Teilen über


Unterstützte Identitäten und Authentifizierungsmethoden

In diesem Artikel geben wir Ihnen einen kurzen Überblick über die Arten von Identitäten und Authentifizierungsmethoden, die Sie in Azure Virtual Desktop verwenden können.

Identities

Azure Virtual Desktop unterstützt verschiedene Arten von Identitäten abhängig von der ausgewählten Konfiguration. In diesem Abschnitt wird erläutert, welche Identitäten Sie für jede Konfiguration verwenden können.

Wichtig

Azure Virtual Desktop unterstützt nicht die Anmeldung bei Microsoft Entra ID mit einem einzigen Benutzerkonto und die anschließende Anmeldung bei Windows mit einem separaten Benutzerkonto. Die gleichzeitige Anmeldung mit zwei unterschiedlichen Konten kann dazu führen, dass Benutzer wieder eine Verbindung mit dem falschen Sitzungshost herstellen, dass falsche oder fehlende Informationen im Azure-Portal angezeigt werden und dass während der Verwendung von App Attach oder MSIX App Attach Fehlermeldungen erscheinen.

Lokale Identität

Da Benutzer über Microsoft Entra ID auffindbar sein müssen, um auf den Azure Virtual Desktop zuzugreifen, werden Benutzeridentitäten, die nur in Active Directory Domain Services (AD DS) existieren, nicht unterstützt. Das umfasst auch eigenständige Active Directory-Bereitstellungen mit Active Directory-Verbunddiensten (AD FS).

Hybrididentität

Azure Virtual Desktop unterstützt Hybrididentitäten über Microsoft Entra ID, einschließlich solcher, die über AD FS einem Verbund angehören. Sie können diese Benutzeridentitäten in AD DS verwalten und mit Microsoft Entra ID mit Microsoft Entra Connectsynchronisieren. Sie können die Microsoft Entra-ID auch verwenden, um diese Identitäten zu verwalten und mit Microsoft Entra Domain Services zu synchronisieren.

Wenn Sie mit Hybrididentitäten auf Azure Virtual Desktop zugreifen, stimmen manchmal der User Principal Name (UPN) oder Security Identifier (SID) für den Benutzer in Active Directory (AD) und die Microsoft Entra ID nicht überein. Beispielsweise kann das AD-Konto user@contoso.local einer Microsoft Entra-ID user@contoso.com entsprechen. Azure Virtual Desktop unterstützt diese Art der Konfiguration nur, wenn entweder der UPN oder die SID für Ihr AD- und Microsoft Entra ID-Konto übereinstimmen. SID bezieht sich auf die Benutzerobjekteigenschaft „ObjectSID“ in AD und „OnPremisesSecurityIdentifier“ in Microsoft Entra ID.

Reine Cloudidentität

Azure Virtual Desktop unterstützt reine Cloudidentitäten bei Verwendung von in Microsoft Entra eingebundenen VMs. Diese Benutzer werden direkt in der Microsoft Entra ID erstellt und verwaltet.

Hinweis

Sie können hybride Identitäten auch Azure Virtual Desktop-Anwendungsgruppen zuweisen, die Sitzungshosts des Verbindungstyps „In Microsoft Entra eingebunden“ hosten.

Identitätsverbund

Wenn Sie einen Drittanbieter-Identitätsanbieter (IdP) verwenden, der nicht Microsoft Entra-ID oder Active Directory Domain Services ist, um Ihre Benutzerkonten zu verwalten, müssen Sie folgendes sicherstellen:

Externe Identität

Azure Virtual Desktop unterstützt derzeit keine externen Identitäten.

Authentifizierungsmethoden

Beim Zugriff auf Azure Virtual Desktop-Ressourcen gibt es drei separate Authentifizierungsphasen:

  • Clouddienstauthentifizierung: Die Authentifizierung für den Azure Virtual Desktop-Dienst, der das Abonnieren von Ressourcen und die Authentifizierung beim Gateway umfasst, geschieht mit Microsoft Entra-ID.
  • Remotesitzungsauthentifizierung: Authentifizieren an die Remote-VM. Es gibt mehrere Möglichkeiten, sich bei der Remotesitzung zu authentifizieren, einschließlich des empfohlenen einmaligen Anmeldens (Single Sign-On, SSO).
  • In-Session-Authentifizierung: Authentifizieren an Anwendungen und Websites innerhalb der Remotesitzung.

Für die Liste der Anmeldeinformationen, die für die verschiedenen Clients für jede Authentifizierungsphase verfügbar sind, vergleichen Sie die Clients auf allen Plattformen.

Wichtig

Damit die Authentifizierung ordnungsgemäß funktioniert, muss Ihr lokaler Computer auch in der Lage sein, auf die erforderlichen URLs für Remotedesktopclients zuzugreifen.

In den folgenden Abschnitten finden Sie weitere Informationen zu diesen Authentifizierungsphasen.

Clouddienstauthentifizierung

Um auf Azure Virtual Desktop-Ressourcen zugreifen zu können, müssen Sie sich zunächst beim Dienst authentifizieren, indem Sie sich mit einem Microsoft Entra ID-Konto anmelden. Die Authentifizierung erfolgt immer dann, wenn Sie Ihre Ressourcen abrufen, beim Starten einer Verbindung oder beim Senden von Diagnoseinformationen an den Dienst eine Verbindung mit dem Gateway herstellen. Die für diese Authentifizierung verwendete Microsoft Entra-ID-Ressource ist Azure Virtual Desktop (App-ID 9cdead84-a844-4324-93f2-b2e6bb768d07).

Mehrstufige Authentifizierung

Befolgen Sie die Anweisungen unter Erzwingen der Microsoft Entra-Multi-Faktor-Authentifizierung für Azure Virtual Desktop mit bedingtem Zugriff, um zu erfahren, wie Sie die Microsoft Entra Mehrfaktor-Authentifizierung für Ihre Bereitstellung erzwingen. In diesem Artikel erfahren Sie auch, wie Sie konfigurieren, wie häufig Ihre Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. Beachten Sie beim Bereitstellen von in Microsoft Entra eingebundenen VMs die zusätzlichen Schritte für in Microsoft Entra eingebundene Sitzungshost-VMs.

Kennwortlose Authentifizierung

Sie können einen beliebigen Authentifizierungstyp verwenden, der von Microsoft Entra ID unterstützt wird, z. B. Windows Hello for Business und andere kennwortlose Authentifizierungsoptionen (z. B. FIDO-Schlüssel), um sich beim Dienst zu authentifizieren.

Authentifizierung mit Smartcards

Um eine Smartcard zur Authentifizierung bei Microsoft Entra ID verwenden zu können, müssen Sie zuerst die zertifikatbasierte Microsoft Entra-Authentifizierung oder AD FS für Benutzerzertifikat-Authentifizierung konfigurieren.

Identitätsanbieter von Drittherstellern

Sie können Identitätsanbieter von Drittherstellern verwenden, sofern diese sich in einem Verbund mit Microsoft Entra ID befinden.

Remotesitzungsauthentifizierung

Wenn Sie einmaliges Anmelden (Single Sign-On, SSO) noch nicht aktiviert oder Ihre Anmeldeinformationen lokal gespeichert haben, müssen Sie sich auch beim Sitzungshost authentifizieren, wenn Sie eine Verbindung einrichten.

Einmaliges Anmelden (Single Sign-On, SSO)

SSO ermöglicht es der Verbindung, die Anmeldeinformationsaufforderung des Sitzungshosts zu überspringen und den Benutzer über die Microsoft Entra-Authentifizierung automatisch bei Windows anzumelden. Für Sitzungshosts, bei denen Microsoft Entra oder Microsoft Entra hybrid eingebunden ist, empfiehlt es sich, SSO mithilfe der Microsoft Entra-Authentifizierung zu aktivieren. Microsoft Entra-Authentifizierung bietet weitere Vorteile, etwa kennwortlose Authentifizierung und Unterstützung für Identitätsanbieter von Drittanbietern.

Azure Virtual Desktop unterstützt auch einmaliges Anmelden mit den Active Directory-Verbunddiensten (AD FS) für Windows Desktop- und Webclients.

Ohne SSO fordert der Client Benutzer bei jedem Herstellen einer Verbindung zur Eingabe ihrer Sitzungshostanmeldeinformationen auf. Die einzige Möglichkeit, diese Eingabeaufforderung zu vermeiden, besteht darin, die Anmeldeinformationen im Client zu speichern. Es wird empfohlen, Anmeldeinformationen nur auf sicheren Geräten zu speichern, um zu verhindern, dass andere Benutzer auf Ihre Ressourcen zugreifen können.

Smart-Card und Windows Hello for Business

Azure Virtual Desktop unterstützt sowohl integrierte Windows-Authentifizierung (NT LAN Manager, NTLM) als auch Kerberos für die Sitzungshostauthentifizierung. Smartcard und Windows Hello for Business können jedoch nur Kerberos verwenden, um sich anzumelden. Zur Verwendung von Kerberos muss der Client Kerberos-Sicherheitstickets von einem KDC-Dienst (Key Distribution Center) abrufen, der auf einem Domänencontroller ausgeführt wird. Zum Abrufen von Tickets benötigt der Client direkte Netzwerksicht auf den Domänencontroller. Eine solche Sicht können Sie erreichen, indem Sie eine direkte Verbindung mit Ihrem Unternehmensnetzwerk herstellen und dabei eine VPN-Verbindung verwenden oder einen KDC-Proxyserver einrichten.

Sitzungsinterne Authentifizierung

Nachdem Sie eine Verbindung mit Ihrer RemoteApp oder Ihrem Desktop hergestellt haben, werden Sie innerhalb der Sitzung möglicherweise aufgefordert, sich zu authentifizieren. In diesem Abschnitt wird erläutert, wie Sie in diesem Szenario andere Anmeldeinformationen als Benutzername und Kennwort verwenden.

Kennwortlose In-Session-Authentifizierung

Azure Virtual Desktop unterstützt kennwortlose In-Session-Authentifizierung mithilfe von Windows Hello for Business bzw. Sicherheitsgeräten wie FIDO-Schlüsseln bei Verwendung des Windows-Desktopclients. Die kennwortlose Authentifizierung wird automatisch aktiviert, wenn der Sitzungshost und der lokale PC die folgenden Betriebssysteme verwenden:

Um die kennwortlose Authentifizierung für Ihren Hostpool zu deaktivieren, müssen Sie eine RDP-Eigenschaft anpassen. Navigieren Sie im Azure-Portal auf der Registerkarte Geräteumleitung zur Eigenschaft WebAuthn-Umleitung, oder legen Sie die Eigenschaft redirectwebauthn mithilfe von PowerShell auf 0 fest.

Bei diese Option aktiviert ist, werden alle WebAuthn-Anforderungen in der Sitzung an den lokalen PC umgeleitet. Sie können Windows Hello for Business oder lokal angefügte Sicherheitsgeräte verwenden, um den Authentifizierungsprozess abzuschließen.

Um auf Microsoft Entra-Ressourcen mit Windows Hello for Business oder Sicherheitsgeräten zuzugreifen, müssen Sie den FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode für Ihre Benutzer aktivieren. Um diese Methode zu aktivieren, führen Sie die Schritte unter Aktivieren der FIDO2-Sicherheitsschlüsselmethode aus.

In-Session-Smartcardauthentifizierung

Um in Ihrer Sitzung eine Smartcard zu verwenden, vergewissern Sie sich, dass die Smartcardtreiber auf dem Sitzungshost installiert sind und Smartcardumleitung aktiviert ist. Überprüfen Sie die Vergleichsdiagramme für die Windows-App und die Remotedesktop-App, damit Sie die Smartcardumleitung verwenden können.

Nächste Schritte