Konfigurieren von einmaligem Anmelden für Azure Virtual Desktop mit Microsoft Entra ID

Einmaliges Anmelden (Single Sign-On, SSO) für Azure Virtual Desktop mit Microsoft Entra ID bietet eine nahtlose Anmeldeumgebung für Benutzer, die eine Verbindung mit Sitzungshosts herstellen. Wenn Sie das einmalige Anmelden aktivieren, authentifizieren sich Benutzer und Benutzerinnen mit einem Microsoft Entra-ID-Token bei Windows. Dieses Token ermöglicht die Verwendung von kennwortlosen Authentifizierungsanbietern und Identitätsanbietern von Drittherstellern, die beim Herstellen einer Verbindung mit einem Sitzungshost eine Verbindung mit Microsoft Entra ID herstellen und dadurch die Anmeldeerfahrung nahtlos gestalten.

Einmaliges Anmelden mit Microsoft Entra ID bietet auch eine nahtlose Erfahrung für auf Microsoft Entra ID basierende Ressourcen innerhalb der Sitzung. Weitere Informationen zur Verwendung der kennwortlosen Authentifizierung innerhalb einer Sitzung finden Sie unter Kennwortlose In-Session-Authentifizierung.

Um einmaliges Anmelden mit der Microsoft Entra ID-Authentifizierung zu aktivieren, müssen Sie fünf Aufgaben ausführen:

1. Aktivieren der Microsoft Entra-Authentifizierung für RDP (Remote Desktop Protocol).

2. Ausblenden des Dialogfelds zur Zustimmungsaufforderung

3. Erstellen Sie ein Kerberos-Serverobjekt, wenn Active Directory Domain Services Teil Ihrer Umgebung ist. Weitere Informationen zu den Kriterien finden Sie im zugehörigen Abschnitt.

4. Überprüfen Sie Ihre Richtlinien für bedingten Zugriff.

5. Konfigurieren Sie Ihren Hostpool, sodass einmaliges Anmelden möglich ist.

Bevor Sie das einmalige Anmelden aktivieren

Bevor Sie das einmalige Anmelden aktivieren, lesen Sie die folgenden Informationen zu seiner Verwendung in Ihrer Umgebung.

Sitzungssperrverhalten

Wenn einmaliges Anmelden (SSO) mithilfe von Microsoft Entra ID aktiviert ist und die Remotesitzung entweder durch den Benutzer oder durch eine Richtlinie gesperrt ist, können Sie auswählen, ob die Sitzung getrennt oder der Remotesperrbildschirm angezeigt wird. Das Standardverhalten besteht darin, die Sitzung zu trennen, wenn sie gesperrt wird.

Wenn das Sitzungssperrverhalten auf „Trennen“ festgelegt ist, wird ein Dialogfeld angezeigt, in dem Benutzer über die Trennung informiert werden. Benutzer können im Dialogfeld die Option Verbindung wiederherstellen auswählen, wenn sie wieder eine Verbindung herstellen möchten. Dieses Verhalten erfolgt aus Sicherheitsgründen und zur Gewährleistung der vollständigen Unterstützung der kennwortlosen Authentifizierung. Das Trennen der Sitzung bietet die folgenden Vorteile:

• Konsistente Anmeldeerfahrung über Microsoft Entra ID, wenn erforderlich

• Einmaliges Anmelden und erneutes Verbinden ohne Authentifizierungsaufforderung, wenn dies durch Richtlinien für bedingten Zugriff zulässig ist

• Unterstützung der kennwortlosen Authentifizierung, etwa mit Passkeys und FIDO2-Geräten, im Gegensatz zum Remotesperrbildschirm

• Richtlinien für bedingten Zugriff, einschließlich Multi-Faktor-Authentifizierung und Anmeldehäufigkeit, werden neu ausgewertet, wenn der Benutzer die Verbindung mit seiner Sitzung wiederherstellt.

• Kann Multi-Faktor-Authentifizierung erfordern, um zur Sitzung zurückzukehren und Benutzer am Entsperren mit einem einfachen Benutzernamen und Kennwort zu hindern.

Wenn Sie das Sitzungssperrverhalten so konfigurieren möchten, dass der Remotesperrbildschirm angezeigt wird, anstatt die Sitzung zu trennen, lesen Sie die Informationen unter Konfigurieren des Sitzungssperrverhaltens.

Verwenden eines Active Directory-Domänenadministratorkontos mit einmaligem Anmelden

In Umgebungen mit Active Directory Domain Services- (AD DS)- und hybriden Benutzerkonten verweigert die Standardrichtlinie für Kennwortreplikation auf schreibgeschützten Domänencontrollern die Replikation von Kennwörtern für Mitglieder der Sicherheitsgruppen Domänenadministratoren und Administratoren. Diese Richtlinie verhindert, dass sich diese Administratorkonten bei in Microsoft Entra eingebundenen Hybridhosts anmelden. Sie werden möglicherweise weiterhin aufgefordert, ihre Anmeldeinformationen einzugeben. Außerdem verhindert diese Richtlinie, dass Administratorkonten auf lokale Ressourcen zugreifen, die Kerberos-Authentifizierung von in Microsoft Entra eingebundenen Hosts verwenden. Es wird aus Sicherheitsgründen nicht empfohlen, mithilfe eines Domänenadministratorkontos eine Verbindung mit einer Remotesitzung herzustellen.

Wenn Sie als Administrator oder Administratorin Änderungen an einem Sitzungshost vornehmen müssen, melden Sie sich mit einem Nicht-Administratorkonto beim Sitzungshost an, und verwenden Sie dann die Option Als Administrator ausführen oder das runas-Tool über eine Eingabeaufforderung, um zu Administratorrechten zu wechseln.

Voraussetzungen

Bevor Sie einmaliges Anmelden aktivieren können, müssen Sie folgende Voraussetzungen erfüllen:

• Um Ihren Microsoft Entra-Mandanten konfigurieren zu können, muss Ihnen eine der folgenden integrierten Microsoft Entra-Rollen oder eine gleichwertige Rolle zugewiesen werden:

  • Anwendungsadministrator

  • Cloudanwendungsadministrator

• Auf Ihren Sitzungshosts muss eines der folgenden Betriebssysteme ausgeführt werden, für das alle relevanten kumulativen Update installiert worden sind:

  • Windows 11 Enterprise Einzel- oder Mehrfachsitzung mit den kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher installiert.

  • Windows 10 Enterprise Einzel- oder Mehrfachsitzung mit installierten kumulativen Updates 2022-10 für Windows 10 (KB5018410) oder höher.

  • Windows Server 2022 mit dem kumulativen Update 2022-10 für Microsoft Server-Betriebssystem (KB5018421) oder höher installiert.

• Ihre Sitzungshosts müssen entweder Microsoft Entra beigetreten oder in Microsoft Entra hybrid eingebunden sein. Sitzungshosts, die in Active Directory Domain Services oder Microsoft Entra Domain Services eingebunden sein, werden nicht unterstützt.

  Wenn sich Ihre in Microsoft Entra hybrid eingebundenen Sitzungshosts in einer anderen Active Directory-Domäne befinden als Ihre Benutzerkonten, muss zwischen den beiden Domänen eine bidirektionale Vertrauensstellung vorhanden sein. Ohne die bidirektionale Vertrauensstellung greifen Verbindungen auf ältere Authentifizierungsprotokolle zurück.

• Installieren Sie das Microsoft Graph PowerShell-SDK Version 2.9.0 oder höher auf Ihrem lokalen Gerät oder in Azure Cloud Shell.

• Ein unterstützter Remotedesktopclient zum Herstellen einer Verbindung mit einer Remotesitzung. Die folgenden Clients werden unterstützt:

  • Windows-Desktopclient auf lokalen PCs, die Windows 10 oder höher ausführen. Es ist nicht erforderlich, dass der lokale PC mit Microsoft Entra ID oder einer Active Directory-Domäne verknüpft ist.

  • Webclient.

  • macOS-Client, Version 10.8.2 oder höher

  • iOS-Client, Version 10.5.1 oder höher

  • Android-Client, Version 10.0.16 oder höher

Aktivieren der Microsoft Entra-Authentifizierung für RDP

Sie müssen zuerst die Microsoft Entra-Authentifizierung für Windows in Ihrem Microsoft Entra-Mandanten zulassen. Dadurch wird das Ausstellen von RDP-Zugriffstoken ermöglicht, sodass sich Benutzer und Benutzerinnen bei Ihren Azure Virtual Desktop-Sitzungshosts anmelden können. Sie legen die Eigenschaft isRemoteDesktopProtocolEnabled im remoteDesktopSecurityConfiguration-Objekt des Dienstprinzipals für die folgenden Microsoft Entra-Anwendungen auf „true“ fest:

Anwendungsname	Anwendungs-ID
Microsoft-Remotedesktop	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login	270efc09-cd0d-444b-a71f-39af4910ec45

Wichtig

Im Rahmen einer bevorstehenden Änderung stellen wir ab 2024 von Microsoft Remote Desktop auf Windows Cloud Login um. Durch das Konfigurieren beider Anwendungen wird sichergestellt, dass Sie für die Änderung gerüstet sind.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell-SDK, um auf dem Dienstprinzipal ein neues remoteDesktopSecurityConfiguration-Objekt zu erstellen, und legen Sie die Eigenschaft isRemoteDesktopProtocolEnabled auf true fest. Sie können auch die Microsoft Graph-API mit einem Tool wie Graph-Explorer verwenden.

1. Öffnen Sie Azure Cloud Shell im Azure-Portal mit dem Terminaltyp PowerShell, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.

   • Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   • Wenn Sie die PowerShell lokal verwenden, müssen Sie sich zunächst mit Azure PowerShell anmelden und dann sicherstellen, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Vergewissern Sie sich, dass Sie das Microsoft Graph PowerShell-SDK aus den Voraussetzungen installiert haben. Importieren Sie dann die Microsoft Graph-Module Authentifizierung und Anwendungen, und stellen Sie eine Verbindung mit Microsoft Graph und den Bereichen Application.Read.All und Application-RemoteDesktopConfig.ReadWrite.All her, indem Sie die folgenden Befehle ausführen:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Rufen Sie die Objekt-ID für jeden Dienstprinzipal ab, und speichern Sie diese in Variablen, indem Sie die folgenden Befehle ausführen:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Legen Sie die Eigenschaft isRemoteDesktopProtocolEnabled auf true fest, indem Sie die folgenden Befehle ausführen. Diese Befehle geben keine Ausgabe aus.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Vergewissern Sie sich, dass die Eigenschaft isRemoteDesktopProtocolEnabled auf true festgelegt ist, indem Sie die folgenden Befehle ausführen:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Die Ausgabe sollte wie folgt sein:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Ausblenden des Dialogfelds zur Zustimmungsaufforderung

Wenn einmaliges Anmelden aktiviert ist, wird Benutzern standardmäßig ein Dialogfeld angezeigt, in dem die Remotedesktopverbindung beim Herstellen einer Verbindung mit einem neuen Sitzungshost zugelassen wird. Microsoft Entra erinnert sich 30 Tage lang an bis zu 15 Hosts, bevor Sie erneut zur Authentifizierung aufgefordert werden. Wenn Benutzern ein Dialogfeld zum Zulassen der Remotedesktopverbindung angezeigt wird, können sie Ja auswählen, um eine Verbindung herzustellen.

Sie können dieses Dialogfeld ausblenden, indem Sie eine Liste vertrauenswürdiger Geräte konfigurieren. Erstellen Sie zum Konfigurieren der Liste mit Geräten mindestens eine Gruppe in Microsoft Entra ID, die Ihre Sitzungshosts enthält. Fügen Sie dann die Gruppen-IDs zu einer Eigenschaft für die SSO-Dienstprinzipale (Microsoft Remote Desktop und Windows Cloud Login) hinzu.

Tipp

Wir empfehlen, eine dynamische Gruppe zu verwenden und die Regeln für die dynamische Mitgliedschaft so zu konfigurieren, dass alle Azure Virtual Desktop-Sitzungshosts aufgenommen werden. Sie können die Gerätenamen in dieser Gruppe verwenden, eine sichere Option besteht jedoch darin, die Geräteerweiterungsattribute mithilfe der Microsoft Graph-API festzulegen und zu verwenden. Während dynamische Gruppen normalerweise innerhalb von 5 bis 10 Minuten aktualisiert werden, kann die Aktualisierung großer Mandanten bis zu 24 Stunden dauern.

Für dynamische Gruppen ist eine Microsoft Entra ID P1 Lizenz oder eine „Intune for Education“-Lizenz erforderlich. Weitere Informationen finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell-SDK, um im Dienstprinzipal ein neues targetDeviceGroup-Objekt mit der Objekt-ID und dem Anzeigenamen der dynamischen Gruppe zu erstellen. Sie können auch die Microsoft Graph-API mit einem Tool wie Graph-Explorer verwenden.

1. Erstellen Sie eine dynamische Gruppe in der Microsoft Entra-ID, die die Sitzungshosts enthält, für die Sie das Dialogfeld ausblenden möchten. Notieren Sie sich die Objekt-ID der Gruppe für den nächsten Schritt.

2. Erstellen Sie in derselben PowerShell-Sitzung ein targetDeviceGroup-Objekt, indem Sie die folgenden Befehle ausführen und hierbei die <placeholders> durch Ihre eigenen Werte ersetzen:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Fügen Sie die Gruppe dem targetDeviceGroup-Objekt hinzu, indem Sie die folgenden Befehle ausführen:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Die Ausgabe sollte ungefähr wie das folgende Beispiel aussehen:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Wiederholen Sie die Schritte 2 und 3 für jede Gruppe, die Sie dem targetDeviceGroup-Objekt hinzufügen möchten. Sie können bis zu maximal 10 Gruppen hinzufügen.

4. Wenn Sie später eine Gerätegruppe aus dem targetDeviceGroup-Objekt entfernen müssen, führen Sie die folgenden Befehle aus, wobei Sie die <placeholders> durch Ihre eigenen Werte ersetzen:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Erstellen eines Kerberos-Serverobjekts.

Wenn Ihr Sitzungshost die folgenden Kriterien erfüllt, müssen Sie ein Kerberos-Serverobjekt erstellen. Weitere Informationen finden Sie unter Aktivieren der kennwortlosen Sicherheitsschlüssel-Anmeldung bei lokalen Ressourcen mithilfe von Microsoft Entra ID, insbesondere im Abschnitt Erstellen eines Kerberos-Serverobjekts:

• Ihr Sitzungshost ist mit Microsoft Entra hybrid verbunden. Sie benötigen ein Kerberos-Serverobjekt, um die Authentifizierung bei einem Domänencontroller abzuschließen.

• Ihr Sitzungshost ist in Microsoft Entra eingebunden und Ihre Umgebung enthält Active Directory-Domänencontroller. Sie benötigen ein Kerberos-Serverobjekt, damit Benutzer auf lokale Ressourcen zugreifen können, z. B. SMB-Freigaben und die in Windows integrierte Authentifizierung bei Websites.

Wichtig

Wenn Sie einmaliges Anmelden auf Ihren hybrid in Microsoft Entra eingebundenen VMs aktivieren, ohne ein Kerberos-Serverobjekt zu erstellen, kann Folgendes passieren, wenn Sie versuchen, eine Verbindung zu einer Remotesitzung herzustellen:

• Sie erhalten eine Fehlermeldung, die besagt, dass die betreffende Sitzung nicht vorhanden ist.
• Einmaliges Anmelden wird übersprungen, und es wird ein Standard-Authentifizierungsdialogfeld für den Sitzungshost angezeigt.

Um diese Probleme zu beheben, erstellen Sie das Kerberos-Serverobjekt, und stellen Sie dann erneut eine Verbindung her.

Überprüfen Ihrer Richtlinien für bedingten Zugriff

Wenn das einmalige Anmelden aktiviert ist, wird eine neue Microsoft Entra ID-App eingeführt, um Benutzer*innen beim Sitzungshost zu authentifizieren. Wenn Sie Richtlinien für bedingten Zugriff haben, die beim Zugriff auf Azure Virtual Desktop gelten, lesen Sie die Empfehlungen zum Einrichten der Multi-Faktor-Authentifizierung, um sicherzustellen, dass Benutzer*innen die gewünschte Erfahrung machen.

Konfigurieren Ihres Hostpools, um einmaliges Anmelden zu aktivieren

Um das einmalige Anmelden für Ihren Hostpool zu aktivieren, müssen Sie die folgende RDP-Eigenschaft über das Azure-Portal oder mit PowerShell konfigurieren. Sie finden die entsprechenden Schritte zum Konfigurieren der RDP-Eigenschaften unter Anpassen von RDP-Eigenschaften (Remotedesktopprotokoll) für einen Hostpool.

• Legen Sie im Azure-Portal Microsoft Entra Single SSO auf Connections fest, um die Microsoft Entra-Authentifizierung für Single Sign-On zu nutzen.

• Legen Sie für PowerShell die enablerdsaadauth-Eigenschaft auf 1 fest.

Nächste Schritte

• Informationen dazu, wie die kennwortlose Authentifizierung aktiviert wird, finden Sie unter Kennwortlose In-Session-Authentifizierung.

• Hier erfahren Sie, wie Sie das Sitzungssperrverhalten für Azure Virtual Desktop konfigurieren.

• Weitere Informationen zu Microsoft Entra Kerberos finden Sie unter Deep Dive: Funktionsweise von Microsoft Entra Kerberos.

• Wenn Probleme auftreten, gehen Sie zu Problembehandlung von Verbindungen mit in Microsoft Entra eingebundenen VMs.