Unterstützte Identitäten und Authentifizierungsmethoden

In diesem Artikel erhalten Sie einen kurzen Überblick darüber, welche Arten von Identitäten und Authentifizierungsmethoden Sie in Azure Virtual Desktop verwenden können.

Identitäten

Azure Virtual Desktop unterstützt verschiedene Arten von Identitäten, je nachdem, welche Konfiguration Sie auswählen. In diesem Abschnitt wird erläutert, welche Identitäten Sie für jede Konfiguration verwenden können.

Wichtig

Azure Virtual Desktop unterstützt nicht die Anmeldung bei Microsoft Entra ID mit einem einzigen Benutzerkonto und dann die Anmeldung bei Windows mit einem separaten Benutzerkonto. Wenn Sie sich gleichzeitig mit zwei verschiedenen Konten anmelden, kann dies dazu führen, dass Benutzer erneut eine Verbindung mit dem falschen Sitzungshost herstellen, falsche oder fehlende Informationen im Azure-Portal und Fehlermeldungen angezeigt werden, während sie App Attach verwenden.

Lokale Identität

Da Benutzer über Microsoft Entra ID auffindbar sein müssen, um auf die Azure Virtual Desktop zuzugreifen, werden Benutzeridentitäten, die nur in Active Directory Domain Services (AD DS) vorhanden sind, nicht unterstützt. Dies schließt eigenständige Active Directory-Bereitstellungen mit Active Directory-Verbunddienste (AD FS) (AD FS) ein.

Hybrididentität

Azure Virtual Desktop unterstützt Hybrididentitäten über Microsoft Entra ID, einschließlich solcher, die AD FS verwenden. Sie können diese Benutzeridentitäten in AD DS verwalten und mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisieren. Sie können auch Microsoft Entra ID verwenden, um diese Identitäten zu verwalten und mit Microsoft Entra Domain Services zu synchronisieren.

Beim Zugriff auf Azure Virtual Desktop mithilfe von Hybrididentitäten stimmen der Benutzerprinzipalname (User Principal Name, UPN) oder die Sicherheits-ID (SID) für den Benutzer in Active Directory (AD) und Microsoft Entra ID manchmal nicht überein. Beispielsweise kann das AD-Konto user@contoso.local in Microsoft Entra ID entsprechenuser@contoso.com. Azure Virtual Desktop unterstützt diese Art von Konfiguration nur, wenn der UPN oder die SID für Ihre AD- und Microsoft Entra ID-Konten übereinstimmen. SID bezieht sich auf die Benutzerobjekteigenschaft "ObjectSID" in AD und "OnPremisesSecurityIdentifier" in Microsoft Entra ID.

Reine Cloudidentität

Azure Virtual Desktop unterstützt reine Cloudidentitäten, wenn Microsoft Entra verknüpfte VMs verwendet werden. Diese Benutzer werden direkt in Microsoft Entra ID erstellt und verwaltet.

Hinweis

Sie können auch Hybrididentitäten Azure Virtual Desktop-Anwendungsgruppen zuweisen, die Sitzungshosts vom Jointyp Microsoft Entra beitreten.

Identitätsverbund

Wenn Sie zum Verwalten Ihrer Benutzerkonten einen anderen Identitätsanbieter (Identity Provider, IdP) als Microsoft Entra ID oder Active Directory Domain Services verwenden, müssen Sie Folgendes sicherstellen:

• Ihr IdP ist mit Microsoft Entra ID verbunden.
• Ihre Sitzungshosts sind Microsoft Entra oder Microsoft Entra hybrid eingebunden.
• Sie aktivieren Microsoft Entra-Authentifizierung beim Sitzungshost.

