Ako nasadiť Windows 11 v Azure s prihlásením cez Entra ID a viacfaktorové overenie

Posted on By Martin Hasin No Comments on Ako nasadiť Windows 11 v Azure s prihlásením cez Entra ID a viacfaktorové overenie

Cieľom tohto postupu je vytvoriť virtuálny počítač s operačným systémom Windows 11 Pro (verzia 25H2) v prostredí Microsoft Azure, ktorý bude prepojený s Microsoft Entra ID (Azure AD). Používateľ sa následne prihlási do systému cez RDP (Remote Desktop Protocol) pomocou webového účtu a MFA (Multi-Factor Authentication). Tento scenár sa využíva najmä v organizáciách, ktoré prechádzajú na cloudovú správu zariadení a vyžadujú centrálne overovanie identity.

Krok 1 – Nasadenie operačného systému Windows 11 v Azure

  1. Vytvorenie virtuálneho počítača
    • V Azure Portáli prejdite na sekciu Virtual machines → Create → Azure virtual machine.
    • Vyberte predplatné (Subscription) a v poli Resource group vytvorte novú skupinu, napríklad mhite-VM.
  2. Definovanie inštančných parametrov
    • Názov virtuálneho počítača: mhitew11
    • Región: zvoľte napríklad (US) East US alebo najbližší región k Európe, napríklad „West Europe“.
    • Availability options: „No infrastructure redundancy required“ (v testovacom prostredí nie je potrebná vysoká dostupnosť).
    • Security type: zvoľte Trusted launch virtual machine – táto možnosť aktivuje TPM 2.0 emuláciu a zabezpečený boot, ktoré sú požiadavkou Windows 11.
    • Kliknite na Configure security features a overte, že je povolený Secure Boot a vTPM.
    • Image: vyberte Windows 11 Pro, version 25H2 – x64 Gen2.
  3. Architektúra a kompatibilita
    • Pre systém Windows 11 Pro 25H2 je potrebné použiť x64 architektúru.
    • Azure automaticky upozorní, že „Arm64 is not supported with the selected image“. Tento krok potvrdzuje, že používate správny typ inštancie.
    • Pokračovanie v sprievodcovi
    • V nasledujúcich krokoch sprievodcu sa nastavuje:

Krok 2 – Povolenie Entra ID autentifikácie pri vytváraní virtuálneho počítača

V tomto kroku nastavíme, aby sa používateľ mohol prihlasovať do systému pomocou svojho Microsoft Entra ID účtu (Azure AD účtu) a následne využívať viacfaktorové overenie (MFA).

Počas vytvárania virtuálneho počítača v Azure portáli prejdite do záložky Management.

Zapnutie systémovej spravovanej identity (System assigned managed identity)

Toto nastavenie je nevyhnutné, pretože umožňuje, aby samotný virtuálny počítač mal vlastnú identitu v Entra ID.

  • Zaškrtnite voľbu Enable system assigned managed identity.
  • Azure automaticky priradí VM unikátnu identitu, ktorú možno použiť na prihlásenie a autentifikáciu voči službám Azure.
  • Táto identita bude neskôr použitá aj pri aktivácii prihlásenia cez Entra ID.

Vytvorenie DNS záznamu pre prístup k virtuálnemu počítaču

Aby sa používatelia mohli jednoducho a bezpečne pripájať na virtuálny počítač, je potrebné vytvoriť DNS záznam, ktorý bude zodpovedať názvu a doméne vašej organizácie.

1. Prečo je DNS záznam dôležitý

Pri prihlasovaní cez RDP (Remote Desktop Protocol) sa používateľ autentifikuje pomocou Entra ID účtu – ten vyžaduje, aby sa cieľové zariadenie nachádzalo v doméne, ktorá zodpovedá overenej organizácii (napr. mhite.sk).
Týmto spôsobom sa zabezpečí:

  • dôveryhodné spojenie medzi zariadením a doménou,
  • úspešné použitie webového prihlásenia (https://login.microsoftonline.com),
  • správne fungovanie viacfaktorového overenia (MFA) pri prihlasovaní cez RDP.

2. Vytvorenie DNS záznamu

V prostredí DNS (napr. v Azure DNS ZonePleskPowerDNS alebo inom správcovi domény) vytvorte nový záznam typu A (Address record).

Príklad konfigurácie:

Typ záznamuNázov (Host)Hodnota (IP adresa)TTL
Aw11.mhite.sk20.125.43.873600

💡 IP adresa v príklade predstavuje verejnú IP adresu virtuálneho počítača, ktorú získate po jeho nasadení v Azure v sekcii Networking → Public IP address.

Tento DNS záznam zabezpečí, že pri zadávaní názvu w11.mhite.sk sa používateľ dostane priamo na váš Azure VM, pričom prihlásenie bude realizované prostredníctvom Microsoft Entra ID účtu.

Krok 3 – Nastavenie DNS suffixu v systéme Windows 11

Aby prihlásenie cez Microsoft Entra ID (Azure AD) fungovalo korektne, musí mať počítač nakonfigurovaný rovnaký DNS suffix, ako je doména registrovaná v Entra ID. Tento krok zabezpečí, že systém bude schopný identifikovať zariadenie ako súčasť dôveryhodnej domény.

1. Otvorenie nastavení počítača

Na virtuálnom počítači sa prihláste lokálnym účtom, ktorý ste zadali počas nasadzovania VM, a následne:

  • Kliknite pravým tlačidlom na This PC → Properties
  • Zvoľte Advanced system settings → Computer Name → Change → More…

2. Nastavenie DNS suffixu

V okne DNS Suffix and NetBIOS Computer Name zadajte názov vašej domény:

Primary DNS suffix of this computer: mhite.sk

Nezabudnite ponechať zaškrtnuté políčko:

☑ Change primary DNS suffix when domain membership changes

Týmto spôsobom sa zabezpečí, že plný názov počítača (FQDN – Fully Qualified Domain Name) bude napríklad:

mhitew11.mhite.sk

3. Reštartovanie systému

Po potvrdení zmien kliknite na OK a systém vás vyzve na reštart.
Po reštarte bude počítač používať nový DNS suffix, čo umožní správne overenie identity cez Entra ID.

4. Prečo je tento krok potrebný

Microsoft Entra ID vyžaduje, aby zariadenie malo rovnaký suffix ako organizácia, v ktorej je účet registrovaný. Ak by bol suffix iný (napríklad „local“ alebo „internal“), systém by nevedel správne zmapovať identitu zariadenia voči tenantovi v cloude, čo by spôsobilo chybu pri prihlasovaní cez RDP.

💡 Odporúčam:
DNS suffix nech je vždy v zhode s doménou uvedenou v Entra ID – napríklad @mhite.sk.
Ak má organizácia viacero domén, použite tú, ktorá je nastavená ako Primary Domain v Entra ID tenantovi.

Výborne, doplníme to ako Krok 5, ktorý sa týka priradenia oprávnení používateľom na prihlásenie do virtuálneho počítača cez Entra ID.

Krok 4 – Priradenie oprávnení na prihlásenie (RBAC roly)

Aby sa používateľ mohol prihlásiť do virtuálneho počítača prostredníctvom Microsoft Entra ID, musí mať v Azure priradené správne oprávnenia. Azure využíva RBAC (Role-Based Access Control), ktoré definuje, kto a akým spôsobom môže pristupovať k VM.

1. Typy rolí pre prihlásenie

Existujú dve základné roly určené na prihlásenie do VM pomocou Entra ID:

  • Virtual Machine Administrator Login
    Umožňuje prihlásiť sa do systému s administrátorskými právami (ekvivalent lokálneho administrátora).
    Túto rolu priraďte používateľom, ktorí budú spravovať VM, inštalovať softvér alebo meniť konfigurácie systému.
  • Virtual Machine User Login
    Umožňuje prihlásiť sa do systému ako bežný používateľ bez administrátorských práv.
    Túto rolu použite pre štandardných používateľov, ktorí budú VM používať na prácu, testovanie alebo vzdialený prístup.

2. Postup priradenia role

  1. V Azure portáli prejdite na:Virtual Machines → <názov vášho VM> → Access control (IAM)
  2. Kliknite na Add → Add role assignment.
  3. V poli Role vyberte buď:
    • Virtual Machine Administrator Login, alebo
    • Virtual Machine User Login.
  4. V sekcii Members kliknite na + Select members a vyberte používateľa z Entra ID.
    (V príklade je to hasin@mhite.sk.)
  5. Potvrďte výber kliknutím na Review + assign.

3. Overenie priradenia

Po priradení role by sa používateľ mal zobraziť v zozname prístupov:

PoužívateľTyp prístupuRola
hasin@mhite.skUserVirtual Machine Administrator Login

💡 Odporúčam:
Pre testovacie prostredie najskôr priraďte rolu Administrator Login, aby ste mali plný prístup a mohli overiť funkčnosť prihlásenia cez Entra ID.
Neskôr môžete rolu zmeniť na User Login podľa potreby.

Perfektne – toto je posledný krok, ktorý opisuje samotné prihlásenie používateľa do virtuálneho počítača pomocou Microsoft Entra ID účtu cez RDP. Doplním ho ako Krok 6 článku.

Krok 6 – Prihlásenie cez RDP klienta pomocou Entra ID účtu

Po úspešnom priradení oprávnení v Azure a konfigurácii DNS suffixu je možné prihlásiť sa do virtuálneho počítača cez Remote Desktop Connection (RDP) pomocou Microsoft Entra ID účtu s podporou webového prihlásenia a MFA.

1. Spustenie RDP klienta

Na svojom lokálnom zariadení otvorte aplikáciu Remote Desktop Connection (mstsc.exe).

Do poľa Computer zadajte DNS názov virtuálneho počítača, napríklad:

mhitew11.mhite.sk

2. Nastavenie autentifikácie

Kliknite na Show Options → Advanced a v sekcii User authentication zaškrtnite možnosť:

☑ Use a web account to sign in to the remote computer

Týmto aktivujete prihlásenie cez webové rozhranie Microsoft identity platform.
Pri nadviazaní pripojenia sa otvorí okno, v ktorom sa používateľ prihlási svojím Entra ID účtom (napr. meno@mhite.sk) a dokončí viacfaktorové overenie (MFA).

3. Overenie spojenia

Po úspešnom prihlásení systém načíta používateľský profil a zobrazí pracovnú plochu Windows 11.
V časti Start → Settings → Accounts → Access work or school môžete overiť, že zariadenie je pripojené k Microsoft Entra ID.

4. Riešenie problémov s pripojením

Ak sa prihlasovanie nepodarí, skontrolujte:

  • či má používateľ priradenú rolu Virtual Machine Administrator Login alebo User Login,
  • že DNS suffix (mhite.sk) je správne nastavený,
  • že VM je zaregistrovaný v Entra ID (v portáli Azure → Devices → All Devices),
  • že v RDP je povolená voľba Use a web account.

💡 Odporúčam:
Ak používate najnovšie verzie Windows 11 alebo RDP klienta, webové prihlásenie je plne integrované a podporuje aj bezpečnostné prvky ako Conditional Access alebo FIDO2 kľúče.

CEO at  | martin.hasin@gmail.com | Website |  + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk

Azure, Windows

Leave a Reply

Your email address will not be published. Required fields are marked *

en_US
sk_SK en_US