Unterstützte Identitäten und Authentifizierungsmethoden
In diesem Artikel geben wir Ihnen einen kurzen Überblick über die Arten von Identitäten und Authentifizierungsmethoden, die Sie in Azure Virtual Desktop verwenden können.
Identities
Azure Virtual Desktop unterstützt verschiedene Arten von Identitäten abhängig von der ausgewählten Konfiguration. In diesem Abschnitt wird erläutert, welche Identitäten Sie für jede Konfiguration verwenden können.
Wichtig
Azure Virtual Desktop unterstützt nicht die Anmeldung bei Microsoft Entra ID mit einem einzigen Benutzerkonto und die anschließende Anmeldung bei Windows mit einem separaten Benutzerkonto. Die gleichzeitige Anmeldung mit zwei unterschiedlichen Konten kann dazu führen, dass Benutzer wieder eine Verbindung mit dem falschen Sitzungshost herstellen, dass falsche oder fehlende Informationen im Azure-Portal angezeigt werden und dass während der Verwendung von MSIX App Attach Fehlermeldungen erscheinen.
Lokale Identität
Da Benutzer über Microsoft Entra ID auffindbar sein müssen, um auf den Azure Virtual Desktop zuzugreifen, werden Benutzeridentitäten, die nur in Active Directory Domain Services (AD DS) existieren, nicht unterstützt. Das umfasst auch eigenständige Active Directory-Bereitstellungen mit Active Directory-Verbunddiensten (AD FS).
Hybrididentität
Azure Virtual Desktop unterstützt Hybrididentitäten über Microsoft Entra ID, einschließlich solcher, die über AD FS einem Verbund angehören. Sie können diese Benutzeridentitäten in AD DS verwalten und mit Microsoft Entra ID mit Microsoft Entra Connectsynchronisieren. Sie können die Microsoft Entra-ID auch verwenden, um diese Identitäten zu verwalten und mit Microsoft Entra Domain Services zu synchronisieren.
Wenn Sie mit Hybrididentitäten auf Azure Virtual Desktop zugreifen, stimmen manchmal der User Principal Name (UPN) oder Security Identifier (SID) für den Benutzer in Active Directory (AD) und die Microsoft Entra ID nicht überein. Beispielsweise kann das AD-Konto user@contoso.local einer Microsoft Entra-ID user@contoso.com entsprechen. Azure Virtual Desktop unterstützt diese Art der Konfiguration nur, wenn entweder der UPN oder die SID für Ihr AD- und Microsoft Entra ID-Konto übereinstimmen. SID bezieht sich auf die Benutzerobjekteigenschaft „ObjectSID“ in AD und „OnPremisesSecurityIdentifier“ in Microsoft Entra ID.
Reine Cloudidentität
Azure Virtual Desktop unterstützt reine Cloudidentitäten bei Verwendung von in Microsoft Entra eingebundenen VMs. Diese Benutzer werden direkt in der Microsoft Entra ID erstellt und verwaltet.
Hinweis
Sie können hybride Identitäten auch Azure Virtual Desktop-Anwendungsgruppen zuweisen, die Sitzungshosts des Verbindungstyps „In Microsoft Entra eingebunden“ hosten.
Identitätsanbieter von Drittherstellern
Wenn Sie einen anderen Identitätsanbieter (IdP) als Microsoft Entra ID verwenden, um Ihre Benutzerkonten zu verwalten, müssen Sie Folgendes sicherstellen:
- Ihr IdP wird mit der Microsoft Entra-ID verbunden.
- Ihre Sitzungshosts sind Microsoft Entra beigetreten oder Microsoft Entra hybrid eingebunden.
- Sie aktivieren die Microsoft Entra-Authentifizierung für den Sitzungshost.
Externe Identität
Azure Virtual Desktop unterstützt derzeit keine externen Identitäten.
Authentifizierungsmethoden
Für Benutzer, die eine Verbindung mit einer Remotesitzung herstellen, gibt es drei separate Authentifizierungspunkte:
Dienstauthentifizierung für Azure Virtual Desktop: Abrufen einer Liste von Ressourcen, auf die der Benutzer beim Zugriff auf den Client zugreifen kann. Die Erfahrung hängt von der Konfiguration des Microsoft Entra-Kontos ab. Wenn der Benutzer beispielsweise die mehrstufige Authentifizierung aktiviert hat, wird der Benutzer zur Eingabe seines Benutzerkontos und einer zweiten Authentifizierungsform aufgefordert, auf die gleiche Weise wie beim Zugriff auf andere Dienste.
Sitzungshost: Beim Starten einer Remotesitzung. Für einen Sitzungshost sind ein Benutzername und ein Kennwort erforderlich. Dies ist jedoch nahtlos für den Benutzer, wenn einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.
In-Session-Authentifizierung: Herstellen einer Verbindung mit anderen Ressourcen innerhalb einer Remotesitzung.
In den folgenden Abschnitten werden die einzelnen Authentifizierungspunkte ausführlicher erläutert.
Dienstauthentifizierung
Um auf Azure Virtual Desktop-Ressourcen zugreifen zu können, müssen Sie sich zunächst beim Dienst authentifizieren, indem Sie sich mit einem Microsoft Entra-Konto anmelden. Die Authentifizierung erfolgt beim Abonnieren eines Arbeitsbereichs, um Ihre Ressourcen abzurufen oder eine Verbindung mit Apps oder Desktops herzustellen. Sie können Identitätsanbieter von Drittherstellern verwenden, sofern diese sich in einem Verbund mit Microsoft Entra ID befinden.
Mehrstufige Authentifizierung
Befolgen Sie die Anweisungen unter Erzwingen der Microsoft Entra-Multi-Faktor-Authentifizierung für Azure Virtual Desktop mit bedingtem Zugriff, um zu erfahren, wie Sie die Microsoft Entra Mehrfaktor-Authentifizierung für Ihre Bereitstellung erzwingen. In diesem Artikel erfahren Sie auch, wie Sie konfigurieren, wie häufig Ihre Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. Beachten Sie beim Bereitstellen von in Microsoft Entra eingebundenen VMs die zusätzlichen Schritte für in Microsoft Entra eingebundene Sitzungshost-VMs.
Kennwortlose Authentifizierung
Sie können einen beliebigen Authentifizierungstyp verwenden, der von Microsoft Entra ID unterstützt wird, z. B. Windows Hello for Business und andere kennwortlose Authentifizierungsoptionen (z. B. FIDO-Schlüssel), um sich beim Dienst zu authentifizieren.
Authentifizierung mit Smartcards
Um eine Smartcard zur Authentifizierung bei Microsoft Entra ID verwenden zu können, müssen Sie zuerst AD FS für Benutzerzertifikat-Authentifizierung oder zertifikatbasierte Microsoft Entra-Authentifizierung konfigurieren.
Sitzungshostauthentifizierung
Wenn Sie einmaliges Anmelden (Single Sign-On, SSO) noch nicht aktiviert oder Ihre Anmeldeinformationen lokal gespeichert haben, müssen Sie sich auch beim Sitzungshost authentifizieren, wenn Sie eine Verbindung einrichten. In der folgenden Liste wird beschrieben, welche Authentifizierungstypen jeder Azure Virtual Desktop-Client derzeit unterstützt. Einige Clients erfordern möglicherweise eine bestimmte Version, die Sie unter dem Link für jede Authentifizierungsart finden können.
| Client | Unterstützte Authentifizierungstypen |
|---|---|
| Windows-Desktop-Client | Benutzername und Kennwort Smartcard Windows Hello for Business (Zertifikatvertrauensstellung) Windows Hello for Business (Schlüsselvertrauensstellung mit Zertifikaten) Microsoft Entra-Authentifizierung |
| Azure Virtual Desktop Store-App | Benutzername und Kennwort Smartcard Windows Hello for Business (Zertifikatvertrauensstellung) Windows Hello for Business (Schlüsselvertrauensstellung mit Zertifikaten) Microsoft Entra-Authentifizierung |
| Remotedesktop-App | Benutzername und Kennwort |
| Webclient | Benutzername und Kennwort Microsoft Entra-Authentifizierung |
| Android-Client | Benutzername und Kennwort Microsoft Entra-Authentifizierung |
| iOS-Client | Benutzername und Kennwort Microsoft Entra-Authentifizierung |
| macOS-Client | Benutzername und Kennwort Smartcard: Unterstützung für smartcardbasierte Anmeldung über eine Smartcardumleitung an der Eingabeaufforderung der Windows-Anmeldung, wenn die Authentifizierung auf Netzwerkebene nicht ausgehandelt wurde. Microsoft Entra-Authentifizierung |
Wichtig
Damit die Authentifizierung ordnungsgemäß funktioniert, muss Ihr lokaler Computer auch in der Lage sein, auf die erforderlichen URLs für Remotedesktopclients zuzugreifen.
Einmaliges Anmelden (Single Sign-On, SSO)
SSO ermöglicht es der Verbindung, die Eingabeaufforderung für die Anmeldeinformationen des Sitzungshosts zu überspringen und den Benutzer automatisch bei Windows anzumelden. Für Sitzungshosts, bei denen Microsoft Entra oder Microsoft Entra hybrid eingebunden ist, empfiehlt es sich, SSO mithilfe der Microsoft Entra-Authentifizierung zu aktivieren. Microsoft Entra-Authentifizierung bietet weitere Vorteile, etwa kennwortlose Authentifizierung und Unterstützung für Identitätsanbieter von Drittanbietern.
Azure Virtual Desktop unterstützt auch einmaliges Anmelden mit den Active Directory-Verbunddiensten (AD FS) für Windows Desktop- und Webclients.
Ohne SSO fordert der Client Benutzer bei jedem Herstellen einer Verbindung zur Eingabe ihrer Sitzungshostanmeldeinformationen auf. Die einzige Möglichkeit, diese Eingabeaufforderung zu vermeiden, besteht darin, die Anmeldeinformationen im Client zu speichern. Es wird empfohlen, Anmeldeinformationen nur auf sicheren Geräten zu speichern, um zu verhindern, dass andere Benutzer auf Ihre Ressourcen zugreifen können.
Smart-Card und Windows Hello for Business
Azure Virtual Desktop unterstützt sowohl integrierte Windows-Authentifizierung (NT LAN Manager, NTLM) als auch Kerberos für die Sitzungshostauthentifizierung. Smartcard und Windows Hello for Business können jedoch nur Kerberos verwenden, um sich anzumelden. Zur Verwendung von Kerberos muss der Client Kerberos-Sicherheitstickets von einem KDC-Dienst (Key Distribution Center) abrufen, der auf einem Domänencontroller ausgeführt wird. Zum Abrufen von Tickets benötigt der Client direkte Netzwerksicht auf den Domänencontroller. Eine solche Sicht können Sie erreichen, indem Sie eine direkte Verbindung mit Ihrem Unternehmensnetzwerk herstellen und dabei eine VPN-Verbindung verwenden oder einen KDC-Proxyserver einrichten.
Sitzungsinterne Authentifizierung
Nachdem Sie eine Verbindung mit Ihrer RemoteApp oder Ihrem Desktop hergestellt haben, werden Sie innerhalb der Sitzung möglicherweise aufgefordert, sich zu authentifizieren. In diesem Abschnitt wird erläutert, wie Sie in diesem Szenario andere Anmeldeinformationen als Benutzername und Kennwort verwenden.
Kennwortlose In-Session-Authentifizierung
Azure Virtual Desktop unterstützt kennwortlose In-Session-Authentifizierung mithilfe von Windows Hello for Business bzw. Sicherheitsgeräten wie FIDO-Schlüsseln bei Verwendung des Windows-Desktopclients. Die kennwortlose Authentifizierung wird automatisch aktiviert, wenn der Sitzungshost und der lokale PC die folgenden Betriebssysteme verwenden:
- Windows 11 Einzel- oder Mehrfachsitzung mit installierten kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher.
- Windows 10 Einzel- oder Mehrfachsitzung, Versionen 20H2 oder höher, mit installierten kumulativen Updates 2022-10 für Windows 10 (KB5018410) oder höher.
- Windows Server 2022 mit dem kumulativen Update 2022-10 für Microsoft Server-Betriebssystem (KB5018421) oder höher installiert.
Um die kennwortlose Authentifizierung für Ihren Hostpool zu deaktivieren, müssen Sie eine RDP-Eigenschaft anpassen. Navigieren Sie im Azure-Portal auf der Registerkarte Geräteumleitung zur Eigenschaft WebAuthn-Umleitung, oder legen Sie die Eigenschaft redirectwebauthn mithilfe von PowerShell auf 0 fest.
Bei diese Option aktiviert ist, werden alle WebAuthn-Anforderungen in der Sitzung an den lokalen PC umgeleitet. Sie können Windows Hello for Business oder lokal angefügte Sicherheitsgeräte verwenden, um den Authentifizierungsprozess abzuschließen.
Um auf Microsoft Entra-Ressourcen mit Windows Hello for Business oder Sicherheitsgeräten zuzugreifen, müssen Sie den FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode für Ihre Benutzer aktivieren. Um diese Methode zu aktivieren, führen Sie die Schritte unter Aktivieren der FIDO2-Sicherheitsschlüsselmethode aus.
In-Session-Smartcardauthentifizierung
Um in Ihrer Sitzung eine Smartcard zu verwenden, vergewissern Sie sich, dass die Smartcardtreiber auf dem Sitzungshost installiert sind und Smartcardumleitung aktiviert ist. Vergewissern Sie sich im Vergleichsdiagramm für Clients, dass Ihr Client die Umleitung von Smartcards unterstützt.
Nächste Schritte
- Sind Sie neugierig auf andere Möglichkeiten, Ihre Bereitstellung sicher zu gestalten? Weitere Informationen finden Sie unter Bewährte Methoden für Sicherheit.
- Haben Sie Probleme beim Herstellen einer Verbindung mit VMs in Microsoft Entra? Siehe Problembehandlung bei Verbindungen mit Microsoft Entra verbundenen VMs.
- Haben Sie Probleme mit kennwortloser In-Session-Authentifizierung? Lesen Sie Problembehandlung von WebAuthn-Umleitung.
- Möchten Sie Smartcards von Stellen außerhalb Ihres Unternehmensnetzwerks verwenden? Erfahren Sie, wie Sie einen KDC-Proxyserver einrichten.