Externe Identität

Die Unterstützung externer Identitäten ermöglicht es Ihnen, Benutzer in Ihren Entra ID-Mandanten einzuladen und Azure Virtual Desktop-Ressourcen bereitzustellen. Es gibt mehrere Anforderungen und Einschränkungen beim Bereitstellen von Ressourcen für externe Identitäten:

• Anforderungen
  • Sitzungshostbetriebssystem: Auf dem Sitzungshost muss Windows 11 Enterprise Version 24H2 oder höher ausgeführt werden, wobei die kumulative Updates 2025-09 für Windows 11 (KB5065789) oder höher installiert ist.
  • Sitzungshostbeitrittstyp: Der Sitzungshost muss entra join sein.
  • Einmaliges Anmelden: Einmaliges Anmelden muss für den Hostpool konfiguriert werden.
  • Windows App Client: Die externe Identität muss über die Windows App unter Windows oder in einem Webbrowser eine Verbindung herstellen.
• Begrenzungen

  • FSLogix: FsLogix-Unterstützung befindet sich in der Vorschauphase für externe Identitäten. Erfahren Sie mehr über das Speichern von FSLogix-Profilcontainern auf Azure Files mithilfe von Microsoft Entra ID.

  • Intune Gerätekonfigurationsrichtlinien: Gerätekonfigurationsrichtlinien, die der externen Identität zugewiesen sind, werden nicht auf den Benutzer auf dem Sitzungshost angewendet. Weisen Sie dem Gerät stattdessen Gerätekonfigurationsrichtlinien zu.

  • Cloudverfügbarkeit: Dieses Feature ist nur in der öffentlichen Azure Cloud verfügbar, jedoch nicht in der Government-Cloud oder Azure, die von 21Vianet betrieben wird.

  • Cloudübergreifende Einladungen: Cloudübergreifende Benutzer werden nicht unterstützt. Sie können nur Benutzern, die Sie von Identitätsanbietern für soziale Netzwerke einladen, Microsoft Entra Benutzern aus der kommerziellen Microsoft Azure Cloud oder anderen Identitätsanbietern, die in Ihrem Mitarbeitermandanten registriert sind, Zugriff auf Azure Virtual Desktop-Ressource gewähren. Sie können keine Azure Virtual Desktop-Ressourcen für Benutzer zuweisen, die Sie von Microsoft Azure Government oder Microsoft Azure, betrieben von 21Vianet, einladen.

  • Tokenschutz: Microsoft Entra gelten bestimmte Einschränkungen für den Tokenschutz für externe Identitäten. Erfahren Sie mehr über Windows App Unterstützung für den Tokenschutz nach Plattform.

  • Kerberos-Authentifizierung: Externe Identitäten können sich nicht mit Kerberos- oder NTLM-Protokollen bei lokalen Ressourcen authentifizieren.

  • Microsoft 365-Apps: Sie können sich nur bei der Windows-Desktopversion der Microsoft 365-Apps anmelden, wenn:

    1. Der eingeladene Benutzer ist ein Entra-basiertes Konto oder ein Microsoft-Konto, das für Microsoft 365 Apps lizenziert ist.
    2. Der eingeladene Benutzer wird nicht für den Zugriff auf die Microsoft 365-Apps durch eine Richtlinie für bedingten Zugriff von der startseiten organization blockiert.

    Unabhängig vom eingeladenen Konto können Sie auf für Sie freigegebene Microsoft 365-Dateien zugreifen, indem Sie die entsprechende Microsoft 365-App im Webbrowser des Sitzungshosts verwenden.

Unter Microsoft Entra B2B Best Practices finden Sie Empfehlungen zum Konfigurieren Ihrer Umgebung für externe Identitäten und Lizenzierungsanleitungen.

Authentifizierungsmethoden

Beim Zugriff auf Azure Virtual Desktop-Ressourcen gibt es drei separate Authentifizierungsphasen:

• Clouddienstauthentifizierung: Die Authentifizierung beim Azure Virtual Desktop-Dienst, der das Abonnieren von Ressourcen und die Authentifizierung beim Gateway umfasst, erfolgt mit Microsoft Entra ID.
• Remotesitzungsauthentifizierung: Authentifizieren bei der Remote-VM. Es gibt mehrere Möglichkeiten, sich bei der Remotesitzung zu authentifizieren, einschließlich des empfohlenen einmaligen Anmeldens (Single Sign-On, SSO).
• In-Session-Authentifizierung: Authentifizieren bei Anwendungen und Websites innerhalb der Remotesitzung.

Um die Liste der Anmeldeinformationen anzuzeigen, die auf den verschiedenen Clients für jede Authentifizierungsphase verfügbar sind, vergleichen Sie die Clients plattformübergreifend.

Wichtig

Damit die Authentifizierung ordnungsgemäß funktioniert, muss Ihr lokaler Computer auch auf die erforderlichen URLs für Remotedesktopclients zugreifen können.

Die folgenden Abschnitte enthalten weitere Informationen zu diesen Authentifizierungsphasen.

Clouddienstauthentifizierung

Für den Zugriff auf Azure Virtual Desktop-Ressourcen müssen Sie sich zunächst beim Dienst authentifizieren, indem Sie sich mit einem Microsoft Entra ID-Konto anmelden. Die Authentifizierung erfolgt immer dann, wenn Sie beim Starten einer Verbindung oder beim Senden von Diagnoseinformationen an den Dienst eine Verbindung zum Abrufen Ihrer Ressourcen abonnieren, eine Verbindung mit dem Gateway herstellen. Die für diese Authentifizierung verwendete Microsoft Entra ID Ressource ist Azure Virtual Desktop (App-ID 9cdead84-a844-4324-93f2-b2e6bb768d07).

Mehrstufige Authentifizierung

Befolgen Sie die Anweisungen unter Erzwingen Microsoft Entra mehrstufige Authentifizierung für Azure Virtual Desktop mithilfe des bedingten Zugriffs, um zu erfahren, wie Sie Microsoft Entra mehrstufige Authentifizierung für Ihre Bereitstellung erzwingen. In diesem Artikel erfahren Sie auch, wie Sie konfigurieren, wie oft Ihre Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. Beachten Sie beim Bereitstellen Microsoft Entra verknüpfter VMs die zusätzlichen Schritte für Microsoft Entra verknüpften Sitzungshost-VMs.

Kennwortlose Authentifizierung

Sie können jeden von Microsoft Entra ID unterstützten Authentifizierungstyp verwenden, z. B. Windows Hello for Business und andere kennwortlose Authentifizierungsoptionen (z. B. FIDO-Schlüssel), um sich beim Dienst zu authentifizieren.

Smart Karte-Authentifizierung

Um eine intelligente Karte für die Authentifizierung bei Microsoft Entra ID zu verwenden, müssen Sie zuerst Microsoft Entra zertifikatbasierte Authentifizierung oderAD FS für die Benutzerzertifikatauthentifizierung konfigurieren.

Identitätsanbieter von Drittanbietern

Sie können Identitätsanbieter von Drittanbietern verwenden, solange sie mit Microsoft Entra ID verbunden sind.

Remotesitzungsauthentifizierung

Wenn Sie das einmalige Anmelden noch nicht aktiviert oder Ihre Anmeldeinformationen lokal gespeichert haben, müssen Sie sich beim Starten einer Verbindung auch beim Sitzungshost authentifizieren.

Einmaliges Anmelden (Single Sign-On, SSO)

SSO ermöglicht es der Verbindung, die Anmeldeinformationsaufforderung des Sitzungshosts zu überspringen und den Benutzer automatisch über Microsoft Entra-Authentifizierung bei Windows anzumelden. Für Sitzungshosts, die Microsoft Entra oder Microsoft Entra hybrid eingebunden sind, wird empfohlen, einmaliges Anmelden mit Microsoft Entra-Authentifizierung zu aktivieren. Microsoft Entra-Authentifizierung bietet weitere Vorteile, einschließlich kennwortloser Authentifizierung und Unterstützung für Identitätsanbieter von Drittanbietern.

Azure Virtual Desktop unterstützt auch einmaliges Anmelden mit Active Directory-Verbunddienste (AD FS) (AD FS) für die Windows-Desktop- und Webclients.

Ohne einmaliges Anmelden fordert der Client Benutzer zur Eingabe ihrer Sitzungshostanmeldeinformationen für jede Verbindung auf. Die einzige Möglichkeit, die Aufforderung zu vermeiden, besteht darin, die Anmeldeinformationen auf dem Client zu speichern. Es wird empfohlen, Anmeldeinformationen nur auf sicheren Geräten zu speichern, um zu verhindern, dass andere Benutzer auf Ihre Ressourcen zugreifen.

Intelligente Karte und Windows Hello for Business

Azure Virtual Desktop unterstützt sowohl NT LAN Manager (NTLM) als auch Kerberos für die Sitzungshostauthentifizierung. Smart Karte und Windows Hello for Business können kerberos jedoch nur für die Anmeldung verwenden. Um Kerberos verwenden zu können, muss der Client Kerberos-Sicherheitstickets von einem KDC-Dienst (Key Distribution Center) abrufen, der auf einem Domänencontroller ausgeführt wird. Um Tickets zu erhalten, benötigt der Client eine direkte Netzwerkverbindung zum Domänencontroller. Sie können eine Sichtverbindung erhalten, indem Sie direkt in Ihrem Unternehmensnetzwerk eine Verbindung herstellen, eine VPN-Verbindung verwenden oder einen KDC-Proxyserver einrichten.

In-Session-Authentifizierung

Sobald Sie mit Ihrer RemoteApp oder Ihrem Desktop verbunden sind, werden Sie möglicherweise innerhalb der Sitzung zur Authentifizierung aufgefordert. In diesem Abschnitt wird erläutert, wie Andere Anmeldeinformationen als Benutzername und Kennwort in diesem Szenario verwendet werden.

Kennwortlose Authentifizierung ohne Sitzung

Azure Virtual Desktop unterstützt die kennwortlose Authentifizierung ohne Sitzung mit Windows Hello for Business oder Sicherheitsgeräten wie FIDO-Schlüsseln bei Verwendung des Windows Desktop-Clients. Die kennwortlose Authentifizierung wird automatisch aktiviert, wenn der Sitzungshost und der lokale PC die folgenden Betriebssysteme verwenden:

• Windows 11 einzelne oder mehrere Sitzungen mit dem kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher installiert.
• Windows 10 Einzel- oder Mehrsitzung, Version 20H2 oder höher, wobei die kumulative Updates 2022-10 für Windows 10 (KB5018410) oder höher installiert ist.
• Windows Server 2022 mit installiertem kumulativem Update 2022-10 für das Microsoft-Serverbetriebssystem (KB5018421) oder höher.

Um die kennwortlose Authentifizierung in Ihrem Hostpool zu deaktivieren, müssen Sie eine RDP-Eigenschaft anpassen. Sie finden die WebAuthn-Umleitungseigenschaft auf der Registerkarte Geräteumleitung im Azure-Portal oder legen Die Eigenschaft redirectwebauthn mithilfe von PowerShell auf 0 fest.

Wenn diese Option aktiviert ist, werden alle WebAuthn-Anforderungen in der Sitzung an den lokalen PC umgeleitet. Sie können Windows Hello for Business oder lokal angeschlossene Sicherheitsgeräte verwenden, um den Authentifizierungsprozess abzuschließen.

Um mit Windows Hello for Business oder Sicherheitsgeräten auf Microsoft Entra-Ressourcen zuzugreifen, müssen Sie den FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode für Ihre Benutzer aktivieren. Führen Sie zum Aktivieren dieser Methode die Schritte unter Aktivieren der FIDO2-Sicherheitsschlüsselmethode aus.

In-Session Smart Karte-Authentifizierung

Um eine intelligente Karte in Ihrer Sitzung zu verwenden, stellen Sie sicher, dass Sie die Smart Karte-Treiber auf dem Sitzungshost installiert und die Intelligente Karte-Umleitung aktiviert haben. Überprüfen Sie die Vergleichsdiagramme für Windows App und die Remotedesktop-App, damit Sie intelligente Karte Umleitung verwenden können.

Nächste Schritte

• Möchten Sie wissen, wie Sie Ihre Bereitstellung schützen können? Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit.
• Haben Sie Probleme beim Herstellen einer Verbindung mit Microsoft Entra verknüpften VMs? Weitere Informationen finden Sie unter Problembehandlung bei Verbindungen mit Microsoft Entra verknüpften VMs.
• Haben Sie Probleme mit der kennwortlosen Authentifizierung in der Sitzung? Weitere Informationen finden Sie unter Problembehandlung bei der WebAuthn-Umleitung.
• Möchten Sie Smartcards von außerhalb Ihres Unternehmensnetzwerks verwenden? Erfahren Sie, wie Sie einen KDC-Proxyserver einrichten.