Freigeben über


Konfigurieren des Sitzungssperrverhaltens für Azure Virtual Desktop

Sie können auswählen, ob die Sitzung getrennt oder der Remotesperrbildschirm angezeigt wird, wenn eine Remotesitzung gesperrt wird, entweder durch den Benutzer oder durch eine Richtlinie. Wenn das Sitzungssperrverhalten auf "Trennen" festgelegt ist, wird ein Dialogfeld angezeigt, in dem Benutzer darüber informiert werden, dass die Verbindung getrennt wurde. Benutzer können die Option Erneut verbinden aus dem Dialogfeld auswählen, wenn sie bereit sind, die Verbindung erneut herzustellen.

Bei Verwendung des einmaligen Anmeldens mit Microsoft Entra ID bietet das Trennen der Sitzung die folgenden Vorteile:

  • Eine konsistente Anmeldeoberfläche über Microsoft Entra ID bei Bedarf.

  • Einmaliges Anmelden und erneute Verbindung ohne Authentifizierungsaufforderung, sofern dies durch Richtlinien für bedingten Zugriff zulässig ist.

  • Unterstützung für kennwortlose Authentifizierung wie Passkeys und FIDO2-Geräte, im Gegensatz zum Remotesperrbildschirm. Das Trennen der Sitzung ist erforderlich, um die vollständige Unterstützung der kennwortlosen Authentifizierung sicherzustellen.

  • Richtlinien für bedingten Zugriff, einschließlich mehrstufiger Authentifizierung und Anmeldehäufigkeit, werden neu ausgewertet, wenn der Benutzer erneut eine Verbindung mit seiner Sitzung herstellen kann.

  • Sie können die mehrstufige Authentifizierung anfordern, um zur Sitzung zurückzukehren und zu verhindern, dass Benutzer mit einem einfachen Benutzernamen und Kennwort entsperrt werden.

In Szenarien, die auf der Legacyauthentifizierung basieren, z. B. NTLM, CredSSP, RDSTLS, TLS und RDP-Standardauthentifizierungsprotokolle, werden Benutzer aufgefordert, ihre Anmeldeinformationen erneut einzugeben, wenn sie die Verbindung wiederherstellen oder eine neue Verbindung starten.

Das Standardverhalten der Sitzungssperre unterscheidet sich je nachdem, ob Sie einmaliges Anmelden mit Microsoft Entra ID- oder Legacyauthentifizierung verwenden. Die folgende Tabelle zeigt die Standardkonfiguration für jedes Szenario:

Szenario Standardkonfiguration
Einmaliges Anmelden mit Microsoft Entra ID Trennen der Sitzung
Ältere Authentifizierungsprotokolle Anzeigen des Remotesperrbildschirms

In diesem Artikel erfahren Sie, wie Sie das Sitzungssperrverhalten von der Standardkonfiguration mithilfe von Microsoft Intune oder Gruppenrichtlinie ändern.

Voraussetzungen

Wählen Sie die relevante Registerkarte für Ihre Konfigurationsmethode aus.

Bevor Sie das Verhalten der Sitzungssperre konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

Konfigurieren des Verhaltens der Sitzungssperre

Wählen Sie die relevante Registerkarte für Ihre Konfigurationsmethode aus.

So konfigurieren Sie die Sitzungssperre mit Intune

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Windows 10 und höhere Geräte mit dem Profiltyp Einstellungskatalog.

  3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshostsicherheit>.

    Screenshot: Sicherheitsoptionen des Remotedesktop-Sitzungshosts im Microsoft Intune-Portal

  4. Aktivieren Sie je nach Ihren Anforderungen das Kontrollkästchen für eine der folgenden Einstellungen:

    • Für einmaliges Anmelden mit Microsoft Entra ID:

      1. Aktivieren Sie das Kontrollkästchen Remotesitzung bei Sperre trennen für Microsoft Identity Platform Authentifizierung, und schließen Sie dann die Einstellungsauswahl.

      2. Erweitern Sie die Kategorie Administrative Vorlagen, und schalten Sie dann den Schalter für Remotesitzung bei Sperre trennen für Microsoft Identity Platform Authentifizierung auf Aktiviert oder Deaktiviert um:

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Aktiviert um.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Deaktiviert um.

    • Für Ältere Authentifizierungsprotokolle:

      1. Aktivieren Sie das Kontrollkästchen Remotesitzung bei Sperre für Legacyauthentifizierung trennen, und schließen Sie dann die Einstellungsauswahl.

      2. Erweitern Sie die Kategorie Administrative Vorlagen , und schalten Sie dann den Schalter für Remotesitzung bei Sperre trennen für die Legacyauthentifizierung auf Aktiviert oder Deaktiviert um:

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Aktiviert um.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Deaktiviert um.

  5. Wählen Sie Weiter aus.

  6. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

  7. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

  8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.

  9. Sobald die Richtlinie für die Sitzungshosts gilt, starten Sie sie neu, damit die Einstellungen wirksam werden.

  10. Stellen Sie zum Testen der Konfiguration eine Verbindung mit einer Remotesitzung her, und sperren Sie dann die Remotesitzung. Vergewissern Sie sich, dass die Sitzung abhängig von Ihrer Konfiguration entweder getrennt oder der Remotesperrbildschirm angezeigt wird.