Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Organisaties die phishingbestendig zonder wachtwoord implementeren, hebben doorgaans een aantal van hun persona's nodig om extern bureaublad-technologie te gebruiken om productiviteit, beveiliging of beheer te vergemakkelijken. De twee basisgebruiksscenario's zijn:
- Een verbindingssessie voor extern bureaublad initialiseren en verifiëren van een lokale client naar een externe computer met behulp van phishingbestendige referenties zonder wachtwoord
- Phishing-bestendige, wachtwoordloze referenties gebruiken binnen een sessie met een externe desktopverbinding
Bekijk de specifieke overwegingen voor elke use-case.
- Sessie starten van verbinding met extern bureaublad zonder wachtwoord
- Verificatie zonder wachtwoord in sessie
Componenten van de Remote Desktop-verbinding
Het Windows-protocol voor extern bureaublad omvat drie primaire onderdelen, die allemaal phishingbestendige referenties zonder wachtwoord moeten ondersteunen voor het initiëren van een sessie voor verbinding met extern bureaublad met behulp van deze referenties. Als een van deze onderdelen niet goed functioneert of geen ondersteuning biedt voor bepaalde referenties zonder wachtwoord, werken een of beide scenario's niet. Deze handleiding is gericht op ondersteuning voor wachtwoordsleutel/FIDO2 en ondersteuning voor Cert-Based verificatie (CBA).
Doorloop de volgende secties om te bepalen of ondersteuning voor phishingbestendig wachtwoordloos wordt verwacht voor alle drie de onderdelen die u gebruikt. Herhaal dit proces als u meerdere scenario's hebt waarvoor evaluatie is vereist.
Clientplatform
Er zijn verschillende veelgebruikte besturingssystemen voor lokale clients die worden gebruikt om sessies met extern bureaublad te instantiëren. Veelgebruikte opties zijn:
- Windows 10+
- Windows Server
- macOS
- Ios
- Androïde
- Linux
Ondersteuning voor phishingbestendige wachtwoordloze toegang en verbinding met extern bureaublad is afhankelijk van het clientplatform afhankelijk van ondersteuning voor wachtwoordsleutelprotocollen, met name Client To Authenticator Protocol (CTAP) en WebAuthn. CTAP is een communicatielaag tussen roaming authenticators, zoals FIDO2-beveiligingssleutels of wachtwoordsleutels op een mobiel apparaat en een clientplatform. De meeste clientplatforms ondersteunen deze protocollen, maar er zijn bepaalde platforms die dat niet doen. In sommige gevallen, zoals bij toegewezen thin client-apparaten met gespecialiseerde besturingssystemen, moet u contact opnemen met de leverancier om ondersteuning te bevestigen.
Verificatie op basis van Microsoft Entra-certificaten (CBA) vereist configuratie in Microsoft Entra-id, zodat gebruikers certificaten van uw PKI (Public Key Infrastructure) voor verificatie kunnen gebruiken. Dit artikel heeft geen betrekking op on-premises verificatie-implementaties op basis van certificaten.
Clientplatform | FIDO-ondersteuning | Microsoft Entra CBA | Opmerkingen |
---|---|---|---|
Windows 10+ | Ja | Ja | |
Windows Server | Gedeeltelijk | Ja | Windows Server wordt niet aanbevolen voor client-computingapparaten. Windows Server jump-servers kunnen FIDO-gebaseerde wachtwoordloze en phishing-bestendige authenticatie belemmeren. Als u jumpservers gebruikt, wordt CBA aanbevolen in plaats van FIDO |
macOS | Ja | Ja | Niet alle Apple-webframeworks ondersteunen FIDO |
Ios | Ja | Ja | Niet alle Apple-webframeworks ondersteunen FIDO |
Androïde | Ja | Ja | |
Linux | Misschien | Ja | FIDO-ondersteuning bevestigen bij de leverancier van Linux-distributies |
Doelplatform
Het doelplatform is essentieel om te bepalen of phishingbestendige verificatie zonder wachtwoord wordt ondersteund voor het tot stand brengen van de sessie voor verbinding met extern bureaublad zelf.
