修复无法使用 AAD 凭据访问 RDP Azure VM

无法使用 Azure AD (AAD) 凭据通过 RDP 连接到 Azure VM 是我们大多数人遇到的常见问题。如果您无法使用 Azure AD 凭据进行 RDP Azure VM，这篇故障排除文章一定会对您有所帮助。

几个月前，我遇到了类似的情况，无法使用 Azure AD 凭据进行 RDP Azure VM。我创建了一个新的虚拟机并尝试使用 RDP，但还是失败了。这是 Azure 中的 Windows 11 VM，AAD 凭据根本不起作用。

根据我的研究，许多人在使用 AAD 凭据连接到 Azure 中托管的虚拟机时遇到问题。我们大多数人都不知道从哪里开始解决这个问题。有些人可能会认为自己输入了错误的密码，并经常尝试重置帐户。

Azure VM 连接问题

老实说，问题不在于Azure VM，而是当您通过RDP连接到Azure VM时涉及很多事情。当我尝试使用 AAD 凭据对 Azure 中的虚拟机进行 RDP 时，我看到登录尝试失败错误。最初，我以为我在登录屏幕上输入了错误的信息。

有些人可能还会看到您的凭据不起作用错误。当您想要快速通过 RDP 进入虚拟机时，这非常令人困惑，而且绝对不是一件好事。

解决 Azure VM RDP 问题涉及许多步骤，但不用担心，我已在本文中为您介绍了所有步骤。我以更容易理解和遵循步骤的方式编写了它。如果您有疑问，请随时与我联系，我很乐意回复。

与基于 Windows 的 Azure 虚拟机 (VM) 的远程桌面协议 (RDP) 连接可能会因各种原因失败，导致你无法访问 VM。问题可能与 Azure VM 有关，也可能与 Azure 中的配置有关。

我们大多数人都不知道在使用 Azure AD 凭据使用 RDP VM 之前必须进行的配置。如果这些配置未到位，您将难以访问虚拟机。

当无法使用 Azure AD 凭据进行 RDP Azure VM 时，此问题没有单一的解决方案。相反，您需要遵循某些步骤来确保您可以成功通过 RDP 连接到 Azure VM。有关详细信息，请参阅对 Azure 虚拟机的远程桌面连接进行故障排除。

修复无法使用 Azure AD 凭据访问 RDP VM 的问题

如前所述，我将介绍解决无法使用 Azure AD 凭据 RDP Azure VM 的常见问题的故障排除步骤。如果您想要 RDP Azure VM，则需要确保所需的设置已就位。

假设您使用用户帐户通过远程桌面 (RDP) 连接到已加入 Azure AD 的计算机。我们要建立的连接是与 Azure AD 加入的计算机的连接，使用 Azure AD 的帐户登录。

检查网络要求

要为 Azure 中的 Windows VM 启用 Azure AD 身份验证，您需要确保 VM 网络配置允许通过 TCP 端口 443 对以下终结点进行出站访问：

对于 Azure 全球

• https://enterpriseregistration.windows.net - 用于设备注册。
• http://169.254.169.254 - Azure 实例元数据服务端点。
• https://login.microsoftonline.com - 用于身份验证流程。
• https://pas.windows.net - 适用于 Azure RBAC 流。

对于 Azure 政府

• https://enterpriseregistration.microsoftonline.us - 用于设备注册。
• http://169.254.169.254 - Azure 实例元数据服务。
• https://login.microsoftonline.us - 用于身份验证流程。
• https://pasff.usgovcloudapi.net - 适用于 Azure RBAC 流。

第 1 步 - 启用 Azure AD登录 Windows 虚拟机

几年前，Microsoft 宣布对 Azure 中的 Windows 虚拟机 (VM) 进行 Azure AD 身份验证，让你能够管理和控制谁可以访问 VM。

需要手动启用 Azure 中 Windows VM 的 Azure AD 登录。您可以在 Azure 中创建新虚拟机时启用此选项。启用此选项后，您可以使用公司 AD 凭据登录到 Azure 中的 Windows VM。

如果要在 Azure 中创建新 VM 并且想要使用 Azure AD 凭据登录，则必须启用“使用 Azure AD 登录”选项。

有两种方法可以为 Azure 中的 VM 启用 Azure AD 登录：

1. 您可以在创建 VM 时在 Azure 门户中启用。
2. 您还可以在创建 Windows VM 或在现有 Windows VM 上使用 Azure Cloud Shell 体验。

在 Azure 门户中的创建虚拟机窗口中，选择管理，然后在Azure AD下选择使用 Azure AD 登录 。启用此选项后，您可以使用 Azure AD 凭据登录到 VM。

步骤 2 - 配置Azure AD 登录的 RBAC 角色分配

在步骤 1 中启用使用 Azure 登录选项后，下一步很重要，然后再使用 Azure AD 凭据使用 RDP VM。要使用 Azure AD 凭据登录 VM，首先需要为 VM 配置角色分配。您不能跳过此步骤，因为这是必不可少的步骤。

您必须为有权登录 VM 的用户配置 Azure 角色分配。使用 Azure AD 登录时，需要分配虚拟机管理员登录或虚拟机用户登录的 RBAC 角色。

有两个 Azure 角色用于授权 VM 登录。其中每个角色都是唯一的，您可以为用户分配这两个角色中的任何一个。

• 虚拟机管理员登录：分配有此角色的用户可以使用管理员权限登录到 Azure 虚拟机。
• 虚拟机用户登录：分配有此角色的用户可以使用常规用户权限登录到 Azure 虚拟机。

若要配置 Azure AD 登录的 RBAC 角色分配，可以使用 Azure 门户或 Azure 云 shell。我没有太多使用Azure云shell，因此，我更喜欢使用Azure门户，因为它很容易使用。

让我们为 Azure AD 登录配置 RBAC 角色分配。在 Azure 门户中，转到资源组并选择你的资源组。选择访问控制 (IAM)，然后单击添加 > 添加角色分配。

在“添加角色分配”窗口中，选择以下选项。

• 角色：选择虚拟机管理员登录或虚拟机用户登录角色。
• 分配访问权限：选择用户、组或服务主体。
• 在选择框中，输入用户名并选择用户，然后单击保存。

监视通知，您可以在其中确认用户已添加到所选角色。

您可以验证 RBAC 角色分配是否已实际应用。在 Azure 门户中，单击角色分配选项卡，您应该能够看到刚刚在上一步中配置的分配。我有三个用户，他们现在被分配给虚拟机管理员登录角色。

步骤 3 - 验证 Azure 中的 AADLoginForWindows 扩展

AADLoginForWindows 扩展必须成功安装，VM 才能完成 Azure AD 加入过程。如果您无法使用 AAD 凭据通过 RDP Azure VM 进行故障排除，这是解决问题的关键步骤。

如果 AADLoginForWindows 扩展安装失败，您必须始终记下退出代码。失败的 AADLoginForWindows 扩展应具有以下退出代码。

• AADLoginForWindows 扩展安装失败，终端错误代码为“1007”，退出代码为：-2145648574。
• AADLoginForWindows 扩展安装失败，退出代码：-2145648607
• AADLoginForWindows 扩展安装失败，退出代码：51

每个退出代码都有独特的解决方案。您可以参考 Microsoft 提供的优秀 AADLoginForWindows 扩展故障排除指南来解决部署问题。

现在，我将向您展示 AADLoginForWindows 扩展的位置。在 Azure 门户中，选择虚拟机，然后在“设置”下单击“扩展”。您应该在这里看到AADLoginForWindows 扩展。此扩展程序的状态必须为配置成功。

步骤4 - 未经授权的客户端 - 登录尝试失败

从 Azure 门户下载 RDP 连接并尝试连接时，您可能会遇到未经授权的客户端登录尝试失败。这是使用 Azure AD 凭据的 RDP Azure VM 时看到的第一个错误。

这可能看起来很愚蠢，但我们经常会输入错误的凭据并尝试找出登录不起作用的原因。当您使用 Azure AD 凭据的 RDP VM 时，请确保使用正确的凭据。您也可以重置密码并尝试登录。

根据 Microsoft 的规定，您必须验证用于启动远程桌面连接的 Windows 10 电脑是否已加入 Azure AD 或混合 Azure AD。请注意，VM 登录不支持按用户启用/强制执行 Azure AD 多重身份验证。此设置会导致登录失败，并出现“您的凭据不起作用”错误。

步骤 5 - 确保VM 已加入 Azure AD 租户

当您无法使用 AAD 凭据进行 RDP Azure VM 时，请确保 Azure 中的 Windows 10/Windows 11 VM 已加入 Azure AD 租户。我有一篇文章详细介绍了将 Windows 10 VM 加入 Azure AD 的步骤。您可以使用这些步骤来验证 VM 是否已加入 Azure AD。

您可能有一个疑问，当您无法使用RDP Azure VM时，如何登录？在这种情况下，您必须使用本地管理员帐户或在 Azure 中创建 VM 时设置的帐户登录。如果您不确定密码，请联系 Azure 管理员。

要了解您的计算机或虚拟机是否已加入 Azure AD，请登录到 Azure 虚拟机，打开设置，然后选择帐户。选择访问工作或学校。如果您看到连接到组织 Azure AD，则意味着您的计算机已加入 Azure AD。

第 6 步 - 禁用网络级身份验证

网络级身份验证有时可能会将您限制为使用 Azure AD 凭据的 RDP Azure VM。您可以在 Azure VM 上禁用网络级身份验证。

Microsoft 建议保持网络级身份验证处于打开状态。但是，如果 RDP 到 Azure VM 不起作用，则必须执行此步骤。

使用本地帐户登录 Azure VM 并执行以下步骤。

在 Windows 10 Azure VM 上的系统属性下，选择远程选项卡。在远程桌面下，选择允许远程连接到此计算机。取消勾选仅允许来自运行具有网络级身份验证的远程桌面的计算机的连接。单击应用和确定。

步骤 7 - 将 Azure AD 用户添加到远程桌面用户组

为了使用 Azure AD 凭据成功使用 RDP VM，必须将 Azure AD 用户添加到 VM 上的远程桌面用户组。

使用本地帐户登录 Azure VM 并执行以下步骤。您应该准备好用户帐户以提供对 Azure VM 的访问。

要将 Azure AD 用户添加到 Azure VM 上的远程桌面用户组，请运行以下命令。将 UPN 属性替换为 Azure AD 用户。该帐户应采用 AzureAD\[email protected] 格式。

net localgroup "Remote Desktop Users" /add "AzureAD\the-UPN-attribute-of-your-user"

以管理员身份运行命令提示符并输入上述命令。您应该看到命令执行成功的消息。

您可以通过运行以下 PowerShell 命令确认 Azure AD 用户是否已添加到 VM。

Get-LocalGroupMember -Name "Remote Desktop users"

如您所见，我们已成功将 Azure AD 用户添加到远程桌面用户组。主要来源是 Azure AD。

步骤 8 - 修改 Azure VM RDP文件

我们测试 RDP 到 Azure VM 之前的最后一步是修改 Azure VM RDP 文件并向其中添加几行。导航到已通过 Azure AD 登录启用的虚拟机的概述页面。选择“连接”以打开“连接到虚拟机”边栏选项卡。单击下载 RDP 文件。

右键单击 Azure VM RDP 并使用记事本将其打开。您也可以使用任何其他文本编辑器。由于记事本随 Windows 10 一起安装，因此它可以完成这项工作。在记事本中，附加以下数据。

enablecredsspsupport:i:0
authentication level:i:2

因此，最终的 RDP 文件数据应类似于下面的屏幕截图。进行更改后保存文件。

当您 RDP Azure VM 时，它通常会提示用户输入凭据。有一种方法可以通过在 RDP 文件中输入帐户详细信息来绕过此问题。让我向您展示如何操作并解释其他细节。

full address:s:IPADDRESS:3389
prompt for credentials:i:0
authentication level:i:2
enablecredsspsupport:i:0
username:s:[email protected]
domain:s:AzureAD

• 完整地址：这是您的 Azure VM 的 IP 地址。 3389 是远程桌面协议端口。
• 提示输入凭据：定义您是否应在进入会话之前输入凭据。将值设置为 1 将提示输入凭据，值 0 将不提示输入凭据。
• 身份验证级别：您可以在此处定义服务器身份验证级别设置。值 2 表示如果服务器身份验证失败，则显示警告并允许连接或拒绝连接。
• Enablecredsspsupport：此设置确定 RDP 是否使用凭据安全支持提供程序 (CredSSP) 进行身份验证（如果可用）。如果将该值设置为 0，RDP 将不会使用 CredSSP，即使操作系统支持 CredSSP
• 用户名：您可以指定 Azure AD 用户帐户名称
• 域：指定 AzureAD 作为域名。

执行完所有步骤后，让我们检查现在是否可以使用 Azure AD 凭据进行 RDP VM。双击 Azure VM RDP 文件并输入凭据。

我想在这里介绍一些重要的内容。完成所有步骤后，我们中的一些人仍然会忽略这个简单的事实。如果您在登录屏幕上仅输入 Azure AD 用户帐户而不输入域，则您永远不会通过 RDP 连接到 VM。您将看到用户名或密码不正确。再试一次消息。

登录 Azure VM 的正确方法是将 AzureAD 作为域前缀。您必须输入 AzureAD\[email protected] 形式的用户名。现在您应该能够登录到 Azure VM。