本文将介绍如何使用 Azure Active Directory (Azure AD) 身份验证为 Azure 虚拟桌面配置单一登录 (SSO) 的过程。 启用 SSO 后,可以使用无密码身份验证以及与 Azure AD 联合的和第三方标识提供者来登录到 Azure 虚拟桌面和远程应用程序。 启用后,此功能在向会话主机进行身份验证时提供单一登录体验,并将会话配置为提供对会话内基于 Azure AD 的资源的单一登录。
一、启用单点登录
若要在主机池上启用 SSO,必须自定义 RDP 属性。 可以在 Azure 门户中的“连接信息”选项卡下找到“Azure AD 身份验证”属性,或使用 PowerShell 将 enablerdsaadauth 属性设置为 1。
1.登录Azure门户
2.在搜索框中输入“Azure虚拟桌面”,并选择Azure虚拟桌面
3.在主机池中选择要配置单点登录的主机池
4.在RDP属性中,高级选项卡下的RDP属性中,增加 ;enablerdsaadauth:i:1 ,保存退出
保存退出完成设置。
二、“允许远程桌面连接”对话
启用单一登录后,系统目前会在启动与新主机的连接时提示你向 Azure AD 进行身份验证并允许远程桌面连接。 Azure AD 最多记住 15 台主机 30 天,在 30 天之后会再次提示。 如果看到此对话,请选择“是”进行连接。
1.Web浏览器登录https://client.wvd.microsoft.com/arm/webclient/index.html
2.双击SessionDesktop ,无需在输入用户名和密码即可直接进入系统
3.在Windows Remote Desk中登录
也是双击后无需输入用户名和密码即可直接进入系统,实现了单点登录
启用 SSO 后,可以使用 Azure AD 身份验证令牌登录 Windows,该令牌支持向 Windows 进行无密码身份验证。 远程会话中的 Windows 锁屏界面不支持 Azure AD 身份验证令牌或 FIDO 密钥之类的无密码身份验证方法。 不支持这些身份验证方法意味着用户无法在远程会话中解锁屏幕。 当你尝试通过用户操作或系统策略锁定远程会话时,会话会断开连接,服务会向用户发送一条消息,说明其已断开连接。断开会话还可以确保在一段时间不活动后重新启动连接时,Azure AD 会重新评估适用的条件访问策略。
