Microsoft Entra Id kullanarak Azure Sanal Masaüstü için çoklu oturum açmayı yapılandırma
Microsoft Entra ID kullanarak Azure Sanal Masaüstü için çoklu oturum açma (SSO), oturum konaklarına bağlanan kullanıcılar için sorunsuz bir oturum açma deneyimi sağlar. Çoklu oturum açmayı etkinleştirdiğinizde, kullanıcılar Microsoft Entra ID belirtecini kullanarak Windows'ta kimlik doğrulaması yapar. Bu belirteç, oturum konağına bağlanırken Microsoft Entra Id ile birleştirilmiş parolasız kimlik doğrulaması ve üçüncü taraf kimlik sağlayıcılarının kullanılmasını sağlayarak oturum açma deneyimini sorunsuz hale getirir.
Microsoft Entra ID kullanarak çoklu oturum açma, oturumdaki Microsoft Entra ID tabanlı kaynaklar için de sorunsuz bir deneyim sağlar. Oturumda parolasız kimlik doğrulaması kullanma hakkında daha fazla bilgi için bkz . Oturum içi parolasız kimlik doğrulaması.
Microsoft Entra Id kimlik doğrulamasını kullanarak çoklu oturum açmayı etkinleştirmek için tamamlamanız gereken beş görev vardır:
Uzak Masaüstü Protokolü (RDP) için Microsoft Entra kimlik doğrulamasını etkinleştirin.
Onay istemi iletişim kutusunu gizleyin.
Active Directory Etki Alanı Hizmetleri ortamınızın bir parçasıysa bir Kerberos Server nesnesi oluşturun. Ölçütler hakkında daha fazla bilgi bölümünde verilmiştir.
Koşullu erişim ilkelerinizi gözden geçirin.
Konak havuzunuzu çoklu oturum açmayı etkinleştirecek şekilde yapılandırın.
Çoklu oturum açmayı etkinleştirmeden önce
Çoklu oturum açmayı etkinleştirmeden önce, ortamınızda kullanmak için aşağıdaki bilgileri gözden geçirin.
Oturum kilitleme davranışı
Microsoft Entra Id kullanılarak çoklu oturum açma etkinleştirildiğinde ve uzak oturum kullanıcı veya ilke tarafından kilitlendiğinde oturumun bağlantısının kesilip kesilmeyeceğini veya uzaktan kilit ekranının gösterilip gösterilmeyeceğini seçebilirsiniz. Varsayılan davranış, kilitlendiğinde oturumun bağlantısını kesmektir.
Oturum kilitleme davranışı bağlantıyı kesecek şekilde ayarlandığında, kullanıcılara bağlantılarının kesildiğini bildirmek için bir iletişim kutusu gösterilir. Kullanıcılar yeniden bağlanmaya hazır olduklarında iletişim kutusundan Yeniden Bağlan seçeneğini belirleyebilir. Bu davranış, güvenlik nedeniyle ve parolasız kimlik doğrulamasının tam desteklendiğinden emin olmak için gerçekleştirilir. Oturumun bağlantısını kesmek aşağıdaki avantajları sağlar:
Gerektiğinde Microsoft Entra Id aracılığıyla tutarlı oturum açma deneyimi.
Koşullu erişim ilkeleri tarafından izin verildiğinde kimlik doğrulaması istemi olmadan çoklu oturum açma deneyimi ve yeniden bağlanma.
Uzaktan kilitleme ekranının aksine geçiş anahtarları ve FIDO2 cihazları gibi parolasız kimlik doğrulamasını destekler.
Çok faktörlü kimlik doğrulaması ve oturum açma sıklığı dahil olmak üzere koşullu erişim ilkeleri, kullanıcı oturumuna yeniden bağlandığında yeniden değerlendirilir.
Oturuma geri dönmek için çok faktörlü kimlik doğrulaması gerektirebilir ve kullanıcıların kilidini basit bir kullanıcı adı ve parolayla açmasını engelleyebilir.
Oturumun bağlantısını kesmek yerine uzaktan kilit ekranını gösterecek şekilde oturum kilitleme davranışını yapılandırmak istiyorsanız bkz . Oturum kilitleme davranışını yapılandırma.
Çoklu oturum açma ile Active Directory etki alanı yönetici hesapları
Active Directory Etki Alanı Hizmetleri (AD DS) ve karma kullanıcı hesapları olan ortamlarda, salt okunur etki alanı denetleyicilerindeki varsayılan Parola Çoğaltma İlkesi, Etki Alanı Yöneticileri ve Yöneticiler güvenlik gruplarının üyeleri için parola çoğaltmayı reddeder. Bu ilke, bu yönetici hesaplarının Microsoft Entra karma katılmış konaklarda oturum açmasını engeller ve kimlik bilgilerini girmelerini isteyip istemeye devam edebilir. Ayrıca yönetici hesaplarının Microsoft Entra'ya katılmış konaklardan Kerberos kimlik doğrulamasını kullanan şirket içi kaynaklara erişmesini engeller. Güvenlik nedeniyle etki alanı yöneticisi olan bir hesabı kullanarak uzak oturuma bağlanmanızı önermeyiz.
Yönetici olarak bir oturum konağından değişiklik yapmanız gerekiyorsa yönetici olmayan bir hesap kullanarak oturum konağından oturum açın, ardından yönetici olarak çalıştır seçeneğini veya komut istemindeki runas aracını kullanarak yönetici olarak değiştirin.
Önkoşullar
Çoklu oturum açmayı etkinleştirebilmeniz için önce aşağıdaki önkoşulları karşılamanız gerekir:
Microsoft Entra kiracınızı yapılandırmak için aşağıdaki Microsoft Entra yerleşik rollerinden birine veya eşdeğerine sahip olmanız gerekir:
Oturum konaklarınız, ilgili toplu güncelleştirmenin yüklü olduğu aşağıdaki işletim sistemlerinden birini çalıştırıyor olmalıdır:
Windows 11 için 2022-10 Toplu Güncelleştirmeleri (KB5018418) veya üzeri yüklü windows 11 Enterprise tek veya çok oturumlu.
Windows 10 için 2022-10 Toplu Güncelleştirmeleri (KB5018410) veya üzeri yüklü windows 10 Enterprise tek veya çok oturumlu.
Microsoft server işletim sistemi (KB5018421) veya üzeri için 2022-10 Toplu Güncelleştirmesi'nin yüklü olduğu Windows Server 2022.
Oturum konaklarınız Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış olmalıdır. Microsoft Entra Domain Services veya Active Directory Etki Alanı Hizmetleri'ne katılmış oturum konakları desteklenmez.
Microsoft Entra karma katılmış oturum konaklarınız kullanıcı hesaplarınızdan farklı bir Active Directory etki alanındaysa, iki etki alanı arasında iki yönlü bir güven olmalıdır. İki yönlü güven olmadan, bağlantılar eski kimlik doğrulama protokollerine geri döner.
Microsoft Graph PowerShell SDK sürüm 2.9.0 veya üzerini yerel cihazınıza veya Azure Cloud Shell'e yükleyin.
Uzak oturuma bağlanmak için desteklenen bir Uzak Masaüstü istemcisi. Aşağıdaki istemciler desteklenir:
Windows 10 veya üzerini çalıştıran yerel bilgisayarlarda Windows Masaüstü istemcisi . Yerel bilgisayarın Microsoft Entra Id veya Active Directory etki alanına katılması gerekmez.
macOS istemcisi, sürüm 10.8.2 veya üzeri.
iOS istemcisi, sürüm 10.5.1 veya üzeri.
Android istemcisi, sürüm 10.0.16 veya üzeri.
RDP için Microsoft Entra kimlik doğrulamasını etkinleştirme
Öncelikle Kullanıcıların Azure Sanal Masaüstü oturum konaklarınızda oturum açmasına olanak tanıyan RDP erişim belirteçleri verilmesini sağlayan Microsoft Entra kiracınızda Windows için Microsoft Entra kimlik doğrulamasına izin vermelisiniz. Aşağıdaki Microsoft Entra uygulamaları için hizmet sorumlusunun remoteDesktopSecurityConfiguration nesnesinde özelliğini true olarak ayarlarsınızisRemoteDesktopProtocolEnabled:
| Uygulama Adı | Application ID |
|---|---|
| Microsoft Uzak Masaüstü | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
| Windows Bulut Oturumu Açma | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Önemli
Yaklaşan bir değişikliğin bir parçası olarak, 2024'ten başlayarak Microsoft Uzak Masaüstü'den Windows Bulut Oturumu'na geçeceğiz. Her iki uygulamayı da yapılandırmak artık değişiklik için hazır olduğunuzdan emin olur.
Hizmet sorumlusunu yapılandırmak için Microsoft Graph PowerShell SDK'sını kullanarak hizmet sorumlusunda yeni bir remoteDesktopSecurityConfiguration nesnesi oluşturun ve özelliğini isRemoteDesktopProtocolEnabled olarak trueayarlayın. Microsoft Graph API'sini Graph Explorer gibi bir araçla da kullanabilirsiniz.
Azure portalında PowerShell terminal türüyle Azure Cloud Shell'i açın veya yerel cihazınızda PowerShell'i çalıştırın.
Cloud Shell kullanıyorsanız Azure bağlamınızın kullanmak istediğiniz aboneliğe ayarlandığından emin olun.
PowerShell'i yerel olarak kullanıyorsanız, önce Azure PowerShell ile oturum açın ve ardından Azure bağlamınızın kullanmak istediğiniz aboneliğe ayarlandığından emin olun.
Önkoşullardan Microsoft Graph PowerShell SDK'sını yüklediğinizden emin olun, ardından Kimlik Doğrulama ve Uygulamalar Microsoft Graph modüllerini içeri aktarın ve aşağıdaki komutları çalıştırarak ve
Application-RemoteDesktopConfig.ReadWrite.AllkapsamlarıylaApplication.Read.AllMicrosoft Graph'a bağlanın:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"Aşağıdaki komutları çalıştırarak her hizmet sorumlusunun nesne kimliğini alın ve bunları değişkenlerde depolayın:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").IdAşağıdaki komutları çalıştırarak özelliğini
isRemoteDesktopProtocolEnabledolaraktrueayarlayın. Bu komutlardan çıkış yok.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }Aşağıdaki komutları çalıştırarak özelliğin
isRemoteDesktopProtocolEnabledolarak ayarlandığınıtrueonaylayın:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspIdÇıkış şu şekilde olmalıdır:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Onay istemi iletişim kutusunu gizleme
Varsayılan olarak, çoklu oturum açma etkinleştirildiğinde, kullanıcılar yeni bir oturum konağına bağlanırken Uzak Masaüstü bağlantısına izin veren bir iletişim kutusu görür. Microsoft Entra, yeniden sormadan önce 30 gün boyunca en fazla 15 ana bilgisayar hatırlar. Kullanıcılar Uzak Masaüstü bağlantısına izin vermek için bu iletişim kutusu görürse, bağlanmak için Evet'i seçebilir.
Güvenilen cihazların listesini yapılandırarak bu iletişim kutusunu gizleyebilirsiniz. Cihaz listesini yapılandırmak için Microsoft Entra ID'de oturum konaklarınızı içeren bir veya daha fazla grup oluşturun, ardından grup kimliklerini SSO hizmet sorumluları Microsoft Uzak Masaüstü ve Windows Bulut Oturumu Açma bilgilerindeki bir özelliğe ekleyin.
İpucu
Dinamik bir grup kullanmanızı ve dinamik üyelik kurallarını tüm Azure Sanal Masaüstü oturum konaklarınızı içerecek şekilde yapılandırmanızı öneririz. Bu gruptaki cihaz adlarını kullanabilirsiniz, ancak daha güvenli bir seçenek için Microsoft Graph API'sini kullanarak cihaz uzantısı özniteliklerini ayarlayabilir ve kullanabilirsiniz. Dinamik gruplar normalde 5-10 dakika içinde güncelleştirilse de büyük kiracılar 24 saate kadar sürebilir.
Dinamik gruplar için Microsoft Entra ID P1 lisansı veya Eğitim için Intune lisansı gerekir. Daha fazla bilgi için bkz . Gruplar için dinamik üyelik kuralları.
Hizmet sorumlusunu yapılandırmak için Microsoft Graph PowerShell SDK'sını kullanarak hizmet sorumlusunda dinamik grubun nesne kimliği ve görünen adıyla yeni bir targetDeviceGroup nesnesi oluşturun. Microsoft Graph API'sini Graph Explorer gibi bir araçla da kullanabilirsiniz.
Microsoft Entra Id'de iletişim kutusunu gizlemek istediğiniz oturum konaklarını içeren dinamik bir grup oluşturun. Sonraki adım için grubun nesne kimliğini not edin.
