排查已加入 Microsoft Entra 的 VM 的连接问题

重要

本教程的内容适用于包含 Azure 资源管理器 Azure 虚拟桌面对象的 Azure 虚拟桌面。

使用本文解决在 Azure 虚拟桌面中连接到已加入 Microsoft Entra 的会话主机时遇到的问题。

所有客户端

你的帐户配置为阻止你使用此设备

如果遇到一个错误指出“你的帐户已配置为阻止你使用此设备。有关详细信息,请与系统管理员联系”,请确保为用户帐户提供了 VM 上的虚拟机用户登录角色

用户名或密码不正确

如果你无法登录并继续收到错误消息,指出你的凭据不正确,请首先确保你使用的是正确的凭据。 如果继续看到错误消息,请检查以确保已满足以下要求:

  • 是否已将“虚拟机用户登录”的基于角色的访问控制 (RBAC) 权限分配给每个用户的虚拟机 (VM) 或资源组?
  • 你的条件访问策略是否对 Azure Windows VM 登录云应用程序排除了多重身份验证要求?

如果对这些问题中的任何一个回答为“否”,则需要重新配置多重身份验证。 要重新配置多重身份验证,请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明进行操作。

重要

VM 登录不支持按用户启用或强制执行的 Microsoft Entra 多重身份验证。 如果在 VM 上尝试使用多重身份验证登录,将无法登录并收到错误消息。

如果已将 Microsoft Entra 日志与 Azure Monitor 日志集成,以通过 Log Analytics 访问 Microsoft Entra 登录日志,则可查看是否已启用多重身份验证以及触发事件的条件访问策略。 显示的事件是 VM 的非交互式用户登录事件,这意味着 IP 地址似乎来自你的 VM 访问 Microsoft Entra ID 时使用的外部 IP 地址。

可以通过运行以下 Kusto 查询来访问登录日志:

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

Windows 桌面客户端

登录尝试失败

如果在 Windows 安全凭据提示处遇到一个错误指出“登录尝试失败”,请验证以下内容:

  • 你使用的设备已加入 Microsoft Entra 或 Microsoft Entra 混合,并且与会话主机位于同一 Microsoft Entra 租户中。
  • 本地电脑和会话主机上均启用了 PKU2U 协议
  • 为用户帐户禁用了每用户多重身份验证,因为已加入 Microsoft Entra 的 VM 不支持此功能。

你尝试使用的登录方法不受允许

如果遇到一个错误指出“你尝试使用的登录方法不受允许。请尝试其他登录方法或与系统管理员联系”,则表明你的条件访问策略限制了访问。 请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明,为已加入 Microsoft Entra 的 VM 强制实施 Microsoft Entra 多重身份验证。

如果为系统/网络服务帐户运行 该会话可能已被终止。

如果遇到错误提示“发生了身份验证错误。指定的登录会话不存在。它可能已经终止”,请确认你在配置单一登录时正确创建和配置了 Kerberos 服务器对象。

Web 客户端

登录失败。 请检查用户名和密码,然后重试

如果在使用 Web 客户端时,遇到一个错误指出“糟糕,我们无法连接到 NAME。登录失败。请检查用户名和密码,然后重试。”,请确保已经启用来自其他客户端的连接

由于安全错误,无法连接到远程电脑

如果遇到一个错误指出“糟糕,我们无法连接到 NAME。由于安全错误,无法连接到远程电脑。如果这种情况持续发生,请向管理员或技术支持人员寻求帮助。”,则表明你的条件访问策略限制了访问。 请按照使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证中的说明,为已加入 Microsoft Entra 的 VM 强制实施 Microsoft Entra 多重身份验证。

提供反馈

请访问 Azure 虚拟桌面技术社区,与产品团队和活跃的社区成员共同探讨 Azure 虚拟桌面服务。

后续步骤