Вопрос или проблема
Мы внедряем AVD, и наш AVD-хост присоединен к нашему Entra.
Когда я пытаюсь войти как пользователь в Entra, у которого есть глобальная административная роль, я не могу этого сделать. Когда я убираю роль, я могу войти как пользователь.
У нас в данный момент нет возможности создавать правила условного доступа. Можно ли это сделать или нам нужно иметь CDA, или, скорее всего, не использовать глобальную административную роль на аккаунтах, которые мы использовали для входа в RDP.
Спасибо
Бен
Ответ или решение
Проблема доступа к Azure Virtual Desktop для пользователей с ролью глобального администратора
Учитывая вашу ситуацию с невозможностью входа в Azure Virtual Desktop (AVD) для пользователей, обладающих ролью глобального администратора в Entra, стоит рассмотреть несколько ключевых аспектов, чтобы выявить и решить проблему.
1. Понимание роли глобального администратора
Роль глобального администратора в Microsoft Entra (ранее Azure Active Directory) предоставляет полные права на управление ресурсами и пользователями в организации. Однако такая роль может иметь дополнительные ограничения при доступе к ресурсам AVD из-за повышенных требований безопасности.
2. Особенности AVD и Entra
При конфигурации AVD на основе Entra:
- Система может использовать политику безопасности, которая предотвращает доступ на уровне RDP для пользователей с высокими привилегиями.
- Отсутствие условий доступа (Conditional Access – CA) может усилить данное ограничение, что делает ваши действия по входу в систему невозможными.
3. Возможные устранения проблем
- Проверка настроек безопасности в AVD: Убедитесь, что настройки шифрования и разрешений не конфликтуют с требованиями для пользователей, обладающих высокими привилегиями.
- Локальный доступ: Попробуйте войти в AVD с помощью другого пользователя с изолированными правами, чтобы подтвердить, что система в целом работает корректно.
4. Управление ролями и доступами
Если у вас нет возможности создавать правила условного доступа:
- Ограничение числа глобальных администраторов: Возможно, имеет смысл минимизировать использование роли глобального администратора для повседневного доступа, меняя роли пользователей на более ограниченные (например, на роли "Владелец" или "Читатель").
- Создание специализированных учетных записей: Создайте отдельные учетные записи без глобального администрирования, которые будут использоваться исключительно для доступа к AVD.
5. Рекомендации по ресурсам
Рекомендуется создать стратегию управления доступом, которая будет включать регулярные проверки ролей и прав пользователей на доступ к AVD. Для дальнейших улучшений, как только у вас появится возможность, настройте условия доступа через Azure Conditional Access, что позволит гибко управлять доступом, исходя из специфических требований.
Заключение
Если у вас есть пользователи с ролью глобального администратора, которые не могут войти в Azure Virtual Desktop, наиболее простым решением будет временно изменить их роли для доступа или создать отдельные учетные записи с меньшими привилегиями. В долгосрочной перспективе рассмотрите возможность внедрения условного доступа для обеспечения необходимого уровня безопасности и удобства использования системы. Если у вас возникнут дополнительные вопросы или потребуется помощь, я готов помочь.