Konfigurace jednotného přihlašování pro Azure Virtual Desktop pomocí ID Microsoft Entra
Jednotné přihlašování (SSO) pro Azure Virtual Desktop pomocí ID Microsoft Entra poskytuje bezproblémové přihlašování pro uživatele připojující se k hostitelům relací. Když povolíte jednotné přihlašování, uživatelé se ověřují ve Windows pomocí tokenu Microsoft Entra ID. Tento token umožňuje používat ověřování bez hesla a zprostředkovatele identity třetích stran, které se při připojování k hostiteli relace federují s ID Microsoft Entra a umožňují bezproblémové přihlašování.
Jednotné přihlašování pomocí Microsoft Entra ID také poskytuje bezproblémové prostředí pro prostředky založené na ID Microsoft Entra v rámci relace. Další informace o používání ověřování bez hesla v rámci relace najdete v tématu Ověřování bez hesla relace.
Pokud chcete povolit jednotné přihlašování pomocí ověřování Microsoft Entra ID, musíte provést pět úkolů:
Povolte ověřování Microsoft Entra pro protokol RDP (Remote Desktop Protocol).
Skryjte dialogové okno výzvy k vyjádření souhlasu.
Pokud je služba Doména služby Active Directory Services součástí vašeho prostředí, vytvořte objekt serveru Kerberos. Další informace o kritériích najdete v jeho části.
Zkontrolujte zásady podmíněného přístupu.
Nakonfigurujte fond hostitelů tak, aby povolil jednotné přihlašování.
Před povolením jednotného přihlašování
Než povolíte jednotné přihlašování, projděte si následující informace o jeho použití ve vašem prostředí.
Chování zámku relace
Pokud je povolené jednotné přihlašování pomocí Microsoft Entra ID a vzdálená relace je uzamčena uživatelem nebo zásadami, můžete zvolit, jestli je relace odpojená, nebo jestli se zobrazí vzdálená zamykací obrazovka. Výchozí chování je odpojit relaci, když se uzamkne.
Když je chování uzamčení relace nastavené na odpojení, zobrazí se dialogové okno s oznámením, že byli odpojeni. Uživatelé můžou v dialogovém okně zvolit možnost Znovu připojit , až budou připravení se znovu připojit. Toto chování se provádí z bezpečnostních důvodů a zajišťuje plnou podporu ověřování bez hesla. Odpojení relace poskytuje následující výhody:
Konzistentní přihlašovací prostředí prostřednictvím Microsoft Entra ID v případě potřeby.
Prostředí jednotného přihlašování a opětovné připojení bez výzvy k ověření, pokud jsou povoleny zásadami podmíněného přístupu.
Podporuje ověřování bez hesla, jako jsou klíče a zařízení FIDO2, na rozdíl od vzdálené zamykací obrazovky.
Zásady podmíněného přístupu, včetně vícefaktorového ověřování a frekvence přihlašování, se znovu vyhodnocují, když se uživatel znovu připojí ke své relaci.
Může vyžadovat vícefaktorové ověřování, aby se vrátili do relace a zabránili uživatelům v odemknutí jednoduchým uživatelským jménem a heslem.
Pokud chcete nakonfigurovat chování uzamčení relace tak, aby se místo odpojení relace zobrazila vzdálená zamykací obrazovka, přečtěte si téma Konfigurace chování uzamčení relace.
Účty správce domény služby Active Directory s jednotným přihlašováním
V prostředích se službami Doména služby Active Directory Services (AD DS) a hybridními uživatelskými účty zakazuje výchozí zásady replikace hesel na řadičích domény jen pro čtení replikaci pro členy skupin zabezpečení Domain Admins a Administrators. Tato zásada brání těmto účtům správců v přihlášení k hostitelům hybridních připojených k Microsoft Entra a může se jim dál zobrazovat výzva k zadání přihlašovacích údajů. Zabrání také účtům správce v přístupu k místním prostředkům, které používají ověřování Kerberos z hostitelů připojených k Microsoft Entra. Nedoporučujeme se připojovat ke vzdálené relaci pomocí účtu, který je správcem domény z bezpečnostních důvodů.
Pokud potřebujete provést změny hostitele relace jako správce, přihlaste se k hostiteli relace pomocí účtu, který není správce, a pak pomocí možnosti Spustit jako správce nebo nástroje Runas z příkazového řádku přejděte na správce.
Požadavky
Abyste mohli povolit jednotné přihlašování, musíte splnit následující požadavky:
Pokud chcete nakonfigurovat tenanta Microsoft Entra, musíte mít přiřazenou jednu z následujících předdefinovaných rolí Microsoft Entra nebo ekvivalentních rolí :
Hostitelé relací musí používat jeden z následujících operačních systémů s nainstalovanou příslušnou kumulativní aktualizací:
Windows 11 Enterprise – jedna nebo více relací s nainstalovanými kumulativními aktualizacemi 2022–10 pro Windows 11 (KB5018418) nebo novějším.
Windows 10 Enterprise – jedna nebo více relací s nainstalovanými kumulativními aktualizacemi 2022–10 pro Windows 10 (KB5018410) nebo novějším.
Windows Server 2022 s kumulativní aktualizací 2022-10 pro operační systém microsoft serveru (KB5018421) nebo novější.
Hostitelé relací musí být připojeni k Microsoft Entra nebo hybridním členem Microsoft Entra. Hostitelé relací připojení ke službě Microsoft Entra Domain Services nebo Doména služby Active Directory Services se nepodporují.
Pokud jsou hostitelé hybridní relace Microsoft Entra v jiné doméně služby Active Directory než uživatelské účty, musí mezi těmito dvěma doménami existovat obousměrný vztah důvěryhodnosti. Bez obousměrného vztahu důvěryhodnosti se připojení vrátí ke starším ověřovacím protokolům.
Nainstalujte sadu Microsoft Graph PowerShell SDK verze 2.9.0 nebo novější na místní zařízení nebo v Azure Cloud Shellu.
Podporovaný klient vzdálené plochy pro připojení ke vzdálené relaci. Podporují se následující klienti:
Desktopový klient Windows na místních počítačích s Windows 10 nebo novějším. Není nutné, aby byl místní počítač připojený k MICROSOFT Entra ID nebo doméně Active Directory.
Klient macOS verze 10.8.2 nebo novější.
Klient iOS verze 10.5.1 nebo novější.
Klient androidu verze 10.0.16 nebo novější
Povolení ověřování Microsoft Entra pro protokol RDP
Nejprve musíte povolit ověřování Microsoft Entra pro Windows ve vašem tenantovi Microsoft Entra, což umožňuje vydávání přístupových tokenů protokolu RDP, které uživatelům umožňují přihlásit se k hostitelům relací služby Azure Virtual Desktop. Vlastnost nastavíte isRemoteDesktopProtocolEnabled na hodnotu true u objektu instančního remoteDesktopSecurityConfiguration objektu pro následující aplikace Microsoft Entra:
| Název aplikace | Application ID |
|---|---|
| Vzdálená plocha Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
| Přihlášení ke cloudu Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Důležité
V rámci nadcházející změny přecházíme z Vzdálená plocha Microsoft na přihlášení ke cloudu Windows od roku 2024. Konfigurace obou aplikací teď zajišťuje, že jste připraveni na změnu.
Ke konfiguraci instančního objektu použijte sadu Microsoft Graph PowerShell SDK k vytvoření nového objektu remoteDesktopSecurityConfiguration v instančním objektu a nastavte vlastnost isRemoteDesktopProtocolEnabled na true. Rozhraní Microsoft Graph API můžete použít také s nástrojem, jako je Graph Explorer.
Otevřete Azure Cloud Shell na webu Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.
Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.
Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShellu a ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.
Ujistěte se, že jste nainstalovali sadu Microsoft Graph PowerShell SDK z požadovaných součástí, pak naimportujte moduly Microsoft Graphu pro ověřování a aplikace a připojte se k Microsoft Graphu
Application.Read.AllApplication-RemoteDesktopConfig.ReadWrite.Alls obory spuštěním následujících příkazů:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"Získejte ID objektu pro každý instanční objekt a uložte je do proměnných spuštěním následujících příkazů:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").IdNastavte vlastnost
isRemoteDesktopProtocolEnabledtruespuštěním následujících příkazů. Z těchto příkazů neexistuje žádný výstup.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }Spuštěním následujících příkazů ověřte, že
trueje vlastnostisRemoteDesktopProtocolEnablednastavená:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspIdVýstup by měl být následující:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Skrytí dialogového okna výzvy k vyjádření souhlasu
Když je povolené jednotné přihlašování, zobrazí se uživatelům dialogové okno s povolením připojení ke vzdálené ploše při připojování k novému hostiteli relace. Microsoft Entra si pamatuje až 15 hostitelů po dobu 30 dnů, než se znovu zobrazí výzva. Pokud se uživatelům zobrazí tento dialog, aby povolili připojení ke vzdálené ploše, můžou vybrat možnost Ano , aby se připojili.
Toto dialogové okno můžete skrýt konfigurací seznamu důvěryhodných zařízení. Pokud chcete nakonfigurovat seznam zařízení, vytvořte jednu nebo více skupin v Microsoft Entra ID, které obsahuje hostitele relací, a pak přidejte ID skupin do vlastnosti instančních objektů jednotného přihlašování, Vzdálená plocha Microsoft a Přihlášení ke cloudu Windows.
Tip
Doporučujeme použít dynamickou skupinu a nakonfigurovat pravidla dynamického členství tak, aby zahrnovala všechny hostitele relací služby Azure Virtual Desktop. Názvy zařízení v této skupině můžete použít, ale pro bezpečnější možnost můžete nastavit a používat atributy rozšíření zařízení pomocí rozhraní Microsoft Graph API. Dynamické skupiny se obvykle aktualizují během 5 až 10 minut, ale velké tenanty můžou trvat až 24 hodin.
Dynamické skupiny vyžadují licenci Microsoft Entra ID P1 nebo licenci Intune for Education. Další informace najdete v tématu Pravidla dynamického členství pro skupiny.
Pokud chcete nakonfigurovat instanční objekt, použijte sadu Microsoft Graph PowerShell SDK k vytvoření nového objektu targetDeviceGroup v instančním objektu s ID objektu dynamické skupiny a zobrazovaným názvem. Rozhraní Microsoft Graph API můžete použít také s nástrojem, jako je Graph Explorer.
Vytvořte dynamickou skupinu v MICROSOFT Entra ID obsahující hostitele relací, pro které chcete dialogové okno skrýt. Poznamenejte si ID objektu skupiny pro další krok.
Ve stejné relaci PowerShellu
targetDeviceGroupvytvořte objekt spuštěním následujících příkazů a nahraďte<placeholders>vlastními hodnotami:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"Přidejte skupinu do objektu
targetDeviceGroupspuštěním následujících příkazů:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdgVýstup by měl být podobný následujícímu příkladu:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hostsOpakujte kroky 2 a 3 pro každou skupinu, kterou chcete přidat k objektu
targetDeviceGroup, maximálně 10 skupin.Pokud později potřebujete odebrat skupinu zařízení z objektu
targetDeviceGroup, spusťte následující příkazy a nahraďte<placeholders>vlastními hodnotami:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Vytvoření objektu serveru Kerberos
Pokud hostitelé relací splňují následující kritéria, musíte vytvořit objekt serveru Kerberos. Další informace najdete v tématu Povolení přihlašování pomocí hesla bez hesla k místním prostředkům pomocí Microsoft Entra ID, konkrétně oddíl pro vytvoření objektu serveru Kerberos:
Hostitelem relace je hybridní připojení Microsoft Entra. K dokončení ověřování na řadiči domény musíte mít objekt serveru Kerberos.
Váš hostitel relace je připojený k Microsoft Entra a vaše prostředí obsahuje řadiče domény služby Active Directory. Aby uživatelé měli přístup k místním prostředkům, jako jsou sdílené složky SMB a ověřování integrované s Windows na weby, musíte mít objekt serveru Kerberos.
Důležité
Pokud povolíte jednotné přihlašování k hostitelům hybridní relace Microsoft Entra bez vytvoření objektu serveru Kerberos, může při pokusu o připojení ke vzdálené relaci dojít k jedné z následujících věcí:
- Zobrazí se chybová zpráva s oznámením, že konkrétní relace neexistuje.
- Jednotné přihlašování se přeskočí a zobrazí se standardní dialogové okno ověřování pro hostitele relace.
Pokud chcete tyto problémy vyřešit, vytvořte objekt serveru Kerberos a pak se znovu připojte.
Kontrola zásad podmíněného přístupu
Když je povolené jednotné přihlašování, zavádí se nová aplikace Microsoft Entra ID pro ověřování uživatelů na hostiteli relace. Pokud máte zásady podmíněného přístupu, které platí pro přístup ke službě Azure Virtual Desktop, projděte si doporučení týkající se nastavení vícefaktorového ověřování a ujistěte se, že uživatelé mají požadované prostředí.
Konfigurace fondu hostitelů pro povolení jednotného přihlašování
Pokud chcete povolit jednotné přihlašování ve fondu hostitelů, musíte nakonfigurovat následující vlastnost protokolu RDP, kterou můžete provést pomocí webu Azure Portal nebo PowerShellu. Postup konfigurace vlastností protokolu RDP najdete v části Přizpůsobení vlastností protokolu RDP (Remote Desktop Protocol) pro fond hostitelů.
Na webu Azure Portal nastavte jednotné přihlašování Microsoft Entra na Připojení pomocí ověřování Microsoft Entra k zajištění jednotného přihlašování.
V PowerShellu nastavte vlastnost enablerdsaadauth na hodnotu 1.
Další kroky
Přečtěte si ověřování bez hesla v relaci a zjistěte, jak povolit ověřování bez hesla.
Zjistěte, jak nakonfigurovat chování uzamčení relace pro Azure Virtual Desktop.
Další informace o protokolu Microsoft Entra Kerberos naleznete v tématu Podrobné informace: Jak funguje protokol Kerberos Microsoft Entra.
Pokud narazíte na nějaké problémy, přejděte na Řešení potíží s připojeními k virtuálním počítačům připojeným k Microsoft Entra.