選取 Azure 虛擬桌面的驗證策略
對於連線到遠端工作階段的使用者,有三個不同的驗證點:
- Azure 虛擬桌面的服務驗證:擷取使用者存取用戶端時可存取的資源清單。 體驗取決於 Microsoft Entra 帳戶設定。 例如,如果使用者已啟用多重要素驗證,則會提示使用者輸入其使用者帳戶和第二種驗證形式,就像存取其他服務一樣。
- 工作階段主機:啟動遠端工作階段時。 工作階段主機需要使用者名稱和密碼,但如果啟用單一入 (SSO),使用者在使用上會更流暢。
- 工作階段驗證:連線到遠端工作階段內的其他資源。
下列各節將詳細說明這些驗證點。
服務驗證
若要存取 Azure 虛擬桌面資源,您必須先以 Microsoft Entra 帳戶登入,並對服務進行驗證。 每當您訂閱工作區以擷取資源,以及連線至應用程式或桌面時,都會進行驗證。 只要協力廠商識別提供者與 Microsoft Entra ID 同盟,您就可以使用該提供者。
多重要素驗證
遵循使用條件式存取來強制執行 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證中的指示,了解如何為您的部署強制執行 Microsoft Entra 多重要素驗證。 該文章也會告訴您如何設定提示使用者輸入其認證的頻率。 部署已加入 Microsoft Entra 的 VM 時,已加入 Microsoft Entra 的工作階段主機 VM 應注意額外步驟。
無密碼驗證
您可以使用任何 Microsoft Entra ID 支援的驗證類型來對服務進行驗證,例如 Windows Hello 企業版和其他無密碼驗證選項 (如 FIDO 金鑰)。
智慧卡驗證
若要使用智慧卡來對 Microsoft Entra ID 進行驗證,您必須先針對使用者憑證驗證設定 AD FS 或設定 Microsoft Entra 憑證型驗證。
工作階段主機驗證
若您尚未在本機啟用單一登入或儲存認證,您也必須在啟動連線時,對工作階段主機進行驗證。 下列清單描述了每個 Azure 虛擬桌面用戶端目前支援的驗證類型。 某些用戶端可能需要使用特定版本,您可以在每個驗證類型的連結中找到該版本。
| 用戶端 | 支援的驗證類型 |
|---|---|
| Windows 桌面用戶端 | 使用者名稱與密碼 智慧卡 Windows Hello 企業版憑證信任 具有憑證的 Windows Hello 企業版金鑰信任 Microsoft Entra 驗證 |
| Azure 虛擬桌面市集應用程式 | 使用者名稱與密碼 智慧卡 Windows Hello 企業版憑證信任 具有憑證的 Windows Hello 企業版金鑰信任 Microsoft Entra 驗證 |
| 遠端桌面應用程式 | 使用者名稱與密碼 |
| 網頁用戶端 | 使用者名稱與密碼 Microsoft Entra 驗證 |
| Android 用戶端 | 使用者名稱與密碼 Microsoft Entra 驗證 |
| iOS 用戶端 | 使用者名稱與密碼 Microsoft Entra 驗證 |
| macOS 用戶端 | 使用者名稱與密碼 智慧卡:未交涉 NLA 時,支援在 Winlogon 提示下使用智慧卡重新導向進行智慧卡式登入。 Microsoft Entra 驗證 |
重要
若要讓驗證正常運作,您的本機電腦也必須能夠存取遠端桌面用戶端的必要 URL。
單一登入 (SSO)
SSO 可讓連線略過工作階段主機的憑證提示,並自動將使用者登入 Windows。 針對已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式的工作階段主機,建議啟用使用 Microsoft Entra 驗證的 SSO。 Microsoft Entra 驗證還提供其他優點,包含無密碼驗證以及支援第三方識別提供者。
Azure 虛擬桌面也針對 Windows 桌面和網頁用戶端支援使用 Active Directory 同盟服務 (AD FS) 的 SSO。
在沒有 SSO 的情況下,用戶端會在每次連線時提示使用者提供工作階段主機憑證。 避免收到提示的唯一方式就是將憑證儲存在用戶端中。 建議您一律將憑證儲存於安全的裝置上,以防止其他使用者存取您的資源。
智慧卡和 Windows Hello 企業版
Azure 虛擬桌面同時支援 NT LAN Manager (NTLM) 和 Kerberos 進行工作階段主機驗證,不過智慧卡和 Windows Hello 企業版只能使用 Kerberos 登入。 若要使用 Kerberos,用戶端必須從網域控制站上執行的金鑰發佈中心 (KDC) 服務取得 Kerberos 安全性票證。 若要取得票證,用戶端需要網域控制站的網路視距。 您可以使用 VPN 連線或設定 KDC Proxy 伺服器,直接在公司網路中連線,以取得視距。
工作階段驗證
連線至遠端應用程式或桌面之後,可能會提示您在工作階段中進行驗證。 本節說明如何在此案例中使用密碼與使用者名稱以外的認證。
工作階段內無密碼驗證
Azure 虛擬桌面支援使用 Windows Hello 企業版或如 FIDO 金鑰等安全性裝置 (使用 Windows 桌面用戶端時) 的工作階段內無密碼驗證。 當工作階段主機和本機電腦使用下列作業系統時,就會自動啟用無密碼驗證:
- 已安裝 Windows 11 的 2022-10 累積更新預覽版 (KB5018418) 或更新版本的 Windows 11 單一或多重工作階段。
- 已安裝 Windows 10 的 2022-10 累積更新版 (KB5018410) 或更新版本的 Windows 10 單一或多重工作階段 20H2 版或更新版本。
- 已安裝 Microsoft 伺服器作業系統的 2022-10 累積更新版 (KB5018421) 或更新版本的 Windows Server 2022。
若要停用主機集區上的無密碼驗證,您必須自訂 RDP 屬性。 您可以在 Azure 入口網站的 [裝置重新導向] 索引標籤下找到 [WebAuthn 重新導向] 屬性,或使用 PowerShell 將 redirectwebauthn 屬性設定為 0。
啟用時,工作階段中的所有 WebAuthn 要求都會重新導向至本機電腦。 您可以使用 Windows Hello 企業版或本機連接的安全性裝置來完成驗證流程。
若要透過 Windows Hello 企業版或安全性裝置存取 Microsoft Entra 資源,您必須為使用者啟用 FIDO2 安全性金鑰,以作為驗證方法。 若要啟用此方法,請遵循啟用 FIDO2 安全性金鑰方法中的步驟。
工作階段內智慧卡驗證
若要在工作階段中使用智慧卡,請確定您已在工作階段主機上安裝智慧卡驅動程式,並已啟用智慧卡重新導向。 檢閱用戶端比較圖表,以確定您的用戶端支援智慧卡重新導向。