Delen via


Overwegingen voor verbindingen met extern bureaublad in een phishingbestendige verificatieimplementatie zonder wachtwoord in Microsoft Entra ID

Organisaties die phishingbestendig zonder wachtwoord implementeren, hebben doorgaans een aantal van hun persona's nodig om extern bureaublad-technologie te gebruiken om productiviteit, beveiliging of beheer te vergemakkelijken. De twee basisgebruiksscenario's zijn:

  • Een verbindingssessie voor extern bureaublad initialiseren en verifiëren van een lokale client naar een externe computer met behulp van phishingbestendige referenties zonder wachtwoord
  • Phishing-bestendige, wachtwoordloze referenties gebruiken binnen een sessie met een externe desktopverbinding

Bekijk de specifieke overwegingen voor elke use-case.

Componenten van de Remote Desktop-verbinding

Het Windows-protocol voor extern bureaublad omvat drie primaire onderdelen, die allemaal phishingbestendige referenties zonder wachtwoord moeten ondersteunen voor het initiëren van een sessie voor verbinding met extern bureaublad met behulp van deze referenties. Als een van deze onderdelen niet goed functioneert of geen ondersteuning biedt voor bepaalde referenties zonder wachtwoord, werken een of beide scenario's niet. Deze handleiding is gericht op ondersteuning voor wachtwoordsleutel/FIDO2 en ondersteuning voor Cert-Based verificatie (CBA).

GIF met de gebruikerservaring bij het gebruik van Windows Hello voor Bedrijven om een sessie voor verbinding met extern bureaublad tot stand te brengen.

Zwembaandiagram waarin wordt getoond hoe phishingbestendige referenties zonder wachtwoord worden gebruikt bij het verbinden via een verbinding met extern bureaublad

Doorloop de volgende secties om te bepalen of ondersteuning voor phishingbestendig wachtwoordloos wordt verwacht voor alle drie de onderdelen die u gebruikt. Herhaal dit proces als u meerdere scenario's hebt waarvoor evaluatie is vereist.

Clientplatform

Er zijn verschillende veelgebruikte besturingssystemen voor lokale clients die worden gebruikt om sessies met extern bureaublad te instantiëren. Veelgebruikte opties zijn:

  • Windows 10+
  • Windows Server
  • macOS
  • Ios
  • Androïde
  • Linux

Ondersteuning voor phishingbestendige wachtwoordloze toegang en verbinding met extern bureaublad is afhankelijk van het clientplatform afhankelijk van ondersteuning voor wachtwoordsleutelprotocollen, met name Client To Authenticator Protocol (CTAP) en WebAuthn. CTAP is een communicatielaag tussen roaming authenticators, zoals FIDO2-beveiligingssleutels of wachtwoordsleutels op een mobiel apparaat en een clientplatform. De meeste clientplatforms ondersteunen deze protocollen, maar er zijn bepaalde platforms die dat niet doen. In sommige gevallen, zoals bij toegewezen thin client-apparaten met gespecialiseerde besturingssystemen, moet u contact opnemen met de leverancier om ondersteuning te bevestigen.

Verificatie op basis van Microsoft Entra-certificaten (CBA) vereist configuratie in Microsoft Entra-id, zodat gebruikers certificaten van uw PKI (Public Key Infrastructure) voor verificatie kunnen gebruiken. Dit artikel heeft geen betrekking op on-premises verificatie-implementaties op basis van certificaten.

Clientplatform FIDO-ondersteuning Microsoft Entra CBA Opmerkingen
Windows 10+ Ja Ja
Windows Server Gedeeltelijk Ja Windows Server wordt niet aanbevolen voor client-computingapparaten.

Windows Server jump-servers kunnen FIDO-gebaseerde wachtwoordloze en phishing-bestendige authenticatie belemmeren. Als u jumpservers gebruikt, wordt CBA aanbevolen in plaats van FIDO
macOS Ja Ja Niet alle Apple-webframeworks ondersteunen FIDO
Ios Ja Ja Niet alle Apple-webframeworks ondersteunen FIDO
Androïde Ja Ja
Linux Misschien Ja FIDO-ondersteuning bevestigen bij de leverancier van Linux-distributies

Doelplatform

Het doelplatform is essentieel om te bepalen of phishingbestendige verificatie zonder wachtwoord wordt ondersteund voor het tot stand brengen van de sessie voor verbinding met extern bureaublad zelf.

Doelplatform Fido-ondersteuning voor initialisatie van sessie voor extern bureaublad Initialisatie van sessie voor verbinding met extern bureaublad Microsoft Entra CBA
Windows 10+ Microsoft Entra aangesloten Ja Ja
Windows Server Microsoft Entra toegevoegd Ja1 Ja
Windows 10+ Microsoft Entra hybride verbonden Ja Ja
Windows Server Microsoft Entra hybride aansluiting Ja1 Ja
Windows 10+ Microsoft Entra geregistreerd Nee. Nee.
Alleen windows 10+ on-premises domein toegevoegd Nee. Nee.
Alleen gekoppeld aan een on-premises Windows Server-domein Nee. Nee.
Windows 10+ Werkgroep Nee. Nee.
Zelfstandige versie van Windows Server/werkgroep2 die door Azure Arc wordt beheerd Ja Ja

1. Alleen van toepassing op aan Microsoft Entra gekoppelde of hybride servers met Windows Server 2022 of hoger
2. Alleen van toepassing op aan Microsoft Entra gekoppelde servers met Windows Server 2025 of hoger

Verbindingsclient voor extern bureaublad

Clientplatformondersteuning voor phishing-bestendige verificatie is niet voldoende om phishingbestendige verificatie te ondersteunen voor externe bureaubladverbindingssessies. De client voor verbinding met extern bureaublad die wordt gebruikt, moet ook de benodigde onderdelen ondersteunen om deze referenties goed te laten werken. Bekijk veelgebruikte clients voor verbindingen met externe bureaubladen en hun verschillende ondersteunde opties.

Verbindingsclient voor extern bureaublad Fido-ondersteuning voor initialisatie van sessie voor extern bureaublad Initialisatie van sessie voor verbinding met extern bureaublad Microsoft Entra CBA
MSTSC.exe voor Windows Client Ja Ja
MSTSC.exe voor Windows Server 2022+ Ja Ja
MSTSC.exe voor Windows Server 2019 of eerder Nee. Nee.
Windows-app voor Windows Ja Ja
Windows-app voor macOS Ja Ja
Windows-app voor iOS Ja Ja
Windows-app voor Android Ja Ja
Windows 365-web-app Nee. Nee.
Extern bureaublad-verbindingsclient van derden Misschien Misschien

Belangrijk

Clientapparaten en doelapparaten moeten Microsoft Entra verbonden, Microsoft Entra hybrid verbonden, of Microsoft Entra geregistreerd zijn bij dezelfde tenant. Verificatie tussen tenants werkt niet; het clientapparaat zal geen authenticatie kunnen uitvoeren op het doelapparaat als deze aan verschillende tenants zijn gekoppeld.

Ondersteuning voor uw scenario's evalueren

Als een van de drie onderdelen die in dit document worden beschreven, uw scenario niet ondersteunt, wordt verwacht dat uw scenario niet werkt. Als u dit wilt evalueren, dient u elk onderdeel te overwegen voor de authenticatie van de sessie voor verbinding met externe desktop en het gebruik van inloggegevens tijdens de sessie. Herhaal dit proces voor elk scenario in uw omgeving om te begrijpen welke scenario's naar verwachting werken en welke niet.

Voorbeeld 1

U kunt bijvoorbeeld als volgt evalueren of uw scenario 'mijn informatiewerkers moeten hun Windows-apparaten gebruiken om toegang te krijgen tot Azure Virtual Desktop, de sessie voor verbinding met extern bureaublad moeten verifiëren met behulp van een Microsoft Authenticator-wachtwoordsleutel en de wachtwoordsleutel gebruiken in de sessie voor verbinding met extern bureaublad in de Microsoft Edge-browser':

Scenariobeschrijving Clientplatform Doelplatform Verbindingsclient voor extern bureaublad Ondersteund?
De initialisatie van de sessie van de Remote Desktop-verbinding met behulp van een toegangssleutel voor authenticatie-app Windows 11 Microsoft Entra toegevoegd/Hybride toegevoegd/Zelfstandig Microsoft Entra toegevoegd aan Azure Virtual Desktop Windows-App Ja+Ja+Ja = Ja
Verbinding met extern bureaublad In-Session-authenticatie met behulp van een sleutel van de authenticatie-app. Windows 11 Microsoft Entra toegevoegd/Hybride toegevoegd/Zelfstandig Microsoft Entra toegevoegd aan Azure Virtual Desktop Windows-App Ja+Ja+Ja = Ja

In dit voorbeeld kunnen zowel de verbindingssessie voor extern bureaublad als in-sessie-apps gebruikmaken van de wachtwoordsleutel van de gebruiker. Phishingongevoelige wachtwoordloze authenticatie moet algemeen werken.

Voorbeeld 2

U kunt als volgt evalueren of uw scenario 'mijn informatiewerkers moeten hun macOS-apparaten gebruiken om toegang te krijgen tot Azure Virtual Desktop, moeten de sessie voor extern bureaublad-verbinding verifiëren met behulp van een Microsoft Authenticator-wachtwoordsleutel en de wachtwoordsleutel gebruiken in de sessie voor verbinding met extern bureaublad':

Scenariobeschrijving Clientplatform Doelplatform Verbindingsclient voor extern bureaublad Ondersteund?
De initialisatie van de sessie van de Remote Desktop-verbinding met behulp van een toegangssleutel voor authenticatie-app macOS 15 Microsoft Entra toegevoegd aan Azure Virtual Desktop Windows-App Ja+Ja+Ja = Ja
Verbinding met extern bureaublad In-Session-authenticatie met behulp van een sleutel van de authenticatie-app. macOS 15 Microsoft Entra toegevoegd aan Azure Virtual Desktop Windows-App Ja+Ja+Nee = Nee

In dit voorbeeld kunnen gebruikers hun wachtwoordsleutel gebruiken om de sessie voor verbinding met extern bureaublad tot stand te brengen, maar ze kunnen deze niet gebruiken binnen de sessie voor verbinding met extern bureaublad, omdat de Windows-app op macOS deze functionaliteit nog niet ondersteunt. U kunt wachten op betere ondersteuning voor toegangssleutels in de externe bureaubladclient of u kunt overstappen naar een ander identificatiemiddel, zoals certificaten met CBA.

Voorbeeld 3

Zo kunt u beoordelen of uw scenario valt onder 'mijn beheerders moeten hun Windows-apparaten gebruiken om toegang te krijgen tot on-premises Windows-servers, zij moeten de sessie voor verbinding met het extern bureaublad verifiëren met een certificaat, en het certificaat gebruiken in de sessie voor verbinding met het extern bureaublad'.

Scenariobeschrijving Clientplatform Doelplatform Verbindingsclient voor extern bureaublad Ondersteund?
Extern bureaubladverbinding Sessie-initialisatie met behulp van certificaat Windows 11 Domain-Joined Windows Server MSTSC.exe Ja+Ja+Ja = Ja
Verbinding met extern bureaublad In-Session verificatie met behulp van certificaat Windows 11 Domain-Joined Windows Server MSTSC.exe Ja+Ja+Ja = Ja

In dit voorbeeld kunnen gebruikers hun certificaat gebruiken om de sessie voor verbinding met extern bureaublad tot stand te brengen en ook het certificaat in de sessie voor verbinding met extern bureaublad te gebruiken. Dit scenario werkt echter niet met een wachtwoordsleutel, omdat de Windows-server die lid is van een domein geen wachtwoordsleutel kan gebruiken om een verbindingssessie voor extern bureaublad of binnen de sessie in te stellen.

Voorbeeld 4

U kunt het volgende evalueren om te bepalen of uw scenario is: 'Mijn frontlinemedewerkers moeten een Linux-gebaseerde thin client gebruiken om toegang te krijgen tot op locatie gevestigde Windows Virtual Desktop Infrastructure (VDI)-clients die wel met een domein zijn verbonden, maar niet hybride zijn toegevoegd aan Microsoft Entra. Ze moeten de verbindingssessie voor het externe bureaublad verifiëren met behulp van een FIDO2-beveiligingssleutel en deze binnen de sessie van de externe bureaubladverbinding gebruiken.'

Scenariobeschrijving Clientplatform Doelplatform Verbindingsclient voor extern bureaublad Ondersteund?
Initialisatie van verbinding met extern bureaublad met FIDO2-beveiligingssleutel Linux Embedded Distro Domain-Joined Windows 11 Door de leverancier geleverde client Misschien+Nee+Nee=Nee
Verbinding met extern bureaublad In-Session-authenticatie met FIDO2-beveiligingssleutel Linux Embedded Distro Domain-Joined Windows 11 Door de leverancier geleverde client Misschien+Ja+Misschien =

In dit voorbeeld kunnen gebruikers waarschijnlijk hun FIDO2-beveiligingssleutels niet gebruiken voor verbinding met extern bureaublad, omdat het besturingssysteem en de client voor extern bureaublad van de thin client geen ondersteuning bieden voor FIDO2/wachtwoordloze sleutels in elk scenario dat nodig is. Neem contact op met uw thin clientleverancier om inzicht te krijgen in hun roadmap voor ondersteuning. Plan bovendien voor hybride verbinding met Microsoft Entra of het verbinden van de virtuele machines van het Doelplatform met Microsoft Entra, zodat passkeys beter kunnen worden ondersteund.

Volgende stappen

Een phishingbestendige verificatieimplementatie zonder wachtwoord implementeren in Microsoft Entra-id