 虚拟桌面时,Active Directory (AD) 和 Microsoft Entra ID 中的用户主体名称 (UPN) 或用户安全标识符 (SID) 有时不匹配。 例如,AD 帐户 user@contoso.local 可能对应于 Microsoft Entra ID 中的 user@contoso.com。 仅当你的 AD 帐户与 Microsoft Entra ID 帐户的 UPN 或 SID 匹配时,Azure 虚拟桌面才支持此类型的配置。 SID 是指 AD 中的用户对象属性“ObjectSID”和 Microsoft Entra ID 中的“OnPremisesSecurityIdentifier”。
纯云标识
使用已加入 Microsoft Entra 的 VM 时,Azure 虚拟桌面支持仅限云标识。 这些用户是直接在 Microsoft Entra ID 中创建和管理的。
注意
还可以将混合标识分配给托管加入类型为“已加入 Microsoft Entra”的会话主机的 Azure 虚拟桌面应用程序组。
第三方标识提供程序
如果使用 Microsoft Entra ID 以外的标识提供者 (IdP) 来管理用户帐户,则必须确保:
- 你的 IdP 已与 Microsoft Entra 联合。
- 你的会话主机已加入 Microsoft Entra 或已建立 Microsoft Entra 混合联接。
外部标识
Azure 虚拟桌面当前不支持外部标识。
身份验证方法
对于连接到远程会话的用户,有三个单独的身份验证点:
Azure 虚拟桌面的服务身份验证:检索用户在访问客户端时有权访问的资源列表。 该体验取决于 Microsoft Entra 帐户配置。 例如,如果用户启用了多重身份验证,则会提示用户输入其用户帐户和第二种身份验证形式,就像访问其他服务一样。
会话主机:启动远程会话时。 会话主机需要用户名和密码,但如果启用了单一登录 (SSO),用户将可以无缝直接登录。
以下各部分更详细地介绍了上述每个身份验证点。
服务身份验证
若要访问 Azure 虚拟桌面资源,必须先通过使用 Microsoft Entra 帐户登录来向服务进行身份验证。 每当你订阅某个工作区以检索你的资源时,并且每当你连接到应用或桌面时,都会进行身份验证。 你可以使用第三方标识提供者,只要它们通过 Microsoft Entra ID 进行联合身份验证即可。
多重身份验证
请按照使用条件访问为 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明来了解如何为你的部署强制实施 Microsoft Entra 多重身份验证。 该文还将介绍如何配置提示用户输入其凭据的频率。 在部署已加入 Microsoft Entra 的 VM 时,请注意已已加入 Microsoft Entra 的会话主机 VM 的额外步骤。
智能卡身份验证
若要使用智能卡向 Microsoft Entra ID 进行身份验证,必须首先为用户证书身份验证配置 AD FS。
会话主机身份验证
如果尚未启用单一登录或未在本地保存你的凭据,则还需要在启动连接时向会话主机进行身份验证。 以下列表描述了每个 Azure 虚拟桌面客户端当前支持的身份验证类型。 某些客户端可能需要使用特定的版本,你可以在每种身份验证类型的链接中找到该版本。
| 客户端 | 支持的身份验证类型 |
|---|---|
| Windows 桌面客户端 | 用户名和密码 智能卡 Windows Hello 企业版证书信任 带有证书的 Windows Hello 企业版密钥信任 |
| Azure 虚拟桌面应用商店应用 | 用户名和密码 智能卡 Windows Hello 企业版证书信任 带有证书的 Windows Hello 企业版密钥信任 |
| 远程桌面应用 | 用户名和密码 |
| Web 客户端 | 用户名和密码 |
| iOS 客户端 | 用户名和密码 |
重要
为了使身份验证正常工作,你的本地计算机还必须能够访问远程桌面客户端所需的 URL。
单一登录 (SSO)
Azure 虚拟桌面还对 Windows 桌面和 Web 客户端支持使用 Active Directory 联合身份验证服务 (AD FS) 的 SSO。
如果不使用 SSO,则对于每次连接,客户端都将提示用户输入其会话主机凭据。 若要避免系统提示,唯一的方法是将凭据保存在客户端中。 建议仅在安全设备上保存凭据,以防其他用户访问你的资源。
智能卡和 Windows Hello 企业版
对于会话主机身份验证,Azure 虚拟桌面支持 NT LAN Manager (NTLM) 和 Kerberos,但智能卡和 Windows Hello 企业版只能使用 Kerberos 登录。 为了使用 Kerberos,客户端需从域控制器上运行的密钥分发中心 (KDC) 服务获取 Kerberos 安全票证。 若要获取票证,客户端需要能够直接通过网络看到域控制器。 要实现此目的,你可以通过使用 VPN 连接或设置 KDC 代理服务器直接在公司网络中进行连接。
会话中身份验证
当你连接到远程应用或桌面后,系统可能会在会话中提示你进行身份验证。 本部分介绍了在此情况下如何使用用户名和密码之外的其他凭据。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保已在会话主机上安装智能卡驱动程序并启用了智能卡重定向。 请查看客户端比较图,以确保你的客户端支持智能卡重定向。
后续步骤
- 是否想了解其他可确保部署安全性的方法? 请查看确保安全的最佳做法。
- 连接到已加入 Microsoft Entra 的 VM 时遇到问题? 请查看排查已加入 Microsoft Entra 的 VM 的连接问题。
- 想要从公司网络外部使用智能卡? 请查看如何设置 KDC 代理服务器。