在本文中,我们将简要概述可在Azure Virtual Desktop中使用的标识和身份验证方法。
身份
Azure Virtual Desktop支持不同类型的标识,具体取决于所选的配置。 本部分介绍了可用于每种配置的标识。
重要
Azure Virtual Desktop不支持使用一个用户帐户登录到Microsoft Entra ID,然后使用单独的用户帐户登录到Windows。 这包括使用Microsoft Entra ID中未表示的本地Windows帐户或其他标识登录到会话主机。 同时使用不同标识登录可能会导致用户重新连接到错误的会话主机、Azure 门户中的错误或缺失信息、使用应用附加时出现错误消息,以及绕过Microsoft Entra ID身份验证和条件访问强制。 Azure Virtual Desktop支持使用相同Microsoft Entra ID标识向服务进行身份验证并登录到会话主机的方案。 Microsoft建议将单一登录(SSO)用于Microsoft Entra身份验证。
本地标识
由于用户必须可通过Microsoft Entra ID发现才能访问Azure Virtual Desktop,因此不支持仅存在于Active Directory Domain Services(AD DS)中的用户标识。 这包括使用 Active Directory Federation Services(AD FS)的独立Active Directory部署。
混合身份
Azure Virtual Desktop通过 Microsoft Entra ID(包括使用 AD FS 联合的身份)支持 混合身份。 可以在 AD DS 中管理这些用户标识,并使用 Microsoft Entra Connect 将它们同步到Microsoft Entra ID。 还可以使用Microsoft Entra ID管理这些标识并将其同步到 Microsoft Entra Domain Services。
使用混合标识访问Azure Virtual Desktop时,用户主体名称(UPN)或安全标识符(SID)有时Active Directory(AD)和Microsoft Entra ID不匹配。 例如,AD 帐户 user@contoso.local 可能与 Microsoft Entra ID 中的 user@contoso.com 相对应。 如果您的 AD 和 Microsoft Entra ID 帐户的 UPN 或 SID 匹配,Azure 虚拟桌面仅支持这种类型的配置。 SID 是指 AD 中的用户对象属性“ObjectSID”和 Microsoft Entra ID 中的“OnPremisesSecurityIdentifier”。
纯云标识
当使用加入 Microsoft Entra 的虚拟机时,Azure 虚拟桌面支持仅限云的标识。 这些用户直接在Microsoft Entra ID中创建和管理。
注意
您还可以将混合标识分配给 Azure 虚拟桌面中承载会话主机的应用程序组,这些会话主机是属于 Microsoft Entra 加入类型的节点。
联合标识
如果使用第三方标识提供者(IdP),而不是Microsoft Entra ID或Active Directory Domain Services来管理用户帐户,则必须确保:
- IdP 与 Microsoft Entra ID 联合。
- 您的会话主机已加入 Microsoft Entra 或 混合加入 Microsoft Entra。
- 在会话主机上启用Microsoft Entra 身份验证。
身份验证方法
访问Azure Virtual Desktop资源时,有三个单独的身份验证阶段:
- 云服务身份验证:使用 Microsoft Entra ID 对 Azure Virtual Desktop 服务进行身份验证,包括订阅资源以及对网关的身份验证。
- 远程会话身份验证:向远程 VM 进行身份验证。 可通过多种方式向远程会话进行身份验证,包括建议的单一登录 (SSO)。
- 会话内身份验证:对远程会话中的应用程序和 Web 进行身份验证。
有关每个身份验证阶段不同客户端上可用的凭据列表,请参阅比较不同平台的客户端。
重要
若要使身份验证正常工作,本地计算机还必须能够访问远程桌面客户端所需的 URL。
以下部分将提供有关这些身份验证阶段的详细信息。
云服务身份验证
若要访问Azure Virtual Desktop资源,必须先使用 Microsoft Entra ID 帐户登录来向服务进行身份验证。 每当订阅检索资源、在启动连接或将诊断信息发送到服务时连接到网关时,都会进行身份验证。 用于此身份验证的 Microsoft Entra ID 资源是 Azure Virtual Desktop(应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。
多重身份验证
按照 如何通过条件访问对 Azure Virtual Desktop 强制实施 Microsoft Entra 多重身份验证 的说明,了解如何为您的部署强制实施 Microsoft Entra 多重身份验证。 该文还将介绍如何配置提示用户输入其凭据的频率。 部署加入 Microsoft Entra 的 VM 时,请注意针对 Microsoft Entra 加入的会话主机 VM 的额外步骤。
第三方身份提供商
只要第三方标识提供者能够与 Microsoft Entra ID 建立联合身份验证,即可使用。
远程会话身份验证
如果尚未启用单一登录或未在本地保存你的凭据,则还需要在启动连接时向会话主机进行身份验证。
单一登录 (SSO)
SSO 允许连接跳过会话主机凭据提示,并通过Microsoft Entra身份验证自动将用户登录到Windows。 对于 Microsoft Entra 域加入或 Microsoft Entra 混合域加入的会话主机,建议使用 Microsoft Entra 身份验证来启用 SSO。 Microsoft Entra身份验证提供其他优势,包括无密码身份验证和支持第三方标识提供者。
Azure Virtual Desktop 还支持通过 Active Directory 联合服务 (AD FS) 为 Windows 桌面和 Web 客户端使用 SSO。
如果不使用 SSO,则对于每次连接,客户端都将提示用户输入其会话主机凭据。 若要避免系统提示,唯一的方法是将凭据保存在客户端中。 建议仅在安全设备上保存凭据,以防其他用户访问你的资源。
智能卡和Windows Hello for Business
Azure Virtual Desktop支持 NT LAN 管理器(NTLM)和 Kerberos 进行会话主机身份验证,但智能卡和Windows Hello for Business只能使用 Kerberos 登录。 为了使用 Kerberos,客户端需从域控制器上运行的密钥分发中心 (KDC) 服务获取 Kerberos 安全票证。 若要获取票证,客户端需要能够直接通过网络看到域控制器。 你可以通过连接到公司内部网络、使用 VPN 连接或设置 KDC 代理服务器来获取视线。
会话中身份验证
当你连接到远程应用或桌面后,系统可能会在会话中提示你进行身份验证。 本部分介绍了在此情况下如何使用用户名和密码之外的其他凭据。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保已在会话主机上安装智能卡驱动程序并启用了智能卡重定向。 查看 Windows App 和 Remote Desktop 应用的比较图表,以确保能够使用智能卡重定向。
后续步骤
- 是否想了解其他可确保部署安全性的方法? 请查看确保安全的最佳做法。
- 遇到连接 Microsoft Entra 加入的虚拟机的问题了吗? 查看 疑难解答与 Microsoft Entra 加入的 VM 的连接问题。
- 会话内无密码身份验证出现问题? 请查看WebAuthn 重定向问题排查指南。
- 想要从公司网络外部使用智能卡? 请查看如何设置 KDC 代理服务器。