Konfigurera enkel inloggning för Azure Virtual Desktop med hjälp av Microsoft Entra-ID

Enkel inloggning (SSO) för Azure Virtual Desktop med hjälp av Microsoft Entra ID ger en sömlös inloggningsupplevelse för användare som ansluter till sessionsvärdar. När du aktiverar enkel inloggning autentiserar användare till Windows med hjälp av en Microsoft Entra ID-token. Den här token möjliggör användning av lösenordslös autentisering och identitetsproviders från tredje part som federeras med Microsoft Entra-ID när du ansluter till en sessionsvärd, vilket gör inloggningsupplevelsen smidig.

Enkel inloggning med Microsoft Entra-ID ger också en sömlös upplevelse för Microsoft Entra ID-baserade resurser i sessionen. Mer information om hur du använder lösenordslös autentisering i en session finns i Lösenordsfri autentisering under sessionen.

! Obs! Om du planerar att tillhandahålla Azure Virtual Desktop-resurser för en extern identitet (förhandsversion) är det en förutsättning att konfigurera enkel inloggning för användaren och deras värdpool. Mer information och andra krav finns i Extern identitet (förhandsversion).

Om du vill aktivera enkel inloggning med Microsoft Entra-ID-autentisering måste du utföra fem uppgifter:

1. Aktivera Microsoft Entra autentisering för RDP (Remote Desktop Protocol).

2. Dölj dialogrutan för medgivandeprompt.

3. Skapa ett Kerberos Server-objekt om Active Directory Domain Services är en del av din miljö. Mer information om kriterierna finns i avsnittet.

4. Granska dina principer för villkorlig åtkomst.

5. Konfigurera värdpoolen för att aktivera enkel inloggning.

Innan du aktiverar enkel inloggning

Innan du aktiverar enkel inloggning bör du läsa följande information för att använda den i din miljö.

Beteende för sessionslås

När enkel inloggning med Microsoft Entra ID är aktiverat och fjärrsessionen är låst, antingen av användaren eller av principen, kan du välja om sessionen är frånkopplad eller fjärrlåsskärmen visas. Standardbeteendet är att koppla från sessionen när den låss.

När beteendet för sessionslåset är inställt på att kopplas från visas en dialogruta som meddelar användarna att de har kopplats från. Användare kan välja alternativet Återanslut i dialogrutan när de är redo att ansluta igen. Det här beteendet utförs av säkerhetsskäl och för att säkerställa fullt stöd för lösenordsfri autentisering. Om du kopplar från sessionen får du följande fördelar:

• Konsekvent inloggning via Microsoft Entra-ID när det behövs.

• Enkel inloggning och återanslutning utan autentiseringsprompt när det tillåts av principer för villkorlig åtkomst.

• Stöder lösenordslös autentisering som nycklar och FIDO2-enheter, i motsats till fjärrlåsskärmen.

• Principer för villkorlig åtkomst, inklusive multifaktorautentisering och inloggningsfrekvens, omvärderas när användaren återansluter till sin session.

• Kan kräva multifaktorautentisering för att återgå till sessionen och förhindra att användare låser upp med ett enkelt användarnamn och lösenord.

Om du vill konfigurera beteendet för sessionslåset så att fjärrlåsskärmen visas i stället för att koppla från sessionen läser du Konfigurera sessionslåsets beteende.

Active Directory-domänadministratörskonton med enkel inloggning

I miljöer med ett Active Directory Domain Services (AD DS) och hybridanvändarkonton nekar standardprincipen för lösenordsreplikering på skrivskyddade domänkontrollanter lösenordsreplikering för medlemmar i säkerhetsgrupper för domänadministratörer och administratörer. Den här principen förhindrar att dessa administratörskonton loggar in på Microsoft Entra hybrid-anslutna värdar och kan fortsätta att uppmana dem att ange sina autentiseringsuppgifter. Det förhindrar också att administratörskonton får åtkomst till lokala resurser som använder Kerberos-autentisering från Microsoft Entra anslutna värdar. Vi rekommenderar inte att du ansluter till en fjärrsession med ett konto som är domänadministratör av säkerhetsskäl.

Om du behöver göra ändringar i en sessionsvärd som administratör loggar du in på sessionsvärden med ett konto som inte är administratör och använder sedan alternativet Kör som administratör eller runas-verktyget från en kommandotolk för att ändra till en administratör.

Förhandskrav

Innan du kan aktivera enkel inloggning måste du uppfylla följande krav:

• Om du vill konfigurera din Microsoft Entra klient måste du tilldelas någon av följande Microsoft Entra inbyggda roller eller motsvarande:

  • Programadministratör
  • Molnprogramadministratör

• Sessionsvärdarna måste köra något av följande operativsystem med den kumulativa uppdateringen installerad:

  • Windows 11 Enterprise en eller flera sessioner med kumulativa Uppdateringar 2022–2010 för Windows 11 (KB5018418) eller senare installerat.

  • Windows 10 Enterprise en eller flera sessioner med kumulativ Uppdateringar 2022–2010 för Windows 10 (KB5018410) eller senare installerat.

  • Windows Server 2022 med den kumulativa uppdateringen 2022–2010 för Microsofts serveroperativsystem (KB5018421) eller senare installerad.

• Sessionsvärdarna måste vara Microsoft Entra anslutna eller Microsoft Entra hybridanslutning. Sessionsvärdar som är anslutna till Microsoft Entra Domain Services eller till Active Directory Domain Services stöds inte.

  Om dina Microsoft Entra hybridanslutna sessionsvärdar finns i en annan Active Directory-domän än dina användarkonton måste det finnas ett dubbelriktad förtroende mellan de två domänerna. Utan dubbelriktade förtroenden återgår anslutningarna till äldre autentiseringsprotokoll.

• Installera Microsoft Graph PowerShell SDK version 2.9.0 eller senare på din lokala enhet eller i Azure Cloud Shell.

• Använd en version av Windows App som stöds eller fjärrskrivbordsklienten för att ansluta till en fjärrsession. Följande plattformar och versioner stöds:

  • Windows App:

    • Windows: Alla versioner av Windows App. Det finns inget krav på att den lokala datorn ska vara ansluten till Microsoft Entra-ID eller en Active Directory-domän.
    • macOS: version 10.9.10 eller senare.
    • iOS/iPadOS: version 10.5.2 eller senare.
    • Webbläsare.

  • Fjärrskrivbordsklient:

    • Windows Desktop-klienten på lokala datorer som kör Windows 10 eller senare. Det finns inget krav på att den lokala datorn ska vara ansluten till Microsoft Entra-ID eller en Active Directory-domän.
    • Webbklient.
    • macOS-klient, version 10.8.2 eller senare.
    • iOS-klient, version 10.5.1 eller senare.
    • Android-klient, version 10.0.16 eller senare.

Aktivera Microsoft Entra-autentisering för RDP

Du måste först tillåta Microsoft Entra autentisering för Windows i din Microsoft Entra klientorganisation, vilket gör att du kan utfärda RDP-åtkomsttoken så att användarna kan logga in på dina Azure Virtual Desktop-sessionsvärdar. Du ställer in isRemoteDesktopProtocolEnabled egenskapen på true för tjänstens huvudnamnsobjekt remoteDesktopSecurityConfiguration för följande Microsoft Entra program:

• Windows Cloud-inloggning: 270efc09-cd0d-444b-a71f-39af4910ec45

Om du vill konfigurera tjänstens huvudnamn använder du Microsoft Graph PowerShell SDK för att skapa ett nytt remoteDesktopSecurityConfiguration-objekt i tjänstens huvudnamn och anger egenskapen isRemoteDesktopProtocolEnabled till true. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

1. Öppna Azure Cloud Shell i Azure Portal med PowerShell-terminaltypen eller kör PowerShell på din lokala enhet.

   • Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.

   • Om du använder PowerShell lokalt loggar du först in med Azure PowerShell och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

2. Kontrollera att du har installerat Microsoft Graph PowerShell SDK från förutsättningarna och importera sedan Microsoft Graph-modulerna för autentisering och program och anslut till Microsoft Graph med omfången Application.Read.All och Application-RemoteDesktopConfig.ReadWrite.All genom att köra följande kommandon:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Hämta objekt-ID:t för windows cloud login-tjänstens huvudnamn och lagra dem i variabler genom att köra följande kommandon:

   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Ange egenskapen isRemoteDesktopProtocolEnabled till genom att true köra följande kommandon. Det finns inga utdata från dessa kommandon.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Bekräfta att egenskapen isRemoteDesktopProtocolEnabled är inställd på genom att true köra följande kommandon:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Utdata till båda kommandona ska vara:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Dölj dialogrutan för medgivandeprompt

När enkel inloggning är aktiverad visas som standard en dialogruta där fjärrskrivbordsanslutningen tillåts när de ansluter till en ny sessionsvärd. Microsoft Entra kommer ihåg upp till 15 värdar i 30 dagar innan du frågar igen. Om användarna ser den här dialogen för att tillåta anslutning till fjärrskrivbord kan de välja Ja för att ansluta.

Du kan dölja den här dialogrutan genom att konfigurera en lista över betrodda enheter. Om du vill konfigurera listan över enheter skapar du en eller flera grupper i Microsoft Entra ID som innehåller dina sessionsvärdar och lägger sedan till grupp-ID:t i en egenskap i Windows Cloud Login för SSO-tjänstens huvudnamn.

Tips

Vi rekommenderar att du använder en dynamisk grupp och konfigurerar reglerna för dynamiskt medlemskap för att inkludera alla dina Azure Virtual Desktop-sessionsvärdar. Du kan använda enhetsnamnen i den här gruppen, men för ett säkrare alternativ kan du ange och använda attribut för enhetstillägg med hjälp av Microsoft Graph API. Dynamiska grupper uppdateras normalt inom 5–10 minuter, men stora klienter kan ta upp till 24 timmar.

Dynamiska grupper kräver Microsoft Entra ID P1-licens eller Intune for Education-licens. Mer information finns i Regler för dynamiskt medlemskap för grupper.

Om du vill konfigurera tjänstens huvudnamn använder du Microsoft Graph PowerShell SDK för att skapa ett nytt targetDeviceGroup-objekt i tjänstens huvudnamn med den dynamiska gruppens objekt-ID och visningsnamn. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

1. Skapa en dynamisk grupp i Microsoft Entra-ID som innehåller sessionsvärdarna som du vill dölja dialogrutan för. Anteckna objekt-ID:t för gruppen för nästa steg.

2. I samma PowerShell-session skapar du ett targetDeviceGroup objekt genom att köra följande kommandon och ersätta <placeholders> med dina egna värden:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Lägg till gruppen i targetDeviceGroup objektet genom att köra följande kommandon:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Utdata bör likna följande exempel:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Upprepa steg 2 och 3 för varje grupp som du vill lägga till i targetDeviceGroup objektet, upp till högst 10 grupper.

4. Om du senare behöver ta bort en enhetsgrupp från targetDeviceGroup objektet kör du följande kommandon och ersätter <placeholders> med dina egna värden:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Skapa ett Kerberos-serverobjekt

Om sessionsvärdarna uppfyller följande villkor måste du skapa ett Kerberos-serverobjekt. Mer information finns i Aktivera inloggning med lösenordsfri säkerhetsnyckel till lokala resurser med hjälp av Microsoft Entra-ID, särskilt avsnittet för att skapa ett Kerberos Server-objekt:

• Sessionsvärden är Microsoft Entra hybridkopplad. Du måste ha ett Kerberos-serverobjekt för att slutföra autentiseringen till en domänkontrollant.

• Sessionsvärden är Microsoft Entra ansluten och din miljö innehåller Active Directory-domänkontrollanter. Du måste ha ett Kerberos-serverobjekt för att användarna ska få åtkomst till lokala resurser, till exempel SMB-resurser och Windows-integrerad autentisering till webbplatser.

Viktigt

Om du aktiverar enkel inloggning på Microsoft Entra hybridanslutna sessionsvärdar utan att skapa ett Kerberos-serverobjekt kan något av följande hända när du försöker ansluta till en fjärrsession:

• Du får ett felmeddelande om att den specifika sessionen inte finns.
• Enkel inloggning hoppas över och du ser en standardautentiseringsdialogruta för sessionsvärden.

Lös dessa problem genom att skapa Kerberos-serverobjektet och sedan ansluta igen.

Granska dina principer för villkorlig åtkomst

När enkel inloggning är aktiverat introduceras en ny Microsoft Entra-ID-app för att autentisera användare till sessionsvärden. Om du har principer för villkorlig åtkomst som gäller vid åtkomst till Azure Virtual Desktop kan du läsa rekommendationerna om hur du konfigurerar multifaktorautentisering för att se till att användarna får önskad upplevelse.

Konfigurera värdpoolen för att aktivera enkel inloggning

Om du vill aktivera enkel inloggning på värdpoolen måste du konfigurera följande RDP-egenskap, vilket du kan göra med hjälp av Azure Portal eller PowerShell. Du hittar stegen för att konfigurera RDP-egenskaper i Anpassa RDP-egenskaper (Remote Desktop Protocol) för en värdpool.

• I Azure Portal anger du Microsoft Entra enkel inloggning till Connections använder Microsoft Entra autentisering för att tillhandahålla enkel inloggning.

• För PowerShell anger du egenskapen enablerdsaadauth till 1.

Nästa steg

• Kolla in lösenordslös autentisering under sessionen för att lära dig hur du aktiverar lösenordslös autentisering.

• Lär dig hur du konfigurerar sessionslåsbeteendet för Azure Virtual Desktop.

• Mer information om Microsoft Entra Kerberos finns i Djupdykning: Så här fungerar Microsoft Entra Kerberos.

• Om du stöter på problem går du till Felsöka anslutningar till Microsoft Entra anslutna virtuella datorer.