Anmelden bei einer Windows-VM in Azure mithilfe von Azure AD

Organisationen können die Sicherheit virtueller Windows-Computer (VMs) in Azure durch Integration in die Azure Active Directory-Authentifizierung (Azure AD) verbessern. Sie können jetzt Azure AD als zentrale Authentifizierungsplattform einsetzen, um per RDP auf Windows Server 2019 Datacenter Edition und höher oder Windows 10 1809 und höher zuzugreifen. Sie können dann die Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf VMs zulassen oder verweigern.

In diesem Artikel wird beschrieben, wie Sie eine Windows-VM erstellen und konfigurieren und sich mithilfe der Azure AD-basierten Authentifizierung anmelden.

Die Azure AD-basierte Authentifizierung bei der Anmeldung bei Windows-VMs in Azure bietet viele sicherheitsrelevante Vorteile. Dazu gehören:

  • Verwenden von Azure AD-Anmeldeinformationen zum Anmelden bei VMs in Azure. Das Ergebnis sind im Verbund verwaltete Domänenbenutzer.

  • Verringern Sie die Abhängigkeit von lokalen Administratorkonten.

  • Richtlinien zur Komplexität und Gültigkeitsdauer von Kennwörtern, die Sie für Azure AD konfigurieren, tragen ebenfalls zum Schutz von Windows-VMs bei.

  • Azure RBAC ermöglicht Folgendes:

    • Geben Sie an, wer sich als regulärer Benutzer oder mit Administrationsrechten bei einer VM anmelden kann.
    • Wenn Benutzer Ihrem Team beitreten oder es verlassen, können Sie die Azure RBAC-Richtlinie für den virtuellen Computer aktualisieren, um den Zugriff entsprechend zuzuweisen.
    • Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten in Azure AD deaktiviert oder entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.
  • Konfigurieren Sie Richtlinien für bedingten Zugriff, um Multi-Faktor-Authentifizierung (MFA) oder Überprüfung des Anmelderisikos für Benutzer anzufordern, ehe Sie per RDP auf Windows-VMs zugreifen können.

  • Nutzen Sie Azure Policy zum Bereitstellen und Überwachen von Richtlinien, die eine Azure AD-Anmeldung für Windows-VMs erfordern und die Verwendung nicht genehmigter lokaler Konten auf den VMs kennzeichnen.

  • Nutzen Sie Intune, um den Azure AD-Beitritt mithilfe der automatischen Registrierung im Rahmen der Verwaltung mobiler Geräte (Mobile Device Management, MDM) von Azure Windows-VMs zu automatisieren und zu skalieren, die Teil Ihrer VDI-Bereitstellungen (Virtual Desktop Infrastructure) sind.

    Die automatische Registrierung für MDM erfordert eine Azure AD Premium P1-Lizenz. Windows-Server von VMs unterstützen keine MDM-Registrierung.

Hinweis

Nachdem Sie diese Funktionalität aktiviert haben, werden Ihre Windows-VMs in Azure in Azure AD eingebunden. Sie können sie nicht in eine andere Domäne, wie z. B. lokale Active Directory-Instanz oder Azure Active Directory Domain Services, einbinden. Wenn dies erforderlich ist, müssen Sie die VM von Azure AD trennen, indem Sie die Erweiterung deinstallieren.

Requirements (Anforderungen)

Unterstützte Azure-Regionen und Windows-Distributionen

Dieses Feature wird derzeit von den folgenden Windows-Distributionen unterstützt:

  • Windows Server 2019 Datacenter und höher
  • Windows 10 1809 und höher

Wichtig

Eine Remoteverbindung mit in Azure AD eingebundenen VMs ist nur auf PCs mit Windows 10 oder höher zulässig, die in Azure AD registriert (ab Windows 10 20H1) oder in Azure AD normal oder hybrid im selben Verzeichnis wie die VM eingebunden sind.

Diese Funktion ist jetzt in den folgenden Azure-Clouds verfügbar:

  • Azure Global
  • Azure Government
  • Azure China 21Vianet

Netzwerkanforderungen

Zum Aktivieren der Azure AD-Authentifizierung für Ihre Windows-VMs in Azure müssen Sie sicherstellen, dass die Netzwerkkonfiguration der VMs ausgehenden Zugriff auf die folgenden Endpunkte über TCP-Port 443 zulässt.

Azure Global:

  • https://enterpriseregistration.windows.net: für die Geräteregistrierung.
  • http://169.254.169.254: Azure Instance Metadata Service-Endpunkt.
  • https://login.microsoftonline.com: für Authentifizierungsflows.
  • https://pas.windows.net: für Azure RBAC-Flows.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: für die Geräteregistrierung.
  • http://169.254.169.254: Azure Instance Metadata Service-Endpunkt.
  • https://login.microsoftonline.us: für Authentifizierungsflows.
  • https://pasff.usgovcloudapi.net: für Azure RBAC-Flows.

Azure China 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: für die Geräteregistrierung.
  • http://169.254.169.254: Azure Instance Metadata Service-Endpunkt.
  • https://login.chinacloudapi.cn: für Authentifizierungsflows.
  • https://pas.chinacloudapi.cn: für Azure RBAC-Flows.

Aktivieren der Azure AD-Anmeldung für eine Windows-VM in Azure

Um für eine Windows-VM in Azure die Azure AD-Anmeldung zu ermöglichen, müssen Sie so vorgehen:

  1. Aktivieren Sie die Azure AD-Anmeldeoption für die VM.
  2. Konfigurieren Sie die Zuweisung von Azure-Rollen an Benutzer, die autorisiert sind, sich bei der VM anzumelden.

Es gibt zwei Möglichkeiten, wie Sie die Azure AD-Anmeldung für die Windows-VM aktivieren können:

  • Im Azure-Portal beim Erstellen einer virtuellen Windows-VM
  • Azure Cloud Shell beim Erstellen einer Windows-VM oder Verwenden einer vorhandenen Windows-VM

Azure-Portal

Sie können die Azure AD-Anmeldung für VM-Images unter Windows Server 2019 Datacenter oder Windows 10 1809 und höher aktivieren.

So erstellen Sie eine Windows Server 2019 Datacenter-VM in Azure mit Azure AD-Anmeldung

  1. Melden Sie sich beim Azure-Portal mit einem Konto an, das Zugriff zum Erstellen von VMs hat, und wählen Sie dann + Ressource erstellen aus.

  2. Geben Sie Windows Server in die Suchleiste Marketplace durchsuchen ein.

  3. Wählen Sie Windows Server und dann Windows Server 2019 Datacenter in der Dropdownliste Softwareplan auswählen aus.

  4. Wählen Sie Erstellen aus.

  5. Aktivieren Sie auf der Registerkarte Verwaltung im Abschnitt Azure AD das Kontrollkästchen Mit Azure AD anmelden.

    Screenshot der Registerkarte „Verwaltung“ auf der Azure-Portalseite zur Erstellung eines virtuellen Computers.

  6. Stellen Sie sicher, dass Systemseitig zugewiesene verwaltete Identität im Abschnitt Identität ausgewählt ist. Diese Aktion sollte automatisch erfolgen, nachdem Sie die Anmeldung mit Azure AD aktiviert haben.

  7. Führen Sie die weiteren Schritte zum Erstellen eines virtuellen Computers aus. Sie müssen einen Administratorbenutzernamen und ein Kennwort für den VM erstellen.

Hinweis

Um sich mit Ihren Azure AD-Anmeldeinformationen bei der VM anzumelden, müssen Sie zunächst für die VM Rollenzuweisungen konfigurieren.

Azure Cloud Shell

Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Allgemeine Tools sind in Cloud Shell vorinstalliert und für die Verwendung mit Ihrem Konto konfiguriert. Wählen Sie einfach die Schaltfläche Kopieren aus, um den Code zu kopieren. Fügen Sie ihn anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um ihn auszuführen. Cloud Shell kann auf mehrere Arten geöffnet werden:

  • Klicken Sie in der rechten oberen Ecke eines Codeblocks auf Ausprobieren.
  • Öffnen Sie Cloud Shell in Ihrem Browser.
  • Wählen Sie im Menü rechts oben im Azure-Portal die Schaltfläche „Cloud Shell“ aus.

Für diesen Artikel müssen Sie mindestens Version 2.0.31 der Azure CLI ausführen. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie im Artikel Installieren der Azure-Befehlszeilenschnittstelle.

  1. Erstellen Sie durch Ausführen von az group create eine Ressourcengruppe.
  2. Erstellen Sie durch Ausführen von az vm create eine VM. Verwenden Sie eine unterstützte Distribution in einer unterstützten Region.
  3. Installieren Sie die VM-Erweiterung für die Azure AD-Anmeldung.

Im folgenden Beispiel wird eine VM namens myVM (die Win2019Datacenter verwendet) in einer Ressourcengruppe namens myResourceGroup in der Region southcentralus bereitgestellt. In diesem und dem nächsten Beispiel können Sie den Namen Ihrer Ressourcengruppe und Ihrer VM nach Bedarf angeben.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Hinweis

Sie müssen die systemseitig zugewiesene verwaltete Identität auf der VM aktivieren, ehe Sie die VM-Erweiterung für die Azure AD-Anmeldung installieren.

Das Erstellen des virtuellen Computers und der unterstützenden Ressourcen dauert einige Minuten.

Installieren Sie schließlich die VM-Erweiterung für die Azure AD-Anmeldung, um die Azure AD-Anmeldung für Windows-VMs zu aktivieren. VM-Erweiterungen sind kleine Anwendungen, die Konfigurations- und Automatisierungsaufgaben auf virtuellen Azure-Computern nach der Bereitstellung ermöglichen. Führen Sie az vm extension set aus, um die Erweiterung AADLoginForWindows auf der VM myVM in der Ressourcengruppe myResourceGroup zu installieren.

Sie können die Erweiterung AADLoginForWindows auf einer vorhandenen VM mit Windows Server 2019 oder Windows 10 1809 und höher installieren, um sie für die Azure AD-Authentifizierung zu aktivieren. Im folgenden Beispiel wird die Erweiterung mit der Azure CLI installiert:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Nach Installation der Erweiterung auf der VM wird Succeeded für provisioningState angezeigt.

Konfigurieren der Rollenzuweisungen für den virtuellen Computer

Nach Erstellen der VM müssen Sie eine Azure RBAC-Richtlinie konfigurieren, um festzulegen, wer sich bei der VM anmelden kann. Zur Autorisierung der VM-Anmeldung werden zwei Azure-Rollen verwendet:

  • Anmeldeinformationen des VM-Administrators: Benutzer, denen diese Rolle zugewiesen ist, können sich mit Administratorberechtigungen bei einer Azure-VM anmelden.
  • Anmeldeinformationen für VM-Benutzer: Benutzer, denen diese Rolle zugewiesen ist, können sich mit normalen Benutzerberechtigungen bei einer Azure-VM anmelden.

Damit sich ein Benutzer per RDP bei der VM anmelden kann, müssen Sie der Ressourcengruppe mit der VM sowie dem zugehörigen virtuellen Netzwerk, der Netzwerkschnittstelle, der öffentlichen IP-Adresse und den Lastenausgleichsressourcen, die Rolle „Anmeldeinformationen des VM-Administrators“ oder „Anmeldeinformationen für VM-Benutzer“ zuweisen.

Ein Azure-Benutzer mit der Rolle „Besitzer“ oder „Mitwirkender“ für eine VM verfügt nicht automatisch über die Berechtigungen zur Anmeldung bei der VM über RDP. Dadurch wird eine überwachte Trennung der Personen, die VMs steuern, und den Personen ermöglicht, die auf VMs zugreifen können.

Es gibt zwei Möglichkeiten zum Konfigurieren von Rollenzuweisungen für eine VM:

  • Im Azure AD-Portal
  • Mit der Azure Cloud Shell

Hinweis

Die Rollen „Anmeldeinformationen des VM-Administrators“ und „Anmeldeinformationen für VM-Benutzer“ verwenden dataActions und können daher nicht im Geltungsbereich der Verwaltungsgruppe zugewiesen werden. Diese Rollen können Sie derzeit nur auf Abonnement-, Ressourcengruppen- oder Ressourcenebene zuweisen.

Azure AD-Portal

So konfigurieren Sie Rollenzuweisungen für Azure AD-fähige Windows Server 2019 Datacenter-VMs

  1. Wählen Sie für Ressourcengruppe die Ressourcengruppe mit der VM und dem ihr zugeordneten virtuellen Netzwerk, der Netzwerkschnittstelle, der öffentlichen IP-Adresse oder der Ressource für den Lastenausgleich aus.

  2. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

  3. Wählen Sie HinzufügenRollenzuweisung hinzufügen aus, um die Seite Rollenzuweisung hinzufügen zu öffnen.

  4. Weisen Sie die folgende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

    Einstellung Wert
    Rolle VM-Administratoranmeldung oder VM-Benutzeranmeldung
    Zugriff zuweisen zu Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität

    Screenshot der Seite zum Hinzufügen einer Rollenzuweisung im Azure-Portal.

Azure Cloud Shell

Im folgenden Beispiel wird az role assignment create verwendet, um dem aktuellen Azure-Benutzer die Rolle „VM-Administratoranmeldung“ für den virtuellen Computer zuzuweisen. Den Benutzernamen Ihres aktuellen Azure-Kontos rufen Sie mithilfe von az account show ab. Den Geltungsbereich legen Sie mithilfe von az vm show auf die in einem vorherigen Schritt erstellte VM fest.

Sie können den Geltungsbereich auch auf Ressourcengruppen- oder Abonnementebene zuweisen. Es gelten normale Azure RBAC-Vererbungsberechtigungen.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Hinweis

Wenn die Azure AD-Domäne und die Domäne des Benutzeranmeldenamens nicht übereinstimmen, müssen Sie die Objekt-ID des Benutzerkontos mit --assignee-object-id angeben. Die Angabe des Benutzernamens für --assignee genügt nicht. Sie können die Objekt-ID Ihres Benutzerkontos mithilfe von az ad user list abrufen.

Weitere Informationen zur rollenbasierten Zugriffssteuerung (Azure RBAC) zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen finden Sie in folgenden Artikeln:

Erzwingen von Richtlinien für bedingten Zugriff

Sie können Richtlinien für bedingten Zugriff erzwingen, z. B. Multi-Faktor-Authentifizierung oder Überprüfung des Anmelderisikos für Benutzer, bevor Zugriff auf Windows-VMs in Azure gewährt wird, für die die Azure AD-Anmeldung aktiviert ist. Zum Anwenden einer Richtlinie für bedingten Zugriff müssen Sie die App Azure Windows VM Sign-In über die Zuweisungsoption für Cloud-Apps oder Aktionen auswählen. Dann verwenden Sie das Anmeldungsrisiko als Bedingung und/oder verlangen MFA als Kontrollinstrument für die Gewährung des Zugriffs.

Hinweis

Wenn Sie MFA als Kontrollinstrument für die Gewährung des Zugriffs auf die App „Azure Windows-VM Sign-In“ verlangen, müssen Sie einen MFA-Anspruch als Teil des Clients bereitstellen, der die RDP-Sitzung mit der Ziel-Windows-VM in Azure einleitet. Dies kann auf einem Client mit Windows 10 oder höher nur mithilfe der Windows Hello for Business-PIN oder der biometrischen Authentifizierung mit dem RDP-Client erreicht werden. Die Unterstützung für die biometrische Authentifizierung wurde dem RDP-Client in Windows 10 Version 1809 hinzugefügt.

Remotedesktop unter Verwendung der Windows Hello for Business-Authentifizierung ist nur für Bereitstellungen verfügbar, die das Modell der Zertifikatsvertrauensstellung verwenden. Es ist derzeit nicht für ein schlüsselbasiertes Vertrauensstellungsmodell verfügbar.

Anmelden bei einer Windows-VM mithilfe von Azure AD-Anmeldeinformationen

Wichtig

Eine Remoteverbindung mit in Azure AD eingebundenen VMs ist nur auf PCs mit Windows 10 oder höher zulässig, die entweder über Azure AD (mindestens Build 20H1 erforderlich) registriert oder über Azure AD im selben Verzeichnis wie die VM regulär oder hybrid eingebunden sind. Zusätzlich muss Benutzern für eine RDP-Verbindung unter Verwendung von Azure AD-Anmeldeinformationen eine der beiden Azure-Rollen „Anmeldeinformationen des VM-Administrators“ oder „Anmeldeinformationen für VM-Benutzer“ zugewiesen sein.

Bei Verwendung eines für Azure AD registrierten Computers mit Windows 10 oder höher müssen Sie Anmeldeinformationen im Format AzureAD\UPN eingeben (z. B. AzureAD\john@contoso.com). Derzeit kann Azure Bastion zur Anmeldung mit Azure AD-Authentifizierung unter Verwendung der Azure CLI und des nativen RDP-Clients mstsc genutzt werden.

So melden Sie sich mithilfe von Azure AD bei Ihrer Windows Server 2019-VM an

  1. Navigieren Sie zur Übersichtsseite des virtuellen Computers, der für die Azure AD-Anmeldung aktiviert wurde.
  2. Wählen Sie Verbinden aus, um den Bereich Verbindung mit virtuellem Computer herstellen zu öffnen.
  3. Wählen Sie RDP-Datei herunterladen aus.
  4. Wählen Sie Öffnen aus, um den Remotedesktopverbindungs-Client zu öffnen.
  5. Wählen Sie Verbinden aus, um das Dialogfeld „Windows-Anmeldung“ zu öffnen.
  6. Melden Sie sich mit Ihren Azure AD-Anmeldeinformationen an.

Sie sind nun mit den entsprechend zugewiesenen Rollenberechtigungen, wie etwa VM-Benutzer oder VM-Administrator bei der Azure-VM mit Windows Server 2019 angemeldet.

Hinweis

Sie können die RDP-Datei lokal auf dem Computer speichern, um damit künftige Remotedesktopverbindungen mit dem virtuellen Computer zu starten, anstatt zur Übersichtsseite des virtuellen Computers im Azure-Portal navigieren und die Option „Verbinden“ verwenden zu müssen.

Erfüllen von Standards und Bewertung der Konformität mit Azure Policy

Verwenden Sie Azure Policy für Folgendes:

  • Stellen Sie sicher, dass die Azure AD-Anmeldung für Ihre neuen und vorhandenen Windows-VMs aktiviert ist.
  • Bewerten Sie die Konformität Ihrer Umgebung auf einem Konformitätsdashboard.

Diese Funktionalität ermöglicht zahlreiche Erzwingungsstufen. Sie können neue und vorhandene Windows-VMs in Ihrer Umgebung kennzeichnen, für die die Azure AD-Anmeldung nicht aktiviert ist. Sie können Azure Policy auch zum Bereitstellen der Azure AD-Erweiterung auf neuen Windows-VMs verwenden, auf denen Azure AD-Anmeldungen noch nicht aktiviert sind, und Sie können aber auch vorhandene Windows-VMs auf denselben Standard aktualisieren.

Neben diesen Möglichkeiten können Sie Azure Policy auch zum Erkennen und Kennzeichnen von Windows-VMs einsetzen, auf denen nicht genehmigte lokale Konten erstellt wurden. Weitere Informationen finden Sie unter Was ist Azure Policy?.

Behandeln von Bereitstellungsproblemen

Die Erweiterung AADLoginForWindows muss installiert sein, damit der Azure AD-Einbindungsprozess auf der VM abgeschlossen werden kann. Führen Sie die folgenden Schritte aus, wenn die VM-Erweiterung nicht ordnungsgemäß installiert wird:

  1. Stellen Sie per RDP unter Verwendung des Kontos des lokalen Administrators eine Verbindung mit der VM her. Untersuchen Sie unter C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1 die Datei CommandExecution.log.

    Hinweis

    Wenn die Erweiterung nach dem anfänglichen Fehler neu gestartet wird, wird das Protokoll mit dem Bereitstellungsfehler als CommandExecution_JJJJMMTTHHMMSSSSS.log gespeichert.

  2. Öffnen Sie auf der VM ein PowerShell-Fenster. Überprüfen Sie, ob die folgenden Abfragen des auf dem Azure-Host ausgeführten Azure Instance Metadata Service-Endpunkts die erwartete Ausgabe zurückgeben:

    Auszuführender Befehl Erwartete Ausgabe
    curl -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Richtige Informationen zum virtuellen Azure-Computer
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Gültige dem Azure-Abonnement zugeordnete Mandanten-ID
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Gültiges Zugriffstoken, das von Azure Active Directory für die verwaltete Identität, die dem virtuellen Computer zugewiesen ist, ausgestellt wird

    Hinweis

    Sie können das Zugriffstoken mithilfe eines Tools wie calebb.net decodieren. Stellen Sie sicher, dass der Wert oid im Zugriffstoken mit der verwalteten Identität übereinstimmt, die der VM zugewiesen ist.

  3. Überprüfen Sie mit PowerShell, ob auf der VM auf die erforderlichen Endpunkte zugegriffen werden kann:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Hinweis

    Ersetzen Sie <TenantID> durch die ID des Azure AD-Mandanten, die dem Azure-Abonnement zugeordnet ist. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net und pas.windows.net sollten „404 Nicht gefunden“ zurückgeben, was dem erwarteten Verhalten entspricht.

  4. Zeigen Sie den Gerätestatus an, indem Sie dsregcmd /status ausführen. Ziel ist es, dass der Gerätestatus als AzureAdJoined : YES angezeigt wird.

    Hinweis

    Azure AD-Beitrittsaktivitäten werden in der Ereignisanzeige im Protokoll User Device Registration\Admin unter Ereignisanzeige (lokal)\Anwendungen und Dienstprotokolle\Microsoft\Windows\User Device Registration\Admin erfasst.

Wenn die Erweiterung AADLoginForWindows mit einem Fehlercode fehlschlägt, können Sie die folgenden Schritte ausführen.

Terminalfehlercode 1007 und Exitcode -2145648574.

Terminalfehlercode 1007 und Exitcode -2145648574 werden in DSREG_E_MSI_TENANTID_UNAVAILABLE übersetzt. Die Erweiterung kann die Azure AD-Mandanteninformationen nicht abfragen.

Verbinden Sie sich als lokaler Administrator mit der VM, und überprüfen Sie, ob der Endpunkt eine gültige Mandanten-ID aus Azure Instance Metadata Service zurückgibt. Führen Sie den folgenden Befehl in einem erhöhten PowerShell-Fenster auf dem VM aus:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Dieses Problem kann auch auftreten, wenn der VM-Administrator versucht, die Erweiterung AADLoginForWindows zu installieren, aber eine systemseitig zugewiesene verwaltete Identität die VM zuvor nicht aktiviert hat. Wechseln Sie in diesem Fall zum Bereich Identität der VM. Vergewissern Sie sich auf der Seite Systemseitig zugewiesen, dass der Umschalter Status auf Ein festgelegt ist.

Exitcode -2145648607

Exitcode -2145648607 wird in DSREG_AUTOJOIN_DISC_FAILED übersetzt. Die Erweiterung kann den Endpunkt https://enterpriseregistration.windows.net nicht erreichen.

  1. Überprüfen Sie mit PowerShell, ob auf der VM auf die erforderlichen Endpunkte zugegriffen werden kann:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Hinweis

    Ersetzen Sie <TenantID> durch die ID des Azure AD-Mandanten, die dem Azure-Abonnement zugeordnet ist. Wenn Sie die Mandanten-ID benötigen, können Sie auf den Namen Ihres Kontos zeigen oder im Azure-Portal Azure Active Directory>Eigenschaften>Verzeichnis-ID auswählen.

    Wenn Sie versuchen, eine Verbindung mit enterpriseregistration.windows.net herzustellen, kann der Fehler „404 Nicht gefunden“ zurückgegeben werden, wobei dieses Verhalten erwartet wird. Beim Versuch, sich mit pas.windows.net zu verbinden, werden Sie möglicherweise zur Eingabe von Anmeldeinformationen aufgefordert, oder es wird „404 Nicht gefunden“ zurückgegeben. (Sie müssen die PIN nicht eingeben.) Eine der beiden Optionen reicht aus, um zu überprüfen, ob die URL erreichbar ist.

  2. Wenn bei einem der Befehle der Fehler „Der Hostname <URL> konnte nicht aufgelöst werden“ auftritt, führen Sie diesen Befehl aus, um den DNS-Server zu ermitteln, der von der VM verwendet wird:

    nslookup <URL>

    Hinweis

    Ersetzen Sie <URL> durch die von den Endpunkten verwendeten vollqualifizierten Domänennamen, z. B. login.microsoftonline.com.

  3. Prüfen Sie, ob der Befehl durch Angabe eines öffentlichen DNS-Servers erfolgreich ausgeführt werden kann:

    nslookup <URL> 208.67.222.222

  4. Ändern Sie bei Bedarf den DNS-Server, der der Netzwerksicherheitsgruppe zugewiesen ist, zu der die Azure-VM gehört.

Exitcode 51

Exitcode 51 wird in „Diese Erweiterung wird vom Betriebssystem der VM nicht unterstützt“ übersetzt.

Die Erweiterung AADLoginForWindows ist nur für die Installation unter Windows Server 2019 oder Windows 10 (Build 1809 oder höher) vorgesehen. Stellen Sie sicher, dass Ihre Version oder Ihr Build von Windows unterstützt wird. Falls nicht, deinstallieren Sie die Erweiterung.

Beheben von Problemen bei der Anmeldung

Mithilfe der folgenden Informationen können Sie Anmeldungsprobleme beheben.

Sie können den Status des Geräts und des einmaligen Anmeldens (SSO) anzeigen, indem Sie dsregcmd /status ausführen. Ziel ist es, dass der Gerätestatus als AzureAdJoined : YES und der SSO-Status als AzureAdPrt : YES angezeigt wird.

Die RDP-Anmeldung über Azure AD-Konten wird in der Ereignisanzeige in den Ereignisprotokollen unter AAD\Operational erfasst.

Azure-Rolle nicht zugewiesen

Möglicherweise erhalten Sie die folgende Fehlermeldung, wenn Sie eine Remotedesktopverbindung mit Ihrer VM aufbauen: „Die Konfiguration Ihres Kontos lässt die Verwendung dieses Geräts nicht zu. Wenden Sie sich an den Systemadministrator, um weitere Informationen zu erhalten.“

Screenshot der Meldung: Die Konfiguration Ihres Kontos lässt die Verwendung dieses Geräts nicht zu

Überprüfen Sie, ob Sie für die VM Azure RBAC-Richtlinien konfiguriert haben, mit denen dem Benutzer die Rolle „Anmeldeinformationen des VM-Administrators“ oder „Anmeldeinformationen für VM-Benutzer“ zugewiesen wird.

Hinweis

Wenn Probleme bei Zuweisungen von Azure-Rollen auftreten, finden Sie weitere Informationen unter Behandeln von Problemen bei Azure RBAC.

Nicht autorisierter Client oder Kennwortänderung erforderlich

Möglicherweise erhalten Sie die folgende Fehlermeldung, wenn Sie eine Remotedesktopverbindung mit Ihrer VM herstellen: „Die Anmeldeinformationen waren nicht verwendbar.“

Screenshot der Meldung: Die Anmeldeinformationen waren nicht verwendbar.

Probieren Sie diese Lösungen:

  • Der PC mit Windows 10 oder höher, den Sie zum Herstellen der Remotedesktopverbindung verwenden, muss normal oder hybrid mit demselben Azure AD-Verzeichnis verbunden sein, mit dem auch dasselbe Azure AD-Verzeichnis verbunden ist. Weitere Informationen zur Geräteidentität finden Sie im Artikel Was ist eine Geräteidentität?.

    Hinweis

    Im Build 20H1 für Windows 10 wurde Unterstützung für einen für Azure AD registrierten Computer hinzugefügt, um eine RDP-Verbindung mit Ihrer VM aufzubauen. Bei Verwendung eines für Azure AD registrierten (nicht über Azure AD regulär oder hybrid eingebundenen) PC als RDP-Client zum Einleiten von Verbindungen mit Ihrer VM müssen Sie Anmeldeinformationen im Format AzureAD\UPN (z. B. AzureAD\john@contoso.com) eingeben.

    Stellen Sie sicher, dass die AADLoginForWindows-Erweiterung nach Abschluss der Azure AD-Verbindung nicht deinstalliert wurde.

    Stellen Sie außerdem sicher, dass die Sicherheitsrichtlinie Netzwerksicherheit: Lässt an diesen Computer gerichtete PKU2U-Authentifizierungsanforderungen zu, um die Verwendung von Online-Identitäten zu ermöglichen auf Server und Client aktiviert ist.

  • Vergewissern Sie sich, dass der Benutzer kein temporäres Kennwort hat. Bei der Anmeldung für eine Remotedesktopverbindung können keine temporären Kennwörter verwendet werden.

    Melden Sie sich mit dem Benutzerkonto in einem Webbrowser an. Öffnen Sie beispielsweise das Azure-Portal in einem privaten Browserfenster. Wenn Sie aufgefordert werden, das Kennwort zu ändern, legen Sie ein neues Kennwort fest. Versuchen Sie dann erneut, eine Verbindung herzustellen.

MFA-Anmeldemethode erforderlich

Möglicherweise sehen Sie die folgende Fehlermeldung, wenn Sie eine Remotedesktopverbindung mit Ihrer VM einleiten: „Die Anmeldemethode, die Sie verwenden möchten, ist nicht zulässig. Verwenden Sie eine andere Anmeldemethode, oder wenden Sie sich an Ihren Systemadministrator.“

Screenshot der Meldung: Die Anmeldemethode, die Sie verwenden möchten, ist nicht zulässig.

Wenn Sie eine Richtlinie für bedingten Zugriff konfiguriert haben, die für den Ressourcenzugriff MFA oder die ältere, pro Benutzer aktivierte/erzwungene Azure AD MFA-Instanz erfordert, müssen Sie sicherstellen, dass der PC unter Windows 10 oder höher, der die Remotedesktopverbindung mit Ihrer VM herstellt, sich mit einer sicheren Authentifizierungsmethode wie Windows Hello anmeldet. Wenn Sie keine sichere Authentifizierungsmethode für Ihre Remotedesktopverbindung nutzen, wird die Fehlermeldung angezeigt.

Eine weitere MFA-bezogene Fehlermeldung ist die zuvor beschriebene: „Die Anmeldeinformationen waren nicht verwendbar.“

Screenshot der Meldung: Die Anmeldeinformationen waren nicht verwendbar.

Wenn Sie eine pro Benutzer aktivierte/erzwungene Azure AD MFA-Legacyeinstellung konfiguriert haben und der obige Fehler angezeigt wird, können Sie das Problem beheben, indem Sie die MFA-Einstellung pro Benutzer über diese Befehle entfernen:

# Get StrongAuthenticationRequirements configure on a user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements
 
# Clear StrongAuthenticationRequirements from a user
$mfa = @()
Set-MsolUser -UserPrincipalName username@contoso.com -StrongAuthenticationRequirements $mfa
 
# Verify StrongAuthenticationRequirements are cleared from the user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements

Wenn Sie Windows Hello for Business nicht bereitgestellt haben und dies derzeit keine Option ist, können Sie eine Richtlinie für bedingten Zugriff konfigurieren, die die App „Azure Windows VM Sign-In“ aus der Liste der Cloud-Apps ausschließt, für die MFA erforderlich ist. Weitere Informationen zu Windows Hello for Business finden Sie in der Übersicht zu Windows Hello for Business.

Hinweis

Die Authentifizierung über die Windows Hello for Business-PIN mit RDP wird unter Windows 10 in mehreren Versionen unterstützt. Die Unterstützung der biometrischen Authentifizierung mit RDP wurde Windows 10 Version 1809 hinzugefügt. Die Verwendung der Windows Hello for Business-Authentifizierung per RDP ist für Bereitstellungen verfügbar, die ein Zertifikatsvertrauensmodell oder ein Schlüsselvertrauensmodell verwenden.

Geben Sie Feedback zu dieser Funktion, oder melden Sie Probleme bei ihrer Verwendung im Azure AD-Feedbackforum.

Fehlende Anwendung

Wenn in „Bedingter Zugriff“ die Anwendung „Azure Windows VM Sign-In“ fehlt, stellen Sie sicher, dass sich die Anwendung nicht im Mandanten befindet:

  1. Melden Sie sich beim Azure-Portal an.
  2. Wechseln Sie zu Azure Active Directory>Unternehmensanwendungen.
  3. Entfernen Sie die Filter, um alle Anwendungen anzuzeigen, und suchen Sie nach VM. Wenn Azure Windows VM Sign-In nicht als Ergebnis angezeigt wird, fehlt der Dienstprinzipal im Mandanten.

Eine weitere Möglichkeit ist die Überprüfung mittels Graph PowerShell:

  1. Installieren Sie das Graph PowerShell SDK, wenn Sie dies noch nicht getan haben.
  2. Führen Sie Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All" gefolgt von "Application.ReadWrite.All" aus.
  3. Melden Sie sich mit dem Konto eines globalen Administrators an.
  4. Willigen Sie in die Berechtigungsaufforderung ein.
  5. Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"' ausführen.
    • Wenn dieser Befehl keine Ausgabe liefert und Sie nur zur PowerShell-Eingabeaufforderung zurückbringt, können Sie den Dienstprinzipal mit dem folgenden Graph PowerShell-Befehl erstellen:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • Die erfolgreiche Ausgabe zeigt, dass die App „Azure Windows VM Sign-In“ und ihre ID erstellt wurden.

  6. Melden Sie sich mit dem Befehl Disconnect-MgGraph von Graph PowerShell ab.

Nächste Schritte

Weitere Informationen zu Azure AD finden Sie unter Was ist Azure Active Directory?.