設定 Azure 虛擬桌面的工作階段鎖定行為

您可以選擇當遠端工作階段鎖定 (不論是由使用者或由原則鎖定) 時，要將該工作階段中斷連線或顯示遠端鎖定畫面。 當工作階段鎖定行為設定為中斷連線時，會顯示對話讓使用者知道他們已中斷連線。 使用者可以在準備好再次連線時，從對話選擇 [重新連線] 選項。

使用 Microsoft Entra ID 搭配單一登入使用時，中斷工作階段的連線可提供下列優點：

• 視需要透過 Microsoft Entra ID 提供一致的登入體驗。

• 單一登入體驗和重新連線而不出現驗證提示 (當條件式存取原則允許時)。

• 支援無密碼驗證，例如通行金鑰和 FIDO2 裝置，與遠端鎖定畫面相反。 需要中斷工作階段的連線，以確保完全支援無密碼驗證。

• 當使用者重新連線到其工作階段時，會重新評估條件式存取原則，包括多重要素驗證和登入頻率。

• 您可以要求多重要素驗證返回工作階段，並防止使用者使用簡單的使用者名稱和密碼解除鎖定。

針對依賴舊版驗證的案例，包括 NTLM、CredSSP、RDSTLS、TLS 和 RDP 基本驗證通訊協定，當使用者重新連線或啟動新連線時，系統會提示使用者重新輸入其認證。

預設工作階段鎖定行為會根據您使用單一登入搭配 Microsoft Entra ID 或舊版驗證而有所不同。 下表顯示每個情節的預設組態：

案例	預設的組態
使用 Microsoft Entra ID 進行單一登入	中斷工作階段連線
舊版驗證通訊協定	顯示遠端鎖定畫面

本文說明如何使用 Microsoft Intune 或群組原則，將工作階段鎖定行為從其預設設定變更為其他設定。

必要條件

為您的設定方式選取相關索引標籤。

Intune

您必須先符合下列必要條件，才能設定工作階段鎖定行為：

• 具有工作階段主機的現有主機集區。

• 您的工作階段主機必須執行下列其中一個作業系統，並安裝相關的累積更新：

  • 已安裝適用於 Windows 11 的 2024-05 累積更新 (KB5037770) 或更新版本的 Windows 11 單一或多重工作階段。
  • 已安裝適用於 Windows 10 的 2024-06 累積更新 (KB5039211) 或更新版本的 Windows 10 單一或多重工作階段 21H2 版或更新版本。
  • 已安裝適用於 Microsoft 伺服器作業系統的 2024-05 累積更新 (KB5037782) 或更新版本的 Windows Server 2022。

• 若要設定 Intune，您需要：

  • 已獲指派原則和設定檔管理員內建 RBAC 角色的 Microsoft Entra ID 帳戶。
  • 包含您要設定之裝置的群組。

群組原則

您必須先符合下列必要條件，才能設定工作階段鎖定行為：

• 具有工作階段主機的現有主機集區。

• 您的工作階段主機必須執行下列其中一個作業系統，並安裝相關的累積更新：

  • 已安裝適用於 Windows 11 的 2024-05 累積更新 (KB5037770) 或更新版本的 Windows 11 單一或多重工作階段。
  • 已安裝適用於 Windows 10 的 2024-06 累積更新 (KB5039211) 或更新版本的 Windows 10 單一或多重工作階段 21H2 版或更新版本。
  • 已安裝適用於 Microsoft 伺服器作業系統的 2024-05 累積更新 (KB5037782) 或更新版本的 Windows Server 2022。

• 若要設定群組原則，您需要：

  • 有權建立或編輯群組原則物件的網域帳戶。
  • 包含您想要設定之裝置的安全群組或組織單位 (OU)。

設定工作階段鎖定行為

為您的設定方式選取相關索引標籤。

Intune

若要使用 Intune 設定工作階段鎖定體驗：

1. 登入 Microsoft Intune 系統管理中心。

2. 使用 [設定目錄] 設定檔類型，為 Windows 10 和更新版本的裝置建立或編輯組態設定檔。

3. 在設定選擇器中，瀏覽至 [系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[安全性]。

   

4. 請根據您的需求勾選下列其中一個設定的方塊：

   • 針對使用 Microsoft Entra ID 進行單一登入：

     1. 勾選 [Microsoft 身分識別平台驗證鎖定時中斷遠端工作階段連線] 的方塊，然後關閉設定選擇器。

     2. 展開 [系統管理範本] 類別，然後將 [Microsoft 身分識別平台驗證鎖定時中斷遠端工作階段連線] 切換為 [啟用] 或 [停用]：

        • 若要在工作階段鎖定時中斷遠端工作階段的連線，請將該開關切換為 [已啟用]，然後選取 [確定]。

        • 若要在工作階段鎖定時顯示遠端畫面，請將該開關切換為 [已停用]，然後選取 [確定]。

   • 針對舊版驗證通訊協定：

     1. 核取在舊版驗證鎖定時中斷遠端工作階段的連線方塊，然後關閉設定選擇器。

     2. 展開 [系統管理範本] 類別，然後將 [鎖定時中斷遠端工作階段鎖定舊版驗證] 切換為 [啟用] 或 [停用]：

        • 若要在工作階段鎖定時中斷遠端工作階段的連線，請將該開關切換為 [已啟用]，然後選取 [確定]。

        • 若要在工作階段鎖定時顯示遠端畫面，請將該開關切換為 [已停用]，然後選取 [確定]。

5. 選取 [下一步]。

6. 選用：在 [範圍標籤] 索引標籤上，選取範圍標籤以篩選設定檔。 如需範圍標籤的詳細資訊，請參閱將角色型存取控制 (RBAC) 和範圍標籤用於分散式 IT。

7. 在 [指派] 索引標籤上，確認哪些電腦提供您要設定的遠程工作階段並選取其所屬的群組，然後選取 [下一步]。

8. 在 [檢閱 + 建立] 索引標籤上檢閱設定，然後選取 [建立]。

9. 原則套用到工作階段主機後，將其重新啟動，使設定生效。

10. 若要測試設定，請連線到遠端工作階段，然後鎖定遠端工作階段。 根據您的設定，確認工作階段會中斷連線或顯示遠端鎖定畫面。

群組原則

若要使用群組原來設定工作階段鎖定體驗，請遵循下列步驟。

1. 群組原則設定僅在必要條件中列出的作業系統上提供。 若要在 Windows Server 的其他版本上使用，您必須根據您的環境，將系統管理範本檔案 C:\Windows\PolicyDefinitions\terminalserver.admx 和 C:\Windows\PolicyDefinitions\en-US\terminalserver.adml 從工作階段主機複製到網域控制站或群組原則中央存放區上的相同的位置。 如果您使用不同的語言，請在 terminalserver.adml 的檔案路徑中，將 en-US 取代為適當的語言代碼。

2. 在用來管理 Active Directory 網域的裝置上，開啟 [群組原則管理] 主控台。

3. 建立或編輯將提供您想要設定的遠端工作階段的電腦設為目標的原則。

4. 瀏覽至 [電腦設定]>[原則]>[系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[安全性]。

   

5. 請根據您的需求按兩下下列其中一個原則設定：

   • 針對使用 Microsoft Entra ID 進行單一登入：

     1. 按兩下 [Microsoft 身分識別平台驗證鎖定時中斷遠端工作階段連線] 的方塊以加以開啟。

        • 若要在工作階段鎖定時中斷遠端工作階段的連線，請選取 [已啟用] 或 [未設定]。

        • 若要在工作階段鎖定時顯示遠端鎖定畫面，請選取 [已停用]。

     2. 選取 [確定]。

   • 針對舊版驗證通訊協定：

     1. 按兩下 [舊版驗證鎖定時中斷遠端工作階段連線] 的方塊以加以開啟。

        • 若要在遠端工作階段鎖定時中斷其連線，請選取 [已啟用]。

        • 若要在遠端工作階段鎖定時顯示遠端鎖定畫面，請選取 [已停用] 或 [未設定]。

     2. 選取 [確定]。

6. 確定原則已套用至工作階段主機，然後將主機重新啟動，使設定生效。

7. 若要測試設定，請連線到遠端工作階段，然後鎖定遠端工作階段。 根據您的設定，確認工作階段會中斷連線或顯示遠端鎖定畫面。

相關內容

• 了解如何使用 Microsoft Entra ID 來設定 Azure 虛擬桌面的單一登入 (部分機器翻譯)。