選取 Azure 虛擬桌面的身分識別策略

5 分鐘

在此單元中，我們將提供您在 Azure 虛擬桌面中使用的身分識別和驗證方法種類的簡短概觀。

身分識別

取決於您選擇的設定，Azure 虛擬桌面可支援不同類型的身分識別。本節說明可用於每個設定的身分識別。

重要

Azure 虛擬桌面不支援使用一個使用者帳戶登入 Microsoft Entra ID，然後使用個別的使用者帳戶登入 Windows。同時使用兩個不同的帳戶登入，可能會導致使用者重新連線至錯誤的工作階段主機、Azure 入口網站中的資訊不正確或遺失，以及在使用應用程式連結或 MSIX 應用程式連結時出現錯誤訊息。

內部部署身分識別

因為使用者必須可透過 Microsoft Entra ID 加以探索，才能存取 Azure 虛擬桌面，因此僅存在於 Active Directory Domain Services (AD DS) 中的使用者身分識別並不受到支援。這包括具有 Active Directory 同盟服務 (AD FS) 的獨立 Active Directory 部署。

混合式身分識別

Azure 虛擬桌面透過 Microsoft Entra ID 支援混合式身分識別，包括使用 AD FS 同盟的身分識別。您可以在 AD DS 中管理這些使用者身分識別，並使用 Microsoft Entra Connect 將其同步至 Microsoft Entra ID。您也可以使用 Microsoft Entra ID 來管理這些身分識別，並將其同步至 Microsoft Entra Domain Services。

使用混合式身分識別存取 Azure 虛擬桌面時，有時候 Active Directory (AD) 及 Microsoft Entra ID 中使用者的使用者主體名稱 (UPN) 與安全性識別碼 (SID) 不相符。例如，AD 帳戶 user@contoso.local 可能會對應到 Microsoft Entra ID 中的 user@contoso.com。若您的 AD 與 Microsoft Entra ID 帳戶符合 UPN 或 SID，則 Azure 虛擬桌面僅支援此設定類型。 SID 代表 AD 中的使用者物件屬性 "ObjectSID"，以及 Microsoft Entra ID 中的 "OnPremisesSecurityIdentifier"。

僅限雲端的身分識別

使用已加入 Microsoft Entra ID 的 VM 時，Azure 虛擬桌面支援僅限雲端的身分識別。這些使用者會直接建立於 Microsoft Entra ID 中並受到管理。

注意

您也可以將混合式身分識別指派給裝載已加入 Microsoft Entra 加入類型之工作階段主機的 Azure 虛擬桌面應用程式群組。

協力廠商身分識別提供者

若您使用識別提供者 (IdP) 而非 Microsoft Entra ID 來管理使用者帳戶，您必須確保：

您的IdP 與 Microsoft Entra ID 同盟。
您的工作階段主機已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式。
您啟用工作階段主機的Microsoft Entra 驗證。

外部身分識別

Azure 虛擬桌面目前不支援外部身分識別。