Konfigurera sessionslåsbeteendet för Azure Virtual Desktop

Du kan välja om sessionen är frånkopplad eller om fjärrlåsningsskärmen visas när en fjärrsession låses, antingen av användaren eller av principen. När beteendet för sessionslåset är inställt på att kopplas från visas en dialogruta som meddelar användarna att de har kopplats från. Användare kan välja alternativet Återanslut i dialogrutan när de är redo att ansluta igen.

När den används med enkel inloggning med hjälp av Microsoft Entra ID ger frånkoppling av sessionen följande fördelar:

• En konsekvent inloggningsupplevelse via Microsoft Entra ID när det behövs.

• En enkel inloggningsupplevelse och återanslutning utan autentiseringsprompt när det tillåts av principer för villkorlig åtkomst.

• Stöd för lösenordslös autentisering som nycklar och FIDO2-enheter, i motsats till fjärrlåsningsskärmen. Det är nödvändigt att koppla från sessionen för att säkerställa fullständigt stöd för lösenordsfri autentisering.

• Principer för villkorlig åtkomst, inklusive multifaktorautentisering och inloggningsfrekvens, omvärderas när användaren återansluter till sin session.

• Du kan kräva multifaktorautentisering för att återgå till sessionen och förhindra att användare låser upp med ett enkelt användarnamn och lösenord.

För scenarier som förlitar sig på äldre autentisering, inklusive NTLM-, CredSSP-, RDSTLS-, TLS- och RDP-grundläggande autentiseringsprotokoll, uppmanas användarna att ange sina autentiseringsuppgifter igen när de återansluter eller startar en ny anslutning.

Standardbeteendet för sessionslås är olika beroende på om du använder enkel inloggning med Microsoft Entra ID eller äldre autentisering. I följande tabell visas standardkonfigurationen för varje scenario:

Scenario	Standardkonfiguration
Enkel inloggning med Microsoft Entra ID	Koppla från sessionen
Äldre autentiseringsprotokoll	Visa fjärrlåsningsskärmen

Den här artikeln visar hur du ändrar beteendet för sessionslås från standardkonfigurationen med hjälp av Microsoft Intune eller grupprincip.

Förhandskrav

Välj relevant flik för konfigurationsmetoden.

Intune

Innan du kan konfigurera beteendet för sessionslåset måste du uppfylla följande krav:

• En befintlig värdpool med sessionsvärdar.

• Sessionsvärdarna måste köra något av följande operativsystem med den kumulativa uppdateringen installerad:

  • Windows 11 en eller flera sessioner med kumulativ Uppdateringar 2024-05 för Windows 11 (KB5037770) eller senare installerat.
  • Windows 10 en eller flera sessioner, version 21H2 eller senare med 2024-06 kumulativ Uppdateringar för Windows 10 (KB5039211) eller senare installerat.
  • Windows Server 2022 med den kumulativa uppdateringen 2024-05 för Microsofts serveroperativsystem (KB5037782) eller senare installerad.

• För att konfigurera Intune behöver du:

  • Ett Microsoft Entra ID konto som har tilldelats den inbyggda RBAC-rollen Princip- och profilhanterare.
  • En grupp som innehåller de enheter som du vill konfigurera.

Grupprincip

Innan du kan konfigurera beteendet för sessionslåset måste du uppfylla följande krav:

• En befintlig värdpool med sessionsvärdar.

• Sessionsvärdarna måste köra något av följande operativsystem med den kumulativa uppdateringen installerad:

  • Windows 11 en eller flera sessioner med kumulativ Uppdateringar 2024-05 för Windows 11 (KB5037770) eller senare installerat.
  • Windows 10 en eller flera sessioner, version 21H2 eller senare med 2024-06 kumulativ Uppdateringar för Windows 10 (KB5039211) eller senare installerat.
  • Windows Server 2022 med den kumulativa uppdateringen 2024-05 för Microsofts serveroperativsystem (KB5037782) eller senare installerad.

• För att konfigurera grupprincip behöver du:

  • Ett domänkonto som har behörighet att skapa eller redigera grupprincip objekt.
  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.

Konfigurera beteendet för sessionslås

Välj relevant flik för konfigurationsmetoden.

Intune

Så här konfigurerar du sessionslåset med hjälp av Intune:

1. Logga in på Microsoft Intune administrationscenter.

2. Skapa eller redigera en konfigurationsprofil för Windows 10 och senare enheter med profiltypen Inställningskatalog.

3. I inställningsväljaren bläddrar du till Administrativa mallarWindows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbord>Sessionsvärdsäkerhet>.

   

4. Markera kryssrutan för någon av följande inställningar, beroende på dina krav:

   • För enkel inloggning med hjälp av Microsoft Entra ID:

     1. Markera kryssrutan Koppla från fjärrsession på lås för Microsofts identitetsplattform autentisering och stäng sedan inställningsväljaren.

     2. Expandera kategorin Administrativa mallar och växla sedan växeln för Koppla från fjärrsession på lås för Microsofts identitetsplattform autentisering till Aktiverad eller Inaktiverad:

        • Om du vill koppla från fjärrsessionen när sessionen låss växlar du växeln till Aktiverad.

        • Om du vill visa fjärrlåsningsskärmen när sessionen låses växlar du växeln till Inaktiverad.

   • För äldre autentiseringsprotokoll:

     1. Markera kryssrutan Koppla från fjärrsession på lås för äldre autentisering och stäng sedan inställningsväljaren.

     2. Expandera kategorin Administrativa mallar och växla sedan växeln för Koppla från fjärrsession vid lås för äldre autentisering till Aktiverad eller Inaktiverad:

        • Om du vill koppla från fjärrsessionen när sessionen låss växlar du växeln till Aktiverad.

        • Om du vill visa fjärrlåsningsskärmen när sessionen låses växlar du växeln till Inaktiverad.

5. Välj Nästa.

6. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerade IT-.

7. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

8. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

9. När principen gäller för sessionsvärdarna startar du om dem för att inställningarna ska börja gälla.

10. Om du vill testa konfigurationen ansluter du till en fjärrsession och låser sedan fjärrsessionen. Kontrollera att sessionen antingen kopplas från eller att fjärrlåsskärmen visas, beroende på din konfiguration.

Grupprincip

Följ dessa steg för att konfigurera sessionslåsupplevelsen med hjälp av grupprincip.

1. Inställningarna för grupprincip är endast tillgängliga på de operativsystem som anges i Krav. För att göra dem tillgängliga i andra versioner av Windows Server måste du kopiera de administrativa mallfilerna C:\Windows\PolicyDefinitions\terminalserver.admx och C:\Windows\PolicyDefinitions\en-US\terminalserver.adml från en sessionsvärd till samma plats på domänkontrollanterna eller grupprincip Central Store, beroende på din miljö. I filsökvägen för terminalserver.adml ersätt en-US med lämplig språkkod om du använder ett annat språk.

2. Öppna grupprincip-hanteringskonsolen på den enhet som du använder för att hantera Active Directory-domänen.

3. Skapa eller redigera en princip som riktar sig till de datorer som tillhandahåller en fjärrsession som du vill konfigurera.

4. Gå till Datorkonfigurationsprinciper>>Administrativa mallarWindows-komponenter>Fjärrskrivbordstjänster>>Värdsäkerhet förfjärrskrivbordssession>.

   

5. Dubbelklicka på någon av följande principinställningar, beroende på dina krav:

   • För enkel inloggning med hjälp av Microsoft Entra ID:

     1. Dubbelklicka på Koppla från fjärrsession på lås för Microsofts identitetsplattform autentisering för att öppna den.

        • Om du vill koppla från fjärrsessionen när sessionen låses väljer du Aktiverad eller Inte konfigurerad.

        • Om du vill visa fjärrlåsningsskärmen när sessionen låses väljer du Inaktiverad.

     2. Välj OK.

   • För äldre autentiseringsprotokoll:

     1. Dubbelklicka på Koppla från fjärrsession på lås för äldre autentisering för att öppna den.

        • Om du vill koppla från fjärrsessionen när sessionen låss väljer du Aktiverad.

        • Om du vill visa fjärrlåsningsskärmen när sessionen låses väljer du Inaktiverad eller Inte konfigurerad.

     2. Välj OK.

6. Kontrollera att principen tillämpas på sessionsvärdarna och starta sedan om dem för att inställningarna ska börja gälla.

7. Om du vill testa konfigurationen ansluter du till en fjärrsession och låser sedan fjärrsessionen. Kontrollera att sessionen antingen kopplas från eller att fjärrlåsskärmen visas, beroende på din konfiguration.

Relaterat innehåll

• Lär dig hur du konfigurerar enkel inloggning för Azure Virtual Desktop med hjälp av Microsoft Entra ID.