Delen via

Eenmalige aanmelding configureren voor Azure Virtual Desktop met behulp van Microsoft Entra-id

  • Artikel

Eenmalige aanmelding (SSO) voor Azure Virtual Desktop met behulp van Microsoft Entra ID biedt een naadloze aanmeldingservaring voor gebruikers die verbinding maken met sessiehosts. Wanneer u eenmalige aanmelding inschakelt, verifiëren gebruikers zich bij Windows met behulp van een Microsoft Entra ID-token. Dit token maakt het gebruik mogelijk van verificatie zonder wachtwoord en id-providers van derden die federeren met Microsoft Entra ID bij het maken van verbinding met een sessiehost, waardoor de aanmeldingservaring naadloos verloopt.

Eenmalige aanmelding met Behulp van Microsoft Entra ID biedt ook een naadloze ervaring voor op Microsoft Entra ID gebaseerde resources binnen de sessie. Zie Verificatie zonder wachtwoord binnen een sessie voor meer informatie over het gebruik van verificatie zonder wachtwoord.

Als u eenmalige aanmelding wilt inschakelen met microsoft Entra ID-verificatie, zijn er vijf taken die u moet uitvoeren:

  1. Schakel Microsoft Entra-verificatie in voor Remote Desktop Protocol (RDP).

  2. Het dialoogvenster toestemmingsprompt verbergen.

  3. Maak een Kerberos Server-object als Active Directory-domein Services deel uitmaakt van uw omgeving. Meer informatie over de criteria vindt u in de sectie.

  4. Controleer uw beleid voor voorwaardelijke toegang.

  5. Configureer uw hostgroep om eenmalige aanmelding in te schakelen.

Voordat u eenmalige aanmelding inschakelt

Voordat u eenmalige aanmelding inschakelt, raadpleegt u de volgende informatie voor gebruik in uw omgeving.

Gedrag van sessievergrendeling

Wanneer eenmalige aanmelding met microsoft Entra-id is ingeschakeld en de externe sessie is vergrendeld door de gebruiker of door beleid, kunt u kiezen of de sessie is verbroken of het externe vergrendelingsscherm wordt weergegeven. Het standaardgedrag is om de verbinding met de sessie te verbreken wanneer deze wordt vergrendeld.

Wanneer het sessievergrendelingsgedrag is ingesteld om de verbinding te verbreken, wordt er een dialoogvenster weergegeven om gebruikers te laten weten dat de verbinding is verbroken. Gebruikers kunnen de optie Opnieuw verbinding maken kiezen in het dialoogvenster wanneer ze weer verbinding kunnen maken. Dit gedrag wordt om veiligheidsredenen uitgevoerd en om volledige ondersteuning van verificatie zonder wachtwoord te garanderen. De verbinding met de sessie verbreken biedt de volgende voordelen:

  • Consistente aanmeldingservaring via Microsoft Entra-id wanneer dat nodig is.

  • Ervaring met eenmalige aanmelding en opnieuw verbinding maken zonder verificatieprompt wanneer dit is toegestaan door beleid voor voorwaardelijke toegang.

  • Ondersteunt verificatie zonder wachtwoord, zoals wachtwoordsleutels en FIDO2-apparaten, in tegenstelling tot het externe vergrendelingsscherm.

  • Beleidsregels voor voorwaardelijke toegang, waaronder meervoudige verificatie en aanmeldingsfrequentie, worden opnieuw geëvalueerd wanneer de gebruiker opnieuw verbinding maakt met de sessie.

  • Kan meervoudige verificatie vereisen om terug te keren naar de sessie en te voorkomen dat gebruikers ontgrendelen met een eenvoudige gebruikersnaam en wachtwoord.

Als u het gedrag voor sessievergrendeling wilt configureren om het externe vergrendelingsscherm weer te geven in plaats van de sessie te verbreken, raadpleegt u Het gedrag voor sessievergrendeling configureren.

Active Directory-domeinbeheerdersaccounts met eenmalige aanmelding

In omgevingen met een Active Directory-domein Services (AD DS) en hybride gebruikersaccounts weigert het standaardbeleid voor wachtwoordreplicatie op alleen-lezen domeincontrollers wachtwoordreplicatie voor leden van beveiligingsgroepen Domeinadministratoren en Beheerders. Met dit beleid voorkomt u dat deze beheerdersaccounts zich aanmelden bij hybride hosts die lid zijn van Microsoft Entra, en mogelijk blijven ze vragen hun referenties in te voeren. Het voorkomt ook dat beheerdersaccounts toegang hebben tot on-premises resources die kerberos-verificatie van aan Microsoft Entra gekoppelde hosts gebruiken. Het is raadzaam om om veiligheidsredenen geen verbinding te maken met een externe sessie met een account dat een domeinbeheerder is.

Als u wijzigingen wilt aanbrengen in een sessiehost als beheerder, meldt u zich aan bij de sessiehost met een niet-beheerdersaccount en gebruikt u vervolgens de optie Als administrator uitvoeren of het runas-hulpprogramma vanaf een opdrachtprompt om over te schakelen naar een beheerder.

Vereisten

Voordat u eenmalige aanmelding kunt inschakelen, moet u aan de volgende vereisten voldoen:

Microsoft Entra-verificatie inschakelen voor RDP

U moet eerst Microsoft Entra-verificatie voor Windows toestaan in uw Microsoft Entra-tenant, waardoor rdP-toegangstokens kunnen worden uitgegeven, zodat gebruikers zich kunnen aanmelden bij uw Azure Virtual Desktop-sessiehosts. U stelt de isRemoteDesktopProtocolEnabled eigenschap in op true voor het object van remoteDesktopSecurityConfiguration de service-principal voor de volgende Microsoft Entra-toepassingen:

Naam van de toepassing Application ID
Microsoft Extern bureaublad a4a365df-50f1-4397-bc59-1a1564b8bb9c
Aanmelding bij Windows Cloud 270efc09-cd0d-444b-a71f-39af4910ec45

Belangrijk

Als onderdeel van een aanstaande wijziging gaan we vanaf 2024 overstappen van Microsoft Extern bureaublad naar Windows Cloud Login. Als u beide toepassingen configureert, zorgt u ervoor dat u klaar bent voor de wijziging.

Als u de service-principal wilt configureren, gebruikt u de Microsoft Graph PowerShell SDK om een nieuw remoteDesktopSecurityConfiguration-object op de service-principal te maken en stelt u de eigenschap in isRemoteDesktopProtocolEnabled op true. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

  1. Open Azure Cloud Shell in Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

  1. Zorg ervoor dat u de Microsoft Graph PowerShell SDK hebt geïnstalleerd vanuit de vereisten, importeer vervolgens de Microsoft Graph-modules voor verificatie en toepassingen en maak verbinding met Microsoft Graph met de Application.Read.All en Application-RemoteDesktopConfig.ReadWrite.All bereiken door de volgende opdrachten uit te voeren:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Haal de object-id voor elke service-principal op en sla deze op in variabelen door de volgende opdrachten uit te voeren:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Stel de eigenschap isRemoteDesktopProtocolEnabled true in op door de volgende opdrachten uit te voeren. Er is geen uitvoer van deze opdrachten.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Controleer of de eigenschap isRemoteDesktopProtocolEnabled is ingesteld true door de volgende opdrachten uit te voeren:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    De uitvoer moet het volgende zijn:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Wanneer eenmalige aanmelding is ingeschakeld, zien gebruikers standaard een dialoogvenster om de verbinding met extern bureaublad toe te staan wanneer ze verbinding maken met een nieuwe sessiehost. Microsoft Entra onthoudt maximaal 30 dagen lang 15 hosts voordat u hierom wordt gevraagd. Als gebruikers deze dialoog zien om de verbinding met extern bureaublad toe te staan, kunnen ze Ja selecteren om verbinding te maken.

U kunt dit dialoogvenster verbergen door een lijst met vertrouwde apparaten te configureren. Als u de lijst met apparaten wilt configureren, maakt u een of meer groepen in Microsoft Entra-id die uw sessiehosts bevat en voegt u vervolgens de groeps-id's toe aan een eigenschap in de service-principals voor eenmalige aanmelding, Microsoft Extern bureaublad en Windows Cloud-aanmelding.

Tip

U wordt aangeraden een dynamische groep te gebruiken en de regels voor dynamisch lidmaatschap zo te configureren dat al uw Azure Virtual Desktop-sessiehosts worden opgenomen. U kunt de apparaatnamen in deze groep gebruiken, maar voor een veiligere optie kunt u kenmerken voor apparaatextensie instellen en gebruiken met behulp van Microsoft Graph API. Hoewel dynamische groepen normaal gesproken binnen 5-10 minuten worden bijgewerkt, kunnen grote tenants maximaal 24 uur duren.

Voor dynamische groepen is de Microsoft Entra ID P1-licentie of Intune for Education-licentie vereist. Zie Dynamische lidmaatschapsregels voor groepen voor meer informatie.

Als u de service-principal wilt configureren, gebruikt u de Microsoft Graph PowerShell SDK om een nieuw targetDeviceGroup-object op de service-principal te maken met de object-id en weergavenaam van de dynamische groep. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

  1. Maak een dynamische groep in Microsoft Entra-id met de sessiehosts waarvoor u het dialoogvenster wilt verbergen. Noteer de object-id van de groep voor de volgende stap.

  2. Maak in dezelfde PowerShell-sessie een targetDeviceGroup object door de volgende opdrachten uit te voeren, waarbij u de <placeholders> volgende waarden vervangt door uw eigen waarden:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Voeg de groep toe aan het targetDeviceGroup object door de volgende opdrachten uit te voeren:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    De uitvoer moet er ongeveer uitzien als in het volgende voorbeeld:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Herhaal stap 2 en 3 voor elke groep die u aan het targetDeviceGroup object wilt toevoegen, tot maximaal 10 groepen.

  4. Als u later een apparaatgroep uit het targetDeviceGroup object wilt verwijderen, voert u de volgende opdrachten uit, waarbij u de <placeholders> door uw eigen waarden vervangt:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Een Kerberos-serverobject maken

Als uw sessiehosts aan de volgende criteria voldoen, moet u een Kerberos-serverobject maken. Zie Aanmelden met een wachtwoordloze beveiligingssleutel inschakelen voor on-premises resources met behulp van Microsoft Entra-id, met name de sectie voor het maken van een Kerberos Server-object voor meer informatie:

  • Uw sessiehost is hybride lid van Microsoft Entra. U moet een Kerberos-serverobject hebben om verificatie met een domeincontroller te voltooien.

  • Uw sessiehost is toegevoegd aan Microsoft Entra en uw omgeving bevat Active Directory-domeincontrollers. U moet een Kerberos-serverobject hebben voor gebruikers om toegang te krijgen tot on-premises resources, zoals SMB-shares en windows-geïntegreerde verificatie voor websites.

Belangrijk

Als u eenmalige aanmelding inschakelt op aan Microsoft Entra hybride gekoppelde sessiehosts zonder een Kerberos-serverobject te maken, kan een van de volgende dingen gebeuren wanneer u verbinding probeert te maken met een externe sessie:

  • U ontvangt een foutbericht waarin wordt aangegeven dat de specifieke sessie niet bestaat.
  • Eenmalige aanmelding wordt overgeslagen en u ziet een standaardverificatiedialoogvenster voor de sessiehost.

U kunt deze problemen oplossen door het Kerberos-serverobject te maken en vervolgens opnieuw verbinding te maken.

Uw beleid voor voorwaardelijke toegang controleren

Wanneer eenmalige aanmelding is ingeschakeld, wordt er een nieuwe Microsoft Entra ID-app geïntroduceerd om gebruikers te verifiëren bij de sessiehost. Als u beleid voor voorwaardelijke toegang hebt dat van toepassing is bij het openen van Azure Virtual Desktop, raadpleegt u de aanbevelingen voor het instellen van meervoudige verificatie om ervoor te zorgen dat gebruikers de gewenste ervaring hebben.

Uw hostgroep configureren om eenmalige aanmelding in te schakelen

Als u eenmalige aanmelding wilt inschakelen voor uw hostgroep, moet u de volgende RDP-eigenschap configureren. Dit kunt u doen met behulp van Azure Portal of PowerShell. U vindt de stappen voor het configureren van RDP-eigenschappen in RDP-eigenschappen (Remote Desktop Protocol) aanpassen voor een hostgroep.

  • Stel in Azure Portal eenmalige aanmelding van Microsoft Entra in op Connections om eenmalige aanmelding van Microsoft Entra te gebruiken om eenmalige aanmelding te bieden.

  • Stel voor PowerShell de eigenschap enablerdsaadauth in op 1.

Volgende stappen