Konfigurieren des einmaligen Anmeldens für Azure Virtual Desktop mithilfe von Microsoft Entra ID

2025-06-20

Einmaliges Anmelden (Single Sign-On, SSO) für Azure Virtual Desktop mit Microsoft Entra ID bietet eine nahtlose Anmeldung für Benutzer, die eine Verbindung mit Sitzungshosts herstellen. Wenn Sie einmaliges Anmelden aktivieren, authentifizieren sich Benutzer mithilfe eines Microsoft Entra ID Tokens bei Windows. Dieses Token ermöglicht die Verwendung von kennwortloser Authentifizierung und Identitätsanbietern von Drittanbietern, die beim Herstellen einer Verbindung mit einem Sitzungshost einen Verbund mit Microsoft Entra ID bilden, wodurch die Anmeldung nahtlos funktioniert.

Das einmalige Anmelden mit Microsoft Entra ID bietet auch eine nahtlose Erfahrung für Microsoft Entra ID-basierte Ressourcen innerhalb der Sitzung. Weitere Informationen zur Verwendung der kennwortlosen Authentifizierung innerhalb einer Sitzung finden Sie unter Kennwortlose In-Session-Authentifizierung.

Um einmaliges Anmelden mit Microsoft Entra ID Authentifizierung zu aktivieren, müssen Sie fünf Aufgaben ausführen:

Aktivieren Sie Microsoft Entra-Authentifizierung für das Remotedesktopprotokoll (RDP).
Blenden Sie das Zustimmungsaufforderungsdialogfeld aus.
Erstellen Sie ein Kerberos-Serverobjekt, wenn Active Directory Domain Services Teil Ihrer Umgebung ist. Weitere Informationen zu den Kriterien sind im zugehörigen Abschnitt enthalten.
Überprüfen Sie Ihre Richtlinien für bedingten Zugriff.
Konfigurieren Sie Ihren Hostpool so, dass einmaliges Anmelden aktiviert wird.

Vor dem Aktivieren des einmaligen Anmeldens

Bevor Sie einmaliges Anmelden aktivieren, lesen Sie die folgenden Informationen zur Verwendung in Ihrer Umgebung.

Sitzungssperrverhalten

Wenn einmaliges Anmelden mit Microsoft Entra ID aktiviert ist und die Remotesitzung entweder durch den Benutzer oder durch eine Richtlinie gesperrt ist, können Sie auswählen, ob die Sitzung getrennt oder der Remotesperrbildschirm angezeigt wird. Das Standardverhalten besteht darin, die Sitzung zu trennen, wenn sie gesperrt wird.

Wenn das Sitzungssperrverhalten auf "Trennen" festgelegt ist, wird ein Dialogfeld angezeigt, in dem Benutzer darüber informiert werden, dass die Verbindung getrennt wurde. Benutzer können die Option Erneut verbinden aus dem Dialogfeld auswählen, wenn sie bereit sind, die Verbindung erneut herzustellen. Dieses Verhalten erfolgt aus Sicherheitsgründen und um die vollständige Unterstützung der kennwortlosen Authentifizierung sicherzustellen. Das Trennen der Sitzung bietet die folgenden Vorteile:

Konsistente Anmeldeerfahrung über Microsoft Entra ID bei Bedarf.
Einmaliges Anmelden und Erneutes Anmelden ohne Authentifizierungsaufforderung, wenn dies durch Richtlinien für bedingten Zugriff zulässig ist.
Unterstützt die kennwortlose Authentifizierung wie Passkeys und FIDO2-Geräte im Gegensatz zum Remotesperrbildschirm.
Richtlinien für bedingten Zugriff, einschließlich mehrstufiger Authentifizierung und Anmeldehäufigkeit, werden neu ausgewertet, wenn der Benutzer erneut eine Verbindung mit seiner Sitzung herstellen kann.
Kann eine mehrstufige Authentifizierung erfordern, um zur Sitzung zurückzukehren und zu verhindern, dass Benutzer mit einem einfachen Benutzernamen und Kennwort entsperrt werden.

Wenn Sie das Sitzungssperrverhalten so konfigurieren möchten, dass der Remotesperrbildschirm angezeigt wird, anstatt die Sitzung zu trennen, lesen Sie Konfigurieren des Verhaltens der Sitzungssperre.

Active Directory-Domänenadministratorkonten mit einmaligem Anmelden

In Umgebungen mit einem Active Directory Domain Services (AD DS) und Hybridbenutzerkonten verweigert die Standardkennwortreplikationsrichtlinie auf schreibgeschützten Domänencontrollern die Kennwortreplikation für Mitglieder der Sicherheitsgruppen Domänenadministratoren und Administratoren. Diese Richtlinie verhindert, dass sich diese Administratorkonten bei Microsoft Entra hybrid eingebundenen Hosts anmelden, und fordert sie möglicherweise immer wieder auf, ihre Anmeldeinformationen einzugeben. Außerdem wird verhindert, dass Administratorkonten auf lokale Ressourcen zugreifen, die die Kerberos-Authentifizierung von Microsoft Entra eingebundenen Hosts verwenden. Es wird aus Sicherheitsgründen nicht empfohlen, eine Verbindung mit einer Remotesitzung mithilfe eines Kontos herzustellen, bei dem es sich um einen Domänenadministrator handelt.

Wenn Sie Änderungen an einem Sitzungshost als Administrator vornehmen müssen, melden Sie sich mit einem Nicht-Administratorkonto beim Sitzungshost an, und verwenden Sie dann die Option Als Administrator ausführen oder das Runas-Tool an einer Eingabeaufforderung, um zu einem Administrator zu wechseln.

Voraussetzungen

Bevor Sie einmaliges Anmelden aktivieren können, müssen die folgenden Voraussetzungen erfüllt sein:

Zum Konfigurieren Ihres Microsoft Entra Mandanten muss Ihnen eine der folgenden Microsoft Entra integrierten Rollen oder eine gleichwertige Rolle zugewiesen werden:
- Anwendungsadministrator
- Cloudanwendungsadministrator
Auf Ihren Sitzungshosts muss eines der folgenden Betriebssysteme ausgeführt werden, auf denen das entsprechende kumulative Update installiert ist:
- Windows 11 Enterprise einzelne oder mehrere Sitzungen mit installiertem kumulativem Updates 2022-10 für Windows 11 (KB5018418) oder höher.
- Windows 10 Enterprise einzelne oder mehrere Sitzungen mit installiertem kumulativem Updates 2022-10 für Windows 10 (KB5018410) oder höher.
- Windows Server 2022 mit installiertem kumulativem Update 2022-10 für das Microsoft-Serverbetriebssystem (KB5018421) oder höher.
Ihre Sitzungshosts müssen Microsoft Entra oder hybrid eingebunden Microsoft Entra sein. Sitzungshosts, die nur mit Microsoft Entra Domain Services oder nur mit Active Directory Domain Services verknüpft sind, werden nicht unterstützt.

Wenn sich Ihre Microsoft Entra hybrid eingebundenen Sitzungshosts in einer anderen Active Directory-Domäne als Ihre Benutzerkonten befinden, muss eine bidirektionale Vertrauensstellung zwischen den beiden Domänen vorhanden sein. Ohne die bidirektionale Vertrauensstellung greifen Verbindungen auf ältere Authentifizierungsprotokolle zurück.
Installieren Sie das Microsoft Graph PowerShell SDK Version 2.9.0 oder höher auf Ihrem lokalen Gerät oder in Azure Cloud Shell.
Verwenden Sie eine unterstützte Version von Windows App oder den Remotedesktopclient, um eine Verbindung mit einer Remotesitzung herzustellen. Die folgenden Plattformen und Versionen werden unterstützt:
- Windows App:
  - Windows: Alle Versionen von Windows App. Es ist nicht erforderlich, dass der lokale PC mit Microsoft Entra ID oder einer Active Directory-Domäne verknüpft ist.
  - macOS: Version 10.9.10 oder höher.
  - iOS/iPadOS: Version 10.5.2 oder höher.
  - Webbrowser.
- Remotedesktopclient:
  - Windows Desktop-Client auf lokalen PCs, auf denen Windows 10 oder höher ausgeführt wird. Es ist nicht erforderlich, dass der lokale PC mit Microsoft Entra ID oder einer Active Directory-Domäne verknüpft ist.
  - Webclient.
  - macOS-Client, Version 10.8.2 oder höher.
  - iOS-Client, Version 10.5.1 oder höher.
  - Android-Client, Version 10.0.16 oder höher.

Aktivieren der Microsoft Entra-Authentifizierung für RDP

Sie müssen zunächst Microsoft Entra-Authentifizierung für Windows in Ihrem Microsoft Entra Mandanten zulassen, wodurch das Ausstellen von RDP-Zugriffstoken ermöglicht wird, die Es Benutzern ermöglichen, sich bei Ihren Azure Virtual Desktop-Sitzungshosts anzumelden. Sie legen die isRemoteDesktopProtocolEnabled -Eigenschaft für das -Objekt des remoteDesktopSecurityConfiguration Dienstprinzipals für die folgenden Microsoft Entra Anwendungen auf TRUE fest:

Name der Anwendung	Anwendungs-ID
Microsoft-Remotedesktop	`a4a365df-50f1-4397-bc59-1a1564b8bb9c`
Windows Cloud-Anmeldung	`270efc09-cd0d-444b-a71f-39af4910ec45`

Wichtig

Im Rahmen einer bevorstehenden Änderung wechseln wir ab 2024 von Microsoft-Remotedesktop zur Windows-Cloudanmeldung. Durch das Konfigurieren beider Anwendungen wird jetzt sichergestellt, dass Sie für die Änderung bereit sind.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell SDK , um ein neues remoteDesktopSecurityConfiguration-Objekt für den Dienstprinzipal zu erstellen, und legen Sie die -Eigenschaft isRemoteDesktopProtocolEnabled auf fest true. Sie können die Microsoft Graph-API auch mit einem Tool wie Graph Explorer verwenden.

Öffnen Sie Azure Cloud Shell im Azure-Portal mit dem PowerShell-Terminaltyp, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.
- Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.
- Wenn Sie PowerShell lokal verwenden, melden Sie sich zuerst mit Azure PowerShell an, und stellen Sie dann sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

Stellen Sie sicher, dass Sie das Microsoft Graph PowerShell SDK aus den erforderlichen Komponenten installiert haben, importieren Sie dann die Microsoft Graph-Module für Authentifizierung und Anwendungen , und stellen Sie eine Verbindung mit Microsoft Graph mit den Application.Read.All Bereichen und Application-RemoteDesktopConfig.ReadWrite.All her, indem Sie die folgenden Befehle ausführen:
```
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
```

Rufen Sie die Objekt-ID für jeden Dienstprinzipal ab, und speichern Sie sie in Variablen, indem Sie die folgenden Befehle ausführen:

$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

Legen Sie die -Eigenschaft isRemoteDesktopProtocolEnabled auf fest, true indem Sie die folgenden Befehle ausführen. Es gibt keine Ausgabe dieser Befehle.

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

Vergewissern Sie sich, dass die Eigenschaft isRemoteDesktopProtocolEnabled auf true festgelegt ist, indem Sie die folgenden Befehle ausführen:

Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

Die Ausgabe für beide Befehle sollte wie folgt lauten:

Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Wenn einmaliges Anmelden aktiviert ist, wird Benutzern standardmäßig ein Dialogfeld zum Zulassen der Remotedesktopverbindung angezeigt, wenn sie eine Verbindung mit einem neuen Sitzungshost herstellen. Microsoft Entra speichert bis zu 15 Hosts für 30 Tage, bevor es erneut aufgefordert wird. Wenn benutzern dieses Dialogfeld angezeigt wird, um die Remotedesktopverbindung zuzulassen, können sie Ja auswählen, um eine Verbindung herzustellen.

Sie können dieses Dialogfeld ausblenden, indem Sie eine Liste vertrauenswürdiger Geräte konfigurieren. Um die Geräteliste zu konfigurieren, erstellen Sie eine oder mehrere Gruppen in Microsoft Entra ID, die Ihre Sitzungshosts enthält, und fügen Sie dann die Gruppen-IDs einer Eigenschaft für die SSO-Dienstprinzipale Microsoft-Remotedesktop undWindows Cloud Login hinzu.

Tipp

Es wird empfohlen, eine dynamische Gruppe zu verwenden und die Regeln für die dynamische Mitgliedschaft so zu konfigurieren, dass alle Ihre Azure Virtual Desktop-Sitzungshosts einbezogen werden. Sie können die Gerätenamen in dieser Gruppe verwenden, aber für eine sicherere Option können Sie Geräteerweiterungsattribute mithilfe von Microsoft Graph-API festlegen und verwenden. Während dynamische Gruppen normalerweise innerhalb von 5 bis 10 Minuten aktualisiert werden, können große Mandanten bis zu 24 Stunden dauern.

Dynamische Gruppen erfordern die Microsoft Entra ID P1-Lizenz oder Intune für Bildungseinrichtungen.Dynamic groups requires the Microsoft Entra ID P1 license or Intune for Education license. Weitere Informationen finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell SDK , um ein neues targetDeviceGroup-Objekt für den Dienstprinzipal mit der Objekt-ID und dem Anzeigenamen der dynamischen Gruppe zu erstellen. Sie können die Microsoft Graph-API auch mit einem Tool wie Graph Explorer verwenden.

Erstellen Sie eine dynamische Gruppe in Microsoft Entra ID mit den Sitzungshosts, für die Sie das Dialogfeld ausblenden möchten. Notieren Sie sich die Objekt-ID der Gruppe für den nächsten Schritt.
Erstellen Sie in derselben PowerShell-Sitzung ein targetDeviceGroup -Objekt, indem Sie die folgenden Befehle ausführen und dabei durch <placeholders> Ihre eigenen Werte ersetzen:
```
$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"
```

Fügen Sie die Gruppe dem targetDeviceGroup -Objekt hinzu, indem Sie die folgenden Befehle ausführen:

New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

Wiederholen Sie die Schritte 2 und 3 für jede Gruppe, die Sie dem targetDeviceGroup Objekt hinzufügen möchten, bis zu maximal 10 Gruppen.

Wenn Sie später eine Gerätegruppe aus dem targetDeviceGroup Objekt entfernen müssen, führen Sie die folgenden Befehle aus, und ersetzen Sie dabei durch <placeholders> Ihre eigenen Werte:

Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Erstellen eines Kerberos-Serverobjekts

Wenn Ihre Sitzungshosts die folgenden Kriterien erfüllen, müssen Sie ein Kerberos-Serverobjekt erstellen. Weitere Informationen finden Sie unter Aktivieren der kennwortlosen Anmeldung von Sicherheitsschlüsseln bei lokalen Ressourcen mithilfe von Microsoft Entra ID, insbesondere im Abschnitt Erstellen eines Kerberos-Serverobjekts:

Ihr Sitzungshost ist Microsoft Entra hybrid eingebunden. Sie benötigen ein Kerberos-Serverobjekt, um die Authentifizierung bei einem Domänencontroller abzuschließen.
Ihr Sitzungshost ist Microsoft Entra eingebunden, und Ihre Umgebung enthält Active Directory-Domänencontroller. Sie benötigen ein Kerberos-Serverobjekt, damit Benutzer auf lokale Ressourcen zugreifen können, z. B. SMB-Freigaben und die in Windows integrierte Authentifizierung bei Websites.

Wichtig

Wenn Sie einmaliges Anmelden auf Microsoft Entra hybrid eingebundenen Sitzungshosts aktivieren, ohne ein Kerberos-Serverobjekt zu erstellen, kann beim Herstellen einer Verbindung mit einer Remotesitzung eine der folgenden Aktionen auftreten:

Sie erhalten eine Fehlermeldung, die besagt, dass die bestimmte Sitzung nicht vorhanden ist.
Einmaliges Anmelden wird übersprungen, und es wird ein Standardauthentifizierungsdialogfeld für den Sitzungshost angezeigt.

Um diese Probleme zu beheben, erstellen Sie das Kerberos-Serverobjekt, und stellen Sie dann erneut eine Verbindung her.

Überprüfen Ihrer Richtlinien für bedingten Zugriff

Wenn einmaliges Anmelden aktiviert ist, wird eine neue Microsoft Entra ID-App eingeführt, um Benutzer beim Sitzungshost zu authentifizieren. Wenn Sie über Richtlinien für bedingten Zugriff verfügen, die beim Zugriff auf Azure Virtual Desktop gelten, lesen Sie die Empfehlungen zum Einrichten der mehrstufigen Authentifizierung , um sicherzustellen, dass Benutzer die gewünschte Erfahrung haben.

Konfigurieren Ihres Hostpools zum Aktivieren des einmaligen Anmeldens

Um einmaliges Anmelden in Ihrem Hostpool zu aktivieren, müssen Sie die folgende RDP-Eigenschaft konfigurieren, die Sie mit dem Azure-Portal oder PowerShell ausführen können. Die Schritte zum Konfigurieren von RDP-Eigenschaften finden Sie unter Anpassen von RDP-Eigenschaften (Remotedesktopprotokoll) für einen Hostpool.

Legen Sie im Azure-Portal Microsoft Entra einmaliges Anmelden auffest, Connections Microsoft Entra Authentifizierung verwendet, um einmaliges Anmelden bereitzustellen.
Legen Sie für PowerShell die enablerdsaadauth-Eigenschaft auf 1 fest.

Nächste Schritte

Lesen Sie die kennwortlose In-Session-Authentifizierung , um zu erfahren, wie Sie die kennwortlose Authentifizierung aktivieren.
Erfahren Sie, wie Sie das Sitzungssperrverhalten für Azure Virtual Desktop konfigurieren.
Weitere Informationen zu Microsoft Entra Kerberos finden Sie unter Ausführliche Informationen: Funktionsweise Microsoft Entra Kerberos.
Wenn Probleme auftreten, wechseln Sie zu Problembehandlung bei Verbindungen mit Microsoft Entra verknüpften VMs.