Freigeben über

Konfigurieren von einmaligem Anmelden für Azure Virtual Desktop mit Microsoft Entra ID

  • Artikel

Einmaliges Anmelden (Single Sign-On, SSO) für Azure Virtual Desktop mit Microsoft Entra ID bietet eine nahtlose Anmeldeumgebung für Benutzer, die eine Verbindung mit Sitzungshosts herstellen. Wenn Sie das einmalige Anmelden aktivieren, authentifizieren sich Benutzer und Benutzerinnen mit einem Microsoft Entra-ID-Token bei Windows. Dieses Token ermöglicht die Verwendung von kennwortlosen Authentifizierungsanbietern und Identitätsanbietern von Drittherstellern, die beim Herstellen einer Verbindung mit einem Sitzungshost eine Verbindung mit Microsoft Entra ID herstellen und dadurch die Anmeldeerfahrung nahtlos gestalten.

Einmaliges Anmelden mit Microsoft Entra ID bietet auch eine nahtlose Erfahrung für auf Microsoft Entra ID basierende Ressourcen innerhalb der Sitzung. Weitere Informationen zur Verwendung der kennwortlosen Authentifizierung innerhalb einer Sitzung finden Sie unter Kennwortlose In-Session-Authentifizierung.

Um einmaliges Anmelden mit der Microsoft Entra ID-Authentifizierung zu aktivieren, müssen Sie fünf Aufgaben ausführen:

  1. Aktivieren der Microsoft Entra-Authentifizierung für RDP (Remote Desktop Protocol).

  2. Ausblenden des Dialogfelds zur Zustimmungsaufforderung

  3. Erstellen Sie ein Kerberos-Serverobjekt, wenn Active Directory Domain Services Teil Ihrer Umgebung ist. Weitere Informationen zu den Kriterien finden Sie im zugehörigen Abschnitt.

  4. Überprüfen Sie Ihre Richtlinien für bedingten Zugriff.

  5. Konfigurieren Sie Ihren Hostpool, sodass einmaliges Anmelden möglich ist.

Bevor Sie das einmalige Anmelden aktivieren

Bevor Sie das einmalige Anmelden aktivieren, lesen Sie die folgenden Informationen zu seiner Verwendung in Ihrer Umgebung.

Sitzungssperrverhalten

Wenn einmaliges Anmelden (SSO) mithilfe von Microsoft Entra ID aktiviert ist und die Remotesitzung entweder durch den Benutzer oder durch eine Richtlinie gesperrt ist, können Sie auswählen, ob die Sitzung getrennt oder der Remotesperrbildschirm angezeigt wird. Das Standardverhalten besteht darin, die Sitzung zu trennen, wenn sie gesperrt wird.

Wenn das Sitzungssperrverhalten auf „Trennen“ festgelegt ist, wird ein Dialogfeld angezeigt, in dem Benutzer über die Trennung informiert werden. Benutzer können im Dialogfeld die Option Verbindung wiederherstellen auswählen, wenn sie wieder eine Verbindung herstellen möchten. Dieses Verhalten erfolgt aus Sicherheitsgründen und zur Gewährleistung der vollständigen Unterstützung der kennwortlosen Authentifizierung. Das Trennen der Sitzung bietet die folgenden Vorteile:

  • Konsistente Anmeldeerfahrung über Microsoft Entra ID, wenn erforderlich

  • Einmaliges Anmelden und erneutes Verbinden ohne Authentifizierungsaufforderung, wenn dies durch Richtlinien für bedingten Zugriff zulässig ist

  • Unterstützung der kennwortlosen Authentifizierung, etwa mit Passkeys und FIDO2-Geräten, im Gegensatz zum Remotesperrbildschirm

  • Richtlinien für bedingten Zugriff, einschließlich Multi-Faktor-Authentifizierung und Anmeldehäufigkeit, werden neu ausgewertet, wenn der Benutzer die Verbindung mit seiner Sitzung wiederherstellt.

  • Kann Multi-Faktor-Authentifizierung erfordern, um zur Sitzung zurückzukehren und Benutzer am Entsperren mit einem einfachen Benutzernamen und Kennwort zu hindern.

Wenn Sie das Sitzungssperrverhalten so konfigurieren möchten, dass der Remotesperrbildschirm angezeigt wird, anstatt die Sitzung zu trennen, lesen Sie die Informationen unter Konfigurieren des Sitzungssperrverhaltens.

Verwenden eines Active Directory-Domänenadministratorkontos mit einmaligem Anmelden

In Umgebungen mit Active Directory Domain Services- (AD DS)- und hybriden Benutzerkonten verweigert die Standardrichtlinie für Kennwortreplikation auf schreibgeschützten Domänencontrollern die Replikation von Kennwörtern für Mitglieder der Sicherheitsgruppen Domänenadministratoren und Administratoren. Diese Richtlinie verhindert, dass sich diese Administratorkonten bei in Microsoft Entra eingebundenen Hybridhosts anmelden. Sie werden möglicherweise weiterhin aufgefordert, ihre Anmeldeinformationen einzugeben. Außerdem verhindert diese Richtlinie, dass Administratorkonten auf lokale Ressourcen zugreifen, die Kerberos-Authentifizierung von in Microsoft Entra eingebundenen Hosts verwenden. Es wird aus Sicherheitsgründen nicht empfohlen, mithilfe eines Domänenadministratorkontos eine Verbindung mit einer Remotesitzung herzustellen.

Wenn Sie als Administrator oder Administratorin Änderungen an einem Sitzungshost vornehmen müssen, melden Sie sich mit einem Nicht-Administratorkonto beim Sitzungshost an, und verwenden Sie dann die Option Als Administrator ausführen oder das runas-Tool über eine Eingabeaufforderung, um zu Administratorrechten zu wechseln.

Voraussetzungen

Bevor Sie einmaliges Anmelden aktivieren können, müssen Sie folgende Voraussetzungen erfüllen:

Aktivieren der Microsoft Entra-Authentifizierung für RDP

Sie müssen zuerst die Microsoft Entra-Authentifizierung für Windows in Ihrem Microsoft Entra-Mandanten zulassen. Dadurch wird das Ausstellen von RDP-Zugriffstoken ermöglicht, sodass sich Benutzer und Benutzerinnen bei Ihren Azure Virtual Desktop-Sitzungshosts anmelden können. Sie legen die Eigenschaft isRemoteDesktopProtocolEnabled im remoteDesktopSecurityConfiguration-Objekt des Dienstprinzipals für die folgenden Microsoft Entra-Anwendungen auf „true“ fest:

Anwendungsname Anwendungs-ID
Microsoft-Remotedesktop a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login 270efc09-cd0d-444b-a71f-39af4910ec45

Wichtig

Im Rahmen einer bevorstehenden Änderung stellen wir ab 2024 von Microsoft Remote Desktop auf Windows Cloud Login um. Durch das Konfigurieren beider Anwendungen wird sichergestellt, dass Sie für die Änderung gerüstet sind.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell-SDK, um auf dem Dienstprinzipal ein neues remoteDesktopSecurityConfiguration-Objekt zu erstellen, und legen Sie die Eigenschaft isRemoteDesktopProtocolEnabled auf true fest. Sie können auch die Microsoft Graph-API mit einem Tool wie Graph-Explorer verwenden.

  1. Öffnen Sie Azure Cloud Shell im Azure-Portal mit dem Terminaltyp PowerShell, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.

  1. Vergewissern Sie sich, dass Sie das Microsoft Graph PowerShell-SDK aus den Voraussetzungen installiert haben. Importieren Sie dann die Microsoft Graph-Module Authentifizierung und Anwendungen, und stellen Sie eine Verbindung mit Microsoft Graph und den Bereichen Application.Read.All und Application-RemoteDesktopConfig.ReadWrite.All her, indem Sie die folgenden Befehle ausführen:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Rufen Sie die Objekt-ID für jeden Dienstprinzipal ab, und speichern Sie diese in Variablen, indem Sie die folgenden Befehle ausführen:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Legen Sie die Eigenschaft isRemoteDesktopProtocolEnabled auf true fest, indem Sie die folgenden Befehle ausführen. Diese Befehle geben keine Ausgabe aus.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Vergewissern Sie sich, dass die Eigenschaft isRemoteDesktopProtocolEnabled auf true festgelegt ist, indem Sie die folgenden Befehle ausführen:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    Die Ausgabe sollte wie folgt sein:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Wenn einmaliges Anmelden aktiviert ist, wird Benutzern standardmäßig ein Dialogfeld angezeigt, in dem die Remotedesktopverbindung beim Herstellen einer Verbindung mit einem neuen Sitzungshost zugelassen wird. Microsoft Entra erinnert sich 30 Tage lang an bis zu 15 Hosts, bevor Sie erneut zur Authentifizierung aufgefordert werden. Wenn Benutzern ein Dialogfeld zum Zulassen der Remotedesktopverbindung angezeigt wird, können sie Ja auswählen, um eine Verbindung herzustellen.

Sie können dieses Dialogfeld ausblenden, indem Sie eine Liste vertrauenswürdiger Geräte konfigurieren. Erstellen Sie zum Konfigurieren der Liste mit Geräten mindestens eine Gruppe in Microsoft Entra ID, die Ihre Sitzungshosts enthält. Fügen Sie dann die Gruppen-IDs zu einer Eigenschaft für die SSO-Dienstprinzipale (Microsoft Remote Desktop und Windows Cloud Login) hinzu.

Tipp

Wir empfehlen, eine dynamische Gruppe zu verwenden und die Regeln für die dynamische Mitgliedschaft so zu konfigurieren, dass alle Azure Virtual Desktop-Sitzungshosts aufgenommen werden. Sie können die Gerätenamen in dieser Gruppe verwenden, eine sichere Option besteht jedoch darin, die Geräteerweiterungsattribute mithilfe der Microsoft Graph-API festzulegen und zu verwenden. Während dynamische Gruppen normalerweise innerhalb von 5 bis 10 Minuten aktualisiert werden, kann die Aktualisierung großer Mandanten bis zu 24 Stunden dauern.

Für dynamische Gruppen ist eine Microsoft Entra ID P1 Lizenz oder eine „Intune for Education“-Lizenz erforderlich. Weitere Informationen finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell-SDK, um im Dienstprinzipal ein neues targetDeviceGroup-Objekt mit der Objekt-ID und dem Anzeigenamen der dynamischen Gruppe zu erstellen. Sie können auch die Microsoft Graph-API mit einem Tool wie Graph-Explorer verwenden.

  1. Erstellen Sie eine dynamische Gruppe in der Microsoft Entra-ID, die die Sitzungshosts enthält, für die Sie das Dialogfeld ausblenden möchten. Notieren Sie sich die Objekt-ID der Gruppe für den nächsten Schritt.

  2. Erstellen Sie in derselben PowerShell-Sitzung ein targetDeviceGroup-Objekt, indem Sie die folgenden Befehle ausführen und hierbei die <placeholders> durch Ihre eigenen Werte ersetzen:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Fügen Sie die Gruppe dem targetDeviceGroup-Objekt hinzu, indem Sie die folgenden Befehle ausführen:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    Die Ausgabe sollte ungefähr wie das folgende Beispiel aussehen:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Wiederholen Sie die Schritte 2 und 3 für jede Gruppe, die Sie dem targetDeviceGroup-Objekt hinzufügen möchten. Sie können bis zu maximal 10 Gruppen hinzufügen.

  4. Wenn Sie später eine Gerätegruppe aus dem targetDeviceGroup-Objekt entfernen müssen, führen Sie die folgenden Befehle aus, wobei Sie die <placeholders> durch Ihre eigenen Werte ersetzen:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Erstellen eines Kerberos-Serverobjekts

Wenn Ihr Sitzungshost die folgenden Kriterien erfüllt, müssen Sie ein Kerberos-Serverobjekt erstellen:

  • Ihr Sitzungshost ist mit Microsoft Entra hybrid verbunden. Sie benötigen ein Kerberos-Serverobjekt, um die Authentifizierung bei einem Domänencontroller abzuschließen.

  • Ihr Sitzungshost ist in Microsoft Entra eingebunden und Ihre Umgebung enthält Active Directory-Domänencontroller. Sie benötigen ein Kerberos-Serverobjekt, damit Benutzer auf lokale Ressourcen zugreifen können, z. B. SMB-Freigaben und die in Windows integrierte Authentifizierung bei Websites.

Wichtig

Wenn Sie einmaliges Anmelden auf Ihren hybrid in Microsoft Entra eingebundenen VMs aktivieren, ohne ein Kerberos-Serverobjekt zu erstellen, kann Folgendes passieren:

  • Sie erhalten eine Fehlermeldung, die besagt, dass die betreffende Sitzung nicht vorhanden ist.
  • Einmaliges Anmelden wird übersprungen, und es wird ein Standard-Authentifizierungsdialogfeld für den Sitzungshost angezeigt.

Um diese Probleme zu beheben, erstellen Sie das Kerberos-Serverobjekt, und stellen Sie dann erneut eine Verbindung her.

Überprüfen Ihrer Richtlinien für bedingten Zugriff

Wenn das einmalige Anmelden aktiviert ist, wird eine neue Microsoft Entra ID-App eingeführt, um Benutzer*innen beim Sitzungshost zu authentifizieren. Wenn Sie Richtlinien für bedingten Zugriff haben, die beim Zugriff auf Azure Virtual Desktop gelten, lesen Sie die Empfehlungen zum Einrichten der Multi-Faktor-Authentifizierung, um sicherzustellen, dass Benutzer*innen die gewünschte Erfahrung machen.

Konfigurieren Ihres Hostpools, um einmaliges Anmelden zu aktivieren

Um das einmalige Anmelden für Ihren Hostpool zu aktivieren, müssen Sie die folgende RDP-Eigenschaft über das Azure-Portal oder mit PowerShell konfigurieren. Sie finden die entsprechenden Schritte zum Konfigurieren der RDP-Eigenschaften unter Anpassen von RDP-Eigenschaften (Remotedesktopprotokoll) für einen Hostpool.

  • Legen Sie im Azure-Portal Microsoft Entra Single SSO auf Connections fest, um die Microsoft Entra-Authentifizierung für Single Sign-On zu nutzen.

  • Legen Sie für PowerShell die enablerdsaadauth-Eigenschaft auf 1 fest.

Nächste Schritte