Unterstützte Identitäten und Authentifizierungsmethoden
In diesem Artikel geben wir Ihnen einen kurzen Überblick über die Arten von Identitäten und Authentifizierungsmethoden, die Sie in Azure Virtual Desktop verwenden können.
Identities
Azure Virtual Desktop unterstützt verschiedene Arten von Identitäten abhängig von der ausgewählten Konfiguration. In diesem Abschnitt wird erläutert, welche Identitäten Sie für jede Konfiguration verwenden können.
Wichtig
Azure Virtual Desktop unterstützt nicht die Anmeldung bei Microsoft Entra ID mit einem einzigen Benutzerkonto und die anschließende Anmeldung bei Windows mit einem separaten Benutzerkonto. Die gleichzeitige Anmeldung mit zwei unterschiedlichen Konten kann dazu führen, dass Benutzer wieder eine Verbindung mit dem falschen Sitzungshost herstellen, dass falsche oder fehlende Informationen im Azure-Portal angezeigt werden und dass während der Verwendung von App Attach oder MSIX App Attach Fehlermeldungen erscheinen.
Lokale Identität
Da Benutzer über Microsoft Entra ID auffindbar sein müssen, um auf den Azure Virtual Desktop zuzugreifen, werden Benutzeridentitäten, die nur in Active Directory Domain Services (AD DS) existieren, nicht unterstützt. Das umfasst auch eigenständige Active Directory-Bereitstellungen mit Active Directory-Verbunddiensten (AD FS).
Hybrididentität
Azure Virtual Desktop unterstützt Hybrididentitäten über Microsoft Entra ID, einschließlich solcher, die über AD FS einem Verbund angehören. Sie können diese Benutzeridentitäten in AD DS verwalten und mit Microsoft Entra ID mit Microsoft Entra Connectsynchronisieren. Sie können die Microsoft Entra-ID auch verwenden, um diese Identitäten zu verwalten und mit Microsoft Entra Domain Services zu synchronisieren.
Wenn Sie mit Hybrididentitäten auf Azure Virtual Desktop zugreifen, stimmen manchmal der User Principal Name (UPN) oder Security Identifier (SID) für den Benutzer in Active Directory (AD) und die Microsoft Entra ID nicht überein. Beispielsweise kann das AD-Konto user@contoso.local einer Microsoft Entra-ID user@contoso.com entsprechen. Azure Virtual Desktop unterstützt diese Art der Konfiguration nur, wenn entweder der UPN oder die SID für Ihr AD- und Microsoft Entra ID-Konto übereinstimmen. SID bezieht sich auf die Benutzerobjekteigenschaft „ObjectSID“ in AD und „OnPremisesSecurityIdentifier“ in Microsoft Entra ID.
Reine Cloudidentität
Azure Virtual Desktop unterstützt reine Cloudidentitäten bei Verwendung von in Microsoft Entra eingebundenen VMs. Diese Benutzer werden direkt in der Microsoft Entra ID erstellt und verwaltet.
Hinweis
Sie können hybride Identitäten auch Azure Virtual Desktop-Anwendungsgruppen zuweisen, die Sitzungshosts des Verbindungstyps „In Microsoft Entra eingebunden“ hosten.
Identitätsverbund
Wenn Sie einen Drittanbieter-Identitätsanbieter (IdP) verwenden, der nicht Microsoft Entra-ID oder Active Directory Domain Services ist, um Ihre Benutzerkonten zu verwalten, müssen Sie folgendes sicherstellen:
- Ihr IdP wird mit der Microsoft Entra-ID verbunden.
- Ihre Sitzungshosts sind Microsoft Entra beigetreten oder Microsoft Entra hybrid eingebunden.
- Sie aktivieren die Microsoft Entra-Authentifizierung für den Sitzungshost.
Externe Identität
Azure Virtual Desktop unterstützt derzeit keine externen Identitäten.
Authentifizierungsmethoden
Beim Zugriff auf Azure Virtual Desktop-Ressourcen gibt es drei separate Authentifizierungsphasen:
- Clouddienstauthentifizierung: Die Authentifizierung für den Azure Virtual Desktop-Dienst, der das Abonnieren von Ressourcen und die Authentifizierung beim Gateway umfasst, geschieht mit Microsoft Entra-ID.
- Remotesitzungsauthentifizierung: Authentifizieren an die Remote-VM. Es gibt mehrere Möglichkeiten, sich bei der Remotesitzung zu authentifizieren, einschließlich des empfohlenen einmaligen Anmeldens (Single Sign-On, SSO).
- In-Session-Authentifizierung: Authentifizieren an Anwendungen und Websites innerhalb der Remotesitzung.
Für die Liste der Anmeldeinformationen, die für die verschiedenen Clients für jede Authentifizierungsphase verfügbar sind, vergleichen Sie die Clients auf allen Plattformen.
Wichtig
Damit die Authentifizierung ordnungsgemäß funktioniert, muss Ihr lokaler Computer auch in der Lage sein, auf die erforderlichen URLs für Remotedesktopclients zuzugreifen.
In den folgenden Abschnitten finden Sie weitere Informationen zu diesen Authentifizierungsphasen.
Clouddienstauthentifizierung
Um auf Azure Virtual Desktop-Ressourcen zugreifen zu können, müssen Sie sich zunächst beim Dienst authentifizieren, indem Sie sich mit einem Microsoft Entra ID-Konto anmelden. Die Authentifizierung erfolgt immer dann, wenn Sie Ihre Ressourcen abrufen, beim Starten einer Verbindung oder beim Senden von Diagnoseinformationen an den Dienst eine Verbindung mit dem Gateway herstellen. Die für diese Authentifizierung verwendete Microsoft Entra-ID-Ressource ist Azure Virtual Desktop (App-ID 9cdead84-a844-4324-93f2-b2e6bb768d07).
Mehrstufige Authentifizierung
Befolgen Sie die Anweisungen unter Erzwingen der Microsoft Entra-Multi-Faktor-Authentifizierung für Azure Virtual Desktop mit bedingtem Zugriff, um zu erfahren, wie Sie die Microsoft Entra Mehrfaktor-Authentifizierung für Ihre Bereitstellung erzwingen. In diesem Artikel erfahren Sie auch, wie Sie konfigurieren, wie häufig Ihre Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. Beachten Sie beim Bereitstellen von in Microsoft Entra eingebundenen VMs die zusätzlichen Schritte für in Microsoft Entra eingebundene Sitzungshost-VMs.
Kennwortlose Authentifizierung
Sie können einen beliebigen Authentifizierungstyp verwenden, der von Microsoft Entra ID unterstützt wird, z. B. Windows Hello for Business und andere kennwortlose Authentifizierungsoptionen (z. B. FIDO-Schlüssel), um sich beim Dienst zu authentifizieren.
Authentifizierung mit Smartcards
Um eine Smartcard zur Authentifizierung bei Microsoft Entra ID verwenden zu können, müssen Sie zuerst die zertifikatbasierte Microsoft Entra-Authentifizierung oder AD FS für Benutzerzertifikat-Authentifizierung konfigurieren.
Identitätsanbieter von Drittherstellern
Sie können Identitätsanbieter von Drittherstellern verwenden, sofern diese sich in einem Verbund mit Microsoft Entra ID befinden.
Remotesitzungsauthentifizierung
Wenn Sie einmaliges Anmelden (Single Sign-On, SSO) noch nicht aktiviert oder Ihre Anmeldeinformationen lokal gespeichert haben, müssen Sie sich auch beim Sitzungshost authentifizieren, wenn Sie eine Verbindung einrichten.
Einmaliges Anmelden (Single Sign-On, SSO)
SSO ermöglicht es der Verbindung, die Anmeldeinformationsaufforderung des Sitzungshosts zu überspringen und den Benutzer über die Microsoft Entra-Authentifizierung automatisch bei Windows anzumelden. Für Sitzungshosts, bei denen Microsoft Entra oder Microsoft Entra hybrid eingebunden ist, empfiehlt es sich, SSO mithilfe der Microsoft Entra-Authentifizierung zu aktivieren. Microsoft Entra-Authentifizierung bietet weitere Vorteile, etwa kennwortlose Authentifizierung und Unterstützung für Identitätsanbieter von Drittanbietern.
Azure Virtual Desktop unterstützt auch einmaliges Anmelden mit den Active Directory-Verbunddiensten (AD FS) für Windows Desktop- und Webclients.
Ohne SSO fordert der Client Benutzer bei jedem Herstellen einer Verbindung zur Eingabe ihrer Sitzungshostanmeldeinformationen auf. Die einzige Möglichkeit, diese Eingabeaufforderung zu vermeiden, besteht darin, die Anmeldeinformationen im Client zu speichern. Es wird empfohlen, Anmeldeinformationen nur auf sicheren Geräten zu speichern, um zu verhindern, dass andere Benutzer auf Ihre Ressourcen zugreifen können.
Smart-Card und Windows Hello for Business
Azure Virtual Desktop unterstützt sowohl integrierte Windows-Authentifizierung (NT LAN Manager, NTLM) als auch Kerberos für die Sitzungshostauthentifizierung. Smartcard und Windows Hello for Business können jedoch nur Kerberos verwenden, um sich anzumelden. Zur Verwendung von Kerberos muss der Client Kerberos-Sicherheitstickets von einem KDC-Dienst (Key Distribution Center) abrufen, der auf einem Domänencontroller ausgeführt wird. Zum Abrufen von Tickets benötigt der Client direkte Netzwerksicht auf den Domänencontroller. Eine solche Sicht können Sie erreichen, indem Sie eine direkte Verbindung mit Ihrem Unternehmensnetzwerk herstellen und dabei eine VPN-Verbindung verwenden oder einen KDC-Proxyserver einrichten.
Sitzungsinterne Authentifizierung
Nachdem Sie eine Verbindung mit Ihrer RemoteApp oder Ihrem Desktop hergestellt haben, werden Sie innerhalb der Sitzung möglicherweise aufgefordert, sich zu authentifizieren. In diesem Abschnitt wird erläutert, wie Sie in diesem Szenario andere Anmeldeinformationen als Benutzername und Kennwort verwenden.
Kennwortlose In-Session-Authentifizierung
Azure Virtual Desktop unterstützt kennwortlose In-Session-Authentifizierung mithilfe von Windows Hello for Business bzw. Sicherheitsgeräten wie FIDO-Schlüsseln bei Verwendung des Windows-Desktopclients. Die kennwortlose Authentifizierung wird automatisch aktiviert, wenn der Sitzungshost und der lokale PC die folgenden Betriebssysteme verwenden:
- Windows 11 Einzel- oder Mehrfachsitzung mit installierten kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher.
- Windows 10 Einzel- oder Mehrfachsitzung, Versionen 20H2 oder höher, mit installierten kumulativen Updates 2022-10 für Windows 10 (KB5018410) oder höher.
- Windows Server 2022 mit dem kumulativen Update 2022-10 für Microsoft Server-Betriebssystem (KB5018421) oder höher installiert.
Um die kennwortlose Authentifizierung für Ihren Hostpool zu deaktivieren, müssen Sie eine RDP-Eigenschaft anpassen. Navigieren Sie im Azure-Portal auf der Registerkarte Geräteumleitung zur Eigenschaft WebAuthn-Umleitung, oder legen Sie die Eigenschaft redirectwebauthn mithilfe von PowerShell auf 0 fest.
Bei diese Option aktiviert ist, werden alle WebAuthn-Anforderungen in der Sitzung an den lokalen PC umgeleitet. Sie können Windows Hello for Business oder lokal angefügte Sicherheitsgeräte verwenden, um den Authentifizierungsprozess abzuschließen.
Um auf Microsoft Entra-Ressourcen mit Windows Hello for Business oder Sicherheitsgeräten zuzugreifen, müssen Sie den FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode für Ihre Benutzer aktivieren. Um diese Methode zu aktivieren, führen Sie die Schritte unter Aktivieren der FIDO2-Sicherheitsschlüsselmethode aus.
In-Session-Smartcardauthentifizierung
Um in Ihrer Sitzung eine Smartcard zu verwenden, vergewissern Sie sich, dass die Smartcardtreiber auf dem Sitzungshost installiert sind und Smartcardumleitung aktiviert ist. Vergewissern Sie sich im Vergleichsdiagramm für Clients, dass Ihr Client die Umleitung von Smartcards unterstützt.
Nächste Schritte
- Sind Sie neugierig auf andere Möglichkeiten, Ihre Bereitstellung sicher zu gestalten? Weitere Informationen finden Sie unter Bewährte Methoden für Sicherheit.
- Haben Sie Probleme beim Herstellen einer Verbindung mit VMs in Microsoft Entra? Siehe Problembehandlung bei Verbindungen mit Microsoft Entra verbundenen VMs.
- Haben Sie Probleme mit kennwortloser In-Session-Authentifizierung? Lesen Sie Problembehandlung von WebAuthn-Umleitung.
- Möchten Sie Smartcards von Stellen außerhalb Ihres Unternehmensnetzwerks verwenden? Erfahren Sie, wie Sie einen KDC-Proxyserver einrichten.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für