组织可以通过与 Microsoft Entra 身份验证集成,提高 Azure 中 Windows 设备的安全性或使用 Azure Arc 进行连接。 现在,可以将 Microsoft Entra ID 用作远程桌面协议(RDP)的核心身份验证平台,将其用于受支持的 Windows 版本。 然后,可以集中控制和强制实施 Azure 基于角色的访问控制(RBAC)和条件访问策略,以允许或拒绝访问设备。
本文介绍如何使用 Microsoft基于 entra ID 的身份验证创建和配置 Windows 计算机并登录。
使用 Microsoft基于 Entra ID 的身份验证登录到 Azure 中的 Windows 设备或使用 Azure Arc 进行连接有许多安全优势。其中包括:
- 使用 Microsoft Entra 身份验证(包括无密码)登录到 Windows 设备。 减少对本地管理员帐户的依赖。
- 使用为 Microsoft Entra ID 配置的密码复杂性和密码生存期策略也有助于保护 Windows 设备。
- 使用 Azure 基于角色的访问控制:
- 指定谁可以作为常规用户或管理员权限登录。
- 当用户加入或离开团队时,可以更新 Azure 基于角色的访问控制策略,以根据需要授予访问权限。
- 员工在离开你的组织时,其用户帐户会被禁用或从 Microsoft Entra ID 中删除,然后他们就再也不能访问你的资源。
- 使用条件访问策略“防钓鱼 MFA”和其他信号,例如用户登录风险。
- 使用 Azure Policy 部署和审核策略,要求 Windows 设备使用 Microsoft Entra 登录,并标记设备上使用未批准的本地帐户。
- 使用 Intune 通过移动设备管理 (MDM) 自动注册虚拟桌面基础结构 (VDI) 部署中的 Azure Windows VM 来自动执行和缩放 Microsoft Entra 联接。 MDM 自动注册需要 Microsoft Entra ID P1 许可证。 Windows Server VM 不支持 MDM 注册。
MDM 自动注册需要 Microsoft Entra ID P1 许可证。 Windows Server VM 不支持 MDM 注册。
重要
启用此功能后,Azure 虚拟机和 Arc 启用的计算机将加入 Microsoft Entra。 不能将它们加入另一个域,例如本地 Active Directory 或Microsoft Entra 域服务。 如果需要这样做,请通过卸载扩展来断开设备与 Microsoft Entra 的连接。 此外,如果部署支持的黄金映像,可以通过安装扩展来启用 Microsoft Entra ID 身份验证。
要求
受支持的 Azure 区域和 Windows 发行版
此功能目前支持以下 Windows 发行版:
- 已安装 Windows 11 21H2 或更高版本。
- 已安装 Windows 10 版本 1809 或更高版本。
- 随桌面体验一起安装的 Windows Server 1809 或更高版本。
- 已安装 Windows 11 24H2 或更高版本。
- 安装了桌面体验功能的 Windows Server 2025 或更高版本。
此功能现已在以下 Azure 云中提供:
- Azure 全球
- Azure 政府
- 由世纪互联运营的 Microsoft Azure
注意
CIS 强化映像支持 Microsoft Windows Enterprise 和 Microsoft Windows Server 产品的 Microsoft Entra ID 身份验证。 有关详细信息,请参阅: Microsoft Windows Enterprise 上的 CIS 强化映像。
网络要求
若要对已启用 Azure 或已启用 Arc 的 Windows Server 中的虚拟机启用Microsoft Entra 身份验证,需要确保网络配置允许通过 TCP 端口 443 对以下终结点进行出站访问。
Azure 全球:
https://enterpriseregistration.windows.net:设备注册。
http://169.254.169.254:Azure 实例元数据服务终结点。
http://localhost:40342:Arc 实例元数据服务终结点。
https://login.microsoftonline.com:身份验证流。https://pas.windows.net:Azure 基于角色的访问控制流。
Azure 政府:
https://enterpriseregistration.microsoftonline.us:设备注册。
http://169.254.169.254:Azure 实例元数据服务终结点。
http://localhost:40342:Arc 实例元数据服务终结点。
https://login.microsoftonline.us:身份验证流。https://pasff.usgovcloudapi.net:Azure 基于角色的访问控制流。
由世纪互联运营的 Microsoft Azure:
https://enterpriseregistration.partner.microsoftonline.cn:设备注册。
http://169.254.169.254:Azure 实例元数据服务终结点。
http://localhost:40342:Arc 实例元数据服务终结点。
https://login.chinacloudapi.cn:身份验证流。https://pas.chinacloudapi.cn:Azure 基于角色的访问控制流。
对于已启用 Azure Arc 的 Windows Server,Arc 连接的服务器文档中提供了更多网络要求。
身份验证要求
Microsoft Entra 来宾帐户 无法通过 Microsoft Entra 身份验证连接到已启用 Azure VM、已启用 Azure Bastion 的 VM 或已启用 Arc 的 Windows Server。
在 Azure 或已启用 Arc 的 Windows Server 中为 Windows 虚拟机启用Microsoft Entra 登录
若要在 Azure 或已启用 Arc 的 Windows Server 中为 Windows 虚拟机使用 Microsoft Entra 登录,必须:
- 为设备启用 Microsoft Entra 登录扩展。
- 为用户配置 Azure 角色分配。
启用 Microsoft Entra 登录扩展
请遵循设备的相应链接,获取详细的部署作指南和示例。
在安装 Microsoft Entra 登录虚拟机扩展之前,必须在 Azure 虚拟机或已启用 Arc 的 Windows Server 上启用系统分配的托管标识。 托管标识存储在单个 Microsoft Entra 租户中,且目前不支持跨目录场景。
以下示例展示了用于 Azure 虚拟机扩展的 Azure 模板,以及用于已启用 Arc 的 Windows Server 的扩展。
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"type": "string"
},
"location": {
"type": "string"
}
},
"resources": [
{
"name": "[concat(parameters('vmName'),'/AADLogin')]",
"type": "Microsoft.Compute/virtualMachines/extensions",
"location": "[parameters('location')]",
"apiVersion": "2015-06-15",
"properties": {
"publisher": "Microsoft.Azure.ActiveDirectory",
"type": "AADLoginForWindows",
"typeHandlerVersion": "1.0",
"autoUpgradeMinorVersion": true
}
}
]
}
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"type": "string"
},
"location": {
"type": "string"
}
},
"resources": [
{
"name": "[concat(parameters('vmName'),'/AADLogin')]",
"type": "Microsoft.HybridCompute/machines/extensions",
"location": "[parameters('location')]",
"apiVersion": "2024-07-10",
"properties": {
"publisher": "Microsoft.Azure.ActiveDirectory",
"type": "AADLoginForWindows",
"typeHandlerVersion": "2.1.0.0",
"autoUpgradeMinorVersion": true,
"settings": {
"mdmId": ""
}
}
}
]
}
注意
Arc 启用的 Windows Server 的 Microsoft Entra 登录扩展需要 mdmId 属性嵌套在 settings 中。 属性的值可以保留为空字符串。
在设备上安装扩展后, provisioningState 会显示 Succeeded。
配置角色分配
必须先将 Microsoft Entra 中的用户帐户添加到 Azure 中的角色分配,然后用户才能登录到 Azure 虚拟机或已连接 Arc 的 Windows Server。 相同的角色同时用于 Azure 虚拟机和已启用 Arc 的 Windows Server。
若要分配用户角色,必须具有 虚拟机数据访问管理员 角色,或者包含 Microsoft.Authorization/roleAssignments/write 作的任何角色,例如 基于角色的访问控制管理员 角色。 但是,如果使用不同于虚拟机数据访问管理员的角色,建议添加条件来缩减支持创建角色分配的权限。
- 虚拟机管理员登录:分配了此角色的用户可以使用管理员权限登录到 Azure 虚拟机。
- 虚拟机用户登录:分配了此角色的用户可使用常规用户权限登录到 Azure 虚拟机。
注意
不支持通过将用户添加到本地管理员组的成员或运行 net localgroup administrators /add "AzureAD\UserUpn" 命令,手动提升用户以成为设备上的本地管理员。 需要使用 Azure 中的角色来授权登录。
注意
分配有“所有者”或“参与者”角色的 Azure 用户不会自动拥有登录设备的权限。 原因是为了在控制虚拟机的用户群与可访问虚拟机的用户群之间形成经过审核的分隔。
以下文档提供了将用户帐户添加到 Azure 中角色分配的分步详细信息:
使用 Microsoft Entra 凭据登录到 Windows VM
可使用以下两种方法通过 RDP 进行登录:
- 使用任何受支持的 Microsoft Entra 凭据进行无密码认证(推荐)
- 使用证书信任模型部署的 Windows Hello 企业版的密码/有限的无密码
使用无密码身份验证通过 Microsoft Entra ID 登录
若要在 Azure 中对 Windows VM 使用无密码身份验证,需要以下操作系统上的 Windows 客户端计算机和会话主机 (VM):
- Windows 11 安装了适用于 Windows 11 的 2022-10 累积更新 (KB5018418) 或更高版本。
- Windows 10 版本 20H2 或更高,安装了适用于 Windows 10 的 2022-10 累积更新 (KB5018410) 或更高版本。
- 已安装具有适用于 Microsoft 服务器操作系统的 2022-10 累积更新 (KB5018421) 或更高版本的 Windows Server 2022。
注意
使用“Web 帐户登录到远程计算机”选项时,无需将本地设备加入域或 Microsoft Entra ID。
要连接到远程计算机:
- 在 Windows 搜索中启动 远程桌面连接,或通过运行
mstsc.exe。 - 在“高级”选项卡中选择“使用 Web 帐户登录到远程计算机”选项。此选项等效于
enablerdsaadauthRDP 属性。 有关详细信息,请参阅远程桌面服务支持的 RDP 属性。 - 指定远程计算机的名称,然后选择“连接”。
重要
IP 地址不能与 使用 Web 帐户登录远程计算机 选项一起使用。 该名称必须与 Microsoft Entra ID 中远程设备的主机名匹配,并且可网络寻址,并解析为远程设备的 IP 地址。
- 当系统提示输入凭据时,请以
user@domain.com格式指定用户名。 - 然后,在连接到新电脑时,系统会提示你允许远程桌面连接。 Microsoft Entra 最多可以记住 15 台主机 30 天,然后再次提示。 如果看到此对话,请选择“是”进行连接。
重要
如果组织使用 Microsoft Entra 条件访问,则设备必须满足条件访问要求,才能允许连接到远程计算机。 条件访问策略可能应用于应用程序 Microsoft 远程桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c) 以实现受控访问。
注意
远程会话中的 Windows 锁屏界面不支持 Microsoft Entra 身份验证令牌或 FIDO 密钥之类的无密码身份验证方法。 不支持这些身份验证方法意味着用户无法在远程会话中解锁屏幕。 尝试通过用户操作或系统策略锁定远程会话时,会话会断开连接,服务会向用户发送消息。 断开会话还可以确保在一段时间不活动后重新启动连接时,Microsoft Entra ID 会重新评估适用的条件访问策略。
使用密码或受限的无密码验证,通过 Microsoft Entra ID 登录
重要
仅允许从 Windows 10 或更高 PC 版本连接到已加入 Microsoft Entra ID 的虚拟机计算机,该计算机已注册 Microsoft Entra(从 20H1 开始),或已连接或混合连接 Microsoft Entra 到同一目录作为虚拟机。 此外,对于使用 Microsoft Entra 凭证的 RDP,用户必须属于两个 Azure 角色之一,即虚拟机管理员登录或虚拟机用户登录。
如果使用已注册 Microsoft Entra 的 Windows 10 或更高版本的电脑,则必须以 AzureAD\UPN 格式(例如 AzureAD\john@contoso.com)输入凭据。 目前,可以使用 Azure Bastion 通过 Azure CLI 和本机 RDP 客户端 mstsc 通过 Microsoft Entra 身份验证登录。
若要使用 Microsoft Entra ID 登录到 Windows Server 2019 虚拟机,请执行以下操作:
- 转到启用了 Microsoft Entra 登录的虚拟机的概述页。
- 选择“连接”,打开“连接到虚拟机”窗格。
- 选择“下载 RDP 文件”。
- 选择“打开”,以打开远程桌面连接客户端。
- 选择 “连接” 以打开 Windows 登录对话框。
- 使用 Microsoft Entra 凭据登录。
现在,你已使用分配的角色权限(例如“VM 用户”或“VM 管理员”)登录到 Windows Server 2019 Azure 虚拟机。
注意
可以将 .RDP 文件保存在计算机上的本地,以开始与虚拟机的未来远程桌面连接,而不是转到 Azure 门户中的虚拟机概述页,并使用连接选项。
强制执行条件访问策略
可以强制实施条件访问策略,例如“防钓鱼 MFA”或用户登录风险检查,然后用户才能访问 Azure 或已启用 Arc 的 Windows Server 中的 Windows 设备。 若要应用条件访问策略,必须从云应用或操作分配选项中选择“Microsoft Azure Windows 虚拟机登录”应用。
从 Windows Server 设备进行连接时,不支持使用设备配置规则限制登录的条件访问策略。
注意
如果需要将 MFA 作为控件,则必须在客户端中提供 MFA 声明,该声明将 RDP 会话启动到目标 Windows 设备。 Windows 中的远程桌面应用程序支持条件访问策略,但是,如果使用 Web 登录,则必须使用 Windows Hello 企业版 PIN 或生物识别身份验证。 在 Windows 10 版本 1809 中,已向 RDP 客户端添加对生物特征身份验证的支持。 使用 Windows Hello 企业版身份验证的远程桌面仅适用于使用证书信任模型的部署,并且不适用于密钥信任模型。
使用 Azure Policy 满足标准并评估合规性
使用 Azure Policy 可以:
- 确保为新的和现有的 Windows 设备启用了 Microsoft Entra 登录。
- 在合规性仪表板上大规模评估环境的合规性。
借助此功能,可以使用多个强制实施级别。 可以在环境中标记未启用Microsoft Entra 登录的新 Windows 设备和现有 Windows 设备。 还可以使用 Azure Policy 将 Microsoft Entra 扩展部署到已启用 Azure 或已启用 Arc 的 Windows Server 中的 Windows 虚拟机。
除了这些功能,还可以使用 Azure Policy 检测和标记在其设备上创建未经批准的本地帐户的 Windows 计算机。 若要了解详细信息,请参阅 Azure Policy。
排查部署问题
必须为设备成功安装 AADLoginForWindows 扩展才能完成 Microsoft Entra 加入过程。 如果扩展无法正确安装,请执行以下步骤:
连接到设备并检查 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1 下的 CommandExecution.log 文件。
如果扩展在初始失败后重启,则含有部署错误的日志将保存为 CommandExecution_YYYYMMDDHHMMSSSSS.log。
打开设备上的 PowerShell 窗口。 验证针对主机上运行的 Azure 实例元数据服务终结点的以下查询是否返回预期的输出:
对于 Azure 虚拟机:
要运行的命令 预期输出 curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"更正有关 Azure 虚拟机的信息 curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"与 Azure 订阅关联的有效租户 ID curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"Microsoft Entra ID 为分配给此虚拟机的托管标识颁发的有效访问令牌 对于已启用 Arc 的 Windows Server:
要运行的命令 预期输出 curl.exe -H Metadata:true "http://localhost:40342/metadata/instance?api-version=2017-08-01"有关已启用 Azure Arc 的 Windows Server 的正确信息 curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/info?api-version=2018-02-01"与 Azure 订阅关联的有效租户 ID curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"分配给此已启用 Azure Arc 的 Windows Server 的托管标识的 Microsoft Entra ID 颁发的有效访问令牌 可以使用 https://jwt.ms/ 之类的工具对访问令牌进行解码。 验证访问令牌中
oid的值是否与设备的托管标识匹配。确保设备能通过 PowerShell 访问必要的端点:
curl.exe https://login.microsoftonline.com/ -D -curl.exe https://login.microsoftonline.com/<TenantID>/ -D -curl.exe https://enterpriseregistration.windows.net/ -D -curl.exe https://device.login.microsoftonline.com/ -D -curl.exe https://pas.windows.net/ -D -
将
<TenantID>替换为与 Azure 订阅关联的 Microsoft Entra 租户 ID。login.microsoftonline.com/<TenantID>、enterpriseregistration.windows.net和pas.windows.net应该返回 404 Not Found,这是预期行为。运行
dsregcmd /status查看设备状态。 目标是让设备状态显示为AzureAdJoined : YES。在事件查看器中捕获到 Microsoft Entra 联接活动,该查看器位于 Event Viewer (local)\Applications 和 Services Logs\Microsoft\Windows\User Device Registration\Admin 的 User Device Registration\Admin 日志下。
如果 AADLoginForWindows 扩展失败并出现错误代码,则可以执行以下步骤。
设备名已存在
如果存在与 Azure 虚拟机主机名相同的 displayName 的设备对象,则设备无法联接Microsoft Entra 并出现主机名重复错误。 通过修改主机名来避免重复。
终端错误代码 1007 和退出代码 -2145648574
终端错误代码 1007 和退出代码 -2145648574 转换为 DSREG_E_MSI_TENANTID_UNAVAILABLE。 扩展无法查询 Microsoft Entra 租户信息。
以本地管理员身份连接到设备,并验证终结点是否从 Azure 实例元数据服务返回有效的租户 ID。 从设备上的权限提升 PowerShell 窗口运行以下命令:
curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01
如果管理员尝试安装 AADLoginForWindows 扩展,但设备没有系统分配的托管标识,也可能发生此问题。 在这种情况下,请转到设备的 “标识 ”窗格。 在“系统分配”选项卡中,验证“状态”切换按钮是否设置为“开启”。
退出代码 -2145648607
退出代码 -2145648607 转换为 DSREG_AUTOJOIN_DISC_FAILED。 扩展无法访问 https://enterpriseregistration.windows.net 终结点。
验证是否可以从设备通过 PowerShell 访问所需的端点:
curl https://login.microsoftonline.com/ -D -curl https://login.microsoftonline.com/<TenantID>/ -D -curl https://enterpriseregistration.windows.net/ -D -curl https://device.login.microsoftonline.com/ -D -curl https://pas.windows.net/ -D -
用 Azure 订阅的 Microsoft Entra 租户 ID 替换
<TenantID>。 如果需要查找租户 ID,可以将鼠标悬停在帐户名称上,或选择 Entra ID>概述>属性>租户 ID。尝试连接到
enterpriseregistration.windows.net可能会返回“404 未找到”,这是正常现象。 尝试连接pas.windows.net可能会提示输入 PIN 凭据,或者可能会返回“404 未找到”。 (无需输入 PIN。)任何一个都足以验证 URL 是否可访问。如果任一命令失败并出现“无法解析主机
<URL>”,请尝试运行此命令来确定哪个 DNS 服务器 Windows 正在使用:nslookup <URL>将
<URL>替换为终结点使用的完全限定的域名,例如login.microsoftonline.com。查看指定公共 DNS 服务器是否允许命令成功:
nslookup <URL> 208.67.222.222如有必要,请更改分配给设备所属网络安全组的 DNS 服务器。
退出代码 51
退出代码 51 转换为“此作系统不支持此扩展”。
AADLoginForWindows 扩展仅用于安装在具有 Windows Server 2019 或 Windows 10 1809 或更高版本的操作系统的 Azure 虚拟机,以及启用 Arc 的 Windows Server,其中运行 Windows Server 2025 或 Windows 11 24H2 的服务器。 确保 Windows 版本或构建版本受支持。 如果不支持,请卸载该扩展。
排查登录问题
请根据以下信息来纠正登录问题。
可以通过运行 dsregcmd /status 来查看设备和单一登录 (SSO) 状态。 目标是使设备状态显示为 AzureAdJoined : YES,使 SSO 状态显示为 AzureAdPrt : YES。
通过 Microsoft Entra 帐户进行的 RDP 登录在 Applications and Services Logs\Microsoft\Windows\AAD\Operational 事件日志下的事件查看器中捕获。
未分配 Azure 角色
启动与设备的远程桌面连接时,可能会收到以下错误消息:“你的帐户已配置为阻止你使用此设备。 有关详细信息,请与系统管理员联系。”
验证授予用户虚拟机管理员登录或虚拟机用户登录角色的 Azure 基于角色的访问控制策略 。
如果您在 Azure 角色分配方面遇到问题,请参阅 排查 Azure 基于角色的访问控制问题。
未授权的客户端或需要更改密码
启动与设备的远程桌面连接时,可能会收到以下错误消息:“凭据不起作用。
请尝试以下解决方案:
用于启动远程桌面连接的 Windows 10 或更高版本的电脑必须已加入或混合加入到同一 Microsoft Entra 目录或 Microsoft Entra 目录混合。 如需详细了解设备标识,请参阅什么是设备标识?一文。
Windows 10 版本 20H1 添加了对已注册 Microsoft Entra 电脑的支持来启动到设备的 RDP 连接。 在使用已注册 Microsoft Entra(而不是已建立 Microsoft Entra 联接或已建立混合 Microsoft Entra 联接)的电脑作为 RDP 客户端来启动与设备的连接时,必须采用
AzureAD\UPN格式(例如AzureAD\john@contoso.com)输入凭据。请验证在 Microsoft Entra 联接建立完成后是否尚未卸载 AADLoginForWindows 扩展。
此外,请确保在服务器和客户端上都已启用安全策略“网络安全: 允许请求对此计算机进行 PKU2U 身份验证以使用联机标识”。
验证用户是否没有临时密码。 临时密码不能用于登录到远程桌面连接。
在 Web 浏览器中使用用户帐户登录。 例如,在私人浏览窗口中登录 Azure 门户。 如果系统提示你更改密码,请设置新密码。 然后,重试连接。
需要 MFA 登录方法
启动与设备的远程桌面连接时,可能会看到以下错误消息:“不允许尝试使用的登录方法。 请尝试其他登录方法或与系统管理员联系。”
如果配置需要 MFA 的条件访问策略,则需要确保启动连接的设备使用强身份验证,例如 Windows Hello。
另一条与 MFA 相关的错误消息是前面所述的错误消息:“凭据不起作用。
如果配置了旧式每用户“启用/强制实施的 Microsoft Entra 多重身份验证”设置,并遇到错误,则可以通过移除每用户 MFA 设置来解决此问题。 有关详细信息,请参阅启用每用户 Microsoft Entra 多因素身份验证以保护登录活动。
如果 Windows Hello 企业版不是一个可选项,请配置一个条件访问策略,该策略排除 Microsoft Azure Windows 虚拟机登录应用程序。 若要了解有关 Windows Hello 企业版的详细信息,请参阅 Windows Hello 企业版概述。
Windows 10 版本 1809 中添加了对使用 RDP 进行生物特征身份验证的支持。 在 RDP 过程中使用 Windows Hello 企业版身份验证适用于使用证书信任模型或密钥信任模型的部署。
在 Microsoft Entra 反馈论坛上分享此功能的反馈或报告使用时存在的问题。
缺少应用程序
如果条件访问中缺少 Microsoft Azure Windows 虚拟机登录应用程序,请确保应用程序位于租户中:
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>企业应用。
- 删除筛选器,查看所有应用程序,然后搜索“VM”。 如果搜索结果中没有“Microsoft Azure Windows 虚拟机登录”,则租户中缺少服务主体。
验证它的另一种方法是通过 Graph PowerShell:
- 安装 Graph PowerShell SDK。
- 运行
Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All",接着"Application.ReadWrite.All"。 - 使用全局管理员帐户登录。
- 同意权限提示。
- 运行
Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'。如果此命令没有输出并返回 PowerShell 提示符,则可以使用以下 Graph PowerShell 命令创建服务主体:
New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201成功的输出显示已创建Microsoft Azure Windows 虚拟机登录应用及其 ID。
- 使用
Disconnect-MgGraph命令注销 Graph PowerShell。
某些租户可能会看到名为“Azure Windows VM 登录”而不是“Microsoft Azure Windows 虚拟机登录”的应用程序。 该应用程序的应用程序 ID 为 372140e0-b3b7-4226-8ef9-d57986796201。
在 Azure Windows VM 登录资源上强制实施符合要求的设备条件访问策略并且从 Windows Server 设备进行连接时,无法使用此功能
不支持条件访问策略中的 Windows Server 设备符合性配置。
后续步骤
有关 Microsoft Entra ID 的详细信息,请参阅什么是 Microsoft Entra ID?。