Eenmalige aanmelding configureren voor Azure Virtual Desktop met behulp van Microsoft Entra ID-verificatie

Dit artikel begeleidt u bij het configureren van eenmalige aanmelding (SSO) voor Azure Virtual Desktop met behulp van Microsoft Entra ID-verificatie. Wanneer u eenmalige aanmelding inschakelt, verifiëren gebruikers zich bij Windows met behulp van een Microsoft Entra ID-token. Dit token maakt het gebruik mogelijk van verificatie zonder wachtwoord en id-providers van derden die federeren met Microsoft Entra ID bij het maken van verbinding met een sessiehost, waardoor de aanmeldingservaring naadloos verloopt.

Eenmalige aanmelding met behulp van Microsoft Entra ID-verificatie biedt ook een naadloze ervaring voor op Microsoft Entra ID gebaseerde resources binnen de sessie. Zie Verificatie zonder wachtwoord binnen een sessie voor meer informatie over het gebruik van verificatie zonder wachtwoord.

Als u eenmalige aanmelding wilt inschakelen met microsoft Entra ID-verificatie, zijn er vijf taken die u moet uitvoeren:

1. Schakel Microsoft Entra-verificatie in voor Remote Desktop Protocol (RDP).

2. Configureer de doelapparaatgroepen.

3. Maak een Kerberos Server-object als Active Directory-domein Services deel uitmaakt van uw omgeving. Meer informatie over de criteria vindt u in de sectie.

4. Controleer uw beleid voor voorwaardelijke toegang.

5. Configureer uw hostgroep om eenmalige aanmelding in te schakelen.

Voordat u eenmalige aanmelding inschakelt

Voordat u eenmalige aanmelding inschakelt, raadpleegt u de volgende informatie voor gebruik in uw omgeving.

Verbinding verbreken wanneer de sessie is vergrendeld

Wanneer eenmalige aanmelding is ingeschakeld, meldt u zich aan bij Windows met behulp van een Microsoft Entra ID-verificatietoken, dat ondersteuning biedt voor verificatie zonder wachtwoord voor Windows. Het vergrendelingsscherm van Windows in de externe sessie biedt geen ondersteuning voor Microsoft Entra ID-verificatietokens of verificatiemethoden zonder wachtwoord, zoals FIDO-sleutels. Het gebrek aan ondersteuning voor deze verificatiemethoden betekent dat gebruikers hun schermen niet kunnen ontgrendelen in een externe sessie. Wanneer u een externe sessie probeert te vergrendelen, hetzij via gebruikersactie of systeembeleid, wordt de verbinding met de sessie verbroken en verzendt de service een bericht naar de gebruiker waarin wordt uitgelegd dat de verbinding is verbroken.

Als u de sessie verbreekt, zorgt u er ook voor dat wanneer de verbinding opnieuw wordt gestart na een periode van inactiviteit, Microsoft Entra ID alle toepasselijke beleidsregels voor voorwaardelijke toegang opnieuw evalueert.

Een Active Directory-domeinbeheerdersaccount gebruiken met eenmalige aanmelding

In omgevingen met ad DS-accounts (Active Directory-domein Services) en hybride gebruikersaccounts weigert het standaardbeleid voor wachtwoordreplicatie op alleen-lezen domeincontrollers de wachtwoordreplicatie voor leden van domein-Beheer s en Beheer istrators-beveiligingsgroepen. Met dit beleid voorkomt u dat deze beheerdersaccounts zich aanmelden bij hybride hosts die lid zijn van Microsoft Entra, en mogelijk blijven ze vragen hun referenties in te voeren. Het voorkomt ook dat beheerdersaccounts toegang hebben tot on-premises resources die kerberos-verificatie van aan Microsoft Entra gekoppelde hosts gebruiken.

Als u wilt toestaan dat deze beheerdersaccounts verbinding maken wanneer eenmalige aanmelding is ingeschakeld, raadpleegt u Beheerdersaccounts voor Active Directory-domeinen toestaan om verbinding te maken.

Vereisten

Voordat u eenmalige aanmelding kunt inschakelen, moet u aan de volgende vereisten voldoen:

• Als u uw Microsoft Entra-tenant wilt configureren, moet u een van de volgende ingebouwde Microsoft Entra-rollen toegewezen krijgen:

  • Toepassingsbeheerder
  • Beheerder van de cloudtoepassing
  • Algemene beheerder

• Op uw sessiehosts moet een van de volgende besturingssystemen worden uitgevoerd waarop de relevante cumulatieve update is geïnstalleerd:

  • Windows 11 Enterprise single of multi-session with the 2022-10 cumulative updates for Windows 11 (KB5018418) or hoger geïnstalleerd.
  • Windows 10 Enterprise met één of meerdere sessies met de cumulatieve updates 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.
  • Windows Server 2022 met de cumulatieve update 2022-10 voor het besturingssysteem microsoft-server (KB5018421) of hoger geïnstalleerd.

• Uw sessiehosts moeten lid zijn van Microsoft Entra of hybride Microsoft Entra-deelname. Sessiehosts die zijn toegevoegd aan Microsoft Entra Domain Services of aan Active Directory-domein Services worden alleen niet ondersteund.

  Als uw hybride sessiehosts van Microsoft Entra zich in een ander Active Directory-domein bevinden dan uw gebruikersaccounts, moet er een tweerichtingsvertrouwensrelatie tussen de twee domeinen zijn. Zonder de tweerichtingsvertrouwensrelatie vallen verbindingen terug op oudere verificatieprotocollen.

• Installeer de Microsoft Graph PowerShell SDK versie 2.9.0 of hoger op uw lokale apparaat of in Azure Cloud Shell.

• Een ondersteunde Extern bureaublad-client om verbinding te maken met een externe sessie. De volgende clients worden ondersteund:

  • Windows Desktop-client op lokale pc's met Windows 10 of hoger. Er is geen vereiste dat de lokale pc lid moet worden van Microsoft Entra ID of een Active Directory-domein.
  • Webclient.
  • macOS-client, versie 10.8.2 of hoger.
  • iOS-client, versie 10.5.1 of hoger.
  • Android-client, versie 10.0.16 of hoger.

• Als u wilt configureren dat het Active Directory-domeinbeheerdersaccount verbinding kan maken wanneer eenmalige aanmelding is ingeschakeld, hebt u een account nodig dat lid is van de beveiligingsgroep Domain Beheer s.

Microsoft Entra-verificatie inschakelen voor RDP

U moet eerst Microsoft Entra-verificatie voor Windows toestaan in uw Microsoft Entra-tenant, waardoor rdP-toegangstokens kunnen worden uitgegeven, zodat gebruikers zich kunnen aanmelden bij uw Azure Virtual Desktop-sessiehosts. U stelt de isRemoteDesktopProtocolEnabled eigenschap in op true voor het object van remoteDesktopSecurityConfiguration de service-principal voor de volgende Microsoft Entra-toepassingen:

Naam van de toepassing	Application ID
Microsoft Extern bureaublad	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Aanmelding bij Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45

Belangrijk

Als onderdeel van een aanstaande wijziging gaan we vanaf 2024 overstappen van Microsoft Extern bureaublad naar Windows Cloud Login. Als u beide toepassingen configureert, zorgt u ervoor dat u klaar bent voor de wijziging.

Als u de service-principal wilt configureren, gebruikt u de Microsoft Graph PowerShell SDK om een nieuw remoteDesktopSecurityConfiguration-object op de service-principal te maken en stelt u de eigenschap in isRemoteDesktopProtocolEnabled op true. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

1. Start De Azure Cloud Shell in Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   1. Als u Cloud Shell gebruikt, moet u ervoor zorgen dat uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   2. Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Zorg ervoor dat u de Microsoft Graph PowerShell SDK hebt geïnstalleerd vanuit de vereisten, importeer vervolgens de Microsoft Graph-modules voor verificatie en toepassingen en maak verbinding met Microsoft Graph met de Application.Read.All en Application-RemoteDesktopConfig.ReadWrite.All bereiken door de volgende opdrachten uit te voeren:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Haal de object-id voor elke service-principal op en sla deze op in variabelen door de volgende opdrachten uit te voeren:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Stel de eigenschap isRemoteDesktopProtocolEnabledtrue in op door de volgende opdrachten uit te voeren. Er is geen uitvoer van deze opdrachten.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Controleer of de eigenschap isRemoteDesktopProtocolEnabled is ingesteld true door de volgende opdrachten uit te voeren:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   De uitvoer moet het volgende zijn:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

De doelapparaatgroepen configureren

Nadat u Microsoft Entra-verificatie voor RDP hebt ingeschakeld, moet u de doelapparaatgroepen configureren. Bij het inschakelen van eenmalige aanmelding wordt gebruikers standaard gevraagd om zich te verifiëren bij Microsoft Entra ID en de verbinding met extern bureaublad toe te staan bij het starten van een verbinding met een nieuwe sessiehost. Microsoft Entra onthoudt maximaal 30 dagen lang 15 hosts voordat u hierom wordt gevraagd. Als u een dialoogvenster ziet om de verbinding met extern bureaublad toe te staan, selecteert u Ja om verbinding te maken.

U kunt dit dialoogvenster verbergen en eenmalige aanmelding opgeven voor verbindingen met al uw sessiehosts door een lijst met vertrouwde apparaten te configureren. U moet een of meer groepen maken in Microsoft Entra-id die uw sessiehosts bevat en vervolgens een eigenschap instellen voor de service-principals voor dezelfde Microsoft Extern bureaublad- en Windows Cloud Login-toepassingen, zoals in de vorige sectie wordt gebruikt, voor de groep.

Tip

U wordt aangeraden een dynamische groep te gebruiken en de regels voor dynamisch lidmaatschap zo te configureren dat al uw Azure Virtual Desktop-sessiehosts worden opgenomen. U kunt de apparaatnamen in deze groep gebruiken, maar voor een veiligere optie kunt u kenmerken voor apparaatextensie instellen en gebruiken met behulp van Microsoft Graph API. Hoewel dynamische groepen normaal gesproken binnen 5-10 minuten worden bijgewerkt, kunnen grote tenants maximaal 24 uur duren.

Voor dynamische groepen is de Microsoft Entra ID P1-licentie of Intune for Education-licentie vereist. Zie Dynamische lidmaatschapsregels voor groepen voor meer informatie.

Als u de service-principal wilt configureren, gebruikt u de Microsoft Graph PowerShell SDK om een nieuw targetDeviceGroup-object op de service-principal te maken met de object-id en weergavenaam van de dynamische groep. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

1. Maak een dynamische groep in Microsoft Entra-id met de sessiehosts waarvoor u het dialoogvenster wilt verbergen. Noteer de object-id van de groep voor de volgende stap.

2. Maak in dezelfde PowerShell-sessie een targetDeviceGroup object door de volgende opdrachten uit te voeren, waarbij u de <placeholders> volgende waarden vervangt door uw eigen waarden:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Voeg de groep toe aan het targetDeviceGroup object door de volgende opdrachten uit te voeren:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   De uitvoer moet er ongeveer als volgt uitzien:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Herhaal stap 2 en 3 voor elke groep die u aan het targetDeviceGroup object wilt toevoegen, tot maximaal 10 groepen.

4. Als u later een apparaatgroep uit het targetDeviceGroup object wilt verwijderen, voert u de volgende opdrachten uit, waarbij u de <placeholders> door uw eigen waarden vervangt:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Een Kerberos Server-object maken

Als uw sessiehosts voldoen aan de volgende criteria, moet u een Kerberos Server-object maken:

• Uw sessiehost is hybride lid van Microsoft Entra. U moet een Kerberos Server-object hebben om de verificatie met een domeincontroller te voltooien.
• Uw sessiehost is toegevoegd aan Microsoft Entra en uw omgeving bevat Active Directory-domeincontrollers. U moet een Kerberos Server-object hebben voor gebruikers om toegang te krijgen tot on-premises resources, zoals SMB-shares en windows-geïntegreerde verificatie voor websites.

Belangrijk

Als u eenmalige aanmelding inschakelt op aan Microsoft Entra hybride gekoppelde sessiehosts voordat u een Kerberos-serverobject maakt, kan een van de volgende dingen gebeuren:

• U ontvangt een foutbericht waarin wordt aangegeven dat de specifieke sessie niet bestaat.
• Eenmalige aanmelding wordt overgeslagen en u ziet een standaardverificatiedialoogvenster voor de sessiehost.

U kunt deze problemen oplossen door het Kerberos Server-object te maken en vervolgens opnieuw verbinding te maken.

Uw beleid voor voorwaardelijke toegang controleren

Wanneer eenmalige aanmelding is ingeschakeld, wordt er een nieuwe Microsoft Entra ID-app geïntroduceerd om gebruikers te verifiëren bij de sessiehost. Als u beleid voor voorwaardelijke toegang hebt dat van toepassing is bij het openen van Azure Virtual Desktop, raadpleegt u de aanbevelingen voor het instellen van meervoudige verificatie om ervoor te zorgen dat gebruikers de gewenste ervaring hebben.

Uw hostgroep configureren om eenmalige aanmelding in te schakelen

Als u eenmalige aanmelding wilt inschakelen voor uw hostgroep, moet u de volgende RDP-eigenschap configureren. Dit kunt u doen met behulp van Azure Portal of PowerShell. U vindt de stappen voor het configureren van RDP-eigenschappen in RDP-eigenschappen (Remote Desktop Protocol) aanpassen voor een hostgroep.

• Stel in Azure Portal eenmalige aanmelding van Microsoft Entra in opVerbinding maken ions gebruikt Microsoft Entra-verificatie om eenmalige aanmelding te bieden.
• Stel voor PowerShell de eigenschap enablerdsaadauth in op 1.

Active Directory-domeinbeheerdersaccounts toestaan om verbinding te maken

Active Directory-domeinbeheerdersaccounts verbinding laten maken wanneer eenmalige aanmelding is ingeschakeld:

1. Open op een apparaat dat u gebruikt om uw Active Directory-domein te beheren de Active Directory-console met een account dat lid is van de beveiligingsgroep Domein Beheer s.

2. Open de organisatie-eenheid domeincontrollers voor uw domein.

3. Zoek het AzureADKerberos-object, klik er met de rechtermuisknop op en selecteer Eigenschappen.

4. Selecteer het tabblad Wachtwoordreplicatiebeleid .

5. Wijzig het beleid voor domein-Beheer s van Weigeren in Toestaan.

6. Verwijder het beleid voor Beheer istrators. De groep Domein Beheer s is lid van de groep Beheer istrators, dus het weigeren van replicatie voor beheerders weigert deze ook voor domeinbeheerders.

7. Selecteer OK om uw wijzigingen op te slaan.

Volgende stappen

• Bekijk verificatie zonder wachtwoord in sessie voor meer informatie over het inschakelen van verificatie zonder wachtwoord.
• Zie voor meer informatie over Microsoft Entra Kerberos : Hoe Microsoft Entra Kerberos werkt
• Als u azure Virtual Desktop opent vanuit onze Windows Desktop-client, raadpleegt u Verbinding maken met de Windows Desktop-client.
• Als u azure Virtual Desktop opent vanuit onze webclient, raadpleegt u Verbinding maken met de webclient.
• Als u problemen ondervindt, gaat u naar Verbindingen met aan Microsoft Entra gekoppelde VM's oplossen.