Delen via

Ondersteunde identiteiten en verificatiemethoden

  • Artikel

In dit artikel vindt u een kort overzicht van de soorten identiteiten en verificatiemethoden die u in Azure Virtual Desktop kunt gebruiken.

Identiteiten

Azure Virtual Desktop ondersteunt verschillende typen identiteiten, afhankelijk van de configuratie die u kiest. In deze sectie wordt uitgelegd welke identiteiten u voor elke configuratie kunt gebruiken.

Belangrijk

Azure Virtual Desktop biedt geen ondersteuning voor aanmelden bij Microsoft Entra ID met één gebruikersaccount en vervolgens aanmelden bij Windows met een afzonderlijk gebruikersaccount. Als u zich met twee verschillende accounts tegelijk aanmeldt, kunnen gebruikers opnieuw verbinding maken met de verkeerde sessiehost, onjuiste of ontbrekende informatie in Azure Portal, en foutberichten die worden weergegeven tijdens het gebruik van app-bijlage of MSIX-app-bijlage.

On-premises identiteit

Omdat gebruikers moeten kunnen worden gedetecteerd via Microsoft Entra ID voor toegang tot Azure Virtual Desktop, worden gebruikersidentiteiten die alleen bestaan in Active Directory-domein Services (AD DS) niet ondersteund. Dit omvat zelfstandige Active Directory-implementaties met Active Directory Federation Services (AD FS).

Hybride identiteit

Azure Virtual Desktop biedt ondersteuning voor hybride identiteiten via Microsoft Entra-id, inclusief de identiteiten die zijn gefedereerd met AD FS. U kunt deze gebruikersidentiteiten in AD DS beheren en synchroniseren met Microsoft Entra ID met behulp van Microsoft Entra Connect. U kunt ook Microsoft Entra ID gebruiken om deze identiteiten te beheren en deze te synchroniseren met Microsoft Entra Domain Services.

Bij toegang tot Azure Virtual Desktop met behulp van hybride identiteiten komen soms de UPN (User Principal Name) of Security Identifier (SID) voor de gebruiker in Active Directory (AD) en Microsoft Entra ID niet overeen. Het AD-account user@contoso.local kan bijvoorbeeld overeenkomen met user@contoso.com de Microsoft Entra-id. Azure Virtual Desktop ondersteunt dit type configuratie alleen als de UPN of SID voor zowel uw AD- als Microsoft Entra ID-accounts overeenkomen. SID verwijst naar de eigenschap ObjectSID van de gebruiker in AD en OnPremisesSecurityIdentifier in Microsoft Entra ID.

Identiteit in de cloud

Azure Virtual Desktop biedt ondersteuning voor identiteiten in de cloud wanneer u gekoppelde VM's van Microsoft Entra gebruikt. Deze gebruikers worden rechtstreeks in Microsoft Entra ID gemaakt en beheerd.

Notitie

U kunt hybride identiteiten ook toewijzen aan Azure Virtual Desktop-toepassingsgroepen die hosten voor sessiehosts van het jointype Microsoft Entra.

Federatieve identiteit

Als u een id-provider (idP) van derden gebruikt, behalve Microsoft Entra ID of Active Directory-domein Services, moet u ervoor zorgen dat:

Externe identiteit

Azure Virtual Desktop biedt momenteel geen ondersteuning voor externe identiteiten.

Verificatiemethoden

Bij het openen van Azure Virtual Desktop-resources zijn er drie afzonderlijke verificatiefasen:

  • Cloudserviceverificatie: Verificatie bij de Azure Virtual Desktop-service, waaronder abonneren op resources en verificatie bij de gateway, is met Microsoft Entra-id.
  • Verificatie van externe sessie: verifiëren bij de externe VM. Er zijn meerdere manieren om te verifiëren bij de externe sessie, waaronder de aanbevolen eenmalige aanmelding (SSO).
  • Verificatie in sessie: Verifiëren bij toepassingen en websites binnen de externe sessie.

Voor de lijst met referenties die beschikbaar zijn op de verschillende clients voor elk van de verificatiefase, vergelijkt u de clients op verschillende platforms.

Belangrijk

Als verificatie goed werkt, moet uw lokale computer ook toegang hebben tot de vereiste URL's voor Extern bureaublad-clients.

De volgende secties bevatten meer informatie over deze verificatiefasen.

Cloudserviceverificatie

Voor toegang tot Azure Virtual Desktop-resources moet u zich eerst bij de service verifiëren door u aan te melden met een Microsoft Entra ID-account. Verificatie vindt plaats wanneer u zich abonneert om uw resources op te halen, maakt u verbinding met de gateway bij het starten van een verbinding of bij het verzenden van diagnostische gegevens naar de service. De Microsoft Entra ID-resource die voor deze verificatie wordt gebruikt, is Azure Virtual Desktop (app-id 9cdead84-a844-4324-93f2-b2e6bb768d07).

Meervoudige verificatie

Volg de instructies in Meervoudige verificatie van Microsoft Entra afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang voor meer informatie over het afdwingen van Meervoudige Verificatie van Microsoft Entra voor uw implementatie. In dit artikel wordt ook uitgelegd hoe u kunt configureren hoe vaak uw gebruikers worden gevraagd hun referenties in te voeren. Houd bij het implementeren van aan Microsoft Entra gekoppelde VM's rekening met de extra stappen voor aan Microsoft Entra gekoppelde sessiehost-VM's.

Verificatie zonder wachtwoord

U kunt elk verificatietype gebruiken dat wordt ondersteund door Microsoft Entra-id, zoals Windows Hello voor Bedrijven en andere verificatieopties zonder wachtwoord (bijvoorbeeld FIDO-sleutels), om te verifiëren bij de service.

Smartcardauthenticatie

Als u een smartcard wilt gebruiken om te verifiëren bij Microsoft Entra-id, moet u eerst verificatie op basis van Microsoft Entra-certificaten configureren of AD FS configureren voor verificatie van gebruikerscertificaten.

Id-providers van derden

U kunt id-providers van derden gebruiken zolang ze federeren met Microsoft Entra-id.

Verificatie van externe sessies

Als u eenmalige aanmelding nog niet hebt ingeschakeld of uw referenties lokaal hebt opgeslagen , moet u zich ook verifiëren bij de sessiehost bij het starten van een verbinding.

Eenmalige aanmelding (SSO)

Met eenmalige aanmelding kan de verbinding de referentieprompt van de sessiehost overslaan en de gebruiker automatisch via Microsoft Entra-verificatie aanmelden bij Windows. Voor sessiehosts die zijn toegevoegd aan Microsoft Entra of aan Een hybride versie van Microsoft Entra, is het raadzaam eenmalige aanmelding in te schakelen met behulp van Microsoft Entra-verificatie. Microsoft Entra-verificatie biedt andere voordelen, waaronder verificatie zonder wachtwoord en ondersteuning voor id-providers van derden.

Azure Virtual Desktop biedt ook ondersteuning voor eenmalige aanmelding met Active Directory Federation Services (AD FS) voor de Windows Desktop- en webclients.

Zonder eenmalige aanmelding vraagt de client gebruikers om hun sessiehostreferenties voor elke verbinding. De enige manier om te voorkomen dat u hierom wordt gevraagd, is door de referenties op te slaan in de client. U wordt aangeraden alleen referenties op te slaan op beveiligde apparaten om te voorkomen dat andere gebruikers toegang hebben tot uw resources.

Smartcard en Windows Hello voor Bedrijven

Azure Virtual Desktop ondersteunt zowel NT LAN Manager (NTLM) als Kerberos voor sessiehostverificatie, maar smartcard en Windows Hello voor Bedrijven kunnen kerberos alleen gebruiken om u aan te melden. Als u Kerberos wilt gebruiken, moet de client Kerberos-beveiligingstickets ophalen uit een KDC-service (Key Distribution Center) die wordt uitgevoerd op een domeincontroller. Om tickets te verkrijgen, heeft de client een directe netwerklijn-of-sight nodig voor de domeincontroller. U kunt een line-of-sight krijgen door rechtstreeks verbinding te maken binnen uw bedrijfsnetwerk, met behulp van een VPN-verbinding of het instellen van een KDC-proxyserver.

Verificatie in sessie

Zodra u verbinding hebt gemaakt met uw RemoteApp of desktop, wordt u mogelijk gevraagd om verificatie binnen de sessie. In deze sectie wordt uitgelegd hoe u in dit scenario andere referenties gebruikt dan gebruikersnaam en wachtwoord.

Verificatie zonder wachtwoord in sessie

Azure Virtual Desktop biedt ondersteuning voor verificatie zonder wachtwoord in sessie met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels bij het gebruik van de Windows Desktop-client. Verificatie zonder wachtwoord wordt automatisch ingeschakeld wanneer de sessiehost en de lokale pc de volgende besturingssystemen gebruiken:

Als u verificatie zonder wachtwoord wilt uitschakelen voor uw hostgroep, moet u een RDP-eigenschap aanpassen. U vindt de eigenschap WebAuthn-omleiding op het tabblad Apparaatomleiding in Azure Portal of stel de eigenschap redirectwebauthn in op 0 met behulp van PowerShell.

Wanneer deze optie is ingeschakeld, worden alle WebAuthn-aanvragen in de sessie omgeleid naar de lokale pc. U kunt Windows Hello voor Bedrijven of lokaal gekoppelde beveiligingsapparaten gebruiken om het verificatieproces te voltooien.

Als u toegang wilt krijgen tot Microsoft Entra-resources met Windows Hello voor Bedrijven- of beveiligingsapparaten, moet u de FIDO2-beveiligingssleutel inschakelen als verificatiemethode voor uw gebruikers. Volg de stappen in de methode FIDO2-beveiligingssleutel inschakelen om deze methode in te schakelen.

Verificatie van smartcards in sessie

Als u een smartcard in uw sessie wilt gebruiken, moet u ervoor zorgen dat u de smartcardstuurprogramma's op de sessiehost hebt geïnstalleerd en smartcardomleiding hebt ingeschakeld. Controleer de clientvergelijkingsgrafiek om ervoor te zorgen dat uw client smartcardomleiding ondersteunt.

Volgende stappen