Bereitstellung von Azure AD-gekoppelten virtuellen Maschinen in Azure Virtual Desktop

Dieser Artikel führt Sie durch den Prozess für die Bereitstellung von und für den Zugriff auf in Azure AD eingebundene VMs in Azure Virtual Desktop. Mit Azure AD-joined VMs entfällt die Notwendigkeit, eine Sichtverbindung von der VM zu einem lokalen oder virtualisierten Active Directory-Domänen-Controller (DC) herzustellen oder Azure AD-Domänendienste (Azure AD DS) bereitzustellen. In einigen Fällen sind sogar überhaupt keine Domänencontroller mehr erforderlich, wodurch die Bereitstellung und Verwaltung der Umgebung deutlich vereinfacht wird. Diese VMs können zur Vereinfachung der Verwaltung auch automatisch bei Intune registriert werden.

Unterstützte Konfigurationen

Die folgenden Konfigurationen werden derzeit für in Azure AD eingebundene VMs unterstützt:

  • Persönliche Desktops mit lokalen Benutzerprofilen.
  • Pool-Desktops, die als Jumpbox verwendet werden. Bei dieser Konfiguration greifen Benutzer zuerst auf eine Azure Virtual Desktop-VM zu, bevor sie eine Verbindung mit einem anderen PC im Netzwerk herstellen. Benutzer sollten keine Daten auf der VM speichern.
  • Pool-Desktops oder -Anwendungen, bei denen Benutzer keine Daten auf der VM speichern müssen. Zum Beispiel bei Anwendungen, die Daten online speichern oder eine Verbindung mit einer Remotedatenbank herstellen.

Bei den Benutzerkonten kann es sich um ausschließlich cloudbasierte oder um hybride Benutzer desselben Azure AD-Mandanten handeln.

Bekannte Einschränkungen

Die folgenden bekannten Einschränkungen können den Zugriff auf Ihre lokalen oder Active Directory-Domänen-gekoppelten Ressourcen beeinträchtigen und sollten bei der Entscheidung, ob Azure AD-gekoppelte VMs für Ihre Umgebung geeignet sind, berücksichtigt werden. Wir empfehlen Azure AD-joined VMs derzeit für Szenarien, in denen Anwender nur Zugriff auf Cloud-basierte Ressourcen oder Azure AD-basierte Authentifizierung benötigen.

  • Azure Virtual Desktop (classic) unterstützt keine Azure AD-joined VMs.
  • Azure AD-joined VMs unterstützen derzeit keine externen Benutzer.
  • Azure AD-joined VMs unterstützt derzeit nur lokale Benutzerprofile.
  • Azure AD-joined VMs können nicht auf Azure Files-Dateifreigaben für FSLogix oder MSIX App Attach zugreifen. Sie benötigen eine Kerberos-Authentifizierung, um auf eine dieser Funktionen zuzugreifen.
  • Der Windows Store-Client unterstützt derzeit keine Azure AD-joined VMs.
  • Das einmalige Anmelden für in Azure AD eingebundene VMs wird derzeit von Azure Virtual Desktop nicht unterstützt.

Bereitstellen von in Azure AD eingebundenen VMs

Sie können in Azure AD eingebundene VMs direkt über das Azure-Portal bereitstellen, wenn Sie einen neuen Hostpool erstellen oder einen vorhandenen Hostpool erweitern. Wählen Sie auf der Registerkarte „Virtual Machines“ aus, ob der virtuelle Computer in Active Directory oder in Azure Active Directory eingebunden werden soll. Wenn Sie Azure Active Directory auswählen, können Sie die VM automatisch bei Intune registrieren, damit Sie VMs mit Windows 10 Enterprise und Windows 10 Enterprise (mehrere Sitzungen) problemlos verwalten können. Beachten Sie, dass die VMs mit der Option „Azure Active Directory“ in denselben Azure AD-Mandanten eingebunden werden wie Ihr Abonnement.

Hinweis

  • Hostpools sollten nur VMs enthalten, die in dieselbe Domäne eingebunden sind. So sollten in AD eingebundene VMs nur mit anderen AD-VMs in einem Hostpool sein, und umgekehrt.
  • Auf den Hostpool-VMs muss Windows 10 (mit einzelnen oder mehreren Sitzungen), Version 2004 oder höher, ausgeführt werden.
  • Die Verwaltung von Azure Virtual Desktop-Sitzungshosts mit Microsoft Endpoint Manager (Intune) wird derzeit nur in der öffentlichen Azure-Cloud unterstützt.

