AZURE AD JOIN配置

Prepared by:

Yuan Wang(CSA)

12 April. 2022

Version 1.0 Final


目录

一.概览 

二.Azure AD Join的先决条件 

三.部署 Azure AD Join的主机池 

四.启用用户访问 

五.使用远程桌面客户端连接到加入 Azure AD 的会话主机 

六.配置本地管理员访问 

七.总结 


一.概览

在中国区世纪互联Azure版本AVD已经GA半年多,为了协助更多用户快速掌握除了官方文档已有的部署信息外的技术部署细节,我基于现有的客户项目和技术实践积累,逐步发布一系列的快速上手技术指南。

这篇文章AVD快速上手系列文章中的一个部分,在本文中我们将了解 Azure 虚拟桌面的 Azure Active Directory (Azure AD) 连接。将 Azure AD Join用于 Azure 虚拟桌面对企业组织有很多好处,包括单点登录 (SSO)、仅使用一个身份提供程序的虚拟机,以及能够避免与拥有 Active Directory 域控制器相关的一些复杂性。

但请务必注意,其他服务可能仍需要 Active Directory 域服务环境才能访问应用程序和Server Message Block (SMB)。

在本次分享中,我们将了解以下内容:

  • Azure 虚拟桌面的 Azure AD Join的先决条件
  • 部署加入 Azure AD 的主机池
  • 启用用户访问
  • 配置本地管理员访问

二.Azure AD Join的先决条件

请务必注意,将 Azure AD Join用于 Azure 虚拟桌面时存在一些限制。您可能知道,许多 Microsoft 服务、第三方平台和其他服务都需要访问 Active Directory 环境以进行身份验证和用户/组权限。因此,评估您的组织的当前要求以确保 Azure AD 加入是一个合适的解决方案非常重要:

  • 只有在使用 Azure 虚拟桌面 Azure Resource Manager模式时才支持 Azure AD Join。不支持经典版本的 Azure 虚拟桌面。
  • 会话主机必须是 Windows 10 企业版 2004 或更高版本。
  • Azure AD Join 的 VM 目前不支持外部用户。

特别提醒:

Azure AD Join不同于 Active Directory 域服务控制器,因为会话主机虚拟机 (VM) 会自动加入部署 VM 的订阅的 Azure AD 租户。无法为主机 VM 指定不同的 Azure AD 租户。 这意味着您需要确保所需的 Azure 租户链接到您希望部署使用Azure AD Join VM的订阅。

现在让我们看看如何部署一个加入 Azure AD 的主机池。


三.部署 Azure AD Join的主机池

在本节中,我们将介绍使用 Azure AD Join部署主机池。 在开始之前,我想介绍一下 FSLogix 配置文件容器与 Azure AD Join的使用。使用 Azure AD 加入时,与使用 Active Directory 域服务时的传统方式相比,存在一些细微差别。

以下链接将您带到 Microsoft 文档,详细说明如何使用 Azure 文件和 Azure AD 配置 FSLogix 配置文件容器。请注意,此功能在撰写本文时处于预览状态(2022-4-1):

Create a profile container with Azure Files and Azure Active Directory (preview) ​​https://docs.microsoft.com/en-us/azure/virtual-desktop/create-profile-container-azure-ad​​​

现在让我们继续看看如何创建一个加入 Azure AD 的主机池:

  1. 我们首先需要导航到 Azure 虚拟桌面服务才能开始。
  2. 继续创建一个新的主机池。
  3. 在主机池创建屏幕中,在虚拟机选项卡下,在要加入的域部分中,选择Azure Active Directory:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_microsoft

  1. 当您选择 Azure Active Directory 时,您将看到使用 Intune 注册 VM 选项出现。 如果您想使用 Intune 管理策略、分发软件和一般管理 VM,则可以使用 Enroll VM with Intune 选项:(AVD海外版本)

Azure Virtual Desktop 快速上手--AZURE AD JOIN_Azure虚拟桌面_02

作为 Microsoft Endpoint Manager (MEM) 的一部分,您可以在此处阅读有关 Intune 的更多信息:​​https://techcommunity.microsoft.com/t5/intune-customer-success/getting-started-with-microsoft-endpoint-manager/ba-p/2497614​​​

特别注意:

在使用 Enroll VM with Intune 功能之前,您需要确保已设置 MEM;否则,主机池部署将失败。

  1. 部署完成后,您应该会看到一个名为 AADLoginForWindows 的扩展,如果您选择了使用 Intune 注册 VM 选项,则该扩展用于创建 Azure AD Join和 Intune 注册。如果选择不使用 Intune 注册,则需要使用本地配置策略来自定义主镜像:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_microsoft_03

  1. 部署完成后,您将在设备|所有设备下看到在 Azure AD 中注册的设备。如以下屏幕截图所示:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_microsoft_04

  1. 如果使用 Intune 注册,该设备也将显示在 MEM 中:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_microsoft_05

  1. 当您导航到Azure Active Directory | Devices | Audit logs,您还将在审核日志部分中看到 Azure AD 注册日志。如以下截图所示:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_Azure虚拟桌面_06

  1. 如果出现意外 VM 似乎没有注册成功,或者您想确认注册,您可以在本地登录到 VM,并使用提升的命令提示符使用以下命令:dsregcmd /status:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_microsoft_07

  1. 最后,您还可以使用事件查看器检查事件日志。 Azure AD 注册日志位于事件查看器的以下部分:Applications and Services Logs | Microsoft | Windows | User Device Registration | Admin:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_microsoft_08

现在我们已经部署了 Azure AD Join 的主机池,我们现在将在下一节中了解为用户启用访问权限。


四.启用用户访问

在用户可以登录到Azure AD Join的主机池中的会话主机之前,您必须使用基于角色的访问控制 (RBAC) 配置所需的权限。首先,我们需要将所需的用户和 Azure AD 组添加到主机池默认桌面应用程序组。我们还需要添加Virtual Machine User Login RBAC角色。

特别注意:

Virtual Machine User Login 角色不是 Azure 虚拟桌面角色。这是启用访问以登录到 VM 所必需的,Azure 角色通过应用 DataAction 权限启用登录。

根据您的要求和主机池部署,您可能需要查看此角色的范围。例如,在资源组级别分配 Azure AD 组可能比为每个 VM 的每个用户分配 RBAC 角色更有意义。

特别注意:

不建议在订阅级别设置Virtual Machine User Login RBAC 角色;这样做基本上会导致可以让所有分配的用户登录订阅中的所有虚拟机。

要分配Virtual Machine User Login role,请执行以下操作:

  1. 转到 Azure 门户中的主机池资源组,然后选择Access control (IAM).
  2. Select + Add :

Azure Virtual Desktop 快速上手--AZURE AD JOIN_AVD_09

  1. 在Add role assignment 页面中, 选择 Virtual Machine User Login:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_microsoft_10

  1. 在Members下,单击Select members并选择分配给桌面应用程序组的所需用户组; 在此示例中,用户组称为 AZJoingroup:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_Azure虚拟桌面_11

  1. 点击Review + assign.
  2. 您现在应该会在访问控制 (IAM) 页面上看到Virtual Machine User Login,如以下屏幕截图所示:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_AVD_12

本部分介绍了分配Virtual Machine User Login role以授予 Azure 用户帐户对 VM 的访问权限。在下一节中,我们将了解使用 Windows 远程桌面客户端连接到会话主机。


五.使用远程桌面客户端连接到加入 Azure AD 的会话主机

在您准备登录到您的 Azure 虚拟桌面 Azure AD Join会话主机之前,您必须确保您的本地 PC 满足以下要求:

  1. 本地 PC 已加入用于 Azure虚拟桌面的同一个 Azure AD 租户。
  2. 本地 PC 是hybrid AD-joined到用于 Azure 虚拟桌面的同一个 Azure AD 租户。
  3. 你正在使用 Windows 10 build 2004 或更高版本,并且已向 Azure 虚拟桌面所使用的的同一 Azure AD 租户注册。

如果您不满足上述条件,您可以启用 RDSTLS 协议,这是一种增强的 RDP 安全协议。

您可以在此处阅读有关 RDSTLS 的更多信息:

[MS-RDPBCGR]: RDSTLS Security | Microsoft Docs:​​https://docs.microsoft.com/zh-cn/openspecs/windows_protocols/ms-rdpbcgr/83d1186d-cab6-4ad8-8c5f-203f95e192aa​

您可以使用主机池的自定义 RDP 属性添加 RDSTLS 协议:targetisaddjoined:i:1

在使用 Web、Android、macOS 和 iOS 客户端时,您还需要使用相同的自定义 RDP 属性:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_Azure虚拟桌面_13


Azure AD Join主机池访问使用Public Key User to User (PKU2U) 协议进行身份验证。要登录成功的话,会话主机和本地 PC 都必须将 PKU2U 设置为已启用。如果您使用的是 Windows 10 build 2004 或更高版本,则可以按照以下步骤启用该协议:

打开注册表并导航到:

  1. HKLM | SYSTEM | CurrentControlSet | Control | Lsa | pku2u.
  2. Set AllowOnlineID to 1.

您还可以通过完成以下步骤使用组策略进行设置:

  1. 打开组策略编辑器 Group Policy Object (GPO) 创建一个新的策略.
  2. 导航到Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Security Options.
  3. 在策略下,设置Network Security: Allow PKU2U authentication requests to this computer to use online identities 为 Enabled.

在下一节中,我们将简要介绍在使用 Azure AD Join时配置本地管理员访问权限。


六.配置本地管理员访问

要授予用户对 VM 的本地管理员访问权限,您需要使用启用用户访问部分中所示的相同过程将Virtual Machine Administrator Login role分配给 VM。

特别注意:

建议您在分配Virtual Machine User Login role时仅将用户分配到所需的 VM。例如,如果您将此角色分配给订阅级别的组,则该组中的所有用户都将拥有所有 VM 的本地管理员权限。 这不是推荐的做法。

您可以将所需的用户添加到Virtual Machine Administrator Login role,如以下截图所示:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_AVD_14


添加所需权限后,您应该会看到用户帐户现在以管理员身份登录:

Azure Virtual Desktop 快速上手--AZURE AD JOIN_Azure虚拟桌面_15

本简短部分介绍了将本地管理员权限分配给已加入 Azure AD 的主机池。


七.总结

本文介绍了 Azure 虚拟桌面的 Azure AD Join功能。

首先,我们查看了先决条件,然后我们尝试部署Azure AD Join的主机池,并通过查看应用所需权限并设置自定义 RDP 属性以在没有Azure AD-joined 或者 hybrid domain-joined的设备上访问主机池。

下一篇文章会继续AVD快速上手系列,敬请期待。