Hostitelé relací připojených k Microsoft Entra ve službě Azure Virtual Desktop
Tento článek vás provede procesem nasazení a přístupu k virtuálním počítačům připojeným k Microsoft Entra ve službě Azure Virtual Desktop. Virtuální počítače připojené k Microsoftu Entra odeberou nutnost mít z virtuálního počítače přehled o místním nebo virtualizovaném řadiči Doména služby Active Directory (DC) nebo k nasazení služby Microsoft Entra Domain Services. V některých případech může zcela odebrat potřebu řadiče domény a zjednodušit nasazení a správu prostředí. Tyto virtuální počítače se také dají automaticky zaregistrovat do Intune, aby se usnadnila správa.
Známá omezení
Následující známá omezení můžou ovlivnit přístup k místním prostředkům nebo prostředkům připojeným k doméně služby Active Directory a měli byste je zvážit při rozhodování, jestli jsou virtuální počítače připojené k Microsoftu entra pro vaše prostředí vhodné.
- Azure Virtual Desktop (classic) nepodporuje virtuální počítače připojené k Microsoftu Entra.
- Virtuální počítače připojené k Microsoftu entra v současné době nepodporují externí identity, jako jsou Microsoft Entra Business-to-Business (B2B) a Microsoft Entra Business-to-Consumer (B2C).
- Virtuální počítače připojené k Microsoft Entra mají přístup pouze ke sdíleným složkám Azure Files nebo sdíleným složkám Azure NetApp Files pro hybridní uživatele pomocí protokolu Microsoft Entra Kerberos pro profily uživatelů FSLogix.
- Aplikace Remote Desktop Store pro Windows nepodporuje virtuální počítače připojené k Microsoftu Entra.
Nasazení virtuálních počítačů připojených k Microsoft Entra
Virtuální počítače připojené k Microsoft Entra můžete nasadit přímo z webu Azure Portal, když vytvoříte nový fond hostitelů nebo rozbalíte existující fond hostitelů. Pokud chcete nasadit virtuální počítač připojený k Microsoft Entra, otevřete kartu Virtuální počítače a pak vyberte, jestli se má virtuální počítač připojit ke službě Active Directory nebo Microsoft Entra ID. Když vyberete Microsoft Entra ID , budete mít možnost automaticky zaregistrovat virtuální počítače v Intune, což vám umožní snadno spravovat hostitele relací. Mějte na paměti, že možnost Microsoft Entra ID připojí virtuální počítače pouze ke stejnému tenantovi Microsoft Entra jako předplatné, ve kterém jste.
Poznámka:
- Fondy hostitelů by měly obsahovat pouze virtuální počítače stejného typu připojení k doméně. Například virtuální počítače připojené k Microsoft Entra by měly být pouze s jinými virtuálními počítači připojenými k Microsoft Entra a naopak.
- Virtuální počítače ve fondu hostitelů musí být Windows 11 nebo Windows 10 s jednou relací nebo více relací, verze 2004 nebo novější nebo Windows Server 2022 nebo Windows Server 2019.
Přiřazení uživatelského přístupu k fondům hostitelů
Po vytvoření fondu hostitelů musíte přiřadit uživatelům přístup k jejich prostředkům. Pokud chcete udělit přístup k prostředkům, přidejte každého uživatele do skupiny aplikací. Postupujte podle pokynů v části Správa skupin aplikací a přiřaďte uživatelům přístup k aplikacím a desktopům. Doporučujeme používat skupiny uživatelů místo jednotlivých uživatelů všude, kde je to možné.
U virtuálních počítačů připojených k Microsoft Entra budete muset udělat dvě další věci nad rámec požadavků na nasazení služby Active Directory nebo Microsoft Entra Domain Services:
- Přiřaďte uživatelům roli Přihlášení uživatele virtuálního počítače, aby se mohli přihlásit k virtuálním počítačům.
- Přiřaďte správcům, kteří potřebují oprávnění místního správce, roli přihlášení správce virtuálního počítače.
Pokud chcete uživatelům udělit přístup k virtuálním počítačům připojeným k Microsoft Entra, musíte pro virtuální počítač nakonfigurovat přiřazení rolí. Roli přihlášení uživatele virtuálního počítače nebo správce virtuálního počítače můžete přiřadit buď na virtuálních počítačích, ve skupině prostředků obsahující virtuální počítače nebo předplatném. Doporučujeme přiřadit roli přihlášení uživatele virtuálního počítače ke stejné skupině uživatelů, kterou jste použili pro skupinu aplikací na úrovni skupiny prostředků, aby se použila pro všechny virtuální počítače ve fondu hostitelů.
Přístup k virtuálním počítačům připojeným k Microsoft Entra
Tato část vysvětluje, jak přistupovat k virtuálním počítačům připojeným k Microsoft Entra z různých klientů Služby Azure Virtual Desktop.
Jednotné přihlášení
Pro zajištění co nejlepšího prostředí na všech platformách byste měli povolit jednotné přihlašování pomocí ověřování Microsoft Entra při přístupu k virtuálním počítačům připojeným k Microsoft Entra. Pokud chcete zajistit bezproblémové připojení, postupujte podle pokynů ke konfiguraci jednotného přihlašování .
Připojení pomocí starších ověřovacích protokolů
Pokud nechcete povolit jednotné přihlašování, můžete pomocí následující konfigurace povolit přístup k virtuálním počítačům připojeným k Microsoft Entra.
Připojení pomocí desktopového klienta Windows
Výchozí konfigurace podporuje připojení z Windows 11 nebo Windows 10 pomocí desktopového klienta Windows. K přihlášení k hostiteli relace můžete použít přihlašovací údaje, čipovou kartu, Windows Hello pro firmy důvěryhodnost certifikátu nebo důvěryhodnost klíče Windows Hello pro firmy s certifikáty. Pro přístup k hostiteli relace však musí místní počítač splňovat jednu z následujících podmínek:
- Místní počítač je prostřednictvím Microsoft Entra připojený ke stejnému hostiteli Microsoft Entra jako hostitel relace.
- Místní počítač je prostřednictvím Microsoft Entra hybridně připojený ke stejnému hostiteli Microsoft Entra jako hostitel relace.
- Na místním počítači běží Windows 11 nebo Windows 10 verze 2004 nebo novější a microsoft Entra je zaregistrovaný ve stejném tenantovi Microsoft Entra jako hostitel relace.
Pokud místní počítač nesplňuje jednu z těchto podmínek, přidejte do fondu hostitelů vlastnost targetisaadjoined:i:1. Tato připojení jsou omezena tak, aby při přihlašování k hostiteli relace zadala uživatelské jméno a heslo.
Připojení pomocí ostatních klientů
Pokud chcete získat přístup k virtuálním počítačům připojeným k Microsoft Entra pomocí webových klientů, Androidu, macOS a iOS, musíte do fondu hostitelů přidat targetisaadjoined:i:1 jako vlastní vlastnost RDP. Tato připojení jsou omezena tak, aby při přihlašování k hostiteli relace zadala uživatelské jméno a heslo.
Vynucení vícefaktorového ověřování Microsoft Entra pro virtuální počítače relace připojené k Microsoft Entra
Vícefaktorové ověřování Microsoft Entra můžete použít s virtuálními počítači připojenými k Microsoft Entra. Postupujte podle pokynů k vynucení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop pomocí podmíněného přístupu a všimněte si dodatečných kroků pro hostitelské virtuální počítače relace připojené k Microsoft Entra.
Pokud používáte vícefaktorové ověřování Microsoft Entra a nechcete omezit přihlašování na metody silného ověřování, jako je Windows Hello pro firmy, budete muset vyloučit aplikaci pro přihlášení k virtuálnímu počítači Azure s Windows ze zásad podmíněného přístupu.
Profily uživatelů
Kontejnery profilů FSLogix můžete použít s virtuálními počítači připojenými k Microsoft Entra, když je ukládáte ve službě Azure Files nebo Azure NetApp Files při používání hybridních uživatelských účtů. Další informace najdete v tématu Vytvoření kontejneru profilu se službou Azure Files a ID Microsoft Entra.
Přístup k místním prostředkům
I když k nasazení nebo přístupu k virtuálním počítačům připojeným k Microsoft Entra nepotřebujete Active Directory, k přístupu k místním prostředkům z těchto virtuálních počítačů je potřeba active directory a přehled. Další informace o přístupu k místním prostředkům najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Microsoft Entra.
Další kroky
Teď, když jste nasadili některé virtuální počítače připojené k Microsoft Entra, doporučujeme povolit jednotné přihlašování, než se připojíte k podporovanému klientovi Azure Virtual Desktopu a otestujete ho jako součást uživatelské relace. Další informace najdete v těchto článcích:
- Konfigurace jednotného přihlašování
- Vytvoření kontejneru profilu se službou Azure Files a ID Microsoft Entra
- Připojení pomocí desktopového klienta Windows
- Připojení pomocí webového klienta
- Řešení potíží s připojeními k virtuálním počítačům připojeným ke službě Microsoft Entra
- Vytvoření kontejneru profilu pomocí služby Azure NetApp Files