修复无法RDP Azure虚拟机使用AAD凭证

无法使用Azure AD (AAD)凭据RDP到Azure VM是我们大多数人经常遇到的问题。如果您无法使用Azure AD凭据RDP Azure VM，这篇故障排除文章肯定会对您有所帮助。

几个月前，我遇到了类似的情况，无法使用Azure AD凭据RDP Azure VM。我创建了一个新的VM，并尝试RDP，甚至失败了。这是Azure中的Windows 11虚拟机，AAD凭证根本不起作用。

根据我的研究，许多人在使用AAD凭据连接Azure中托管的虚拟机时遇到了问题。我们大多数人都不知道从哪里开始解决这个问题。有些人可能认为自己输入了错误的密码，并经常试图重置帐户。

Azure VM连通性问题

老实说，问题不在于Azure VM，而是当您通过RDP连接到Azure VM时涉及到许多事情。当我试图用我的AAD凭据在Azure中RDP一个VM时，我看到了登录尝试失败的错误。起初，我以为我在登录屏幕上输入了错误的信息。

你们可能也看到了您的凭证不工作错误．当你想要快速地将RDP导入VM时，这是非常令人困惑的，绝对不是一件好事。

排除Azure VM RDP问题涉及许多步骤，但不要担心，我已经在本文中为您介绍了所有步骤。我用一种更容易理解和遵循步骤的方式来写它。如果您有任何问题，请随时与我联系，我将很乐意回复。

的远程桌面协议(RDP)连接到您的windows系统Azure虚拟机(虚拟机)可能会由于各种原因而失败，使您无法访问虚拟机。问题可能出在Azure VM上，也可能出在Azure中的配置上。

我们大多数人都不知道在使用Azure AD凭据进行RDP VM之前必须进行的配置。如果这些配置不到位，您将难以访问VM。

当您无法使用Azure AD凭据RDP Azure VM时，此问题没有单一解决方案。相反，您需要遵循某些步骤，以确保能够成功地将RDP部署到Azure VM。有关更多信息，请参阅故障排除远程桌面连接到Azure虚拟机。

修复无法RDP虚拟机使用Azure AD凭证的问题

如前所述，我将介绍故障排除步骤，以解决无法使用Azure AD凭据RDP Azure VM的常见问题。如果您希望使用RDP Azure VM，则需要确保所需的设置已到位。

假设您正在使用用户帐户将远程桌面(RDP)连接到Azure AD连接的计算机。我们要建立的连接是Azure AD加入计算机，使用Azure AD中的帐户登录。

检查网络要求

要为Azure中的Windows虚拟机启用Azure AD身份验证，您需要确保虚拟机的网络配置允许通过TCP端口443对以下端点进行出站访问:

Azure Global

• https://enterpriseregistration.windows.net—用于设备注册。
• http://169.254.169.254 - Azure实例元数据服务端点。
• https://login.microsoftonline.com—用于身份验证流。
• https://pas.windows.net -用于Azure RBAC流。

Azure政府

• https://enterpriseregistration.microsoftonline.us—用于设备注册。
• http://169.254.169.254 - Azure实例元数据服务。
• https://login.microsoftonline.us—用于身份验证流。
• https://pasff.usgov欢迎您~cloudapi.net -用于Azure RBAC流。

步骤1—Windows虚拟机启用Azure AD登录

几年前，微软宣布Azure AD认证Windows虚拟机(VM)，让您能够管理和控制谁可以访问VM。

Azure中Windows虚拟机的Azure AD登录需要手动开启。您可以在Azure中创建新的虚拟机时启用此选项。启用此选项后，您可以使用企业AD凭据登录Azure中的Windows vm。

如果您正在Azure中创建一个新VM，并且希望使用Azure AD凭据登录，则必须启用“使用Azure AD登录”选项。

在Azure中为虚拟机启用Azure AD登录有两种方法:

1. 您可以在创建VM时在Azure Portal中启用。
2. 你也可以使用Azure云欢迎您~外壳在已有的Windows虚拟机上或在Windows虚拟机上创建虚拟机时，请根据实际情况进行操作。

在Azure门户中创建虚拟机窗口中,选择管理及以下Azure的广告中,选择使用Azure AD登录．启用该选项后，可使用Azure AD凭据登录虚拟机。

步骤2 -为Azure AD登录配置RBAC角色分配

在第1步中启用使用Azure登录选项后，在使用Azure AD凭据RDP VM之前，下一步非常重要。要使用Azure AD凭据登录VM，首先需要为VM配置角色分配。你不能跳过这一步，因为这是非常重要的一步。

您必须配置为用户分配Azure角色被授权登录虚拟机的用户。的RBAC角色分配虚拟机管理员登录或虚拟机用户登录在使用Azure AD登录时是必需的。

有两个Azure角色用于授权虚拟机登录。每个角色都是唯一的，您可以为用户分配这两个角色中的任何一个。

• 虚拟机管理员登录:具有管理员权限的用户可以登录Azure虚拟机。
• 虚拟机用户登录:具有该角色的用户可以以普通用户权限登录Azure虚拟机。

要为Azure AD登录配置RBAC角色分配，可以使用Azure门户或Azure云shell。欢迎您~我很少使用Azure云外壳，因此，我更喜欢使用Az欢迎您~ure门户，因为它易于使用。

让我们为Azure AD登录配置RBAC角色分配。在Azure门户中，转到资源组并选择您的资源组。选择访问控制(IAM)并点击添加>添加角色分配．

在“添加角色分配”窗口中，选择以下选项。

• 角色:任选其一虚拟机管理员登录或虚拟机用户登录的角色。
• 分配访问权限:选择用户、组或服务主体。
• 在选择框中，输入用户名并选择用户，然后单击保存．

监视可以确认用户已添加到所选角色的通知。

您可以验证实际应用了RBAC角色分配。在Azure门户中，单击角色分配选项卡，您应该能够看到刚才在上述步骤中配置的分配。我有三个用户，现在他们被分配给虚拟机管理员登录的角色。

步骤3 -验证AADLoginForWindows扩展在Azure

的AADLoginForWindows扩展必须成功安装，才能使VM完成Azure AD加入过程。如果无法使用AAD凭据RDP Azure VM，这是排除故障的关键步骤。

如果AADLoginForWindows扩展安装失败，必须始终记录退出代码。失败的AADLoginForWindows扩展应该有以下退出代码。

• aadloginfowwindows扩展安装失败，终端错误码' 1007 '，退出码:-2145648574。
• AADLoginForWindows扩展安装失败，退出码:-2145648607
• AADLoginForWindows扩展安装失败，退出码:51

每个出口码都有唯一的解。你可以参考这个优秀的AADLoginForWindows扩展故障排除指南来解决部署问题。

现在，我要告诉你们AADLoginForWindows扩展．在Azure门户中，选择虚拟机并在设置下单击扩展。在这里您应该可以看到AADLoginForWindows扩展．此扩展的状态必须为配置成功．

步骤4—未授权客户端—登录失败

从Azure门户下载RDP连接并尝试连接时，可能会遇到Unauthorized Client登录失败．这是您在使用Azure AD凭证RDP Azure VM时看到的第一个错误。

这可能看起来很愚蠢，但我们经常会输入错误的凭据，并试图找出登录不工作的原因。当您使用Azure AD凭据进行RDP VM时，请确保您正在使用正确的凭据。您也可以重新设置密码并尝试登录。

根据Microsoft的规定，您必须验证用于初始化远程桌面连接的Windows 10 PC是否是Azure AD连接的或混合Azure AD连接的。请注意，虚拟机登录不支持每用户启用/强制的Azure AD多因素身份验证。此设置使用“”导致登录失败。你的证件不管用”错误。

步骤5—确保虚拟机已加入Azure AD租户

当您无法使用AAD凭据RDP Azure VM时，请确保Azure中的Windows 10/Windows 11 VM已加入Azure AD租户。我有一篇文章详细介绍了步骤加入Windows 10虚拟机到Azure AD．您可以使用这些步骤来验证虚拟机是否加入了Azure AD。

您可能会有一个问题，当您无法登录RDP Azure VM时，如何登录?在这种情况下，您必须使用本地管理员帐户或在Azure中创建VM时设置的帐户登录。如果您不确定密码，请联系Azure管理员。

要查看您的计算机或虚拟机是否加入Azure AD，请登录Azure VM，打开设置，然后选择账户．选择进入工作或学校．如果您看到“连接到组织Azure AD”，则意味着您的计算机已连接到Azure AD。

步骤6 -禁用网络级别认证

网络级身份验证有时会将您限制为使用Azure AD凭据的RDP Azure VM。您可以在Azure虚拟机上禁用网络级身份验证。

微软建议保持网络级身份验证开启。但是，如果RDP到Azure VM无法工作，则此步骤将成为必选步骤。

使用本地帐户登录Azure虚拟机并执行以下步骤。

在Windows 10 Azure虚拟机中，在系统属性中,选择远程选项卡。在“远程桌面”下，选择“允许远程连接到此计算机”。取消勾选仅允许运行具有网络级别身份验证的远程桌面的计算机连接．点击应用而且好吧．

步骤7 -将Azure AD用户添加到远程桌面用户组

为了成功地使用Azure AD凭据RDP VM，必须将Azure AD用户添加到VM上的远程桌面用户组。

使用本地帐户登录Azure虚拟机并执行以下步骤。您应该准备好用户帐户以提供对Azure VM的访问。

使用实例在Azure虚拟机中将Azure AD用户添加到远程桌面用户组。将UPN属性替换为Azure AD用户。这个账户应该在AzureAD \ USERNAME@DOMAIN.onmicrosoft.com格式。

net localgroup“远程桌面用户”/add“AzureAD\the- upn -attribute-of-your user”

以管理员身份运行命令提示符并输入上述命令。您应该看到command executed successfully消息。

可通过执行以下PowerShell命令确认Azure AD用户是否已添加到虚拟机。

Get-LocalGroupMember -Name远程桌面用户

如您所见，我们已经成功地将Azure AD用户添加到远程桌面用户组。主源是Azure AD。

步骤8—修改Azure虚拟机RDP文件

测试RDP to Azure VM之前的最后一步是修改Azure VM RDP文件并向其添加几行。导航到已启用Azure AD登录的虚拟机的概览页面。选择“连接”打开“连接到虚拟机刀片”。点击下载RDP文件．

右键单击Azure VM RDP并使用记事本打开它。您也可以使用任何其他文本编辑器。由于Notepad是随Windows 10安装的，所以它可以完成这项工作。在记事本中，添加以下数据。

enablecredsspsupport:我:0
认证级别:我:2

所以，最终的RDP文件数据应该看起来像下面的截图。在进行更改后保存文件。

当您RDP Azure VM时，通常会提示用户输入凭证。有一种方法可以绕过这个问题，即在RDP文件中输入帐户详细信息。让我告诉你怎么做，并解释其他细节。

完整地址:s:IPADDRESS:3389 prompt for credentials:i:0 authentication level:i:2 enablecredsspsupport:i:0 username:s:USERNAME@DOMAIN.onmicrosoft.com domain:s:AzureAD

• 完整的地址:这是Azure虚拟机的IP地址。“3389”为“远程桌面协议”端口。
• 提示凭据:定义在进入会话之前是否应该输入凭据。将值设置为1将提示输入凭据，而将值设置为0将不提示输入凭据。
• 认证级别:此处定义服务器身份验证级别设置。2表示如果服务器认证失败，显示警告并允许连接或拒绝连接。
• Enablecredsspsupport:此设置决定RDP是否使用CredSSP(凭据安全支持提供程序)进行身份验证。如果将该值设置为0，则RDP将不使用CredSSP，即使操作系统支持CredSSP
• 用户名:可指定Azure AD用户帐户名
• 域:指定AzureAD作为域名。

在执行了所有步骤之后，让我们检查一下现在是否可以使用Azure AD凭据RDP VM。双击Azure VM RDP文件并输入凭据。

我想讲一些重要的东西。在遵循了所有的步骤之后，我们中的一些人仍然会忽略这个简单的事实。如果您在登录屏幕上只输入Azure AD用户帐户而没有域，则永远不会进入VM。您将看到“用户名或密码不正确”。重试提示。

登录Azure VM的正确方法是在AzureAD域。必须输入用户名asAzureAD \ username@domain.onmicrosoft.com．现在您应该可以登录到Azure VM了。