Freigeben über


Konfigurieren des einmaligen Anmeldens für Azure Virtual Desktop mithilfe von AD FS

In diesem Artikel erfahren Sie, wie Sie das einmalige Anmelden (Single Sign-On, SSO) des Active Directory-Verbunddiensts (AD FS) für Azure Virtual Desktop konfigurieren.

Voraussetzungen

Vor dem Konfigurieren des einmaligen Anmeldens von AD FS muss das folgende Setup in Ihrer Umgebung ausgeführt werden:

  • Sitzungshosts, auf denen eine unterstützte Version von Windows 10 oder Windows 11 ausgeführt wird.

  • Sie müssen die Rolle Active Directory-Zertifikatdienste (CA) bereitstellen. Alle Server, auf denen die Rolle ausgeführt wird, müssen in die Domäne eingebunden sein, die neuesten Windows-Updates installiert haben und als Unternehmenszertifizierungsstellen konfiguriert sein.

  • Sie müssen die Rolle Active Directory-Verbunddienste (AD FS) (AD FS) bereitstellen. Alle Server, auf denen diese Rolle ausgeführt wird, müssen in die Domäne eingebunden sein, die neuesten Windows-Updates installiert haben und Windows Server 2016 oder höher ausgeführt werden.

  • Es wird empfohlen, die Rolle Web Anwendungsproxy einzurichten, um die Verbindung Ihrer Umgebung mit den AD FS-Servern zu schützen. Auf allen Servern, auf denen diese Rolle ausgeführt wird, müssen die neuesten Windows-Updates installiert sein und Windows Server 2016 oder höher ausgeführt werden. Informationen zu den ersten Schritten zum Einrichten dieser Rolle finden Sie in diesem Web Anwendungsproxy Leitfaden.

  • Sie müssen Microsoft Entra Connect bereitstellen, um Benutzer mit Microsoft Entra ID zu synchronisieren. Microsoft Entra Connect muss im Verbundmodus konfiguriert werden.

  • Richten Sie Ihre PowerShell-Umgebung für Azure Virtual Desktop auf dem AD FS-Server ein.

Hinweis

Diese Lösung wird mit Microsoft Entra Domain Services nicht unterstützt. Sie müssen einen Active Directory Domain Services Domänencontroller verwenden.

Unterstützte Clients

Die folgenden Azure Virtual Desktop-Clients unterstützen dieses Feature:

Konfigurieren der Zertifizierungsstelle zum Ausstellen von Zertifikaten

Sie müssen die folgenden Zertifikatvorlagen ordnungsgemäß erstellen, damit AD FS einmaliges Anmelden verwenden kann:

  • Zuerst müssen Sie die Zertifikatvorlage für den Exchange-Registrierungs-Agent (Offlineanforderung) erstellen. AD FS verwendet die Zertifikatvorlage für den Exchange-Registrierungs-Agent, um Zertifikate im Namen des Benutzers anzufordern.
  • Außerdem müssen Sie die Zertifikatvorlage Smartcard-Anmeldung erstellen, die AD FS zum Erstellen des Anmeldezertifikats verwendet.

Nachdem Sie diese Zertifikatvorlagen erstellt haben, müssen Sie die Vorlagen bei der Zertifizierungsstelle aktivieren, damit AD FS sie anfordern kann.

Hinweis

Diese Lösung generiert bei jeder Anmeldung eines Benutzers neue kurzfristige Zertifikate, die die Datenbank der Zertifizierungsstelle füllen können, wenn Sie viele Benutzer haben. Sie können eine Überlastung Ihrer Datenbank vermeiden, indem Sie eine Zertifizierungsstelle für die nicht persistente Zertifikatverarbeitung einrichten. Wenn Sie dies tun, stellen Sie in der Vorlage für das duplizierte Smartcard-Anmeldezertifikat sicher, dass Sie nur Zertifikate und Anforderungen nicht in der Zertifizierungsstellendatenbank speichern aktivieren. Aktivieren Sie keine Sperrinformationen in ausgestellten Zertifikaten einschließen , da die Konfiguration nicht funktioniert.

Erstellen der Zertifikatvorlage für den Registrierungs-Agent

Abhängig von Ihrer Umgebung haben Sie möglicherweise bereits eine Zertifikatvorlage für den Registrierungs-Agent für andere Zwecke wie Windows Hello for Business, Anmeldezertifikate oder VPN-Zertifikate konfiguriert. Wenn ja, müssen Sie sie ändern, um einmaliges Anmelden zu unterstützen. Andernfalls können Sie eine neue Vorlage erstellen.

Um festzustellen, ob Sie bereits eine Zertifikatvorlage für den Registrierungs-Agent verwenden, führen Sie den folgenden PowerShell-Befehl auf dem AD FS-Server aus, und überprüfen Sie, ob ein Wert zurückgegeben wird. Wenn sie leer ist, erstellen Sie eine neue Zertifikatvorlage für den Registrierungs-Agent. Andernfalls merken Sie sich den Namen, und aktualisieren Sie die vorhandene Zertifikatvorlage des Registrierungs-Agents.

Import-Module adfs
(Get-AdfsCertificateAuthority).EnrollmentAgentCertificateTemplateName

So erstellen Sie eine neue Zertifikatvorlage für den Registrierungs-Agent:

  1. Führen Sie auf der Zertifizierungsstelle mmc.exe über das Startmenü aus, um die Microsoft Management Console zu starten.

  2. Wählen Sie Datei... aus.>Hinzufügen/Remote-Snap-In...>Zertifikatvorlagen>Hinzufügen >>OK , um die Liste der Zertifikatvorlagen anzuzeigen.

  3. Erweitern Sie die Zertifikatvorlagen, klicken Sie mit der rechten Maustaste auf Exchange-Registrierungs-Agent (Offlineanforderung), und wählen Sie Vorlage duplizieren aus.

  4. Wählen Sie die Registerkarte Allgemein aus, und geben Sie dann "AD FS-Registrierungs-Agent" in das Feld Vorlagenanzeigename ein. Dadurch wird der Vorlagenname automatisch auf "ADFSEnrollmentAgent" festgelegt.

  5. Wählen Sie die Registerkarte Sicherheit und dann Hinzufügen aus.

  6. Wählen Sie als Nächstes Objekttypen... und dann Dienstkonten und dann OK aus.

  7. Geben Sie den Dienstkontonamen für AD FS ein, und wählen Sie OK aus.

    • In einem isolierten AD FS-Setup erhält das Dienstkonto den Namen "adfssvc$".
    • Wenn Sie AD FS mit Microsoft Entra Connect einrichten, erhält das Dienstkonto den Namen "aadcsvc$".
  8. Nachdem das Dienstkonto hinzugefügt wurde und auf der Registerkarte Sicherheit angezeigt wird, wählen Sie es im Bereich Gruppen- oder Benutzernamen aus, und wählen Sie im Bereich Berechtigungen für das AD FS-Dienstkonto sowohl für "Registrieren" als auch für "Automatische Registrierung" die Option Zulassen aus, und wählen Sie dann OK aus, um das Konto zu speichern.

    Screenshot: Registerkarte

So aktualisieren Sie eine vorhandene Zertifikatvorlage für den Registrierungs-Agent:

  1. Führen Sie auf der Zertifizierungsstelle mmc.exe über das Startmenü aus, um die Microsoft Management Console zu starten.
  2. Wählen Sie Datei... aus.>Hinzufügen/Remote-Snap-In...>Zertifikatvorlagen>Hinzufügen >>OK , um die Liste der Zertifikatvorlagen anzuzeigen.
  3. Erweitern Sie die Zertifikatvorlagen, und doppelklicken Sie auf die Vorlage, die der auf dem AD FS-Server konfigurierten Vorlage entspricht. Auf der Registerkarte Allgemein sollte der Vorlagenname mit dem Namen übereinstimmen, den Sie oben gefunden haben.
  4. Wählen Sie die Registerkarte Sicherheit und dann Hinzufügen aus.
  5. Wählen Sie als Nächstes Objekttypen... und dann Dienstkonten und dann OK aus.
  6. Geben Sie den Dienstkontonamen für AD FS ein, und wählen Sie OK aus.
    • In einem isolierten AD FS-Setup erhält das Dienstkonto den Namen "adfssvc$".
    • Wenn Sie AD FS mit Microsoft Entra Connect einrichten, erhält das Dienstkonto den Namen "aadcsvc$".
  7. Nachdem das Dienstkonto hinzugefügt wurde und auf der Registerkarte Sicherheit angezeigt wird, wählen Sie es im Bereich Gruppen- oder Benutzernamen aus, und wählen Sie im Bereich Berechtigungen für das AD FS-Dienstkonto sowohl für "Registrieren" als auch für "Automatische Registrierung" die Option Zulassen aus, und wählen Sie dann OK aus, um das Konto zu speichern.

Erstellen der Zertifikatvorlage für die Smartcard-Anmeldung

So erstellen Sie die Zertifikatvorlage für die Smartcard-Anmeldung:

  1. Führen Sie auf der Zertifizierungsstelle mmc.exe über das Startmenü aus, um die Microsoft Management Console zu starten.

  2. Wählen Sie Datei... aus.>Hinzufügen/Remote-Snap-In...>Zertifikatvorlagen>Hinzufügen>OK , um die Liste der Zertifikatvorlagen anzuzeigen.

  3. Erweitern Sie die Zertifikatvorlagen, klicken Sie mit der rechten Maustaste auf Smartcard-Anmeldung, und wählen Sie Vorlage duplizieren aus.

  4. Wählen Sie die Registerkarte Allgemein aus, und geben Sie dann "AD FS SSO" in das Feld Vorlagenanzeigename ein. Dadurch wird der Vorlagenname automatisch auf "ADFSSSO" festgelegt.

    Hinweis

    Da dieses Zertifikat bei Bedarf angefordert wird, empfehlen wir, die Gültigkeitsdauer auf 8 Stunden und den Verlängerungszeitraum auf 1 Stunde zu verkürzen.

  5. Wählen Sie die Registerkarte Antragstellername und dann in der Anforderung Angeben aus. Wenn eine Warnmeldung angezeigt wird, wählen Sie OK aus.

    Screenshot: Registerkarte

  6. Wählen Sie die Registerkarte Ausstellungsanforderungen aus.

  7. Wählen Sie Diese Anzahl autorisierter Signaturen aus, und geben Sie den Wert 1 ein.

    Screenshot: Registerkarte

  8. Wählen Sie unter Anwendungsrichtlinie die Option Zertifikatanforderungs-Agent aus.

  9. Wählen Sie die Registerkarte Sicherheit und dann Hinzufügen aus.

  10. Wählen Sie Objekttypen..., Dienstkonten und OK aus.

  11. Geben Sie den Dienstkontonamen für AD FS wie im Abschnitt Erstellen der Zertifikatvorlage für den Registrierungs-Agent ein.

    • In einem isolierten AD FS-Setup erhält das Dienstkonto den Namen "adfssvc$".
    • Wenn Sie AD FS mit Microsoft Entra Connect einrichten, erhält das Dienstkonto den Namen "aadcsvc$".
  12. Nachdem das Dienstkonto hinzugefügt wurde und auf der Registerkarte Sicherheit angezeigt wird, wählen Sie es im Bereich Gruppen- oder Benutzernamen aus, wählen Sie für "Registrieren" und "Automatische Registrierung" die Option Zulassen aus, und wählen Sie dann OK aus, um zu speichern.

Screenshot: Registerkarte

Aktivieren Sie die neuen Zertifikatvorlagen:

So aktivieren Sie die neuen Zertifikatvorlagen:

  1. Führen Sie auf der Zertifizierungsstelle mmc.exe über das Startmenü aus, um die Microsoft Management Console zu starten.

  2. Wählen Sie Datei... aus.>Snap-In hinzufügen/entfernen...>Zertifizierungsstelle>Hinzufügen >>Beenden> und OK , um die Zertifizierungsstelle anzuzeigen.

  3. Erweitern Sie im linken Bereich die Zertifizierungsstelle, und öffnen Sie Zertifikatvorlagen.

  4. Klicken Sie mit der rechten Maustaste in den mittleren Bereich, in dem die Liste der Zertifikatvorlagen angezeigt wird, wählen Sie Neu und dann Zertifikatvorlage aus, die sie ausstellen soll.

  5. Wählen Sie sowohl ADFS-Registrierungs-Agent als auch AD FS SSO aus, und wählen Sie dann OK aus. Beide Vorlagen sollten im mittleren Bereich angezeigt werden.

    Screenshot: Liste der Zertifikatvorlagen, die ausgestellt werden können, einschließlich des neuen ADFS-Registrierungs-Agents und des einmaligen Anmeldens für ADFS

    Hinweis

    Wenn Sie bereits eine Zertifikatvorlage für den Registrierungs-Agent konfiguriert haben, müssen Sie nur die ADFS-SSO-Vorlage hinzufügen.

Konfigurieren der AD FS-Server

Sie müssen die Active Directory-Verbunddienste (AD FS)-Server (AD FS) so konfigurieren, dass sie die neuen Zertifikatvorlagen verwenden und die Vertrauensstellung der vertrauenden Seite so festlegen, dass einmaliges Anmelden unterstützt wird.

Die Vertrauensstellung der vertrauenden Seite zwischen Ihrem AD FS-Server und dem Azure Virtual Desktop-Dienst ermöglicht die ordnungsgemäße Weiterleitung von Zertifikatanforderungen für einmaliges Anmelden an Ihre Domänenumgebung.

Beim Konfigurieren des einmaligen Anmeldens für AD FS müssen Sie einen gemeinsam verwendeten Schlüssel oder ein zertifikat auswählen:

  • Wenn Sie über einen einzelnen AD FS-Server verfügen, können Sie gemeinsam genutzte Schlüssel oder Zertifikate auswählen.
  • Wenn Sie über mehrere AD FS-Server verfügen, müssen Sie das Zertifikat auswählen.

Der gemeinsam verwendete Schlüssel oder das Zertifikat, mit dem bzw. das das Token für die Anmeldung bei Windows generiert wird, muss sicher in Azure Key Vault gespeichert werden. Sie können das Geheimnis in einem vorhandenen Key Vault speichern oder ein neues bereitstellen. In beiden Fällen müssen Sie sicherstellen, dass sie die richtige Zugriffsrichtlinie festlegen, damit der Azure Virtual Desktop-Dienst darauf zugreifen kann.

Wenn Sie ein Zertifikat verwenden, können Sie ein beliebiges allgemeines Zertifikat verwenden, und es gibt keine Anforderung für den Antragstellernamen oder den alternativen Antragstellernamen (Subject Alternative Name, SAN). Es ist zwar nicht erforderlich, aber es wird empfohlen, ein Zertifikat zu erstellen, das von einer gültigen Zertifizierungsstelle ausgestellt wurde. Dieses Zertifikat kann direkt in Azure Key Vault erstellt werden und benötigt einen exportierbaren privaten Schlüssel. Der öffentliche Schlüssel kann exportiert und verwendet werden, um den AD FS-Server mithilfe des folgenden Skripts zu konfigurieren. Beachten Sie, dass sich dieses Zertifikat vom AD FS-SSL-Zertifikat unterscheidet, das einen richtigen Antragstellernamen und eine gültige Zertifizierungsstelle aufweisen muss.

Das PowerShell-Skript ConfigureWVDSSO.ps1 im PowerShell-Katalog konfiguriert Ihren AD FS-Server für die Vertrauensstellung der vertrauenden Seite und installiert bei Bedarf das Zertifikat.

Dieses Skript verfügt nur über einen erforderlichen Parameter, ADFSAuthority, bei dem es sich um die URL handelt, die in Ihr AD FS aufgelöst wird und "/adfs" als Suffix verwendet. Beispiel: https://adfs.contoso.com/adfs.

  1. Führen Sie auf den AD FS-VMs das folgende PowerShell-Cmdlet aus, um AD FS für die Verwendung der Zertifikatvorlagen aus dem vorherigen Abschnitt zu konfigurieren:

    Set-AdfsCertificateAuthority -EnrollmentAgentCertificateTemplate "ADFSEnrollmentAgent" -LogonCertificateTemplate "ADFSSSO" -EnrollmentAgent
    

    Hinweis

    Wenn Sie bereits eine EnrollmentAgentCertificateTemplate konfiguriert haben, stellen Sie sicher, dass Sie den vorhandenen Vorlagennamen anstelle von ADFSEnrollmentAgent verwenden.

  2. Führen Sie das ConfigureWVDSSO.ps1-Skript aus.

    Hinweis

    Sie benötigen die $config Variablenwerte, um den nächsten Teil der Anweisungen abzuschließen. Schließen Sie also nicht das PowerShell-Fenster, das Sie zum Ausführen der vorherigen Anweisungen verwendet haben. Sie können entweder dasselbe PowerShell-Fenster verwenden oder es beim Starten einer neuen PowerShell-Sitzung geöffnet lassen.

    • Wenn Sie einen gemeinsam verwendeten Schlüssel im Key Vault verwenden, führen Sie das folgende PowerShell-Cmdlet auf dem AD FS-Server aus, wobei ADFSServiceUrl durch die vollständige URL ersetzt wird, um Ihren AD FS-Dienst zu erreichen:

      Install-Script ConfigureWVDSSO
      $config = ConfigureWVDSSO.ps1 -ADFSAuthority "<ADFSServiceUrl>" [-WvdWebAppAppIDUri "<WVD Web App URI>"] [-RdWebURL "<RDWeb URL>"]
      

      Hinweis

      Sie benötigen die Eigenschaften WvdWebAppAppIDUri und RdWebURL, um eine Umgebung in einer sovereign Cloud wie Azure Government zu konfigurieren. In der kommerziellen Azure-Cloud werden diese Eigenschaften automatisch auf https://www.wvd.microsoft.com bzw https://rdweb.wvd.microsoft.com . festgelegt.

    • Wenn Sie ein Zertifikat im Key Vault verwenden, führen Sie das folgende PowerShell-Cmdlet auf dem AD FS-Server aus, wobei ADFSServiceUrl durch die vollständige URL ersetzt wird, um Ihren AD FS-Dienst zu erreichen:

      Install-Script ConfigureWVDSSO
      $config = ConfigureWVDSSO.ps1 -ADFSAuthority "<ADFSServiceUrl>" -UseCert -CertPath "<Path to the pfx file>" -CertPassword <Password to the pfx file> [-WvdWebAppAppIDUri "<WVD Web App URI>"] [-RdWebURL "<RDWeb URL>"]
      

      Hinweis

      Sie benötigen die Eigenschaften WvdWebAppAppIDUri und RdWebURL, um eine Umgebung in einer sovereign Cloud wie Azure Government zu konfigurieren. In der kommerziellen Azure-Cloud werden diese Eigenschaften automatisch auf https://www.wvd.microsoft.com bzw https://rdweb.wvd.microsoft.com . festgelegt.

  3. Legen Sie die Zugriffsrichtlinie für die Azure Key Vault fest, indem Sie das folgende PowerShell-Cmdlet ausführen:

    Set-AzKeyVaultAccessPolicy -VaultName "<Key Vault Name>" -ServicePrincipalName 9cdead84-a844-4324-93f2-b2e6bb768d07 -PermissionsToSecrets get -PermissionsToKeys sign
    
  4. Speichern Sie den gemeinsam verwendeten Schlüssel oder das Zertifikat in Azure Key Vault mit einem Tag, das eine durch Komma getrennte Liste von Abonnement-IDs enthält, die das Geheimnis verwenden dürfen.

    • Wenn Sie einen gemeinsam verwendeten Schlüssel im Key Vault verwenden, führen Sie das folgende PowerShell-Cmdlet aus, um den gemeinsam verwendeten Schlüssel zu speichern und das Tag festzulegen:

      $hp = Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" 
      $secret = Set-AzKeyVaultSecret -VaultName "<Key Vault Name>" -Name "adfsssosecret" -SecretValue (ConvertTo-SecureString -String $config.SSOClientSecret  -AsPlainText -Force) -Tag @{ 'AllowedWVDSubscriptions' = $hp.Id.Split('/')[2]}
      
    • Wenn sich Ihr Zertifikat bereits im Key Vault befindet, führen Sie das folgende PowerShell-Cmdlet aus, um das Tag festzulegen:

      $hp = Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>"
      $secret = Update-AzKeyVaultCertificate -VaultName "<Key Vault Name>" -Name "<Certificate Name>" -Tag @{ 'AllowedWVDSubscriptions' = $hp.Id.Split('/')[2]} -PassThru
      
    • Wenn Sie über ein lokales Zertifikat verfügen, führen Sie das folgende PowerShell-Cmdlet aus, um das Zertifikat im Key Vault zu importieren und das Tag festzulegen:

      $hp = Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" 
      $secret = Import-AzKeyVaultCertificate -VaultName "<Key Vault Name>" -Name "adfsssosecret" -Tag @{ 'AllowedWVDSubscriptions' = $hp.Id.Split('/')[2]} -FilePath "<Path to pfx>" -Password (ConvertTo-SecureString -String "<pfx password>"  -AsPlainText -Force)
      

Hinweis

Sie können optional konfigurieren, wie oft Benutzer zur Eingabe von Anmeldeinformationen aufgefordert werden, indem Sie die AD FS-Einstellungen für einmaliges Anmelden ändern. Standardmäßig werden Benutzer alle 8 Stunden auf nicht registrierten Geräten aufgefordert.

Konfigurieren Ihres Azure Virtual Desktop-Hostpools

Es ist an der Zeit, die AD FS-SSO-Parameter für Ihren Azure Virtual Desktop-Hostpool zu konfigurieren. Richten Sie hierzu Ihre PowerShell-Umgebung für Azure Virtual Desktop ein, sofern noch nicht geschehen, und stellen Sie eine Verbindung mit Ihrem Konto her.

Aktualisieren Sie anschließend die SSO-Informationen für Ihren Hostpool, indem Sie eines der folgenden beiden Cmdlets im selben PowerShell-Fenster auf der AD FS-VM ausführen:

  • Wenn Sie einen gemeinsam verwendeten Schlüssel im Key Vault verwenden, führen Sie das folgende PowerShell-Cmdlet aus:

    Update-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" -SsoadfsAuthority "<ADFSServiceUrl>" -SsoClientId "<WVD Web App URI>" -SsoSecretType SharedKeyInKeyVault -SsoClientSecretKeyVaultPath $secret.Id
    

    Hinweis

    Sie müssen die SsoClientId-Eigenschaft so festlegen, dass sie der Azure-Cloud entspricht, in der Sie einmaliges Anmelden bereitstellen. In der kommerziellen Azure-Cloud sollte diese Eigenschaft auf https://www.wvd.microsoft.comfestgelegt werden. Die erforderliche Einstellung für diese Eigenschaft unterscheidet sich jedoch für andere Clouds, z. B. für die Azure Government Cloud.

  • Wenn Sie ein Zertifikat im Key Vault verwenden, führen Sie das folgende PowerShell-Cmdlet aus:

    Update-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" -SsoadfsAuthority "<ADFSServiceUrl>" -SsoClientId "<WVD Web App URI>" -SsoSecretType CertificateInKeyVault -SsoClientSecretKeyVaultPath $secret.Id
    

    Hinweis

    Sie müssen die SsoClientId-Eigenschaft so festlegen, dass sie der Azure-Cloud entspricht, in der Sie einmaliges Anmelden bereitstellen. In der kommerziellen Azure-Cloud sollte diese Eigenschaft auf https://www.wvd.microsoft.comfestgelegt werden. Die erforderliche Einstellung für diese Eigenschaft unterscheidet sich jedoch für andere Clouds, z. B. für die Azure Government Cloud.

Konfigurieren zusätzlicher Hostpools

Wenn Sie zusätzliche Hostpools konfigurieren müssen, können Sie die Einstellungen abrufen, die Sie zum Konfigurieren eines vorhandenen Hostpools zum Einrichten des neuen Verwendet haben.

Um die Einstellungen aus Ihrem vorhandenen Hostpool abzurufen, öffnen Sie ein PowerShell-Fenster, und führen Sie dieses Cmdlet aus:

Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" | fl *

Sie können die Schritte zum Konfigurieren Ihres Azure Virtual Desktop-Hostpools mit den gleichen Werten SsoClientId, SsoClientSecretKeyVaultPath, SsoSecretType und SsoadfsAuthority ausführen.

Entfernen von SSO

Führen Sie das folgende Cmdlet aus, um einmaliges Anmelden für den Hostpool zu deaktivieren:

Update-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" -SsoadfsAuthority ''

Wenn Sie auch einmaliges Anmelden auf Ihrem AD FS-Server deaktivieren möchten, führen Sie dieses Cmdlet aus:

Install-Script UnConfigureWVDSSO
UnConfigureWVDSSO.ps1 -WvdWebAppAppIDUri "<WVD Web App URI>" -WvdClientAppApplicationID "a85cf173-4192-42f8-81fa-777a763e6e2c"

Hinweis

Die Eigenschaft WvdWebAppAppIDUri muss mit der Azure-Cloud übereinstimmen, in der Sie die Bereitstellung durchführen. In der kommerziellen Azure-Cloud lautet https://www.wvd.microsoft.comdiese Eigenschaft . Bei anderen Clouds wie der Azure Government Cloud ist dies anders.

Nächste Schritte

Nachdem Sie das einmalige Anmelden konfiguriert haben, können Sie sich bei einem unterstützten Azure Virtual Desktop-Client anmelden, um ihn als Teil einer Benutzersitzung zu testen. Wenn Sie erfahren möchten, wie Sie mit Ihren neuen Anmeldeinformationen eine Verbindung mit einer Sitzung herstellen, lesen Sie die folgenden Artikel: