你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在本文中,我们将简要概述可在 Azure 虚拟桌面中使用的标识和身份验证方法类型。
身份
Azure 虚拟桌面支持不同类型的标识,具体取决于你选择的配置。 本部分介绍可用于每个配置的标识。
重要
Azure 虚拟桌面不支持使用一个用户帐户登录到Microsoft Entra ID,然后使用单独的用户帐户登录到 Windows。 使用两个不同的帐户同时登录可能会导致用户重新连接到错误的会话主机、Azure 门户中错误或缺少信息,以及使用应用附加时出现的错误消息。
本地标识
由于用户必须可通过Microsoft Entra ID 来发现才能访问 Azure 虚拟桌面,因此不支持仅存在于 Active Directory 域服务 (AD DS) 中的用户标识。 这包括具有 Active Directory 联合身份验证服务 (AD FS) 的独立 Active Directory 部署。
混合标识
Azure 虚拟桌面通过Microsoft Entra ID 支持混合标识,包括使用 AD FS 的联合标识。 可以在 AD DS 中管理这些用户标识,并使用 Microsoft Entra Connect 将它们同步到Microsoft Entra ID。 还可以使用Microsoft Entra ID 来管理这些标识,并将其同步到Microsoft Entra 域服务。
使用混合标识访问 Azure 虚拟桌面时,Active Directory (AD) 中的用户主体名称 (UPN) 或安全标识符 (SID) 有时不匹配Microsoft Entra ID。 例如,AD 帐户user@contoso.local可能对应于 user@contoso.com Microsoft Entra ID。 如果 AD 帐户和 Microsoft Entra ID 帐户的 UPN 或 SID 匹配,Azure 虚拟桌面仅支持这种类型的配置。 SID 在 AD 中引用用户对象属性“ObjectSID”,在MICROSOFT ENTRA ID 中引用“OnPremisesSecurityIdentifier”。
仅限云标识
使用已加入Microsoft Entra VM 时,Azure 虚拟桌面支持仅限云的标识。 这些用户直接在Microsoft Entra ID 中创建和管理。
注意
还可以将混合标识分配给 Azure 虚拟桌面应用程序组,这些组托管联接类型的会话主机Microsoft Entra加入。
联合身份
如果使用第三方标识提供者 (IdP) (Microsoft Entra ID 或Active Directory 域服务)来管理用户帐户,必须确保:
- IdP 与 Microsoft Entra ID 联合。
- 会话主机已Microsoft Entra加入或Microsoft Entra混合联接。
- 对会话主机启用Microsoft Entra身份验证。
外部标识 (预览)
外部标识 (预览) 支持允许邀请用户加入Entra ID租户,并为他们提供 Azure 虚拟桌面资源。 向 外部标识提供资源时,有几个要求和限制:
- 要求
- 会话主机作系统:会话主机必须运行Windows 11 企业版版本 24H2 或更高版本,并且安装了 Windows 11 (KB5065789) 或更高版本的 2025-09 累积汇报。
- 会话主机联接类型:会话主机必须是 Entra joined。
- 单一登录:必须为主机池配置 单一登录 。
- Windows App客户端:外部标识必须从 Windows 或 Web 浏览器上的Windows App进行连接。
- 限制
- FSLogix:尚不支持 FSLogix。 外部标识可以连接到共用资源,但会在登录的每个会话主机上创建新的用户配置文件。
- Intune 设备配置策略:分配给外部标识的设备配置策略不会应用于会话主机上的用户。 而是将设备配置策略分配给设备。
- 云可用性:此功能仅在 Azure 公有云中可用,但不适用于由世纪互联运营的政府云或 Azure。
- 跨云邀请:不支持跨云用户。 只能向从社交标识提供者邀请的用户提供 Azure 虚拟桌面资源访问权限,Microsoft Entra来自Microsoft Azure 商业云的用户或在劳动力租户中注册的其他标识提供者。 无法为从世纪互联运营的 Azure Microsoft Azure 政府或Microsoft邀请的用户分配 Azure 虚拟桌面资源。
- 令牌保护:Microsoft Entra对外部标识的令牌保护具有某些限制。 详细了解Windows App平台对令牌保护的支持。
- Kerberos 身份验证:外部标识无法使用 Kerberos 或 NTLM 协议对本地资源进行身份验证。
- Windows App客户端:在 Windows 上使用 Windows App时,必须在运行 Windows App 的设备上设置注册表项才能完成 B2B 登录。 详细了解 所需的注册表项。
有关为外部标识配置环境的建议和许可许可指南,请参阅Microsoft Entra B2B 最佳做法。
身份验证方法
访问 Azure 虚拟桌面资源时,有三个单独的身份验证阶段:
- 云服务身份验证:向 Azure 虚拟桌面服务进行身份验证(包括订阅资源和对网关进行身份验证)使用Microsoft Entra ID。
- 远程会话身份验证:对远程 VM 进行身份验证。 可通过多种方式向远程会话进行身份验证,包括建议的单一登录 (SSO) 。
- 会话内身份验证:对远程会话中的应用程序和网站进行身份验证。
对于每个身份验证阶段的不同客户端上可用的凭据列表, 请比较跨平台的客户端。
重要
为了使身份验证正常工作,本地计算机还必须能够访问 远程桌面客户端所需的 URL。
以下部分提供有关这些身份验证阶段的详细信息。
云服务身份验证
若要访问 Azure 虚拟桌面资源,必须先使用 Microsoft Entra ID 帐户登录,对服务进行身份验证。 每当订阅检索资源、在启动连接时连接到网关或向服务发送诊断信息时,都会进行身份验证。 用于此身份验证的Microsoft Entra ID 资源是 Azure 虚拟桌面 (应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07) 。
多重身份验证
按照使用条件访问对 Azure 虚拟桌面强制实施Microsoft Entra多重身份验证中的说明,了解如何为部署强制实施Microsoft Entra多重身份验证。 本文还将介绍如何配置提示用户输入其凭据的频率。 部署Microsoft Entra联接的 VM 时,请注意已加入Microsoft Entra会话主机 VM 的额外步骤。
无密码身份验证
可以使用Microsoft Entra ID 支持的任何身份验证类型(例如 Windows Hello for Business)和其他无密码身份验证选项 ((例如 FIDO 密钥) )向服务进行身份验证。
智能卡身份验证
若要使用智能卡对Microsoft Entra ID 进行身份验证,必须首先配置Microsoft Entra基于证书的身份验证或为用户证书身份验证配置 AD FS。
第三方标识提供者
可以使用第三方标识提供者,只要它们与Microsoft Entra ID 联合。
远程会话身份验证
如果尚未启用 单一登录 或在本地保存凭据,则启动连接时还需要向会话主机进行身份验证。
单一登录 (SSO)
SSO 允许连接跳过会话主机凭据提示,并通过Microsoft Entra身份验证自动将用户登录到 Windows。 对于Microsoft Entra加入或Microsoft Entra混合联接的会话主机,建议使用Microsoft Entra身份验证启用 SSO。 Microsoft Entra身份验证提供其他优势,包括无密码身份验证和支持第三方标识提供者。
Azure 虚拟桌面还支持使用适用于 Windows 桌面和 Web 客户端的 Active Directory 联合身份验证服务 (AD FS) 的 SSO。
如果没有 SSO,客户端会提示用户为每个连接提供其会话主机凭据。 避免出现提示的唯一方法是在客户端中保存凭据。 建议仅在安全设备上保存凭据,以防止其他用户访问你的资源。
适用于企业的智能卡和Windows Hello
Azure 虚拟桌面支持 NT LAN Manager (NTLM) 和 Kerberos 进行会话主机身份验证,但 Smart 卡 和 Windows Hello for Business 只能使用 Kerberos 登录。 若要使用 Kerberos,客户端需要从密钥分发中心获取 Kerberos 安全票证, (域控制器上运行的 KDC) 服务。 若要获取票证,客户端需要域控制器的直接网络视线。 可以通过直接在公司网络中进行连接、使用 VPN 连接或设置 KDC 代理服务器来获取视线。
会话内身份验证
连接到 RemoteApp 或桌面后,系统可能会提示你在会话中进行身份验证。 本部分介绍如何在此方案中使用用户名和密码以外的凭据。
会话内无密码身份验证
使用 Windows 桌面客户端时,Azure 虚拟桌面支持使用适用于企业的 Windows Hello 或安全设备(例如 FIDO 密钥)进行会话内无密码身份验证。 当会话主机和本地电脑使用以下作系统时,将自动启用无密码身份验证:
- Windows 11单会话或多会话,其中安装了 Windows 11 (KB5018418) 或更高版本的 2022-10 累积汇报。
- Windows 10单会话或多会话版本 20H2 或更高版本,并安装了 Windows 10 (KB5018410) 或更高版本的 2022-10 累积汇报。
- Windows Server 2022 年,安装了适用于Microsoft服务器作系统的 2022-10 累积更新 (KB5018421) 或更高版本。
若要在主机池上禁用无密码身份验证,必须 自定义 RDP 属性。 可以在Azure 门户中的“设备重定向”选项卡下找到“WebAuthn 重定向”属性,或使用 PowerShell 将 redirectwebauthn 属性设置为 0。
启用后,会话中的所有 WebAuthn 请求都会重定向到本地电脑。 可以使用 Windows Hello for Business 或本地附加的安全设备来完成身份验证过程。
若要使用 Windows Hello for Business 或安全设备访问Microsoft Entra资源,必须启用 FIDO2 安全密钥作为用户的身份验证方法。 若要启用此方法,请按照 启用 FIDO2 安全密钥方法中的步骤作。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保已在会话主机上安装了智能卡驱动程序,并启用了智能卡重定向。 查看Windows App和远程桌面应用的比较图表,以便使用智能卡重定向。
后续步骤
- 是否对保护部署安全的其他方法感兴趣? 查看 安全最佳做法。
- 连接到已加入Microsoft Entra VM 时遇到问题? 请参阅排查与已加入Microsoft Entra VM 的连接问题。
- 会话内无密码身份验证出现问题? 请参阅 排查 WebAuthn 重定向问题。
- 想要使用企业网络外部的智能卡? 查看如何设置 KDC 代理服务器。