Konfigurieren des Sitzungssperrverhaltens für Azure Virtual Desktop

Sie können auswählen, ob die Sitzung getrennt oder der Remotesperrbildschirm angezeigt wird, wenn eine Remotesitzung gesperrt wird, entweder durch den Benutzer oder durch eine Richtlinie. Wenn das Sitzungssperrverhalten auf "Trennen" festgelegt ist, wird ein Dialogfeld angezeigt, in dem Benutzer darüber informiert werden, dass die Verbindung getrennt wurde. Benutzer können die Option Erneut verbinden aus dem Dialogfeld auswählen, wenn sie bereit sind, die Verbindung erneut herzustellen.

Bei Verwendung des einmaligen Anmeldens mit Microsoft Entra ID bietet das Trennen der Sitzung die folgenden Vorteile:

• Eine konsistente Anmeldeoberfläche über Microsoft Entra ID bei Bedarf.

• Einmaliges Anmelden und erneute Verbindung ohne Authentifizierungsaufforderung, sofern dies durch Richtlinien für bedingten Zugriff zulässig ist.

• Unterstützung für kennwortlose Authentifizierung wie Passkeys und FIDO2-Geräte, im Gegensatz zum Remotesperrbildschirm. Das Trennen der Sitzung ist erforderlich, um die vollständige Unterstützung der kennwortlosen Authentifizierung sicherzustellen.

• Richtlinien für bedingten Zugriff, einschließlich mehrstufiger Authentifizierung und Anmeldehäufigkeit, werden neu ausgewertet, wenn der Benutzer erneut eine Verbindung mit seiner Sitzung herstellen kann.

• Sie können die mehrstufige Authentifizierung anfordern, um zur Sitzung zurückzukehren und zu verhindern, dass Benutzer mit einem einfachen Benutzernamen und Kennwort entsperrt werden.

In Szenarien, die auf der Legacyauthentifizierung basieren, z. B. NTLM, CredSSP, RDSTLS, TLS und RDP-Standardauthentifizierungsprotokolle, werden Benutzer aufgefordert, ihre Anmeldeinformationen erneut einzugeben, wenn sie die Verbindung wiederherstellen oder eine neue Verbindung starten.

Das Standardverhalten der Sitzungssperre unterscheidet sich je nachdem, ob Sie einmaliges Anmelden mit Microsoft Entra ID- oder Legacyauthentifizierung verwenden. Die folgende Tabelle zeigt die Standardkonfiguration für jedes Szenario:

Szenario	Standardkonfiguration
Einmaliges Anmelden mit Microsoft Entra ID	Trennen der Sitzung
Ältere Authentifizierungsprotokolle	Anzeigen des Remotesperrbildschirms

In diesem Artikel erfahren Sie, wie Sie das Sitzungssperrverhalten von der Standardkonfiguration mithilfe von Microsoft Intune oder Gruppenrichtlinie ändern.

Voraussetzungen

Wählen Sie die relevante Registerkarte für Ihre Konfigurationsmethode aus.

Intune

Bevor Sie das Verhalten der Sitzungssperre konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Auf Ihren Sitzungshosts muss eines der folgenden Betriebssysteme ausgeführt werden, auf denen das entsprechende kumulative Update installiert ist:

  • Windows 11 eine oder mehrere Sitzungen mit dem kumulativen Updates 2024-05 für Windows 11 (KB5037770) oder höher installiert.
  • Windows 10 Version 21H2 oder höher mit einer oder mehreren Sitzungen, wobei die kumulative Updates 2024-06 für Windows 10 (KB5039211) oder höher installiert ist.
  • Windows Server 2022 mit dem kumulativen Update 2024-05 für das Microsoft-Serverbetriebssystem (KB5037782) oder höher installiert.

• Zum Konfigurieren Intune benötigen Sie Folgendes:

  • Ein Microsoft Entra ID Konto, dem die integrierte RBAC-Rolle "Richtlinien- und Profil-Manager" zugewiesen ist.
  • Eine Gruppe, die die Geräte enthält, die Sie konfigurieren möchten.

Gruppenrichtlinie

Bevor Sie das Verhalten der Sitzungssperre konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Auf Ihren Sitzungshosts muss eines der folgenden Betriebssysteme ausgeführt werden, auf denen das entsprechende kumulative Update installiert ist:

  • Windows 11 eine oder mehrere Sitzungen mit dem kumulativen Updates 2024-05 für Windows 11 (KB5037770) oder höher installiert.
  • Windows 10 Version 21H2 oder höher mit einer oder mehreren Sitzungen, wobei die kumulative Updates 2024-06 für Windows 10 (KB5039211) oder höher installiert ist.
  • Windows Server 2022 mit dem kumulativen Update 2024-05 für das Microsoft-Serverbetriebssystem (KB5037782) oder höher installiert.

• Zum Konfigurieren Gruppenrichtlinie benötigen Sie Folgendes:

  • Ein Domänenkonto, das über die Berechtigung zum Erstellen oder Bearbeiten von Gruppenrichtlinie-Objekten verfügt.
  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

Konfigurieren des Verhaltens der Sitzungssperre

Wählen Sie die relevante Registerkarte für Ihre Konfigurationsmethode aus.

Intune

So konfigurieren Sie die Sitzungssperre mit Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Windows 10 und höhere Geräte mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshostsicherheit>.

   

4. Aktivieren Sie je nach Ihren Anforderungen das Kontrollkästchen für eine der folgenden Einstellungen:

   • Für einmaliges Anmelden mit Microsoft Entra ID:

     1. Aktivieren Sie das Kontrollkästchen Remotesitzung bei Sperre trennen für Microsoft Identity Platform Authentifizierung, und schließen Sie dann die Einstellungsauswahl.

     2. Erweitern Sie die Kategorie Administrative Vorlagen, und schalten Sie dann den Schalter für Remotesitzung bei Sperre trennen für Microsoft Identity Platform Authentifizierung auf Aktiviert oder Deaktiviert um:

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Aktiviert um.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Deaktiviert um.

   • Für Ältere Authentifizierungsprotokolle:

     1. Aktivieren Sie das Kontrollkästchen Remotesitzung bei Sperre für Legacyauthentifizierung trennen, und schließen Sie dann die Einstellungsauswahl.

     2. Erweitern Sie die Kategorie Administrative Vorlagen , und schalten Sie dann den Schalter für Remotesitzung bei Sperre trennen für die Legacyauthentifizierung auf Aktiviert oder Deaktiviert um:

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Aktiviert um.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, schalten Sie den Schalter auf Deaktiviert um.

5. Wählen Sie Weiter aus.

6. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

7. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.

9. Sobald die Richtlinie für die Sitzungshosts gilt, starten Sie sie neu, damit die Einstellungen wirksam werden.

10. Stellen Sie zum Testen der Konfiguration eine Verbindung mit einer Remotesitzung her, und sperren Sie dann die Remotesitzung. Vergewissern Sie sich, dass die Sitzung abhängig von Ihrer Konfiguration entweder getrennt oder der Remotesperrbildschirm angezeigt wird.

Gruppenrichtlinie

Führen Sie die folgenden Schritte aus, um die Sitzungssperre mithilfe von Gruppenrichtlinie zu konfigurieren.

1. Die Gruppenrichtlinie Einstellungen sind nur unter den unter Voraussetzungen aufgeführten Betriebssystemen verfügbar. Um sie in anderen Versionen von Windows Server verfügbar zu machen, müssen Sie die administrativen Vorlagendateien C:\Windows\PolicyDefinitions\terminalserver.admx und C:\Windows\PolicyDefinitions\en-US\terminalserver.adml von einem Sitzungshost an denselben Speicherort auf Ihren Domänencontrollern oder im Gruppenrichtlinie Central Store kopieren, je nach Umgebung. Ersetzen en-US Sie im Dateipfad für terminalserver.adml durch den entsprechenden Sprachcode, wenn Sie eine andere Sprache verwenden.

2. Öffnen Sie die Gruppenrichtlinie-Verwaltungskonsole auf dem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

3. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer abzielt, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten.

4. Navigieren Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshostsicherheit>.

   

5. Doppelklicken Sie je nach Ihren Anforderungen auf eine der folgenden Richtlinieneinstellungen:

   • Für einmaliges Anmelden mit Microsoft Entra ID:

     1. Doppelklicken Sie auf Remotesitzung bei Sperre trennen, um Microsoft Identity Platform Authentifizierung zu öffnen.

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, wählen Sie Aktiviert oder Nicht konfiguriert aus.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, wählen Sie Deaktiviert aus.

     2. Wählen Sie OK aus.

   • Für Ältere Authentifizierungsprotokolle:

     1. Doppelklicken Sie auf Remotesitzung bei Sperre trennen für die Legacyauthentifizierung , um sie zu öffnen.

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, wählen Sie Aktiviert aus.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, wählen Sie Deaktiviert oder Nicht konfiguriert aus.

     2. Wählen Sie OK aus.

6. Stellen Sie sicher, dass die Richtlinie auf die Sitzungshosts angewendet wird, und starten Sie sie dann neu, damit die Einstellungen wirksam werden.

7. Stellen Sie zum Testen der Konfiguration eine Verbindung mit einer Remotesitzung her, und sperren Sie dann die Remotesitzung. Vergewissern Sie sich, dass die Sitzung abhängig von Ihrer Konfiguration entweder getrennt oder der Remotesperrbildschirm angezeigt wird.

Verwandte Inhalte

• Erfahren Sie, wie Sie das einmalige Anmelden für Azure Virtual Desktop mithilfe von Microsoft Entra ID konfigurieren.