你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以选择在远程会话被用户或策略锁定时,会话是断开连接还是显示远程锁屏界面。 当会话锁定行为设置为断开连接时,将显示一个对话框,让用户知道他们已断开连接。 用户可以在准备好重新连接时从对话框中选择“ 重新 连接”选项。
当使用 Microsoft Entra ID 与单一登录配合使用时,断开会话的连接具有以下优势:
在需要时通过Microsoft Entra ID提供一致的登录体验。
条件访问策略允许时,无需身份验证提示的单一登录体验和重新连接。
支持密钥和 FIDO2 设备等无密码身份验证,这与远程锁屏界面相反。 若要确保完全支持无密码身份验证,必须断开会话连接。
当用户重新连接到其会话时,将重新评估条件访问策略(包括多重身份验证和登录频率)。
可以要求多重身份验证才能返回到会话,并阻止用户使用简单的用户名和密码解锁。
对于依赖于旧式身份验证(包括 NTLM、CredSSP、RDSTLS、TLS 和 RDP 基本身份验证协议)的方案,系统会提示用户在重新连接或启动新连接时重新输入其凭据。
默认会话锁行为会有所不同,具体取决于是对Microsoft Entra ID还是旧式身份验证使用单一登录。 下表显示了每个方案的默认配置:
| 应用场景 | 默认配置 |
|---|---|
| 使用 Microsoft Entra ID 的单一登录 | 断开会话连接 |
| 旧式身份验证协议 | 显示远程锁屏界面 |
本文介绍如何使用 Microsoft Intune 或 组策略 更改其默认配置中的会话锁行为。
先决条件
选择配置方法的相关选项卡。
在配置会话锁定行为之前,需要满足以下先决条件:
具有会话主机的现有主机池。
会话主机必须运行以下作系统之一,并且安装了相关的累积更新:
- Windows 11安装了 2024-05 累积汇报(适用于Windows 11 (KB5037770) 或更高版本)的单会话或多会话。
- Windows 10单会话或多会话版本 21H2 或更高版本,并安装了适用于Windows 10 (KB5039211) 或更高版本的 2024-06 累积汇报。
- Windows Server 2022,安装了适用于Microsoft服务器作系统的 2024-05 累积更新 (KB5037782) 或更高版本。
若要配置Intune,需要:
- 分配有策略和配置文件管理器内置 RBAC 角色的Microsoft Entra ID帐户。
- 包含要配置的设备的组。
配置会话锁定行为
选择配置方法的相关选项卡。
若要使用 Intune 配置会话锁定体验,
使用“设置”目录配置文件类型为Windows 10及更高版本的设备创建或编辑配置文件。
在设置选取器中,浏览到 管理模板>Windows 组件>远程桌面服务>远程桌面会话主机>安全性。
根据要求选中以下设置之一的框:
对于使用 Microsoft Entra ID 的单一登录:
选中用于Microsoft 标识平台身份验证的锁定断开远程会话的连接框,然后关闭设置选取器。
展开“管理模板”类别,然后将“在锁定时断开远程会话以Microsoft 标识平台身份验证”开关切换为“已启用”或“禁用”:
若要在会话锁定时断开远程会话的连接,请将开关切换为 “已启用”。
若要在会话锁定时显示远程锁屏界面,请将开关切换为 “已禁用”。
对于旧式身份验证协议:
选中“ 在锁定上断开远程会话连接以执行旧身份验证”框,然后关闭设置选取器。
展开 “管理模板” 类别,然后将“ 在锁定上断开远程会话以断开旧式身份验证的远程会话” 开关切换为 “已启用” 或 “禁用”:
若要在会话锁定时断开远程会话的连接,请将开关切换为 “已启用”。
若要在会话锁定时显示远程锁屏界面,请将开关切换为 “已禁用”。
选择 下一步。
可选:在“ 作用域标记 ”选项卡上,选择范围标记以筛选配置文件。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。
在“ 分配 ”选项卡上,选择包含提供要配置的远程会话的计算机的组,然后选择“ 下一步”。
在“ 查看 + 创建 ”选项卡上,查看设置,然后选择“ 创建”。
策略应用于会话主机后,重启这些主机,使设置生效。
若要测试配置,请连接到远程会话,然后锁定远程会话。 根据配置,验证会话是否断开连接或显示远程锁屏界面。
