In Microsoft Entra eingebundene Sitzungshosts in Azure Virtual Desktop

  • Artikel

Dieser Artikel führt Sie durch den Prozess der Bereitstellung von und des Zugriffs auf Microsoft Entra joined virtuelle Maschinen in Azure Virtual Desktop. Mit in Microsoft Entra eingebundenen VMs entfällt die Notwendigkeit, eine Sichtverbindung von der VM zu einem lokalen oder virtualisierten Active Directory Domain Controller (DC) zu haben oder Microsoft Entra Domain Services einzusetzen. In einigen Fällen sind sogar überhaupt keine Domänencontroller mehr erforderlich, wodurch die Bereitstellung und Verwaltung der Umgebung deutlich vereinfacht wird. Diese VMs können zur Vereinfachung der Verwaltung auch automatisch bei Intune registriert werden.

Bekannte Einschränkungen

Die folgenden bekannten Einschränkungen können sich auf den Zugriff auf Ihre lokalen oder Active Directory-Domänen-verbundenen Ressourcen auswirken. Sie sollten diese berücksichtigen, wenn Sie entscheiden, ob Microsoft Entra-verbundene VMs für Ihre Umgebung geeignet sind.

  • Azure Virtual Desktop (klassisch) unterstützt keine in Microsoft Entra eingebundenen VMs.
  • In Microsoft Entra eingebundene VMs unterstützen derzeit keine externen Identitäten, wie Microsoft Entra Business-to-Business (B2B) und Microsoft Entra Business-to-Consumer (B2C).
  • In Microsoft Entra eingebundene VMs können nur auf Azure Files-Freigaben oder Azure NetApp Files-Freigaben für Hybridbenutzer zugreifen, die Microsoft Entra Kerberos für FSLogix-Benutzerprofile verwenden.
  • Die Remotedesktop-App für Windows unterstützt keine in Microsoft Entra eingebundenen VMs.

Bereitstellung von in Microsoft Entra eingebundenen VMs

Sie können in Microsoft Entra eingebundene virtuelle Computer direkt über das Azure-Portal bereitstellen, wenn Sie einen neuen Hostpool erstellen oder einen vorhandenen Hostpool erweitern. Um einen in Microsoft Entra eingebundenen virtuellen Computer bereitzustellen, öffnen Sie die Registerkarte Virtuelle Computer und wählen Sie dann aus, ob der virtuelle Computer mit Active Directory oder Microsoft Entra-ID verknüpft werden soll. Wenn Sie Microsoft Entra ID auswählen, haben Sie die Möglichkeit, virtuelle Computer automatisch bei Intune zu registrieren, sodass Sie Ihre Sitzungshosts problemlos verwalten können. Beachten Sie, dass VMs mit der Option „Microsoft Entra ID“ nur in denselben Microsoft Entra-Mandanten eingebunden werden wie Ihr aktuell verwendetes Abonnement.

Hinweis

  • Hostpools sollten nur VMs enthalten, die in dieselbe Domäne eingebunden sind. Beispielsweise sollten in Microsoft Entra eingebundene VMs nur mit anderen in Microsoft Entra eingebundenen VMs verwendet werden. Gleiches gilt im umgekehrten Fall.
  • Bei den VMs im Hostpool muss es sich um Windows 11 oder Windows 10 mit einzelnen oder mehreren Sitzungen, Version 2004 oder höher, Windows Server 2022 oder Windows Server 2019 handeln.

Benutzerzugriff auf Hostpools zuweisen

Nachdem Sie Ihren Hostpool erstellt haben, müssen Sie den Benutzern Zugriff auf ihre Ressourcen gewähren. Um den Zugriff auf die Ressourcen zu gewähren, fügen Sie die einzelnen Benutzer*innen zur Anwendungsgruppe hinzu. Befolgen Sie die Anweisungen unter Verwalten von Anwendungsgruppen, um Benutzer*innen Zugriffsberechtigungen für Apps und Desktops zu erteilen. Es wird empfohlen, dafür nach Möglichkeit Benutzergruppen anstelle einzelner Benutzer zu verwenden.

Für in Microsoft Entra eingebundene VMs müssen Sie zusätzlich zu den Anforderungen für Active Directory oder Microsoft Entra Domain Services-basierte Bereitstellungen zwei weitere Dinge tun:

  • Weisen Sie Ihren Anwendern die Rolle Virtual Machine User Login zu, damit sie sich bei den VMs anmelden können.
  • Weisen Sie Administratoren, die lokale administrative Rechte benötigen, die Rolle Virtual Machine Administrator Login zu.

Um Benutzern Zugriff auf in Microsoft Entra eingebundene VMs zu gewähren, müssen Sie die Rollenzuweisungen für die VM konfigurieren. Sie können die Rollen VM-Benutzeranmeldung oder VM-Administratoranmeldung entweder auf den VMs, in der Ressourcengruppe, die die VMs enthält, oder im Abonnement zuweisen. Es wird empfohlen, die Rolle „VM-Benutzeranmeldung“ derselben Benutzergruppe zuzuweisen, die Sie für die Anwendungsgruppe auf Ressourcengruppenebene verwendet haben, damit sie auf alle VMs im Hostpool angewendet wird.

Zugreifen auf in Microsoft Entra eingebundene VMs

In diesem Abschnitt wird erläutert, wie Sie von verschiedenen Azure Virtual Desktop-Clients auf in Microsoft Entra eingebundene VMs zugreifen.

Einmaliges Anmelden

Für die optimale Nutzung auf allen Plattformen sollten Sie einmaliges Anmelden mithilfe der Microsoft Entra-Authentifizierung aktivieren, wenn Sie auf in Microsoft Entra eingebundene VMs zugreifen. Führen Sie die Schritte zum Konfigurieren von einmaligem Anmelden aus, um eine nahtlose Verbindungsherstellung bereitzustellen.

Herstellen einer Verbindung mithilfe von Legacy-Authentifizierungsprotokollen

Wenn Sie einmaliges Anmelden nicht aktivieren möchten, können Sie die folgende Konfiguration verwenden, um den Zugriff auf in Microsoft Entra eingebundene VMs zu ermöglichen.

Herstellen einer Verbindung mit dem Windows-Desktopclient

Die Standardkonfiguration unterstützt Verbindungen von Windows 11 oder Windows 10 mithilfe des Windows-Desktopclients. Sie können Anmeldeinformationen, die Smartcard, Windows Hello for Business mit zertifikatbasierter Vertrauensstellung oder Windows Hello for Business mit schlüsselbasierter Vertrauensstellung und Zertifikaten verwenden, um sich beim Sitzungshost anzumelden. Um auf den Sitzungshost zugreifen zu können, muss Ihr lokaler PC jedoch eine der folgenden Bedingungen erfüllen:

  • Der lokale PC ist Microsoft Entra-Mitglied und gehört zu demselben Microsoft Entra-Mandant wie der Sitzungshost
  • Der lokale PC ist ein Microsoft Entra-Hybridmitglied, das demselben Microsoft Entra-Mandanten wie der Sitzungshost angehört
  • Auf dem lokalen PC läuft Windows 11 oder Windows 10, Version 2004 oder höher, und er ist bei demselben Microsoft Entra-Mandanten registriert wie der Sitzungshost

Wenn Ihr lokaler PC eine dieser Bedingungen nicht erfüllt, fügen Sie dem Hostpool targetisaadjoined:i:1 als benutzerdefinierte RDP-Eigenschaft hinzu. Bei diesen Verbindungen müssen Benutzername und Kennwortanmeldeinformationen für die Anmeldung beim Sitzungshost eingegeben werden.

Herstellen einer Verbindung mit anderen Clients

Um mit Web-, Android-, macOS- und iOS-Clients auf in Microsoft Entra eingebundene VMs zuzugreifen, müssen Sie targetisaadjoined:i:1 als eine benutzerdefinierte RDP-Eigenschaft zum Hostpool hinzufügen. Bei diesen Verbindungen müssen Benutzername und Kennwortanmeldeinformationen für die Anmeldung beim Sitzungshost eingegeben werden.

Erzwingen der mehrstufigen Microsoft Entra-Authentifizierung für in Microsoft Entra eingebundene Sitzungs-VMs

Sie können die mehrstufige Microsoft Entra-Authentifizierung mit in Microsoft Entra eingebundenen VMs verwenden. Führen Sie die Schritte zum Erzwingen der Microsoft Entra-Multi-Faktor-Authentifizierung für Azure Virtual Desktop mit bedingtem Zugriff aus und beachten Sie die zusätzlichen Schritte für in Microsoft Entra eingebundene Sitzungshost-VMs.

Wenn Sie die Microsoft Entra-Multi-Faktor-Authentifizierung verwenden und die Anmeldung nicht auf starke Authentifizierungsmethoden wie Windows Hello for Business beschränken möchten, müssen Sie die Azure Windows VM Sign-In-App von Ihrer Richtlinie für bedingten Zugriff ausschließen.

Benutzerprofile

Sie können FSLogix-Profilcontainer mit in Microsoft Entra eingebundenen VMs verwenden, wenn Sie diese in Azure Files oder Azure NetApp Files speichern, während Sie Hybridbenutzerkonten verwenden. Weitere Informationen finden Sie unter Erstellen eines Profilcontainers mit Azure Files und Microsoft Entra ID.

Zugriff auf lokale Ressourcen

Sie benötigen zwar kein Active Directory, um Ihre in Microsoft Entra eingebundenen VMs einzurichten oder darauf zuzugreifen, aber ein Active Directory und eine Sichtverbindung zu diesem Verzeichnis sind erforderlich, um von diesen VMs aus auf lokale Ressourcen zuzugreifen. Weitere Informationen zum Zugriff auf lokale Ressourcen finden Sie unter Funktionsweise von SSO für lokale Ressourcen auf in Microsoft Entra eingebundenen Geräten.

Nächste Schritte

Nachdem Sie nun einige in Microsoft Entra eingebundene VMs bereitgestellt haben, wird empfohlen, einmaliges Anmelden zu konfigurieren, bevor Sie sich bei einem unterstützten Azure Virtual Desktop-Client anmelden, um ihn als Teil einer Benutzersitzung zu testen. Weitere Informationen finden Sie in den folgenden Artikeln: