Konfigurera enkel inloggning för Azure Virtual Desktop med hjälp av Microsoft Entra-ID

Enkel inloggning (SSO) för Azure Virtual Desktop med microsoft entra-ID ger en sömlös inloggningsupplevelse för användare som ansluter till sessionsvärdar. När du aktiverar enkel inloggning autentiserar användare till Windows med hjälp av en Microsoft Entra-ID-token. Den här token möjliggör användning av lösenordslös autentisering och identitetsprovidrar från tredje part som federeras med Microsoft Entra-ID när du ansluter till en sessionsvärd, vilket gör inloggningsupplevelsen smidig.

Enkel inloggning med Microsoft Entra-ID ger också en sömlös upplevelse för Microsoft Entra ID-baserade resurser i sessionen. Mer information om hur du använder lösenordslös autentisering i en session finns i Lösenordslös autentisering under sessionen.

Om du vill aktivera enkel inloggning med Microsoft Entra ID-autentisering finns det fem uppgifter som du måste utföra:

1. Aktivera Microsoft Entra-autentisering för RDP (Remote Desktop Protocol).

2. Dölj dialogrutan för medgivandeprompt.

3. Skapa ett Kerberos Server-objekt om Active Directory-domän Services är en del av din miljö. Mer information om kriterierna finns i avsnittet.

4. Granska dina principer för villkorlig åtkomst.

5. Konfigurera värdpoolen för att aktivera enkel inloggning.

Innan du aktiverar enkel inloggning

Innan du aktiverar enkel inloggning bör du läsa följande information för att använda den i din miljö.

Beteende för sessionslås

När enkel inloggning med Microsoft Entra-ID är aktiverat och fjärrsessionen är låst, antingen av användaren eller av principen, kan du välja om sessionen är frånkopplad eller fjärrlåsskärmen visas. Standardbeteendet är att koppla från sessionen när den låse.

När beteendet för sessionslåset är inställt på att kopplas från visas en dialogruta som meddelar användarna att de har kopplats från. Användare kan välja alternativet Återanslut från dialogrutan när de är redo att ansluta igen. Det här beteendet utförs av säkerhetsskäl och för att säkerställa fullt stöd för lösenordslös autentisering. Om du kopplar från sessionen får du följande fördelar:

• Konsekvent inloggningsupplevelse via Microsoft Entra-ID när det behövs.

• Enkel inloggning och återanslutning utan autentiseringsprompt när det tillåts av principer för villkorlig åtkomst.

• Stöder lösenordslös autentisering som nyckelnycklar och FIDO2-enheter, i motsats till fjärrlåsskärmen.

• Principer för villkorlig åtkomst, inklusive multifaktorautentisering och inloggningsfrekvens, omvärderas när användaren återansluter till sin session.

• Kan kräva multifaktorautentisering för att återgå till sessionen och hindra användare från att låsa upp med ett enkelt användarnamn och lösenord.

Om du vill konfigurera sessionslåsbeteendet så att fjärrlåsskärmen visas i stället för att koppla från sessionen läser du Konfigurera beteendet för sessionslås.

Active Directory-domänadministratörskonton med enkel inloggning

I miljöer med ett Active Directory-domän Services (AD DS) och hybridanvändarkonton nekar standardprincipen för lösenordsreplikering på skrivskyddade domänkontrollanter lösenordsreplikering för medlemmar i säkerhetsgrupper för domänadministratörer och administratörer. Den här principen hindrar dessa administratörskonton från att logga in på Microsoft Entra Hybrid-anslutna värdar och kan fortsätta att uppmana dem att ange sina autentiseringsuppgifter. Det förhindrar också administratörskonton från att komma åt lokala resurser som använder Kerberos-autentisering från Microsoft Entra-anslutna värdar. Vi rekommenderar inte att du ansluter till en fjärrsession med ett konto som är domänadministratör av säkerhetsskäl.

Om du behöver göra ändringar i en sessionsvärd som administratör loggar du in på sessionsvärden med ett konto som inte är administratör och använder sedan alternativet Kör som administratör eller runas-verktyget från en kommandotolk för att byta till administratör.

Förutsättningar

Innan du kan aktivera enkel inloggning måste du uppfylla följande krav:

• För att konfigurera din Microsoft Entra-klient måste du tilldelas någon av följande inbyggda Microsoft Entra-roller eller motsvarande:

  • Programadministratör

  • Molnprogramadministratör

• Sessionsvärdarna måste köra något av följande operativsystem med relevant kumulativ uppdatering installerad:

  • Windows 11 Enterprise– en eller flera sessioner med kumulativa uppdateringar 2022–10 för Windows 11 (KB5018418) eller senare installerade.

  • Windows 10 Enterprise– en eller flera sessioner med kumulativa uppdateringar 2022–10 för Windows 10 (KB5018410) eller senare installerat.

  • Windows Server 2022 med den kumulativa uppdateringen 2022–2010 för Microsoft Server-operativsystemet (KB5018421) eller senare installerad.

• Dina sessionsvärdar måste vara Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar. Sessionsvärdar som är anslutna till Microsoft Entra Domain Services eller till Active Directory-domän Services stöds inte.

  Om dina hybridanslutna Microsoft Entra-sessionsvärdar finns i en annan Active Directory-domän än dina användarkonton måste det finnas ett dubbelriktat förtroende mellan de två domänerna. Utan dubbelriktade förtroenden återgår anslutningarna till äldre autentiseringsprotokoll.

• Installera Microsoft Graph PowerShell SDK version 2.9.0 eller senare på din lokala enhet eller i Azure Cloud Shell.

• En fjärrskrivbordsklient som stöds för att ansluta till en fjärrsession. Följande klienter stöds:

  • Windows Desktop-klienten på lokala datorer som kör Windows 10 eller senare. Det finns inget krav på att den lokala datorn ska vara ansluten till Microsoft Entra-ID eller en Active Directory-domän.

  • Webbklient.

  • macOS-klient, version 10.8.2 eller senare.

  • iOS-klient, version 10.5.1 eller senare.

  • Android-klient, version 10.0.16 eller senare.

Aktivera Microsoft Entra-autentisering för RDP

Du måste först tillåta Microsoft Entra-autentisering för Windows i din Microsoft Entra-klientorganisation, vilket gör det möjligt att utfärda RDP-åtkomsttoken så att användarna kan logga in på dina Azure Virtual Desktop-sessionsvärdar. Du anger isRemoteDesktopProtocolEnabled egenskapen till true för tjänstens huvudnamnsobjekt remoteDesktopSecurityConfiguration för följande Microsoft Entra-program:

Programnamn	Application ID
Microsoft Fjärrskrivbord	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud-inloggning	270efc09-cd0d-444b-a71f-39af4910ec45

Viktigt!

Som en del av en kommande ändring övergår vi från Microsoft Fjärrskrivbord till Windows Cloud Login från och med 2024. Om du konfigurerar båda programmen nu ser du till att du är redo för ändringen.

Om du vill konfigurera tjänstens huvudnamn använder du Microsoft Graph PowerShell SDK för att skapa ett nytt remoteDesktopSecurityConfiguration-objekt på tjänstens huvudnamn och anger egenskapen isRemoteDesktopProtocolEnabled till true. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

1. Öppna Azure Cloud Shell i Azure Portal med PowerShell-terminaltypen eller kör PowerShell på din lokala enhet.

   • Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.

   • Om du använder PowerShell lokalt loggar du först in med Azure PowerShell och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

2. Kontrollera att du har installerat Microsoft Graph PowerShell SDK från förutsättningarna, importera sedan Microsoft Graph-modulerna för autentisering och program och anslut till Microsoft Graph med omfången Application.Read.All och Application-RemoteDesktopConfig.ReadWrite.All genom att köra följande kommandon:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Hämta objekt-ID:t för varje huvudnamn för tjänsten och lagra dem i variabler genom att köra följande kommandon:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Ange egenskapen isRemoteDesktopProtocolEnabled till genom att true köra följande kommandon. Det finns inga utdata från dessa kommandon.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Bekräfta att egenskapen isRemoteDesktopProtocolEnabled är inställd på genom att true köra följande kommandon:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Utdata ska vara:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Dölj dialogrutan för medgivandeprompt

Som standard när enkel inloggning är aktiverat ser användarna en dialogruta för att tillåta fjärrskrivbordsanslutningen när de ansluter till en ny sessionsvärd. Microsoft Entra kommer ihåg upp till 15 värdar i 30 dagar innan de uppmanas igen. Om användarna ser den här dialogen för att tillåta anslutning till fjärrskrivbord kan de välja Ja för att ansluta.

Du kan dölja den här dialogrutan genom att konfigurera en lista över betrodda enheter. Om du vill konfigurera listan över enheter skapar du en eller flera grupper i Microsoft Entra-ID som innehåller dina sessionsvärdar och lägger sedan till grupp-ID:t i en egenskap i SSO-tjänstens huvudnamn, Microsoft Fjärrskrivbord och Windows Cloud Login.

Dricks

Vi rekommenderar att du använder en dynamisk grupp och konfigurerar reglerna för dynamiskt medlemskap så att de inkluderar alla dina Azure Virtual Desktop-sessionsvärdar. Du kan använda enhetsnamnen i den här gruppen, men för ett säkrare alternativ kan du ange och använda attribut för enhetstillägg med hjälp av Microsoft Graph API. Dynamiska grupper uppdateras normalt inom 5–10 minuter, men stora klienter kan ta upp till 24 timmar.

Dynamiska grupper kräver Microsoft Entra ID P1-licensen eller Intune for Education-licensen. Mer information finns i Regler för dynamiskt medlemskap för grupper.

Om du vill konfigurera tjänstens huvudnamn använder du Microsoft Graph PowerShell SDK för att skapa ett nytt targetDeviceGroup-objekt på tjänstens huvudnamn med den dynamiska gruppens objekt-ID och visningsnamn. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

1. Skapa en dynamisk grupp i Microsoft Entra-ID som innehåller sessionsvärdarna som du vill dölja dialogrutan för. Anteckna objekt-ID för gruppen för nästa steg.

2. I samma PowerShell-session skapar du ett targetDeviceGroup objekt genom att köra följande kommandon och ersätta <placeholders> med dina egna värden:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Lägg till gruppen i targetDeviceGroup objektet genom att köra följande kommandon:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Utdata bör likna följande exempel:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Upprepa steg 2 och 3 för varje grupp som du vill lägga till i targetDeviceGroup objektet, upp till högst 10 grupper.

4. Om du senare behöver ta bort en enhetsgrupp från targetDeviceGroup objektet kör du följande kommandon och <placeholders> ersätter med dina egna värden:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Skapa ett Kerberos-serverobjekt

Om sessionsvärdarna uppfyller följande villkor måste du skapa ett Kerberos-serverobjekt. Mer information finns i Aktivera lösenordsfri inloggning av säkerhetsnycklar till lokala resurser med hjälp av Microsoft Entra-ID, särskilt avsnittet för att skapa ett Kerberos Server-objekt:

• Sessionsvärden är Microsoft Entra-hybridanslutning. Du måste ha ett Kerberos-serverobjekt för att slutföra autentiseringen till en domänkontrollant.

• Sessionsvärden är Microsoft Entra-ansluten och din miljö innehåller Active Directory-domänkontrollanter. Du måste ha ett Kerberos-serverobjekt för att användarna ska få åtkomst till lokala resurser, till exempel SMB-resurser och Windows-integrerad autentisering till webbplatser.

Viktigt!

Om du aktiverar enkel inloggning på Microsoft Entra hybridanslutna sessionsvärdar utan att skapa ett Kerberos-serverobjekt kan något av följande hända när du försöker ansluta till en fjärrsession:

• Du får ett felmeddelande om att den specifika sessionen inte finns.
• Enkel inloggning hoppas över och du ser en standardautentiseringsdialogruta för sessionsvärden.

Lös dessa problem genom att skapa Kerberos-serverobjektet och sedan ansluta igen.

Granska dina principer för villkorlig åtkomst

När enkel inloggning är aktiverat introduceras en ny Microsoft Entra-ID-app för att autentisera användare till sessionsvärden. Om du har principer för villkorlig åtkomst som gäller vid åtkomst till Azure Virtual Desktop läser du rekommendationerna om hur du konfigurerar multifaktorautentisering för att säkerställa att användarna får önskad upplevelse.

Konfigurera värdpoolen för att aktivera enkel inloggning

Om du vill aktivera enkel inloggning på värdpoolen måste du konfigurera följande RDP-egenskap, vilket du kan göra med hjälp av Azure Portal eller PowerShell. Du hittar stegen för att konfigurera RDP-egenskaper i RDP-egenskaper (Customize Remote Desktop Protocol) för en värdpool.

• I Azure Portal anger du Enkel inloggning för Microsoft Entra till Anslutningar använder Microsoft Entra-autentisering för att tillhandahålla enkel inloggning.

• För PowerShell anger du egenskapen enablerdsaadauth till 1.

Nästa steg

• Kolla in lösenordslös autentisering under sessionen för att lära dig hur du aktiverar lösenordslös autentisering.

• Lär dig hur du konfigurerar sessionslåsbeteendet för Azure Virtual Desktop.

• Mer information om Microsoft Entra Kerberos finns i Djupdykning: Så här fungerar Microsoft Entra Kerberos.

• Om du får problem går du till Felsöka anslutningar till Microsoft Entra-anslutna virtuella datorer.