Delen via

Eenmalige aanmelding configureren voor Azure Virtual Desktop met behulp van Microsoft Entra ID

Eenmalige aanmelding (SSO) voor Azure Virtual Desktop met behulp van Microsoft Entra ID biedt een naadloze aanmeldingservaring voor gebruikers die verbinding maken met sessiehosts. Wanneer u eenmalige aanmelding inschakelt, verifiëren gebruikers zich bij Windows met behulp van een Microsoft Entra ID-token. Dit token maakt het gebruik van verificatie zonder wachtwoord en id-providers van derden mogelijk die worden gefedereerd met Microsoft Entra ID bij het maken van verbinding met een sessiehost, waardoor de aanmeldingservaring naadloos verloopt.

Eenmalige aanmelding met behulp van Microsoft Entra ID biedt ook een naadloze ervaring voor Microsoft Entra ID resources in de sessie. Zie Verificatie zonder wachtwoord in sessie voor meer informatie over het gebruik van verificatie zonder wachtwoord binnen een sessie.

Als u eenmalige aanmelding met behulp van Microsoft Entra ID-verificatie wilt inschakelen, moet u vijf taken uitvoeren:

  1. Schakel Microsoft Entra-verificatie in voor RDP (Remote Desktop Protocol).

  2. Het dialoogvenster met de toestemmingsprompt verbergen.

  3. Maak een Kerberos Server-object als Active Directory Domain Services deel uitmaakt van uw omgeving. Meer informatie over de criteria vindt u in de sectie.

  4. Controleer uw beleid voor voorwaardelijke toegang.

  5. Configureer uw hostgroep om eenmalige aanmelding in te schakelen.

Voordat u eenmalige aanmelding inschakelt

Voordat u eenmalige aanmelding inschakelt, raadpleegt u de volgende informatie voor gebruik in uw omgeving.

Gedrag van sessievergrendeling

Wanneer eenmalige aanmelding met behulp van Microsoft Entra ID is ingeschakeld en de externe sessie is vergrendeld, door de gebruiker of door beleid, kunt u kiezen of de sessie wordt verbroken of het externe vergrendelingsscherm wordt weergegeven. Het standaardgedrag is om de sessie te verbreken wanneer deze wordt vergrendeld.

Wanneer het sessievergrendelingsgedrag is ingesteld op verbinding verbreken, wordt een dialoogvenster weergegeven om gebruikers te laten weten dat de verbinding is verbroken. Gebruikers kunnen de optie Opnieuw verbinding maken kiezen in het dialoogvenster wanneer ze klaar zijn om opnieuw verbinding te maken. Dit gedrag wordt uitgevoerd om veiligheidsredenen en om volledige ondersteuning van verificatie zonder wachtwoord te garanderen. Het loskoppelen van de sessie biedt de volgende voordelen:

  • Consistente aanmeldingservaring via Microsoft Entra ID wanneer dat nodig is.

  • Ervaring met eenmalige aanmelding en opnieuw verbinding maken zonder verificatieprompt wanneer dit is toegestaan door beleid voor voorwaardelijke toegang.

  • Ondersteunt verificatie zonder wachtwoord, zoals wachtwoordsleutels en FIDO2-apparaten, in tegenstelling tot het externe vergrendelingsscherm.

  • Beleid voor voorwaardelijke toegang, inclusief meervoudige verificatie en aanmeldingsfrequentie, wordt opnieuw geëvalueerd wanneer de gebruiker opnieuw verbinding maakt met de sessie.

  • Kan meervoudige verificatie vereisen om terug te keren naar de sessie en te voorkomen dat gebruikers ontgrendelen met een eenvoudige gebruikersnaam en wachtwoord.

Als u het sessievergrendelingsgedrag wilt configureren om het externe vergrendelingsscherm weer te geven in plaats van de sessie los te koppelen, raadpleegt u Het gedrag van sessievergrendeling configureren.

Active Directory-domeinbeheerdersaccounts met eenmalige aanmelding

In omgevingen met een Active Directory Domain Services (AD DS) en hybride gebruikersaccounts weigert het standaardbeleid voor wachtwoordreplicatie op alleen-lezen domeincontrollers wachtwoordreplicatie voor leden van de beveiligingsgroepen Domeinadministrators en Beheerders. Dit beleid voorkomt dat deze beheerdersaccounts zich aanmelden bij Microsoft Entra hybride gekoppelde hosts en kan hen blijven vragen om hun referenties in te voeren. Het voorkomt ook dat beheerdersaccounts toegang hebben tot on-premises resources die gebruikmaken van Kerberos-verificatie van Microsoft Entra gekoppelde hosts. Het wordt om veiligheidsredenen afgeraden verbinding te maken met een externe sessie met behulp van een account dat een domeinbeheerder is.

Als u als beheerder wijzigingen wilt aanbrengen in een sessiehost, meldt u zich aan bij de sessiehost met een niet-beheerdersaccount en gebruikt u vervolgens de optie Uitvoeren als beheerder of het hulpprogramma runas vanaf een opdrachtprompt om over te schakelen naar een beheerder.

Vereisten

Voordat u eenmalige aanmelding kunt inschakelen, moet u aan de volgende vereisten voldoen:

Microsoft Entra-verificatie inschakelen voor RDP

U moet eerst Microsoft Entra verificatie voor Windows toestaan in uw Microsoft Entra tenant, waardoor rdp-toegangstokens kunnen worden uitgegeven, zodat gebruikers zich kunnen aanmelden bij uw Azure Virtual Desktop-sessiehosts. U stelt de isRemoteDesktopProtocolEnabled eigenschap in op true voor het object van remoteDesktopSecurityConfiguration de service-principal voor de volgende Microsoft Entra toepassingen:

Toepassingsnaam Toepassings-id
Microsoft Extern bureaublad a4a365df-50f1-4397-bc59-1a1564b8bb9c
Aanmelding bij Windows Cloud 270efc09-cd0d-444b-a71f-39af4910ec45

Belangrijk

Als onderdeel van een aanstaande wijziging gaan we vanaf 2024 overstappen van Microsoft Extern bureaublad naar Windows Cloud-aanmelding. Als u nu beide toepassingen configureert, bent u klaar voor de wijziging.

Als u de service-principal wilt configureren, gebruikt u de Microsoft Graph PowerShell SDK om een nieuw remoteDesktopSecurityConfiguration-object te maken op de service-principal en stelt u de eigenschap isRemoteDesktopProtocolEnabled in op true. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

  1. Open Azure Cloud Shell in de Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

  1. Zorg ervoor dat u de Microsoft Graph PowerShell SDK hebt geïnstalleerd vanuit de vereisten, importeer vervolgens de Microsoft Graph-modules verificatie en toepassingen en maak verbinding met Microsoft Graph met de Application.Read.All bereiken en Application-RemoteDesktopConfig.ReadWrite.All door de volgende opdrachten uit te voeren:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Haal de object-id voor elke service-principal op en sla deze op in variabelen door de volgende opdrachten uit te voeren:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Stel de eigenschap in isRemoteDesktopProtocolEnabled op door de volgende opdrachten uit te true voeren. Er is geen uitvoer van deze opdrachten.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Controleer of de eigenschap isRemoteDesktopProtocolEnabled is ingesteld op door de volgende opdrachten uit te true voeren:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    De uitvoer voor beide opdrachten moet zijn:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Wanneer eenmalige aanmelding is ingeschakeld, zien gebruikers standaard een dialoogvenster om de verbinding met extern bureaublad toe te staan wanneer ze verbinding maken met een nieuwe sessiehost. Microsoft Entra onthoudt maximaal 15 hosts gedurende 30 dagen voordat u opnieuw wordt gevraagd. Als gebruikers dit dialoogvenster zien om de verbinding met extern bureaublad toe te staan, kunnen ze Ja selecteren om verbinding te maken.

U kunt dit dialoogvenster verbergen door een lijst met vertrouwde apparaten te configureren. Als u de lijst met apparaten wilt configureren, maakt u een of meer groepen in Microsoft Entra ID die uw sessiehosts bevat en voegt u vervolgens de groeps-id's toe aan een eigenschap op de SSO-service-principals, Microsoft Extern bureaublad en Windows Cloud Login.

Tip

U wordt aangeraden een dynamische groep te gebruiken en de regels voor dynamische lidmaatschap zo te configureren dat al uw Azure Virtual Desktop-sessiehosts worden opgenomen. U kunt de apparaatnamen in deze groep gebruiken, maar voor een veiligere optie kunt u apparaatextensiekenmerken instellen en gebruiken met Microsoft Graph API. Dynamische groepen worden normaal gesproken binnen 5-10 minuten bijgewerkt, maar grote tenants kunnen tot 24 uur duren.

Voor dynamische groepen is de licentie Microsoft Entra ID P1 of Intune for Education vereist. Zie Dynamische lidmaatschapsregels voor groepen voor meer informatie.

Als u de service-principal wilt configureren, gebruikt u de Microsoft Graph PowerShell SDK om een nieuw targetDeviceGroup-object te maken op de service-principal met de object-id en weergavenaam van de dynamische groep. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

  1. Maak een dynamische groep in Microsoft Entra ID met de sessiehosts waarvoor u het dialoogvenster wilt verbergen. Noteer de object-id van de groep voor de volgende stap.

  2. Maak in dezelfde PowerShell-sessie een targetDeviceGroup object door de volgende opdrachten uit te voeren, waarbij u de <placeholders> vervangt door uw eigen waarden:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Voeg de groep toe aan het targetDeviceGroup object door de volgende opdrachten uit te voeren:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    De uitvoer moet vergelijkbaar zijn met het volgende voorbeeld:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Herhaal stap 2 en 3 voor elke groep die u aan het targetDeviceGroup object wilt toevoegen, tot maximaal 10 groepen.

  4. Als u later een apparaatgroep uit het targetDeviceGroup object wilt verwijderen, voert u de volgende opdrachten uit en vervangt u de <placeholders> door uw eigen waarden:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Een Kerberos-serverobject maken

Als uw sessiehosts aan de volgende criteria voldoen, moet u een Kerberos-serverobject maken. Zie Aanmelding met een beveiligingssleutel zonder wachtwoord inschakelen bij on-premises resources met behulp van Microsoft Entra ID, met name de sectie Een Kerberos Server-object maken voor meer informatie:

  • Uw sessiehost is Microsoft Entra hybride gekoppeld. U moet een Kerberos-serverobject hebben om de verificatie voor een domeincontroller te voltooien.

  • Uw sessiehost is Microsoft Entra toegevoegd en uw omgeving bevat Active Directory-domeincontrollers. U moet een Kerberos-serverobject hebben om gebruikers toegang te geven tot on-premises resources, zoals SMB-shares en windows-geïntegreerde verificatie voor websites.

Belangrijk

Als u eenmalige aanmelding inschakelt op Microsoft Entra hybride gekoppelde sessiehosts zonder een Kerberos-serverobject te maken, kan een van de volgende dingen gebeuren wanneer u verbinding probeert te maken met een externe sessie:

  • U ontvangt een foutbericht waarin wordt opgegeven dat de specifieke sessie niet bestaat.
  • Eenmalige aanmelding wordt overgeslagen en u ziet een standaardverificatiedialoogvenster voor de sessiehost.

U kunt deze problemen oplossen door het Kerberos-serverobject te maken en vervolgens opnieuw verbinding te maken.

Uw beleid voor voorwaardelijke toegang controleren

Wanneer eenmalige aanmelding is ingeschakeld, wordt er een nieuwe Microsoft Entra ID-app geïntroduceerd om gebruikers te verifiëren bij de sessiehost. Als u beleid voor voorwaardelijke toegang hebt dat van toepassing is bij het openen van Azure Virtual Desktop, raadpleegt u de aanbevelingen voor het instellen van meervoudige verificatie om ervoor te zorgen dat gebruikers de gewenste ervaring hebben.

Uw hostgroep configureren om eenmalige aanmelding in te schakelen

Als u eenmalige aanmelding wilt inschakelen voor uw hostgroep, moet u de volgende RDP-eigenschap configureren, die u kunt doen met behulp van de Azure Portal of PowerShell. U vindt de stappen voor het configureren van RDP-eigenschappen in RDP-eigenschappen (Remote Desktop Protocol) aanpassen voor een hostgroep.

  • Stel in de Azure Portal Microsoft Entra eenmalige aanmelding in opConnections gebruikt Microsoft Entra verificatie om eenmalige aanmelding te bieden.

  • Stel voor PowerShell de eigenschap enablerdsaadauth in op 1.

Volgende stappen