Aynı PowerShell oturumunda aşağıdaki komutları çalıştırarak nesnesini
targetDeviceGroupoluşturun ve öğesini kendi değerlerinizle değiştirin<placeholders>:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"Aşağıdaki komutları çalıştırarak grubu
targetDeviceGroupnesnesine ekleyin:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdgÇıktı aşağıdaki örneğe benzer olmalıdır:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hostsNesneye eklemek
targetDeviceGroupistediğiniz her grup için en fazla 10 grup olmak üzere 2. ve 3. adımları yineleyin.Daha sonra nesneden
targetDeviceGroupbir cihaz grubunu kaldırmanız gerekiyorsa, öğesini kendi değerlerinizle değiştirerek<placeholders>aşağıdaki komutları çalıştırın:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Kerberos sunucu nesnesi oluşturma
Oturum konaklarınız aşağıdaki ölçütleri karşılıyorsa, bir Kerberos sunucu nesnesi oluşturmanız gerekir. Daha fazla bilgi için bkz. Microsoft Entra Id kullanarak şirket içi kaynaklarda parolasız güvenlik anahtarıyla oturum açmayı etkinleştirme, özellikle Kerberos Server nesnesi oluşturma bölümü:
Oturum konağınız Microsoft Entra karmaya katılmış. Bir etki alanı denetleyicisinde kimlik doğrulamasını tamamlamak için bir Kerberos sunucu nesneniz olmalıdır.
Oturum konağınız Microsoft Entra'ya katılmış ve ortamınız Active Directory etki alanı denetleyicileri içeriyor. Kullanıcıların SMB paylaşımları ve Web siteleriyle Windows ile tümleşik kimlik doğrulaması gibi şirket içi kaynaklara erişebilmesi için bir Kerberos sunucu nesneniz olmalıdır.
Önemli
Kerberos sunucu nesnesi oluşturmadan Microsoft Entra karma birleştirilmiş oturum konaklarında çoklu oturum açmayı etkinleştirirseniz, uzak oturuma bağlanmaya çalıştığınızda aşağıdakilerden biri gerçekleşebilir:
- Belirli bir oturumun mevcut olmadığını belirten bir hata iletisi alırsınız.
- Çoklu oturum açma atlanır ve oturum konağı için standart bir kimlik doğrulama iletişim kutusu görürsünüz.
Bu sorunları çözmek için Kerberos sunucu nesnesini oluşturun ve yeniden bağlanın.
Koşullu erişim ilkelerinizi gözden geçirme
Çoklu oturum açma etkinleştirildiğinde, oturum ana bilgisayarında kullanıcıların kimliğini doğrulamak için yeni bir Microsoft Entra ID uygulaması kullanıma sunulmuştur. Azure Sanal Masaüstü'ne erişirken geçerli olan koşullu erişim ilkeleriniz varsa, kullanıcıların istenen deneyime sahip olduğundan emin olmak için çok faktörlü kimlik doğrulamasını ayarlama önerilerini gözden geçirin.
Konak havuzunuzu çoklu oturum açmayı etkinleştirecek şekilde yapılandırma
Konak havuzunuzda çoklu oturum açmayı etkinleştirmek için, Azure portalını veya PowerShell'i kullanarak yapabileceğiniz aşağıdaki RDP özelliğini yapılandırmanız gerekir. RDP özelliklerini yapılandırma adımlarını bir konak havuzu için Uzak Masaüstü Protokolü (RDP) özelliklerini özelleştirme bölümünde bulabilirsiniz.
Azure portalında, Microsoft Entra çoklu oturum açma özelliğini Bağlantılar olarak ayarlayın, çoklu oturum açma sağlamak için Microsoft Entra kimlik doğrulamasını kullanır.
PowerShell için enablerdsaadauth özelliğini 1 olarak ayarlayın.
Sonraki adımlar
Parolasız kimlik doğrulamasını etkinleştirmeyi öğrenmek için Oturum içi parolasız kimlik doğrulaması'na göz atın.
Azure Sanal Masaüstü için oturum kilitleme davranışını yapılandırmayı öğrenin.
Microsoft Entra Kerberos hakkında daha fazla bilgi için bkz . Ayrıntılı bilgi: Microsoft Entra Kerberos nasıl çalışır?
Herhangi bir sorunla karşılaşırsanız Microsoft Entra'ya katılmış VM'lere yönelik bağlantı sorunlarını giderme bölümüne gidin.