Azure 虚拟桌面中已建立 Microsoft Entra 联接的会话主机
本文将介绍在 Azure 虚拟桌面中部署和访问加入 Microsoft Entra 的虚拟机的过程。 加入 Microsoft Entra 的 VM 无需具有从 VM 到本地的或虚拟化的 Active Directory 域控制器 (DC) 的视线传输,也无需部署 Microsoft Entra 域服务。 在某些情况下,它可以完全消除 DC 的需求,从而简化环境的部署和管理。
已知的限制
以下已知限制可能会影响对本地资源或加入 Active Directory 域的资源的访问。在确定加入 Microsoft Entra 的 VM 是否适合你的环境时,应当考虑这些限制。
- 加入 Microsoft Entra 的 VM 目前不支持外部标识,例如 Microsoft Entra 企业到企业 (B2B) 和 Microsoft Entra 企业到使用者 (B2C)。
- 已联接 Microsoft Entra 的虚拟机只能使用 Microsoft Entra Kerberos for FSLogix 用户配置文件访问用于混合用户的 Azure 文件共享。
- 适用于 Windows 的远程桌面存储应用不支持已加入 Microsoft Entra 的 VM。
部署已加入 Microsoft Entra 的 VM
创建新主机池或扩展现存主机池时,可以直接从 Azure 门户部署已加入 Microsoft Entra 的 VM。 若要部署已加入 Microsoft Entra 的 VM,请打开“虚拟机”选项卡,然后选择将 VM 加入 Active Directory 或 Microsoft Entra ID。 请记住,Microsoft Entra ID 选项只会将 VM 加入所在订阅中的同一 Microsoft Entra 租户。
注意
- 主机池应该仅包含相同域加入类型的 VM。 例如,已加入 Microsoft Entra 的 VM 只会与其他已加入 Microsoft Entra 的 VM 在一起,反之亦然。
- 主机池中的 VM 必须是 Windows 11 或 Windows 10 单会话或多会话,版本为 2004 或更高版本或者 Windows Server 2022 或 Windows Server 2019。
为用户分配对主机池的访问权限
创建主机池后,必须为用户分配对其资源的访问权限。 若要授予对资源的访问权限,请将每个用户添加到应用程序组。 按照管理应用程序组中的说明,为用户分配应用和桌面的访问权限。 我们建议尽可能使用用户组而不是单个用户。
对于已加入 Microsoft Entra 的 VM,除了满足针对基于 Active Directory 或 Microsoft Entra 域服务的部署的要求外,还要执行两项额外操作:
- 为用户分配“虚拟机用户登录”角色,让他们可以登录到 VM。
- 为需要本地管理权限的管理员分配“虚拟机管理员登录”角色。
若要向用户授予对加入 Microsoft Entra 的 VM 的访问权限,则必须为 VM 配置角色分配。 可以在 VM、包含 VM 的资源组或订阅上分配虚拟机用户登录名或虚拟机管理员登录角色 。 建议将虚拟机用户登录角色分配给在资源组级别用于应用程序组的同一用户组,让其应用于主机池中的所有 VM。
访问已加入 Microsoft Entra 的 VM
本节介绍如何从不同的 Azure 虚拟桌面客户端访问已加入 Microsoft Entra 的 VM。
单一登录
为了在所有平台上获得最佳体验,在访问已加入 Microsoft Entra 的虚拟机时,应使用 Microsoft Entra 身份验证启用单一登录体验。 按照配置单一登录的步骤提供无缝连接体验。
使用传统身份验证协议进行连接
如果不希望启用单一登录,可以使用以下配置启用对已加入 Microsoft Entra 的虚拟机的访问。
使用 Windows 桌面客户端连接
默认配置支持 Windows 11 或 Windows 10 使用 Windows 桌面客户端进行连接。 可以使用凭据、智能卡、Windows Hello 企业版证书信任或 Windows Hello 企业版证书密钥信任来登录到会话主机。 但是,若要访问会话主机,本地电脑必须满足以下条件之一:
- 本地电脑已联接与会话主机相同的 Microsoft Entra 租户的 Microsoft Entra
- 本地电脑已混合联接与会话主机相同的 Microsoft Entra 租户的 Microsoft Entra
- 本地 PC 运行 Windows 11 或 Windows 10 2004 版或更高版本,已在 Microsoft Entra 注册并与会话主机位于同一 Microsoft Entra 租户中
如果本地电脑不符合其中一个条件,请将 targetisaadjoined:i:1 作为 自定义 RDP 属性添加到主机池。 这些连接仅限在登录会话主机时输入用户名和密码凭据。
使用其他客户端连接
若要使用 Web 和 iOS 客户端访问联接 Microsoft Entra 的 VM,必须将 targetisaadjoined:i:1 作为自定义 RDP 属性添加到主机池中。 这些连接仅限在登录会话主机时输入用户名和密码凭据。
为已加入 Microsoft Entra 的会话 VM 强制实施 Microsoft Entra 多重身份验证
可以对已加入 Microsoft Entra 的 VM 使用 Microsoft Entra 多重身份验证。 按照步骤使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证,并注意针对已加入 Microsoft Entra 的会话主机 VM 的额外步骤。
如果使用的是 Microsoft Entra 多重身份验证,且不想将登录限制为强身份验证方法(如 Windows Hello 企业版),则需要从条件访问策略中排除 Azure Windows VM 登录应用。
用户配置文件
使用混合用户帐户期间,在 Azure 文件或 Azure NetApp 文件存储中存储已加入 Microsoft Entra 的 VM 时,可以将 FSLogix 配置文件容器与这些 VM 配合使用。 有关详细信息,请参阅使用 Azure 文件存储和 Microsoft Entra ID 创建配置文件容器。
访问本地资源
虽然不需要 Active Directory 来部署或访问已加入 Microsoft Entra 的 VM,但需要 Active Directory 和与其之间的视线传输才能访问这些 VM 的本地资源。 若要详细了解如何访问本地资源,请参阅本地资源的 SSO 在已加入 Microsoft Entra 的设备上如何工作。
后续步骤
现在你已经部署了一些已加入 Microsoft Entra 的 VM,我们建议在连接受支持的 Azure 虚拟桌面客户端之前启用单一登录,以将其作为用户会话的一部分进行测试。 若要了解更多信息,请查看以下文章: