Aan Microsoft Entra gekoppelde sessiehosts in Azure Virtual Desktop

Artikel
11/14/2023

In dit artikel wordt u begeleid bij het implementeren en openen van aan Microsoft Entra gekoppelde virtuele machines in Azure Virtual Desktop. Aan Microsoft Entra gekoppelde VM's hoeft u geen line-of-sight van de VIRTUELE machine te hebben naar een on-premises of gevirtualiseerde Active Directory-domein Controller (DC) of om Microsoft Entra Domain Services te implementeren. In sommige gevallen kan het de noodzaak van een domeincontroller volledig verwijderen, waardoor de implementatie en het beheer van de omgeving wordt vereenvoudigd. Deze VM's kunnen ook automatisch worden ingeschreven bij Intune om het beheer te vereenvoudigen.

Bekende beperkingen

De volgende bekende beperkingen kunnen van invloed zijn op de toegang tot uw on-premises of Active Directory-resources die lid zijn van een domein en u moet deze overwegen bij het bepalen of aan Microsoft Entra gekoppelde VM's geschikt zijn voor uw omgeving.

Azure Virtual Desktop (klassiek) biedt geen ondersteuning voor aan Microsoft Entra gekoppelde VM's.
Aan Microsoft Entra gekoppelde VM's bieden momenteel geen ondersteuning voor externe identiteiten, zoals Microsoft Entra Business-to-Business (B2B) en Microsoft Entra Business-to-Consumer (B2C).
Aan Microsoft Entra gekoppelde VM's hebben alleen toegang tot Azure Files-shares of Azure NetApp Files-shares voor hybride gebruikers met behulp van Microsoft Entra Kerberos voor FSLogix-gebruikersprofielen.
De app Extern bureaublad voor Windows biedt geen ondersteuning voor aan Microsoft Entra gekoppelde VM's.

Aan Microsoft Entra gekoppelde VM's implementeren

U kunt aan Microsoft Entra gekoppelde VM's rechtstreeks vanuit Azure Portal implementeren wanneer u een nieuwe hostgroep maakt of een bestaande hostgroep uitvouwt. Als u een aan Microsoft Entra gekoppelde VM wilt implementeren, opent u het tabblad Virtuele machines en selecteert u of u de VM wilt koppelen aan Active Directory of Microsoft Entra-id. Als u Microsoft Entra ID selecteert, hebt u de mogelijkheid om VM's automatisch in te schrijven bij Intune, zodat u uw sessiehosts eenvoudig kunt beheren. Houd er rekening mee dat de optie Microsoft Entra-id alleen VM's koppelt aan dezelfde Microsoft Entra-tenant als het abonnement waarin u zich bevindt.

Notitie

Hostgroepen mogen alleen VM's van hetzelfde domeindeelnametype bevatten. Microsoft Entra-gekoppelde VM's mogen bijvoorbeeld alleen zijn met andere aan Microsoft Entra gekoppelde VM's en vice versa.
De VM's in de hostgroep moeten Windows 11 of Windows 10 één sessie of meerdere sessies, versie 2004 of hoger of Windows Server 2022 of Windows Server 2019 zijn.

Gebruikerstoegang toewijzen aan hostgroepen

Nadat u uw hostgroep hebt gemaakt, moet u gebruikers toegang tot hun resources toewijzen. Als u toegang wilt verlenen tot resources, voegt u elke gebruiker toe aan de toepassingsgroep. Volg de instructies in Toepassingsgroepen beheren om gebruikerstoegang toe te wijzen aan apps en bureaubladen. U wordt aangeraden waar mogelijk gebruikersgroepen te gebruiken in plaats van afzonderlijke gebruikers.

Voor aan Microsoft Entra gekoppelde VM's moet u twee extra dingen doen boven op de vereisten voor Implementaties op basis van Active Directory of Microsoft Entra Domain Services:

Wijs uw gebruikers de gebruikersrol Gebruikersaanmelding voor virtuele machines toe, zodat ze zich kunnen aanmelden bij de VM's.
Wijs beheerders toe die lokale beheerdersbevoegdheden nodig hebben voor de aanmeldingsrol virtuele machine Beheer istrator.

Als u gebruikers toegang wilt verlenen tot aan Microsoft Entra gekoppelde VM's, moet u roltoewijzingen voor de VIRTUELE machine configureren. U kunt de gebruikersaanmelding voor virtuele machines of virtuele machine toewijzen Beheer istratoraanmeldingsrol op de VM's, de resourcegroep met de VM's of het abonnement. We raden u aan om de gebruikersrol virtuele machine toe te wijzen aan dezelfde gebruikersgroep die u hebt gebruikt voor de toepassingsgroep op het niveau van de resourcegroep om deze toe te passen op alle VM's in de hostgroep.

Toegang krijgen tot aan Microsoft Entra gekoppelde VM's

In deze sectie wordt uitgelegd hoe u toegang krijgen tot aan Microsoft Entra gekoppelde VM's van verschillende Azure Virtual Desktop-clients.

Eenmalige aanmelding

Voor de beste ervaring op alle platforms moet u een ervaring voor eenmalige aanmelding inschakelen met behulp van Microsoft Entra-verificatie bij het openen van aan Microsoft Entra gekoppelde VM's. Volg de stappen voor het configureren van eenmalige aanmelding om een naadloze verbinding te bieden.

Verbinding maken met verouderde verificatieprotocollen

Als u eenmalige aanmelding liever niet inschakelt, kunt u de volgende configuratie gebruiken om toegang te krijgen tot aan Microsoft Entra gekoppelde VM's.

Verbinding maken met behulp van de Windows Desktop-client

De standaardconfiguratie ondersteunt verbindingen van Windows 11 of Windows 10 met behulp van de Windows Desktop-client. U kunt uw referenties, smartcard, Windows Hello voor Bedrijven certificaatvertrouwen of Windows Hello voor Bedrijven sleutelvertrouwen gebruiken met certificaten om u aan te melden bij de sessiehost. Voor toegang tot de sessiehost moet uw lokale pc echter voldoen aan een van de volgende voorwaarden:

De lokale pc is aan Microsoft Entra gekoppeld met dezelfde Microsoft Entra-tenant als de sessiehost
De lokale pc is hybride aan Microsoft Entra gekoppeld met dezelfde Microsoft Entra-tenant als de sessiehost
Op de lokale pc wordt Windows 11 of Windows 10, versie 2004 of hoger uitgevoerd en is Microsoft Entra geregistreerd bij dezelfde Microsoft Entra-tenant als de sessiehost

Als uw lokale pc niet aan een van deze voorwaarden voldoet, voegt u targetisaadjoined:i:1 toe als een aangepaste RDP-eigenschap aan de hostgroep. Deze verbindingen zijn beperkt tot het invoeren van gebruikersnaam- en wachtwoordreferenties wanneer u zich aanmeldt bij de sessiehost.

Verbinding maken de andere clients gebruiken

Als u toegang wilt krijgen tot aan Microsoft Entra gekoppelde VM's met behulp van de web-, Android-, macOS- en iOS-clients, moet u targetisaadjoined:i:1 toevoegen als een aangepaste RDP-eigenschap aan de hostgroep. Deze verbindingen zijn beperkt tot het invoeren van gebruikersnaam- en wachtwoordreferenties wanneer u zich aanmeldt bij de sessiehost.

Meervoudige verificatie van Microsoft Entra afdwingen voor aan Microsoft Entra gekoppelde sessie-VM's

U kunt meervoudige verificatie van Microsoft Entra gebruiken met aan Microsoft Entra gekoppelde VM's. Volg de stappen om meervoudige verificatie van Microsoft Entra af te dwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang en noteer de extra stappen voor aan Microsoft Entra gekoppelde sessiehost-VM's.

Als u meervoudige verificatie van Microsoft Entra gebruikt en u het aanmelden niet wilt beperken tot sterke verificatiemethoden zoals Windows Hello voor Bedrijven, moet u de aanmeldings-app van Azure Windows-VM uitsluiten van uw beleid voor voorwaardelijke toegang.

Gebruikersprofielen

U kunt FSLogix-profielcontainers gebruiken met aan Microsoft Entra gekoppelde VM's wanneer u ze opslaat in Azure Files of Azure NetApp Files terwijl u hybride gebruikersaccounts gebruikt. Zie Een profielcontainer maken met Azure Files en Microsoft Entra ID voor meer informatie.

Toegang tot on-premises resources

Hoewel u geen Active Directory nodig hebt om uw aan Microsoft Entra gekoppelde VM's te implementeren of te openen, zijn een Active Directory en line-of-sight hiervoor nodig voor toegang tot on-premises resources vanaf deze VM's. Zie Hoe eenmalige aanmelding voor on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie over het openen van on-premises resources.

Volgende stappen

Nu u enkele aan Microsoft Entra gekoppelde VM's hebt geïmplementeerd, raden we u aan eenmalige aanmelding in te schakelen voordat u verbinding maakt met een ondersteunde Azure Virtual Desktop-client om deze te testen als onderdeel van een gebruikerssessie. Raadpleeg de volgende artikelen voor meer informatie: