Konfigurieren von einmaligem Anmelden für Azure Virtual Desktop mit Microsoft Entra ID-Authentifizierung

Dieser Artikel führt Sie durch den Prozess der Konfiguration des einmaligen Anmeldens (Single Sign-On, SSO) für Azure Virtual Desktop mithilfe der Microsoft Entra ID-Authentifizierung. Wenn Sie das einmalige Anmelden aktivieren, authentifizieren sich Benutzer und Benutzerinnen mit einem Microsoft Entra-ID-Token bei Windows. Dieses Token ermöglicht die Verwendung von kennwortlosen Authentifizierungsanbietern und Identitätsanbietern von Drittherstellern, die beim Herstellen einer Verbindung mit einem Sitzungshost eine Verbindung mit Microsoft Entra ID herstellen und dadurch die Anmeldeerfahrung nahtlos gestalten.

Einmaliges Anmelden mit der Microsoft Entra ID-Authentifizierung bietet auch eine nahtlose Erfahrung für auf Microsoft Entra ID basierende Ressourcen innerhalb der Sitzung. Weitere Informationen zur Verwendung der kennwortlosen Authentifizierung innerhalb einer Sitzung finden Sie unter Kennwortlose In-Session-Authentifizierung.

Um einmaliges Anmelden mit der Microsoft Entra ID-Authentifizierung zu aktivieren, müssen Sie fünf Aufgaben ausführen:

1. Aktivieren der Microsoft Entra-Authentifizierung für RDP (Remote Desktop Protocol).

2. Konfigurieren der Zielgerätegruppen.

3. Erstellen Sie ein Kerberos-Serverobjekt, wenn Active Directory Domain Services Teil Ihrer Umgebung ist. Weitere Informationen zu den Kriterien finden Sie im zugehörigen Abschnitt.

4. Überprüfen Sie Ihre Richtlinien für bedingten Zugriff.

5. Konfigurieren Sie Ihren Hostpool, sodass einmaliges Anmelden möglich ist.

Bevor Sie das einmalige Anmelden aktivieren

Bevor Sie das einmalige Anmelden aktivieren, lesen Sie die folgenden Informationen zu seiner Verwendung in Ihrer Umgebung.

Trennen der Verbindung, wenn die Sitzung gesperrt ist

Wenn das einmalige Anmelden aktiviert ist, melden Sie sich mit einem Microsoft Entra ID-Authentifizierungstoken bei Windows an, das Unterstützung für die kennwortlose Authentifizierung bei Windows bietet. Der Windows-Sperrbildschirm in der Remotesitzung unterstützt keine Microsoft Entra ID-Authentifizierungstoken oder kennwortlose Authentifizierungsmethoden wie FIDO-Schlüssel. Die fehlende Unterstützung für diese Authentifizierungsmethoden bedeutet, dass Benutzer ihre Bildschirme in einer Remotesitzung nicht entsperren können. Wenn Sie versuchen, eine Remotesitzung entweder über eine Benutzeraktion oder eine Systemrichtlinie zu sperren, wird die Sitzung stattdessen getrennt, und der Dienst sendet eine Nachricht an den Benutzer bzw. die Benutzerin, in der erklärt wird, dass die Verbindung getrennt wurde.

Durch das Trennen der Sitzung wird außerdem sichergestellt, dass Microsoft Entra ID alle geltenden Richtlinien für bedingten Zugriff neu auswertet, wenn die Verbindung nach einer gewissen Zeit der Inaktivität neu gestartet wird.

Verwenden eines Active Directory-Domänenadministratorkontos mit einmaligem Anmelden

In Umgebungen mit Active Directory Domain Services- (AD DS)- und hybriden Benutzerkonten verweigert die Standardrichtlinie für Kennwortreplikation auf schreibgeschützten Domänencontrollern die Replikation von Kennwörtern für Mitglieder der Sicherheitsgruppen Domänenadministratoren und Administratoren. Diese Richtlinie verhindert, dass sich diese Administratorkonten bei in Microsoft Entra eingebundenen Hybridhosts anmelden. Sie werden möglicherweise weiterhin aufgefordert, ihre Anmeldeinformationen einzugeben. Außerdem verhindert diese Richtlinie, dass Administratorkonten auf lokale Ressourcen zugreifen, die Kerberos-Authentifizierung von in Microsoft Entra eingebundenen Hosts verwenden.

Informationen dazu, wie Sie zulassen, dass diese Administratorkonten eine Verbindung herstellen können, wenn einmaliges Anmelden aktiviert ist, finden Sie unter Zulassen von Verbindungen mit Active Directory-Domänenadministratorkonten.

Voraussetzungen

Bevor Sie einmaliges Anmelden aktivieren können, müssen Sie folgende Voraussetzungen erfüllen:

• Um Ihren Microsoft Entra-Mandanten konfigurieren zu können, muss Ihnen eine der folgenden integrierten Microsoft Entra-Rollenzugewiesen werden:

  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Globaler Administrator

• Auf Ihren Sitzungshosts muss eines der folgenden Betriebssysteme ausgeführt werden, für das alle relevanten kumulativen Update installiert worden sind:

  • Windows 11 Enterprise Einzel- oder Mehrfachsitzung mit den kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher installiert.
  • Windows 10 Enterprise Einzel- oder Mehrfachsitzung mit installierten kumulativen Updates 2022-10 für Windows 10 (KB5018410) oder höher.
  • Windows Server 2022 mit dem kumulativen Update 2022-10 für Microsoft Server-Betriebssystem (KB5018421) oder höher installiert.

• Ihre Sitzungshosts müssen entweder Microsoft Entra beigetreten oder in Microsoft Entra hybrid eingebunden sein. Sitzungshosts, die in Active Directory Domain Services oder Microsoft Entra Domain Services eingebunden sein, werden nicht unterstützt.

  Wenn sich Ihre in Microsoft Entra hybrid eingebundenen Sitzungshosts in einer anderen Active Directory-Domäne befinden als Ihre Benutzerkonten, muss zwischen den beiden Domänen eine bidirektionale Vertrauensstellung vorhanden sein. Ohne die bidirektionale Vertrauensstellung greifen Verbindungen auf ältere Authentifizierungsprotokolle zurück.

• Installieren Sie das Microsoft Graph PowerShell-SDK Version 2.9.0 oder höher auf Ihrem lokalen Gerät oder in Azure Cloud Shell.

• Ein unterstützter Remotedesktopclient zum Herstellen einer Verbindung mit einer Remotesitzung. Die folgenden Clients werden unterstützt:

  • Windows-Desktopclient auf lokalen PCs, die Windows 10 oder höher ausführen. Es ist nicht erforderlich, dass der lokale PC mit Microsoft Entra ID oder einer Active Directory-Domäne verknüpft ist.
  • Webclient.
  • macOS-Client, Version 10.8.2 oder höher
  • iOS-Client, Version 10.5.1 oder höher
  • Android-Client, Version 10.0.16 oder höher

• Um zu konfigurieren, dass das Active Directory-Domänenadministratorkonto eine Verbindung herstellen kann, wenn einmaliges Anmelden aktiviert ist, benötigen Sie ein Konto, das Mitglied der Sicherheitsgruppe Domänenadministratoren ist.

Aktivieren der Microsoft Entra-Authentifizierung für RDP

Sie müssen zuerst die Microsoft Entra-Authentifizierung für Windows in Ihrem Microsoft Entra-Mandanten zulassen. Dadurch wird das Ausstellen von RDP-Zugriffstoken ermöglicht, sodass sich Benutzer und Benutzerinnen bei Ihren Azure Virtual Desktop-Sitzungshosts anmelden können. Sie legen die Eigenschaft isRemoteDesktopProtocolEnabled im remoteDesktopSecurityConfiguration-Objekt des Dienstprinzipals für die folgenden Microsoft Entra-Anwendungen auf „true“ fest:

Anwendungsname	Anwendungs-ID
Microsoft-Remotedesktop	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login	270efc09-cd0d-444b-a71f-39af4910ec45

Wichtig

Im Rahmen einer bevorstehenden Änderung stellen wir ab 2024 von Microsoft Remote Desktop auf Windows Cloud Login um. Durch das Konfigurieren beider Anwendungen wird sichergestellt, dass Sie für die Änderung gerüstet sind.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell-SDK, um auf dem Dienstprinzipal ein neues remoteDesktopSecurityConfiguration-Objekt zu erstellen, und legen Sie die Eigenschaft isRemoteDesktopProtocolEnabled auf true fest. Sie können auch die Microsoft Graph-API mit einem Tool wie Graph-Explorer verwenden.

1. Starten Sie Azure Cloud Shell im Microsoft Azure-Portal mit dem Terminaltyp PowerShell, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.

   1. Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   2. Wenn Sie die PowerShell lokal verwenden, müssen Sie sich zunächst mit Microsoft Azure PowerShell anmelden und dann sicherstellen, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Vergewissern Sie sich, dass Sie das Microsoft Graph PowerShell-SDK aus den Voraussetzungen installiert haben. Importieren Sie dann die Microsoft Graph-Module Authentifizierung und Anwendungen, und stellen Sie eine Verbindung mit Microsoft Graph und den Bereichen Application.Read.All und Application-RemoteDesktopConfig.ReadWrite.All her, indem Sie die folgenden Befehle ausführen:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Rufen Sie die Objekt-ID für jeden Dienstprinzipal ab, und speichern Sie diese in Variablen, indem Sie die folgenden Befehle ausführen:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Legen Sie die Eigenschaft isRemoteDesktopProtocolEnabled auf true fest, indem Sie die folgenden Befehle ausführen. Diese Befehle geben keine Ausgabe aus.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Vergewissern Sie sich, dass die Eigenschaft isRemoteDesktopProtocolEnabled auf true festgelegt ist, indem Sie die folgenden Befehle ausführen:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Die Ausgabe sollte wie folgt sein:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Konfigurieren der Zielgerätegruppen

Nachdem Sie die Microsoft Entra-Authentifizierung für RDP aktiviert haben, müssen Sie die Zielgerätegruppen konfigurieren. Wenn das einmalige Anmelden aktiviert ist, werden Benutzer*innen standardmäßig aufgefordert, sich bei Microsoft Entra ID zu authentifizieren und die Remotedesktopverbindung beim Starten einer Verbindung mit einem neuen Host zuzulassen. Microsoft Entra erinnert sich 30 Tage lang an bis zu 15 Hosts, bevor Sie erneut zur Authentifizierung aufgefordert werden. Wenn ein Dialogfeld zum Zulassen der Remotedesktopverbindung angezeigt wird, wählen Sie Ja aus, um eine Verbindung herzustellen.

Sie können dieses Dialogfeld ausblenden und das einmalige Anmelden für Verbindungen mit allen Sitzungshosts bereitstellen, indem Sie eine Liste vertrauenswürdiger Geräte konfigurieren. Sie müssen mindestens eine Gruppe in Microsoft Entra ID erstellen, die Ihre Sitzungshosts enthält, und dann eine Eigenschaft in den Dienstprinzipalen für dieselben Microsoft Remote Desktop- und Windows Cloud Login-Anwendungen, die im vorherigen Abschnitt verwendet wurden, für die Gruppe festlegen.

Tipp

Wir empfehlen, eine dynamische Gruppe zu verwenden und die Regeln für die dynamische Mitgliedschaft so zu konfigurieren, dass alle Azure Virtual Desktop-Sitzungshosts aufgenommen werden. Sie können die Gerätenamen in dieser Gruppe verwenden, eine sichere Option besteht jedoch darin, die Geräteerweiterungsattribute mithilfe der Microsoft Graph-API festzulegen und zu verwenden. Während dynamische Gruppen normalerweise innerhalb von 5 bis 10 Minuten aktualisiert werden, kann die Aktualisierung großer Mandanten bis zu 24 Stunden dauern.

Für dynamische Gruppen ist eine Microsoft Entra ID P1 Lizenz oder eine „Intune for Education“-Lizenz erforderlich. Weitere Informationen finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell-SDK, um im Dienstprinzipal ein neues targetDeviceGroup-Objekt mit der Objekt-ID und dem Anzeigenamen der dynamischen Gruppe zu erstellen. Sie können auch die Microsoft Graph-API mit einem Tool wie Graph-Explorer verwenden.

1. Erstellen Sie eine dynamische Gruppe in der Microsoft Entra-ID, die die Sitzungshosts enthält, für die Sie das Dialogfeld ausblenden möchten. Notieren Sie sich die Objekt-ID der Gruppe für den nächsten Schritt.

2. Erstellen Sie in derselben PowerShell-Sitzung ein targetDeviceGroup-Objekt, indem Sie die folgenden Befehle ausführen und hierbei die <placeholders> durch Ihre eigenen Werte ersetzen:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Fügen Sie die Gruppe dem targetDeviceGroup-Objekt hinzu, indem Sie die folgenden Befehle ausführen:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Die Ausgabe sollte in etwa so aussehen:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Wiederholen Sie die Schritte 2 und 3 für jede Gruppe, die Sie dem targetDeviceGroup-Objekt hinzufügen möchten. Sie können bis zu maximal 10 Gruppen hinzufügen.

