实验室 10 - 适用于 Windows 和 Linux 虚拟机的 Microsoft Entra 身份验证

注意 - 此实验室需要 Azure Pass。有关说明，请参阅实验室 00。

实验室方案

该公司决定使用 Microsoft Entra ID 登录虚拟机进行远程访问。本实验室将演示如何为 Windows 和 Linux 虚拟机设置此方案。

预计用时：30 分钟

练习 1 - 使用 Microsoft Entra ID 登录到 Azure 中的 Windows 虚拟机

任务 1 - 创建启用了 Microsoft Entra ID 登录的 Windows 虚拟机

浏览到 https://portal.azure.com
选择“+ 创建资源”。
在“搜索市场”搜索栏中键入“Windows 11”，然后键入 Enter。
在 Windows 11 框中，选择“创建 v”，然后从打开的菜单中选择“Windows 11 企业版，版本 22H2”。
在“基本信息”选项卡上使用以下值创建 VM： | 字段 | 要使用的值 | | :– | :– | | 订阅 | Azure Pass - 赞助 | | 资源组 | 新建 - rgEntraLogin | | 虚拟机名称 | vmEntraLogin | | 区域 | default | | 可用性选项 | 没有所需的基础结构冗余 | | 安全类型 | 标准 | | 大小 | Standard DC1s_v3 - 1 vCPU, 8 GiB 内存 | | 管理员用户名 | vmEntraAdmin | | 管理员密码 | 使用实验室环境提供的密码，或者让我们成为可以记住的安全密码 | | 许可 | 确认你拥有许可证 |
无需更改“磁盘”或“网络”选项卡上的任何内容，但可以查看这些值。

转到“管理”选项卡，选中“Microsoft Entra ID”部分下的“使用 Microsoft Entra ID 登录”框。

 NOTE: You will notice that the **System assigned managed identity** under the Identity section is automatically checked and turned grey. This action should happen automatically once you enable Login with Microsoft Entra ID.

选择“查看 + 创建”
选择创建后。

任务 2 - 现有 Azure 虚拟机的 Microsoft Entra ID 登录

浏览到 https://portal.azure.com 中的虚拟机。
选择“任务 1”中新创建的虚拟机。
选择“访问控制 (IAM)”。
依次选择“+ 添加”和“添加角色分配”，以打开“添加角色分配”页面。
分配以下设置：
- 分配类型：工作职能角色
- 角色：虚拟机管理员登录
- 成员：选择“用户、组或服务主体”。然后使用“+ 选择成员”将 Joni Sherman 添加为 VM 的特定用户。
选择“审阅 + 分配”以完成该过程

任务 3 - 更新服务器 VM 以支持 Microsoft Entra ID 登录

在“连接”菜单上，选择“连接”项。
在“RDP”选项卡上，选择“下载 RDP 文件” 。如果出现提示，请为文件选择“保留”选项。它将保存到“下载”文件夹中。
在文件管理器中打开“下载”文件夹。
打开 RDP。
选择以备用用户身份登录。
使用在设置虚拟机时创建的管理员用户名和密码。
- 如果出现提示，请选择“是”以允许访问虚拟机或 RDP 会话。
等待 VM 打开并加载所有软件。
选择虚拟机中的“启动”按钮。
键入“控制面板”并启动控制面板应用。
从设置列表中选择“系统和安全”。
从“系统”设置中，选择“允许远程访问”选项。

注意 - 无需打开系统子菜单。此选项在“系统”标头下可用。

在打开的对话框底部，你将看到“远程桌面”部分。
取消选中标记为“只允许运行带网络级身份验证的远程桌面的计算机连接”的框。
依次选择“应用”、“确定” 。
退出虚拟机 RDP 会话。

任务 4 - 修改 RDP 文件以支持 Microsoft Entra ID 登录

在文件管理器中打开“下载”文件夹。
创建 RDP 文件的副本，并在文件名末尾添加 -EntraID。
编辑刚刚使用记事本复制的 RDP 文件的新版本。将这两行文本添加到文件底部：
```
     enablecredsspsupport:i:0
     authentication level:i:2
```
保存 RDP 文件。现在应有该文件的两个版本：
- «virtual machine name».RDP
- «virtual machine name»-EntraID.RDP

任务 5 - 使用 Microsoft Entra ID 登录名连接到 Windows 虚拟机

打开 **«virtual machine name»-EntraID.RDP
当对话框打开时，选择“连接”。
系统不会提示你使用哪个用户帐户登录，而是应收到一条消息，提示你是否要连接到远程计算机。
选择屏幕底部的“是”。
远程桌面会话随即打开；并显示 Windows Server 登录屏幕。应显示带有“确定”按钮的其他用户。
选择“确定”。
在登录对话框中输入以下信息：
- 用户名 = AzureAD\JoniS@你的域名
- 密码 = 输入实验室提供商提供的密码
注意：JoniS 是我们授予在任务 1 期间以管理员身份登录的权限的用户。
Windows 应确认登录名并打开正常屏幕。

任务 6 - 进行测试（可选）以探索 Microsoft Entra ID 登录

检查 JoniS 是否是添加到管理员组的唯一用户。
使用辅助鼠标单击“开始”按钮，然后在弹出菜单中选择“计算机管理”**。
打开“本地用户和组”，然后导航到“组、管理员” 。
应会在列表中看到 Azure\JoniSherman….。
检查其他 Microsoft Entra ID 成员是否可以登录。
退出远程桌面会话。
再次启动 «server name»-EntraID.RDP 文件。
尝试以其他 Microsoft Entra 用户（如 AdeleV、AlexW 或 DiegoS）登录。
你应该注意到，这些用户中的每一个都被拒绝访问。

可选练习 2 - 使用 Microsoft Entra ID 登录到 Azure 中的 Linux 虚拟机

任务 1 - 创建具有系统分配的托管标识的 Linux VM

浏览到 https://portal.azure.com
选择“+ 创建资源”。
搜索“Ubuntu”**。
在“Ubuntu Server 22.04 LTS”下选择“创建”****。可将其他 Linux 服务器用于此测试实验室。
在“管理”选项卡上，选中用于启用“使用 Microsoft Entra ID 登录”的框。****
确保选中系统分配的托管标识。
完成创建虚拟机的其余体验。在此预览版中，必须使用用户名和密码或 SSH 公钥创建管理员帐户。

任务 2 - 现有 Azure 虚拟机的 Microsoft Entra ID 登录

浏览到 https://portal.azure.com 中的虚拟机。
选择“访问控制 (IAM)”。
选择“添加”>“添加角色分配”，打开“添加角色分配”页面。
分配以下角色。
- 角色：虚拟机管理员登录或虚拟机用户登录
- 分配访问权限对象：用户、组、服务主体或托管标识
有关详细步骤，请参阅使用 Azure 门户分配 Azure 角色。