Dela via

Konfigurera enkel inloggning för Azure Virtual Desktop med Microsoft Entra ID-autentisering

  • Artikel

Den här artikeln beskriver hur du konfigurerar enkel inloggning (SSO) för Azure Virtual Desktop med microsoft entra-ID-autentisering. När du aktiverar enkel inloggning autentiserar användare till Windows med hjälp av en Microsoft Entra-ID-token. Den här token möjliggör användning av lösenordslös autentisering och identitetsprovidrar från tredje part som federeras med Microsoft Entra-ID när du ansluter till en sessionsvärd, vilket gör inloggningsupplevelsen smidig.

Enkel inloggning med Microsoft Entra ID-autentisering ger också en sömlös upplevelse för Microsoft Entra ID-baserade resurser i sessionen. Mer information om hur du använder lösenordslös autentisering i en session finns i Lösenordslös autentisering under sessionen.

Om du vill aktivera enkel inloggning med Microsoft Entra ID-autentisering finns det fem uppgifter som du måste utföra:

  1. Aktivera Microsoft Entra-autentisering för RDP (Remote Desktop Protocol).

  2. Konfigurera målenhetsgrupperna.

  3. Skapa ett Kerberos Server-objekt om Usluge domena aktivnog direktorijuma är en del av din miljö. Mer information om kriterierna finns i avsnittet.

  4. Granska dina principer för villkorlig åtkomst.

  5. Konfigurera värdpoolen för att aktivera enkel inloggning.

Innan du aktiverar enkel inloggning

Innan du aktiverar enkel inloggning bör du läsa följande information för att använda den i din miljö.

Frånkoppling när sessionen är låst

När enkel inloggning är aktiverat loggar du in på Windows med en Microsoft Entra ID-autentiseringstoken, vilket ger stöd för lösenordslös autentisering till Windows. Windows-låsskärmen i fjärrsessionen stöder inte autentiseringstoken för Microsoft Entra-ID eller lösenordslösa autentiseringsmetoder, till exempel FIDO-nycklar. Bristen på stöd för dessa autentiseringsmetoder innebär att användarna inte kan låsa upp sina skärmar i en fjärrsession. När du försöker låsa en fjärrsession, antingen via användaråtgärd eller systemprincip, kopplas sessionen i stället från och tjänsten skickar ett meddelande till användaren som förklarar att de var frånkopplade.

Om du kopplar från sessionen ser du också till att microsoft Entra-ID utvärderar eventuella tillämpliga principer för villkorlig åtkomst när anslutningen startas om efter en period av inaktivitet.

Active Directory-domänadministratörskonton med enkel inloggning

I miljöer med ett Usluge domena aktivnog direktorijuma (AD DS) och hybridanvändarkonton nekar standardprincipen för lösenordsreplikering på skrivskyddade domänkontrollanter lösenordsreplikering för medlemmar i säkerhetsgrupper för domänadministratörer och administratörer. Den här principen hindrar dessa administratörskonton från att logga in på Microsoft Entra Hybrid-anslutna värdar och kan fortsätta att uppmana dem att ange sina autentiseringsuppgifter. Det förhindrar också administratörskonton från att komma åt lokala resurser som använder Kerberos-autentisering från Microsoft Entra-anslutna värdar. Vi rekommenderar inte att du ansluter till en fjärrsession med ett konto som är domänadministratör.

Om du behöver göra ändringar i en sessionsvärd som administratör loggar du in på sessionsvärden med ett konto som inte är administratör och använder sedan alternativet Kör som administratör eller kör från en kommandotolk för att ändra till en administratör.

Förutsättningar

Innan du kan aktivera enkel inloggning måste du uppfylla följande krav:

Aktivera Microsoft Entra-autentisering för RDP

Du måste först tillåta Microsoft Entra-autentisering för Windows i din Microsoft Entra-klientorganisation, vilket gör det möjligt att utfärda RDP-åtkomsttoken så att användarna kan logga in på dina Azure Virtual Desktop-sessionsvärdar. Du anger isRemoteDesktopProtocolEnabled egenskapen till true för tjänstens huvudnamnsobjekt remoteDesktopSecurityConfiguration för följande Microsoft Entra-program:

Programnamn Application ID
Microsoft Fjärrskrivbord a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud-inloggning 270efc09-cd0d-444b-a71f-39af4910ec45

Viktigt!

Som en del av en kommande ändring övergår vi från Microsoft udaljena radna površina till Windows Cloud Login från och med 2024. Om du konfigurerar båda programmen nu ser du till att du är redo för ändringen.

Om du vill konfigurera tjänstens huvudnamn använder du Microsoft Graph PowerShell SDK för att skapa ett nytt remoteDesktopSecurityConfiguration-objekt på tjänstens huvudnamn och anger egenskapen isRemoteDesktopProtocolEnabled till true. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

  1. Starta Azure Cloud Shell i Azure-portalen med PowerShell-terminaltypen eller kör PowerShell på din lokala enhet.

    1. Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.

    2. Om du använder PowerShell lokalt loggar du först in med Azure PowerShell och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

  1. Kontrollera att du har installerat Microsoft Graph PowerShell SDK från förutsättningarna, importera sedan Microsoft Graph-modulerna för autentisering och program och anslut till Microsoft Graph med omfången Application.Read.All och Application-RemoteDesktopConfig.ReadWrite.All genom att köra följande kommandon:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Hämta objekt-ID:t för varje huvudnamn för tjänsten och lagra dem i variabler genom att köra följande kommandon:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Ange egenskapen isRemoteDesktopProtocolEnabled till genom att true köra följande kommandon. Det finns inga utdata från dessa kommandon.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Bekräfta att egenskapen isRemoteDesktopProtocolEnabled är inställd på genom att true köra följande kommandon:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    Utdata ska vara:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Konfigurera målenhetsgrupperna

När du har aktiverat Microsoft Entra-autentisering för RDP måste du konfigurera målenhetsgrupperna. Som standard när du aktiverar enkel inloggning uppmanas användarna att autentisera till Microsoft Entra-ID och tillåta fjärrskrivbordsanslutningen när de startar en anslutning till en ny sessionsvärd. Microsoft Entra kommer ihåg upp till 15 värdar i 30 dagar innan de uppmanas igen. Om du ser en dialogruta för att tillåta anslutning till fjärrskrivbord väljer du Ja för att ansluta.

Du kan dölja den här dialogrutan och ange enkel inloggning för anslutningar till alla sessionsvärdar genom att konfigurera en lista över betrodda enheter. Du måste skapa en eller flera grupper i Microsoft Entra-ID som innehåller dina sessionsvärdar och sedan ange en egenskap för tjänstens huvudnamn för samma Microsoft udaljena radna površina- och Windows Cloud Login-program, som används i föregående avsnitt, för gruppen.

Dricks

Vi rekommenderar att du använder en dynamisk grupp och konfigurerar reglerna för dynamiskt medlemskap så att de innehåller alla dina Azure Virtual Desktop-sessionsvärdar. Du kan använda enhetsnamnen i den här gruppen, men för ett säkrare alternativ kan du ange och använda attribut för enhetstillägg med hjälp av Microsoft Graph API. Dynamiska grupper uppdateras normalt inom 5–10 minuter, men stora klienter kan ta upp till 24 timmar.

Dynamiska grupper kräver Microsoft Entra ID P1-licensen eller Intune for Education-licensen. Mer information finns i Regler för dynamiskt medlemskap för grupper.

Om du vill konfigurera tjänstens huvudnamn använder du Microsoft Graph PowerShell SDK för att skapa ett nytt targetDeviceGroup-objekt på tjänstens huvudnamn med den dynamiska gruppens objekt-ID och visningsnamn. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

  1. Skapa en dynamisk grupp i Microsoft Entra-ID som innehåller sessionsvärdarna som du vill dölja dialogrutan för. Anteckna objekt-ID för gruppen för nästa steg.

  2. I samma PowerShell-session skapar du ett targetDeviceGroup objekt genom att köra följande kommandon och ersätta <placeholders> med dina egna värden:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Lägg till gruppen i targetDeviceGroup objektet genom att köra följande kommandon:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    Utdata bör vara liknande:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Upprepa steg 2 och 3 för varje grupp som du vill lägga till i targetDeviceGroup objektet, upp till högst 10 grupper.

  4. Om du senare behöver ta bort en enhetsgrupp från targetDeviceGroup objektet kör du följande kommandon och <placeholders> ersätter med dina egna värden:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Skapa ett Kerberos Server-objekt

Om sessionsvärdarna uppfyller följande villkor måste du skapa ett Kerberos Server-objekt:

  • Sessionsvärden är Microsoft Entra-hybridanslutning. Du måste ha ett Kerberos Server-objekt för att slutföra autentiseringen till en domänkontrollant.
  • Sessionsvärden är Microsoft Entra-ansluten och din miljö innehåller Active Directory-domänkontrollanter. Du måste ha ett Kerberos Server-objekt för att användare ska få åtkomst till lokala resurser, till exempel SMB-resurser och Windows-integrerad autentisering till webbplatser.

Viktigt!

Om du aktiverar enkel inloggning på Microsoft Entra hybridanslutna sessionsvärdar innan du skapar ett Kerberos-serverobjekt kan något av följande hända:

  • Du får ett felmeddelande om att den specifika sessionen inte finns.
  • Enkel inloggning hoppas över och du ser en standardautentiseringsdialogruta för sessionsvärden.

Lös dessa problem genom att skapa Kerberos Server-objektet och sedan ansluta igen.

Granska dina principer för villkorlig åtkomst

När enkel inloggning är aktiverat introduceras en ny Microsoft Entra-ID-app för att autentisera användare till sessionsvärden. Om du har principer för villkorlig åtkomst som gäller vid åtkomst till Azure Virtual Desktop läser du rekommendationerna om hur du konfigurerar multifaktorautentisering för att säkerställa att användarna får önskad upplevelse.

Konfigurera värdpoolen för att aktivera enkel inloggning

Om du vill aktivera enkel inloggning på värdpoolen måste du konfigurera följande RDP-egenskap, vilket du kan göra med hjälp av Azure-portalen eller PowerShell. Du hittar stegen för att konfigurera RDP-egenskaper i RDP-egenskaper (Customize Remote Desktop Protocol) för en värdpool.

  • I Azure-portalen anger du Enkel inloggning för Microsoft Entra till Anslutningar använder Microsoft Entra-autentisering för att tillhandahålla enkel inloggning.
  • För PowerShell anger du egenskapen enablerdsaadauth till 1.

Nästa steg