4. Wenn Sie später eine Gerätegruppe aus dem targetDeviceGroup-Objekt entfernen müssen, führen Sie die folgenden Befehle aus, wobei Sie die <placeholders> durch Ihre eigenen Werte ersetzen:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Erstellen eines Kerberos-Serverobjekts

Wenn Ihr Sitzungshost die folgenden Kriterien erfüllt, müssen Sie ein Kerberos-Serverobjekt erstellen:

• Ihr Sitzungshost ist mit Microsoft Entra hybrid verbunden. Sie benötigen ein Kerberos-Serverobjekt, um die Authentifizierung bei einem Domänencontroller abzuschließen.
• Ihr Sitzungshost ist in Microsoft Entra eingebunden und Ihre Umgebung enthält Active Directory-Domänencontroller. Sie benötigen ein Kerberos-Serverobjekt, damit Benutzer auf lokale Ressourcen zugreifen können, z. B. SMB-Freigaben und die in Windows integrierte Authentifizierung bei Websites.

Wichtig

Wenn Sie einmaliges Anmelden auf Ihren hybrid in Microsoft Entra eingebundenen VMs aktivieren, bevor Sie ein Kerberos-Serverobjekt erstellen, kann Folgendes passieren:

• Sie erhalten eine Fehlermeldung, die besagt, dass die betreffende Sitzung nicht vorhanden ist.
• Einmaliges Anmelden wird übersprungen, und es wird ein Standard-Authentifizierungsdialogfeld für den Sitzungshost angezeigt.

Um diese Probleme zu beheben, erstellen Sie das Kerberos-Serverobjekt, und stellen Sie dann erneut eine Verbindung her.

Überprüfen Ihrer Richtlinien für bedingten Zugriff

Wenn das einmalige Anmelden aktiviert ist, wird eine neue Microsoft Entra ID-App eingeführt, um Benutzer*innen beim Sitzungshost zu authentifizieren. Wenn Sie Richtlinien für bedingten Zugriff haben, die beim Zugriff auf Azure Virtual Desktop gelten, lesen Sie die Empfehlungen zum Einrichten der Multi-Faktor-Authentifizierung, um sicherzustellen, dass Benutzer*innen die gewünschte Erfahrung machen.

Konfigurieren Ihres Hostpools, um einmaliges Anmelden zu aktivieren

Um das einmalige Anmelden für Ihren Hostpool zu aktivieren, müssen Sie die folgende RDP-Eigenschaft über das Azure-Portal oder mit PowerShell konfigurieren. Sie finden die entsprechenden Schritte zum Konfigurieren der RDP-Eigenschaften unter Anpassen von RDP-Eigenschaften (Remotedesktopprotokoll) für einen Hostpool.

• Legen Sie im Azure-Portal Microsoft Entra Single SSO auf Connections fest, um die Microsoft Entra-Authentifizierung für Single Sign-On zu nutzen.
• Legen Sie für PowerShell die enablerdsaadauth-Eigenschaft auf 1 fest.

Zulassen von Active Directory-Domänenadministratorkonten zum Herstellen einer Verbindung

So lassen Sie zu, dass Active Directory-Domänenadministratorkonten eine Verbindung herstellen können, wenn einmaliges Anmelden aktiviert ist:

1. Öffnen Sie auf einem Gerät, mit dem Sie Ihre Active Directory-Domäne verwalten, die Konsole Active Directory-Benutzer und -Computer mit einem Konto, das Mitglied der Sicherheitsgruppe Domänenadministratoren ist.

2. Öffnen Sie die Organisationseinheit Domänencontroller für Ihre Domäne.

3. Suchen Sie nach dem AzureADKerberos-Objekt, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Eigenschaften aus.

4. Wählen Sie die Registerkarte Kennwortreplikationsrichtlinie aus.

5. Ändern Sie die Richtlinie für Domänenadministratoren von Verweigern in Zulassen.

6. Löschen Sie die Richtlinie für Administratoren. Die Gruppe „Domänenadministratoren“ ist Mitglied der Gruppe „Administratoren“, sodass das Verweigern der Replikation für Administratoren auch die Replikation für Domänenadministratoren verweigert.

7. Klicken Sie zum Speichern der Änderungen auf OK .

Nächste Schritte

• Informationen dazu, wie die kennwortlose Authentifizierung aktiviert wird, finden Sie unter Kennwortlose In-Session-Authentifizierung.
• Weitere Informationen zu Microsoft Entra Kerberos finden Sie unter Deep dive: Funktionsweise von Microsoft Entra Kerberos
• Wenn Sie auf Azure Virtual Desktop aus unserem Windows Desktop-Client zugreifen, finden Sie weitere Informationen unter Herstellen einer Verbindung mit dem Windows Desktop-Client.
• Wenn Sie über unseren Webclient auf Azure Virtual Desktop zugreifen, finden Sie weitere Informationen unter Herstellen einer Verbindung mit dem Webclient.
• Wenn Probleme auftreten, gehen Sie zu Problembehandlung von Verbindungen mit in Microsoft Entra eingebundenen VMs.