Doelplatform | Fido-ondersteuning voor initialisatie van sessie voor extern bureaublad | Initialisatie van sessie voor verbinding met extern bureaublad Microsoft Entra CBA |
---|---|---|
Windows 10+ Microsoft Entra aangesloten | Ja | Ja |
Windows Server Microsoft Entra toegevoegd | Ja1 | Ja |
Windows 10+ Microsoft Entra hybride verbonden | Ja | Ja |
Windows Server Microsoft Entra hybride aansluiting | Ja1 | Ja |
Windows 10+ Microsoft Entra geregistreerd | Nee. | Nee. |
Alleen windows 10+ on-premises domein toegevoegd | Nee. | Nee. |
Alleen gekoppeld aan een on-premises Windows Server-domein | Nee. | Nee. |
Windows 10+ Werkgroep | Nee. | Nee. |
Zelfstandige versie van Windows Server/werkgroep2 die door Azure Arc wordt beheerd | Ja | Ja |
1. Alleen van toepassing op aan Microsoft Entra gekoppelde of hybride servers met Windows Server 2022 of hoger
2. Alleen van toepassing op aan Microsoft Entra gekoppelde servers met Windows Server 2025 of hoger
Verbindingsclient voor extern bureaublad
Clientplatformondersteuning voor phishing-bestendige verificatie is niet voldoende om phishingbestendige verificatie te ondersteunen voor externe bureaubladverbindingssessies. De client voor verbinding met extern bureaublad die wordt gebruikt, moet ook de benodigde onderdelen ondersteunen om deze referenties goed te laten werken. Bekijk veelgebruikte clients voor verbindingen met externe bureaubladen en hun verschillende ondersteunde opties.
Verbindingsclient voor extern bureaublad | Fido-ondersteuning voor initialisatie van sessie voor extern bureaublad | Initialisatie van sessie voor verbinding met extern bureaublad Microsoft Entra CBA |
---|---|---|
MSTSC.exe voor Windows Client | Ja | Ja |
MSTSC.exe voor Windows Server 2022+ | Ja | Ja |
MSTSC.exe voor Windows Server 2019 of eerder | Nee. | Nee. |
Windows-app voor Windows | Ja | Ja |
Windows-app voor macOS | Ja | Ja |
Windows-app voor iOS | Ja | Ja |
Windows-app voor Android | Ja | Ja |
Windows 365-web-app | Nee. | Nee. |
Extern bureaublad-verbindingsclient van derden | Misschien | Misschien |
Belangrijk
Clientapparaten en doelapparaten moeten Microsoft Entra verbonden, Microsoft Entra hybrid verbonden, of Microsoft Entra geregistreerd zijn bij dezelfde tenant. Verificatie tussen tenants werkt niet; het clientapparaat zal geen authenticatie kunnen uitvoeren op het doelapparaat als deze aan verschillende tenants zijn gekoppeld.
Ondersteuning voor uw scenario's evalueren
Als een van de drie onderdelen die in dit document worden beschreven, uw scenario niet ondersteunt, wordt verwacht dat uw scenario niet werkt. Als u dit wilt evalueren, dient u elk onderdeel te overwegen voor de authenticatie van de sessie voor verbinding met externe desktop en het gebruik van inloggegevens tijdens de sessie. Herhaal dit proces voor elk scenario in uw omgeving om te begrijpen welke scenario's naar verwachting werken en welke niet.
Voorbeeld 1
U kunt bijvoorbeeld als volgt evalueren of uw scenario 'mijn informatiewerkers moeten hun Windows-apparaten gebruiken om toegang te krijgen tot Azure Virtual Desktop, de sessie voor verbinding met extern bureaublad moeten verifiëren met behulp van een Microsoft Authenticator-wachtwoordsleutel en de wachtwoordsleutel gebruiken in de sessie voor verbinding met extern bureaublad in de Microsoft Edge-browser':
Scenariobeschrijving | Clientplatform | Doelplatform | Verbindingsclient voor extern bureaublad | Ondersteund? |
---|---|---|---|---|
De initialisatie van de sessie van de Remote Desktop-verbinding met behulp van een toegangssleutel voor authenticatie-app | Windows 11 Microsoft Entra toegevoegd/Hybride toegevoegd/Zelfstandig | Microsoft Entra toegevoegd aan Azure Virtual Desktop | Windows-App | Ja+Ja+Ja = Ja |
Verbinding met extern bureaublad In-Session-authenticatie met behulp van een sleutel van de authenticatie-app. | Windows 11 Microsoft Entra toegevoegd/Hybride toegevoegd/Zelfstandig | Microsoft Entra toegevoegd aan Azure Virtual Desktop | Windows-App | Ja+Ja+Ja = Ja |
In dit voorbeeld kunnen zowel de verbindingssessie voor extern bureaublad als in-sessie-apps gebruikmaken van de wachtwoordsleutel van de gebruiker. Phishingongevoelige wachtwoordloze authenticatie moet algemeen werken.
Voorbeeld 2
U kunt als volgt evalueren of uw scenario 'mijn informatiewerkers moeten hun macOS-apparaten gebruiken om toegang te krijgen tot Azure Virtual Desktop, moeten de sessie voor extern bureaublad-verbinding verifiëren met behulp van een Microsoft Authenticator-wachtwoordsleutel en de wachtwoordsleutel gebruiken in de sessie voor verbinding met extern bureaublad':
Scenariobeschrijving | Clientplatform | Doelplatform | Verbindingsclient voor extern bureaublad | Ondersteund? |
---|---|---|---|---|
De initialisatie van de sessie van de Remote Desktop-verbinding met behulp van een toegangssleutel voor authenticatie-app | macOS 15 | Microsoft Entra toegevoegd aan Azure Virtual Desktop | Windows-App | Ja+Ja+Ja = Ja |
Verbinding met extern bureaublad In-Session-authenticatie met behulp van een sleutel van de authenticatie-app. | macOS 15 | Microsoft Entra toegevoegd aan Azure Virtual Desktop | Windows-App | Ja+Ja+Nee = Nee |
In dit voorbeeld kunnen gebruikers hun wachtwoordsleutel gebruiken om de sessie voor verbinding met extern bureaublad tot stand te brengen, maar ze kunnen deze niet gebruiken binnen de sessie voor verbinding met extern bureaublad, omdat de Windows-app op macOS deze functionaliteit nog niet ondersteunt. U kunt wachten op betere ondersteuning voor toegangssleutels in de externe bureaubladclient of u kunt overstappen naar een ander identificatiemiddel, zoals certificaten met CBA.
Voorbeeld 3
Zo kunt u beoordelen of uw scenario valt onder 'mijn beheerders moeten hun Windows-apparaten gebruiken om toegang te krijgen tot on-premises Windows-servers, zij moeten de sessie voor verbinding met het extern bureaublad verifiëren met een certificaat, en het certificaat gebruiken in de sessie voor verbinding met het extern bureaublad'.
Scenariobeschrijving | Clientplatform | Doelplatform | Verbindingsclient voor extern bureaublad | Ondersteund? |
---|---|---|---|---|
Extern bureaubladverbinding Sessie-initialisatie met behulp van certificaat | Windows 11 | Domain-Joined Windows Server | MSTSC.exe | Ja+Ja+Ja = Ja |
Verbinding met extern bureaublad In-Session verificatie met behulp van certificaat | Windows 11 | Domain-Joined Windows Server | MSTSC.exe | Ja+Ja+Ja = Ja |
In dit voorbeeld kunnen gebruikers hun certificaat gebruiken om de sessie voor verbinding met extern bureaublad tot stand te brengen en ook het certificaat in de sessie voor verbinding met extern bureaublad te gebruiken. Dit scenario werkt echter niet met een wachtwoordsleutel, omdat de Windows-server die lid is van een domein geen wachtwoordsleutel kan gebruiken om een verbindingssessie voor extern bureaublad of binnen de sessie in te stellen.
Voorbeeld 4
U kunt het volgende evalueren om te bepalen of uw scenario is: 'Mijn frontlinemedewerkers moeten een Linux-gebaseerde thin client gebruiken om toegang te krijgen tot op locatie gevestigde Windows Virtual Desktop Infrastructure (VDI)-clients die wel met een domein zijn verbonden, maar niet hybride zijn toegevoegd aan Microsoft Entra. Ze moeten de verbindingssessie voor het externe bureaublad verifiëren met behulp van een FIDO2-beveiligingssleutel en deze binnen de sessie van de externe bureaubladverbinding gebruiken.'
Scenariobeschrijving | Clientplatform | Doelplatform | Verbindingsclient voor extern bureaublad | Ondersteund? |
---|---|---|---|---|
Initialisatie van verbinding met extern bureaublad met FIDO2-beveiligingssleutel | Linux Embedded Distro | Domain-Joined Windows 11 | Door de leverancier geleverde client | Misschien+Nee+Nee=Nee |
Verbinding met extern bureaublad In-Session-authenticatie met FIDO2-beveiligingssleutel | Linux Embedded Distro | Domain-Joined Windows 11 | Door de leverancier geleverde client | Misschien+Ja+Misschien = |
In dit voorbeeld kunnen gebruikers waarschijnlijk hun FIDO2-beveiligingssleutels niet gebruiken voor verbinding met extern bureaublad, omdat het besturingssysteem en de client voor extern bureaublad van de thin client geen ondersteuning bieden voor FIDO2/wachtwoordloze sleutels in elk scenario dat nodig is. Neem contact op met uw thin clientleverancier om inzicht te krijgen in hun roadmap voor ondersteuning. Plan bovendien voor hybride verbinding met Microsoft Entra of het verbinden van de virtuele machines van het Doelplatform met Microsoft Entra, zodat passkeys beter kunnen worden ondersteund.