Azure Sanal Masaüstü'nde Microsoft Entra'ya katılmış oturum konakları

Bu makale, Azure Sanal Masaüstü'nde Microsoft Entra'ya katılmış sanal makineleri dağıtma ve bunlara erişme işleminde size yol gösterir. Microsoft Entra'ya katılmış VM'ler, VM'den şirket içi veya sanallaştırılmış bir Active Directory Etki Alanı Denetleyicisine (DC) görüş çizgisine sahip olmak veya Microsoft Entra Domain Services'ı dağıtmak gereksinimini ortadan kaldırır. Bazı durumlarda dc gereksinimini tamamen ortadan kaldırarak ortamın dağıtımını ve yönetimini basitleştirebilir. Bu VM'ler, yönetim kolaylığı için Intune'a da otomatik olarak kaydedilebilir.

Bilinen sınırlamalar

Aşağıdaki bilinen sınırlamalar şirket içi veya Active Directory etki alanına katılmış kaynaklarınıza erişimi etkileyebilir ve Microsoft Entra'ya katılmış VM'lerin ortamınız için uygun olup olmadığına karar verirken bunları göz önünde bulundurmanız gerekir.

  • Azure Sanal Masaüstü (klasik), Microsoft Entra'ya katılmış VM'leri desteklemez.
  • Microsoft Entra'ya katılmış VM'ler şu anda Microsoft Entra business-to-Business (B2B) ve Microsoft Entra Business-to-Consumer (B2C) gibi dış kimlikleri desteklememektedir.
  • Microsoft Entra'ya katılmış VM'ler yalnızca FSLogix için Microsoft Entra Kerberos kullanıcı profillerini kullanarak karma kullanıcılar için Azure Dosyalar paylaşımlarına veya Azure NetApp Files paylaşımlarına erişebilir.
  • Windows için Uzak Masaüstü Mağazası uygulaması, Microsoft Entra'ya katılmış VM'leri desteklemez.

Microsoft Entra'ya katılmış VM'leri dağıtma

Microsoft Entra'ya katılmış VM'leri yeni bir konak havuzu oluşturduğunuzda veya mevcut bir konak havuzunu genişletirken doğrudan Azure portalından dağıtabilirsiniz. Microsoft Entra'ya katılmış bir VM dağıtmak için Sanal Makineler sekmesini açın, ardından VM'yi Active Directory'ye mi yoksa Microsoft Entra Id'ye mi katılacağını seçin. Microsoft Entra Id seçildiğinde, oturum konaklarınızı kolayca yönetmenize olanak tanıyan VM'leri Intune'a otomatik olarak kaydetme seçeneği bulunur. Microsoft Entra Id seçeneğinin vm'leri yalnızca içinde olduğunuz abonelikle aynı Microsoft Entra kiracısına katacağını unutmayın.

Not

  • Konak havuzları yalnızca aynı etki alanına katılma türündeki VM'leri içermelidir. Örneğin, Microsoft Entra'ya katılmış VM'ler yalnızca diğer Microsoft Entra'ya katılmış VM'lerle birlikte olmalıdır ve tam tersi de geçerlidir.
  • Konak havuzundaki VM'ler Windows 11 veya Windows 10 tek oturumlu veya çok oturumlu, sürüm 2004 veya üzeri ya da Windows Server 2022 ya da Windows Server 2019 olmalıdır.

Konak havuzlarına kullanıcı erişimi atama

Konak havuzunuzu oluşturduktan sonra kullanıcılara kaynaklarına erişim atamanız gerekir. Kaynaklara erişim vermek için her kullanıcıyı uygulama grubuna ekleyin. Uygulama ve masaüstlerine kullanıcı erişimi atamak için Uygulama gruplarını yönetme başlığındaki yönergeleri izleyin. Mümkün olduğunca tek tek kullanıcılar yerine kullanıcı gruplarını kullanmanızı öneririz.

Microsoft Entra'ya katılmış VM'ler için, Active Directory veya Microsoft Entra Domain Services tabanlı dağıtım gereksinimlerinin üzerine iki ek işlem yapmanız gerekir:

  • Vm'lerde oturum açabilmeleri için kullanıcılarınıza Sanal Makine Kullanıcı Oturum Açma rolünü atayın.
  • Yerel yönetici ayrıcalıklarına ihtiyaç duyan yöneticileri Sanal Makine Yöneticisi Oturum Açma rolüne atayın.

Kullanıcılara Microsoft Entra'ya katılmış VM'lere erişim vermek için VM için rol atamaları yapılandırmanız gerekir. Sanal Makine Kullanıcı Oturum Açma veya Sanal Makine Yöneticisi Oturum Açma rolünü VM'lerde, VM'leri içeren kaynak grubunda veya abonelikte atayabilirsiniz. Sanal Makine Kullanıcı Oturum Açma rolünü, konak havuzundaki tüm VM'lere uygulanması için kaynak grubu düzeyinde uygulama grubu için kullandığınız kullanıcı grubuna atamanızı öneririz.

Microsoft Entra'ya katılmış VM'lere erişme

Bu bölümde farklı Azure Sanal Masaüstü istemcilerinden Microsoft Entra'ya katılmış VM'lere nasıl erişilmesi açıklanmaktadır.

Çoklu oturum açma

Tüm platformlarda en iyi deneyim için, Microsoft Entra'ya katılmış VM'lere erişirken Microsoft Entra kimlik doğrulamasını kullanarak çoklu oturum açma deneyimini etkinleştirmeniz gerekir. Sorunsuz bir bağlantı deneyimi sağlamak için Çoklu oturum açmayı yapılandırma adımlarını izleyin.

Eski kimlik doğrulama protokollerini kullanarak bağlanma

Çoklu oturum açmayı etkinleştirmemek isterseniz, Microsoft Entra'ya katılmış VM'lere erişimi etkinleştirmek için aşağıdaki yapılandırmayı kullanabilirsiniz.

Windows Masaüstü istemcisini kullanarak bağlanma

Varsayılan yapılandırma, Windows Masaüstü istemcisini kullanarak Windows 11 veya Windows 10 bağlantılarını destekler. Oturum ana bilgisayarında oturum açmak için kimlik bilgilerinizi, akıllı kartınızı, İş İçin Windows Hello sertifika güveninizi veya sertifikalarla İş İçin Windows Hello anahtar güveninizi kullanabilirsiniz. Ancak oturum konağına erişim sağlamak için yerel bilgisayarınızın aşağıdaki koşullardan birine uyması gerekir:

  • Yerel bilgisayar, oturum konağıyla aynı Microsoft Entra kiracısına katılmış Microsoft Entra'dır
  • Yerel bilgisayar, oturum konağıyla aynı Microsoft Entra hibrit kiracısına katılmış Microsoft Entra'dır
  • Yerel bilgisayar Windows 11 veya Windows 10, sürüm 2004 veya üzerini çalıştırıyor ve Microsoft Entra, oturum konağıyla aynı Microsoft Entra kiracısına kayıtlı

Yerel bilgisayarınız bu koşullardan birini karşılamıyorsa targetisaadjoined:i:1 öğesini özel RDP özelliği olarak konak havuzuna ekleyin. Bu bağlantılar, oturum ana bilgisayarında oturum açarken kullanıcı adı ve parola kimlik bilgilerini girmeyle sınırlıdır.

Diğer istemcileri kullanarak bağlanma

Web, Android, macOS ve iOS istemcilerini kullanarak Microsoft Entra'ya katılmış VM'lere erişmek için konak havuzuna özel rdp özelliği olarak targetisaadjoined:i:1 eklemeniz gerekir. Bu bağlantılar, oturum ana bilgisayarında oturum açarken kullanıcı adı ve parola kimlik bilgilerini girmeyle sınırlıdır.

Microsoft Entra'ya katılmış oturum VM'leri için Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılma

Microsoft Entra'ya katılmış VM'lerle Microsoft Entra çok faktörlü kimlik doğrulamasını kullanabilirsiniz. Koşullu Erişim kullanarak Azure Sanal Masaüstü için Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılma adımlarını izleyin ve Microsoft Entra'ya katılmış oturum ana bilgisayar VM'leri için ek adımları not edin.

Microsoft Entra çok faktörlü kimlik doğrulamasını kullanıyorsanız ve İş İçin Windows Hello gibi güçlü kimlik doğrulama yöntemleriyle oturum açmayı kısıtlamak istemiyorsanız Azure Windows VM Oturum Açma uygulamasını Koşullu Erişim ilkenizin dışında tutmanız gerekir.

Kullanıcı profilleri

FSLogix profil kapsayıcılarını karma kullanıcı hesaplarını kullanırken Azure Dosyalar veya Azure NetApp Files'da depolarken Microsoft Entra'ya katılmış VM'lerle kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Dosyalar ve Microsoft Entra Id ile profil kapsayıcısı oluşturma.

Şirket içi kaynaklara erişme

Microsoft Entra'ya katılmış VM'lerinizi dağıtmak veya erişmek için bir Active Directory'ye ihtiyacınız olmasa da, bu VM'lerden şirket içi kaynaklara erişmek için bir Active Directory ve buna yönelik bir görüş çizgisi gerekir. Şirket içi kaynaklara erişme hakkında daha fazla bilgi edinmek için bkz . Şirket içi kaynaklara SSO, Microsoft Entra'ya katılmış cihazlarda nasıl çalışır?

Sonraki adımlar

Microsoft Entra'ya katılmış bazı VM'leri dağıttığınız için, desteklenen bir Azure Sanal Masaüstü istemcisiyle bağlantı kurmadan önce çoklu oturum açmayı etkinleştirmenizi ve bunu bir kullanıcı oturumu kapsamında test etmesini öneririz. Daha fazla bilgi edinmek için şu makalelere göz atın: