修复无法RDP Azure虚拟机使用AAD凭证

无法使用Azure AD (AAD)凭据RDP到Azure VM是我们大多数人经常遇到的问题。如果您无法使用Azure AD凭据RDP Azure VM,这篇故障排除文章肯定会对您有所帮助。

几个月前,我遇到了类似的情况,无法使用Azure AD凭据RDP Azure VM。我创建了一个新的VM,并尝试RDP,甚至失败了。这是Azure中的Windows 11虚拟机,AAD凭证根本不起作用。

根据我的研究,许多人在使用AAD凭据连接Azure中托管的虚拟机时遇到了问题。我们大多数人都不知道从哪里开始解决这个问题。有些人可能认为自己输入了错误的密码,并经常试图重置帐户。

PatchMyPC HorizontalAD
修补我的电脑赞助广告

Azure VM连通性问题

老实说,问题不在于Azure VM,而是当您通过RDP连接到Azure VM时涉及到许多事情。当我试图用我的AAD凭据在Azure中RDP一个VM时,我看到了登录尝试失败的错误。起初,我以为我在登录屏幕上输入了错误的信息。

你们可能也看到了您的凭证不工作错误.当你想要快速地将RDP导入VM时,这是非常令人困惑的,绝对不是一件好事。

排除Azure VM RDP问题涉及许多步骤,但不要担心,我已经在本文中为您介绍了所有步骤。我用一种更容易理解和遵循步骤的方式来写它。如果您有任何问题,请随时与我联系,我将很乐意回复。

远程桌面协议(RDP)连接到您的windows系统Azure虚拟机(虚拟机)可能会由于各种原因而失败,使您无法访问虚拟机。问题可能出在Azure VM上,也可能出在Azure中的配置上。

我们大多数人都不知道在使用Azure AD凭据进行RDP VM之前必须进行的配置。如果这些配置不到位,您将难以访问VM。

当您无法使用Azure AD凭据RDP Azure VM时,此问题没有单一解决方案。相反,您需要遵循某些步骤,以确保能够成功地将RDP部署到Azure VM。有关更多信息,请参阅故障排除远程桌面连接到Azure虚拟机。

修复无法RDP虚拟机使用Azure AD凭证的问题

如前所述,我将介绍故障排除步骤,以解决无法使用Azure AD凭据RDP Azure VM的常见问题。如果您希望使用RDP Azure VM,则需要确保所需的设置已到位。

假设您正在使用用户帐户将远程桌面(RDP)连接到Azure AD连接的计算机。我们要建立的连接是Azure AD加入计算机,使用Azure AD中的帐户登录。

检查网络要求

要为Azure中的Windows虚拟机启用Azure AD身份验证,您需要确保虚拟机的网络配置允许通过TCP端口443对以下端点进行出站访问:

Azure Global

  • https://enterpriseregistration.windows.net—用于设备注册。
  • http://169.254.169.254 - Azure实例元数据服务端点。
  • https://login.microsoftonline.com—用于身份验证流。
  • https://pas.windows.net -用于Azure RBAC流。

Azure政府

  • https://enterpriseregistration.microsoftonline.us—用于设备注册。
  • http://169.254.169.254 - Azure实例元数据服务。
  • https://login.microsoftonline.us—用于身份验证流。
  • https://pasff.usgov欢迎您~cloudapi.net -用于Azure RBAC流。

步骤1—Windows虚拟机启用Azure AD登录

几年前,微软宣布Azure AD认证Windows虚拟机(VM),让您能够管理和控制谁可以访问VM。

Azure中Windows虚拟机的Azure AD登录需要手动开启。您可以在Azure中创建新的虚拟机时启用此选项。启用此选项后,您可以使用企业AD凭据登录Azure中的Windows vm。

如果您正在Azure中创建一个新VM,并且希望使用Azure AD凭据登录,则必须启用“使用Azure AD登录”选项。

在Azure中为虚拟机启用Azure AD登录有两种方法:

  1. 您可以在创建VM时在Azure Portal中启用。
  2. 你也可以使用Azure云欢迎您~外壳在已有的Windows虚拟机上或在Windows虚拟机上创建虚拟机时,请根据实际情况进行操作。

在Azure门户中创建虚拟机窗口中,选择管理及以下Azure的广告中,选择使用Azure AD登录.启用该选项后,可使用Azure AD凭据登录虚拟机。

Windows虚拟机启用Azure AD登录
无法使用Azure AD凭据RDP Azure虚拟机-为Windows虚拟机启用Azure AD登录

步骤2 -为Azure AD登录配置RBAC角色分配

在第1步中启用使用Azure登录选项后,在使用Azure AD凭据RDP VM之前,下一步非常重要。要使用Azure AD凭据登录VM,首先需要为VM配置角色分配。你不能跳过这一步,因为这是非常重要的一步。

您必须配置为用户分配Azure角色被授权登录虚拟机的用户。的RBAC角色分配虚拟机管理员登录虚拟机用户登录在使用Azure AD登录时是必需的。

有两个Azure角色用于授权虚拟机登录。每个角色都是唯一的,您可以为用户分配这两个角色中的任何一个。

  • 虚拟机管理员登录:具有管理员权限的用户可以登录Azure虚拟机。
  • 虚拟机用户登录:具有该角色的用户可以以普通用户权限登录Azure虚拟机。

要为Azure AD登录配置RBAC角色分配,可以使用Azure门户或Azure云shell。欢迎您~我很少使用Azure云外壳,因此,我更喜欢使用Az欢迎您~ure门户,因为它易于使用。

让我们为Azure AD登录配置RBAC角色分配。在Azure门户中,转到资源组并选择您的资源组。选择访问控制(IAM)并点击添加>添加角色分配

在“添加角色分配”窗口中,选择以下选项。

  • 角色:任选其一虚拟机管理员登录虚拟机用户登录的角色。
  • 分配访问权限:选择用户、组或服务主体。
  • 选择框中,输入用户名并选择用户,然后单击保存

监视可以确认用户已添加到所选角色的通知。

为Azure AD登录配置RBAC角色分配
为Azure AD登录配置RBAC角色分配

您可以验证实际应用了RBAC角色分配。在Azure门户中,单击角色分配选项卡,您应该能够看到刚才在上述步骤中配置的分配。我有三个用户,现在他们被分配给虚拟机管理员登录的角色。

为Azure AD登录配置RBAC角色分配
为Azure AD登录配置RBAC角色分配

步骤3 -验证AADLoginForWindows扩展在Azure

AADLoginForWindows扩展必须成功安装,才能使VM完成Azure AD加入过程。如果无法使用AAD凭据RDP Azure VM,这是排除故障的关键步骤。

如果AADLoginForWindows扩展安装失败,必须始终记录退出代码。失败的AADLoginForWindows扩展应该有以下退出代码。

  • aadloginfowwindows扩展安装失败,终端错误码' 1007 ',退出码:-2145648574。
  • AADLoginForWindows扩展安装失败,退出码:-2145648607
  • AADLoginForWindows扩展安装失败,退出码:51

每个出口码都有唯一的解。你可以参考这个优秀的AADLoginForWindows扩展故障排除指南来解决部署问题。

现在,我要告诉你们AADLoginForWindows扩展.在Azure门户中,选择虚拟机并在设置下单击扩展。在这里您应该可以看到AADLoginForWindows扩展.此扩展的状态必须为配置成功

无法RDP虚拟机使用Azure AD凭据-验证AADLoginForWindows扩展
无法RDP Azure虚拟机使用Azure AD凭据-验证AADLoginForWindows扩展

步骤4—未授权客户端—登录失败

从Azure门户下载RDP连接并尝试连接时,可能会遇到Unauthorized Client登录失败.这是您在使用Azure AD凭证RDP Azure VM时看到的第一个错误。

这可能看起来很愚蠢,但我们经常会输入错误的凭据,并试图找出登录不工作的原因。当您使用Azure AD凭据进行RDP VM时,请确保您正在使用正确的凭据。您也可以重新设置密码并尝试登录。

根据Microsoft的规定,您必须验证用于初始化远程桌面连接的Windows 10 PC是否是Azure AD连接的或混合Azure AD连接的。请注意,虚拟机登录不支持每用户启用/强制的Azure AD多因素身份验证。此设置使用“”导致登录失败。你的证件不管用”错误。

无法登录RDP Azure VM未授权客户端登录失败
未授权客户端登录失败无法访问RDP Azure虚拟机

步骤5—确保虚拟机已加入Azure AD租户

当您无法使用AAD凭据RDP Azure VM时,请确保Azure中的Windows 10/Windows 11 VM已加入Azure AD租户。我有一篇文章详细介绍了步骤加入Windows 10虚拟机到Azure AD.您可以使用这些步骤来验证虚拟机是否加入了Azure AD。

您可能会有一个问题,当您无法登录RDP Azure VM时,如何登录?在这种情况下,您必须使用本地管理员帐户或在Azure中创建VM时设置的帐户登录。如果您不确定密码,请联系Azure管理员。

要查看您的计算机或虚拟机是否加入Azure AD,请登录Azure VM,打开设置,然后选择账户.选择进入工作或学校.如果您看到“连接到组织Azure AD”,则意味着您的计算机已连接到Azure AD。

确保虚拟机已加入Azure AD租户-故障排除无法RDP Azure虚拟机
确保虚拟机已加入Azure AD租户-故障排除无法RDP Azure虚拟机

步骤6 -禁用网络级别认证

网络级身份验证有时会将您限制为使用Azure AD凭据的RDP Azure VM。您可以在Azure虚拟机上禁用网络级身份验证。

微软建议保持网络级身份验证开启。但是,如果RDP到Azure VM无法工作,则此步骤将成为必选步骤。

使用本地帐户登录Azure虚拟机并执行以下步骤。

在Windows 10 Azure虚拟机中,在系统属性中,选择远程选项卡。在“远程桌面”下,选择“允许远程连接到此计算机”。取消勾选仅允许运行具有网络级别身份验证的远程桌面的计算机连接.点击应用而且好吧

无法使用Azure AD凭据RDP虚拟机-禁用网络级别身份验证
无法RDP Azure虚拟机-禁用网络级别身份验证

步骤7 -将Azure AD用户添加到远程桌面用户组

为了成功地使用Azure AD凭据RDP VM,必须将Azure AD用户添加到VM上的远程桌面用户组。

使用本地帐户登录Azure虚拟机并执行以下步骤。您应该准备好用户帐户以提供对Azure VM的访问。

使用实例在Azure虚拟机中将Azure AD用户添加到远程桌面用户组。将UPN属性替换为Azure AD用户。这个账户应该在AzureAD \ USERNAME@DOMAIN.onmicrosoft.com格式。

net localgroup“远程桌面用户”/add“AzureAD\the- upn -attribute-of-your user”

以管理员身份运行命令提示符并输入上述命令。您应该看到command executed successfully消息。

将Azure AD用户添加到远程桌面用户组
将Azure AD用户添加到远程桌面用户组

可通过执行以下PowerShell命令确认Azure AD用户是否已添加到虚拟机。

Get-LocalGroupMember -Name远程桌面用户
无法使用Azure AD凭据RDP虚拟机
无法使用Azure AD凭据RDP虚拟机

如您所见,我们已经成功地将Azure AD用户添加到远程桌面用户组。主源是Azure AD。

步骤8—修改Azure虚拟机RDP文件

测试RDP to Azure VM之前的最后一步是修改Azure VM RDP文件并向其添加几行。导航到已启用Azure AD登录的虚拟机的概览页面。选择“连接”打开“连接到虚拟机刀片”。点击下载RDP文件

右键单击Azure VM RDP并使用记事本打开它。您也可以使用任何其他文本编辑器。由于Notepad是随Windows 10安装的,所以它可以完成这项工作。在记事本中,添加以下数据。

enablecredsspsupport:我:0
认证级别:我:2

所以,最终的RDP文件数据应该看起来像下面的截图。在进行更改后保存文件。

使用Azure AD证书的RDP虚拟机修改Azure虚拟机RDP文件
修改Azure虚拟机RDP文件-修复无法使用Azure AD凭据进行RDP虚拟机

当您RDP Azure VM时,通常会提示用户输入凭证。有一种方法可以绕过这个问题,即在RDP文件中输入帐户详细信息。让我告诉你怎么做,并解释其他细节。

完整地址:s:IPADDRESS:3389 prompt for credentials:i:0 authentication level:i:2 enablecredsspsupport:i:0 username:s:USERNAME@DOMAIN.onmicrosoft.com domain:s:AzureAD
  • 完整的地址:这是Azure虚拟机的IP地址。“3389”为“远程桌面协议”端口。
  • 提示凭据:定义在进入会话之前是否应该输入凭据。将值设置为1将提示输入凭据,而将值设置为0将不提示输入凭据。
  • 认证级别:此处定义服务器身份验证级别设置。2表示如果服务器认证失败,显示警告并允许连接或拒绝连接。
  • Enablecredsspsupport:此设置决定RDP是否使用CredSSP(凭据安全支持提供程序)进行身份验证。如果将该值设置为0,则RDP将不使用CredSSP,即使操作系统支持CredSSP
  • 用户名:可指定Azure AD用户帐户名
  • :指定AzureAD作为域名。

在执行了所有步骤之后,让我们检查一下现在是否可以使用Azure AD凭据RDP VM。双击Azure VM RDP文件并输入凭据。

我想讲一些重要的东西。在遵循了所有的步骤之后,我们中的一些人仍然会忽略这个简单的事实。如果您在登录屏幕上只输入Azure AD用户帐户而没有域,则永远不会进入VM。您将看到“用户名或密码不正确”。重试提示。

修复无法RDP虚拟机使用Azure AD凭证
修复无法RDP虚拟机使用Azure AD凭证

登录Azure VM的正确方法是在AzureAD域。必须输入用户名asAzureAD \ username@domain.onmicrosoft.com.现在您应该可以登录到Azure VM了。

修复无法RDP虚拟机使用Azure AD凭证
修复无法RDP虚拟机使用Azure AD凭证

13个评论

  1. 《阿凡达》的照片 乔恩 说:

    Hi Projwal -你能对这个设置发表评论吗?

    —AAD局点已接入pc,无本地AD,无Azure虚拟机
    —独立VPN解决方案,实现远程办公
    - RDP到AAD连接PC -用于在AAD注册的个人PC上工作-我想当NLA在办公室PC上被禁用时。
    —“AAD User”帐户启用了MFA,无条件访问策略。

    我更换了我的办公室PC -现在似乎我只能从另一台ad - joining PC RDP到aad - joining PC,在那里我只需要我的PIN码来验证,而不是任何MFA等。NLA起作用了吗?

    是否可以连接到远程上所需的NLA,但客户端没有ad - joined(仅注册)?

    我不知道NLA是如何工作的,特别是使用AAD-Join,但我觉得为了安全起见,我应该让它开着。

    是否了解enablerdsaadauth:i:1设置?如果我在我的aad注册的设备上启用这个,我通过MFA,但然后从搜索中得到错误CAA20002,这似乎是一个认证问题,但没有特定于RDS的结果。

    谢谢

  2. 《阿凡达》的照片 Gaurav库马尔 说:

    这个过程在Win Server 2019中是类似的吗?我是否可以对win 2019服务器执行相同的步骤,以便Azure AD用户可以登录到服务器?

  3. 《阿凡达》的照片 尼克 说:

    谢谢你的详细描述。

    有人解决了用户名和密码不能通过复制粘贴发送到虚拟机登录界面的问题吗?

    特别是如果你运行许多虚拟机,一次又一次地手动输入密码是非常耗时的。

    亲切的问候

      1. 《阿凡达》的照片 尼克 说:

        再次感谢。

        到目前为止,无法找到RDP文件设置来实现“复制和粘贴”到登录屏幕的功能。
        如果有人有什么想法,请毫不犹豫地告诉我

  4. 《阿凡达》的照片 rwilderman@gmail.com 说:

    您应该添加关于多因素身份验证的步骤/信息。MFA干扰登录。我只是在我的测试用户上禁用了MFA,然后成功登录。我的测试用户仍然属于启用MFA的条件访问策略。目前看来,这似乎并不妨碍。我还没有验证MFA是功能的测试用户在所有。我试着回来报告我的发现。

    1. 《阿凡达》的照片 Vipin Harishchandra Pandey 说:

      问得好,目前微软除了在MFA条件策略中排除Azure VM登录外,没有任何解决方案。但我们需要找到一种方法,让MFA也能与之合作。

      感谢Prajwal的详细解释,等待MFA的回复。

  5. 只是想分享一个进步:

    到达虚拟机登录或锁定屏幕对我来说是不实际的,因为你不允许粘贴可以拖动的密码。

    如果您使用用户帐户的VM- local ACTIVE名称更新RDP文件,您可以在本地进行身份验证(并粘贴),您将最终进入VM,而不是在前门。

    在我的例子中,在Powershell中使用' whoai '后,我在rdp文件中更新了:
    域:AzureAD
    用户名:name@domain.tld

    域:AzureAD
    用户名:namedomain

    请注意,.tld和@符号都消失了,但我们不应该假设通用逻辑。
    他所返回的符号是:
    azuread \ namedomain

    我还必须使用:
    enablecredsspsupport:我:1
    和我临时启用:
    提示凭据:i:1

    之后,我将我的凭据保存在我的本地windows凭据存储中,现在我可以登录虚拟机,而无需强制输入密码。

    附:这有点多,这需要这么多的步骤,无论如何,我很感谢你的帖子!以前,我根本进不去。在我可以用铁环进去之后。现在,双击rdp文件。

  6. 《阿凡达》的照片 理查德·凯特 说:

    谢谢,谢谢,谢谢

    在经历了很多痛苦之后,您的简单指南正是我需要的,包括添加AzureAD域前缀

  7. 《阿凡达》的照片 Lakshay 说:

    嗨,Prajwal,感谢以上步骤,我尝试了所有的方法,但得到“登录方法不允许,请联系您的管理员”错误,任何输入将非常感谢。
    谢谢
    Lakshay

    1. 《阿凡达》的照片 科迪 说:

      嗨,如果你启用/强制MFA,你必须设置一个有条件的访问策略。

      1. 《阿凡达》的照片 rwilderman@gmail.com 说:

        科迪,你能不能再详细说说这个政策是怎么做的?它是关于绕过虚拟机登录的MFA还是什么?普拉杰瓦尔,也许你可以测试一下,把这个信息添加到文档中?这将是有价值的,似乎在你的其他全面的文章中缺失了。

  8. 《阿凡达》的照片 amreddy9@gmail.com 说:

    我做了所有的步骤,但我的登录尝试失败。你能帮帮我吗?

留下回复

你的电邮地址将不会公布。必填字段已标记