Benutzerzugriff auf Hostpools zuweisen

Nachdem Sie Ihren Host-Pool erstellt haben, müssen Sie den Benutzern Zugriff auf die Ressourcen gewähren. Um den Zugriff auf die Ressourcen zu gewähren, fügen Sie jeden Benutzer zur Anwendungsgruppe hinzu. Befolgen Sie die Anweisungen unter Anwendungsgruppen verwalten, um Benutzern Zugriffsberechtigungen für Anwendungen und Desktops zu erteilen. Es wird empfohlen, dafür nach Möglichkeit Benutzergruppen anstelle einzelner Benutzer zu verwenden.

Für Azure AD-verbundene VMs müssen Sie zusätzlich zu den Anforderungen für Active Directory oder Azure Active Directory Domain Services-basierte Bereitstellungen zwei weitere Dinge tun:

  • Weisen Sie Ihren Anwendern die Rolle Virtual Machine User Login zu, damit sie sich bei den VMs anmelden können.
  • Weisen Sie Administratoren, die lokale administrative Rechte benötigen, die Rolle Virtual Machine Administrator Login zu.

Um Benutzern Zugriff auf in Azure AD eingebundene VMs zu gewähren, müssen Sie die Rollenzuweisungen für die VM konfigurieren. Sie können die Rollen VM-Benutzeranmeldung oder VM-Administratoranmeldung entweder auf den VMs, in der Ressourcengruppe, die die VMs enthält, oder im Abonnement zuweisen. Es wird empfohlen, die Rolle „VM-Benutzeranmeldung“ derselben Benutzergruppe zuzuweisen, die Sie für die Anwendungsgruppe auf Ressourcengruppenebene verwendet haben, damit sie auf alle VMs im Hostpool angewendet wird.

Zugriff auf in Azure AD eingebundene VMs

In diesem Abschnitt wird erläutert, wie Sie von verschiedenen Azure Virtual Desktop-Clients auf in Azure AD eingebundene VMs zugreifen.

Herstellen einer Verbindung mit dem Windows-Desktopclient

Die Standardkonfiguration unterstützt Verbindungen von Windows 10 mithilfe des Windows-Desktopclients. Sie können Anmeldeinformationen, die Smartcard, Windows Hello for Business mit zertifikatbasierter Vertrauensstellung oder Windows Hello for Business mit schlüsselbasierter Vertrauensstellung und Zertifikaten verwenden, um sich beim Sitzungshost anzumelden. Um auf den Sitzungshost zugreifen zu können, muss Ihr lokaler PC jedoch eine der folgenden Bedingungen erfüllen:

  • der lokale PC ist in denselben Azure AD-Mandanten eingebunden wie der Sitzungshost
  • der lokale PC ist als Hybridgerät in denselben Azure AD-Mandanten eingebunden wie der Sitzungshost
  • Auf dem lokalen PC wird Windows 10 (Version 2004 und höher) ausgeführt und er ist über Azure AD beim gleichen Azure AD-Mandanten registriert wie der Sitzungshost.

Um den Zugriff von Windows-Geräten zu ermöglichen, die nicht in Azure AD eingebunden sind, fügen Sie targetisaadjoined:i:1 als eine benutzerdefinierte RDP-Eigenschaft zum Hostpool hinzu. Bei diesen Verbindungen müssen Benutzername und Kennwortanmeldeinformationen für die Anmeldung beim Sitzungshost eingegeben werden.

Herstellen einer Verbindung mit anderen Clients

Um mit Web-, Android-, macOS- und iOS-Clients auf in Azure AD eingebundene VMs zuzugreifen, müssen Sie targetisaadjoined:i:1 als eine benutzerdefinierte RDP-Eigenschaft zum Hostpool hinzufügen. Bei diesen Verbindungen müssen Benutzername und Kennwortanmeldeinformationen für die Anmeldung beim Sitzungshost eingegeben werden.

Aktivieren der mehrstufigen Authentifizierung für in Azure AD eingebundene VMs

Sie können die Multifaktorauthentifizierung für Azure AD-gekoppelte VMs aktivieren, indem Sie eine Richtlinie für bedingten Zugriff in der Azure Virtual Desktop-App festlegen. Damit Verbindungen erfolgreich sind, müssen Sie die herkömmliche Mehrfaktor-Authentifizierung pro Benutzer deaktivieren. Wenn Sie die Anmeldung nicht auf sichere Authentifizierungsmethoden wie Windows Hello for Business beschränken möchten, müssen Sie die Azure Windows VM-Anmelde-App aus Ihrer Richtlinie für bedingten Zugriff ausschließen.

Benutzerprofile

Azure Virtual Desktop unterstützt derzeit nur lokale Profile für in Azure AD eingebundene VMs.

Nächste Schritte

Nachdem Sie einige in Azure AD eingebundene VMs bereitgestellt haben, können Sie sich an einem unterstützten Azure Virtual Desktop-Client anmelden, um ihn als Teil einer Benutzersitzung zu testen. Weitere Informationen darüber, wie Sie eine Verbindung mit einer Sitzung herstellen können, finden Sie in den folgenden Artikeln: