Ondersteunde identiteiten en verificatiemethoden
In dit artikel vindt u een kort overzicht van de soorten identiteiten en verificatiemethoden die u in Azure Virtual Desktop kunt gebruiken.
Identiteiten
Azure Virtual Desktop ondersteunt verschillende typen identiteiten, afhankelijk van de configuratie die u kiest. In deze sectie wordt uitgelegd welke identiteiten u voor elke configuratie kunt gebruiken.
Belangrijk
Azure Virtual Desktop biedt geen ondersteuning voor aanmelden bij Microsoft Entra ID met één gebruikersaccount en vervolgens aanmelden bij Windows met een afzonderlijk gebruikersaccount. Aanmelden met twee verschillende accounts tegelijk kan ertoe leiden dat gebruikers opnieuw verbinding maken met de verkeerde sessiehost, onjuiste of ontbrekende informatie in Azure Portal en foutberichten worden weergegeven tijdens het gebruik van MSIX-app-bijlage.
On-premises identiteit
Omdat gebruikers moeten kunnen worden gedetecteerd via Microsoft Entra ID voor toegang tot Azure Virtual Desktop, worden gebruikersidentiteiten die alleen bestaan in Active Directory-domein Services (AD DS) niet ondersteund. Dit omvat zelfstandige Active Directory-implementaties met Active Directory Federation Services (AD FS).
Hybride identiteit
Azure Virtual Desktop biedt ondersteuning voor hybride identiteiten via Microsoft Entra-id, inclusief de identiteiten die zijn gefedereerd met AD FS. U kunt deze gebruikersidentiteiten in AD DS beheren en synchroniseren met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken. U kunt ook Microsoft Entra ID gebruiken om deze identiteiten te beheren en deze te synchroniseren met Microsoft Entra Domain Services.
Bij toegang tot Azure Virtual Desktop met behulp van hybride identiteiten komen soms de UPN (User Principal Name) of Security Identifier (SID) voor de gebruiker in Active Directory (AD) en Microsoft Entra ID niet overeen. Het AD-account user@contoso.local kan bijvoorbeeld overeenkomen met user@contoso.com de Microsoft Entra-id. Azure Virtual Desktop ondersteunt dit type configuratie alleen als de UPN of SID voor zowel uw AD- als Microsoft Entra ID-accounts overeenkomen. SID verwijst naar de eigenschap ObjectSID van de gebruiker in AD en OnPremisesSecurityIdentifier in Microsoft Entra ID.
Identiteit in de cloud
Azure Virtual Desktop biedt ondersteuning voor identiteiten in de cloud wanneer u gekoppelde VM's van Microsoft Entra gebruikt. Deze gebruikers worden rechtstreeks in Microsoft Entra ID gemaakt en beheerd.
Notitie
U kunt hybride identiteiten ook toewijzen aan Azure Virtual Desktop-toepassingsgroepen die hosten voor sessiehosts van het jointype Microsoft Entra.
Id-providers van derden
Als u een andere id-provider (IdP) gebruikt dan Microsoft Entra ID om uw gebruikersaccounts te beheren, moet u ervoor zorgen dat:
- Uw IdP is gefedereerd met Microsoft Entra-id.
- Uw sessiehosts zijn lid van Microsoft Entra of hybride microsoft Entra-deelname.
- U schakelt Microsoft Entra-verificatie in voor de sessiehost.
Externe identiteit
Azure Virtual Desktop biedt momenteel geen ondersteuning voor externe identiteiten.
Verificatiemethoden
Voor gebruikers die verbinding maken met een externe sessie, zijn er drie afzonderlijke verificatiepunten:
Serviceverificatie voor Azure Virtual Desktop: het ophalen van een lijst met resources waar de gebruiker toegang toe heeft bij het openen van de client. De ervaring is afhankelijk van de configuratie van het Microsoft Entra-account. Als de gebruiker bijvoorbeeld meervoudige verificatie heeft ingeschakeld, wordt de gebruiker gevraagd om zijn of haar gebruikersaccount en een tweede vorm van verificatie, op dezelfde manier als bij het openen van andere services.
Sessiehost: bij het starten van een externe sessie. Een gebruikersnaam en wachtwoord zijn vereist voor een sessiehost, maar dit is naadloos voor de gebruiker als eenmalige aanmelding (SSO) is ingeschakeld.
Verificatie in sessie: verbinding maken met andere resources binnen een externe sessie.
In de volgende secties wordt elk van deze verificatiepunten in meer detail uitgelegd.
Serviceverificatie
Voor toegang tot Azure Virtual Desktop-resources moet u zich eerst bij de service verifiëren door u aan te melden met een Microsoft Entra-account. Verificatie vindt plaats wanneer u zich abonneert op een werkruimte om uw resources op te halen en verbinding te maken met apps of desktops. U kunt id-providers van derden gebruiken zolang ze federeren met Microsoft Entra-id.
Meervoudige verificatie
Volg de instructies in Meervoudige verificatie van Microsoft Entra afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang voor meer informatie over het afdwingen van Meervoudige Verificatie van Microsoft Entra voor uw implementatie. In dit artikel wordt ook uitgelegd hoe u kunt configureren hoe vaak uw gebruikers worden gevraagd hun referenties in te voeren. Houd bij het implementeren van aan Microsoft Entra gekoppelde VM's rekening met de extra stappen voor aan Microsoft Entra gekoppelde sessiehost-VM's.
Verificatie zonder wachtwoord
U kunt elk verificatietype gebruiken dat wordt ondersteund door Microsoft Entra-id, zoals Windows Hello voor Bedrijven en andere verificatieopties zonder wachtwoord (bijvoorbeeld FIDO-sleutels), om te verifiëren bij de service.
Smartcardauthenticatie
Als u een smartcard wilt gebruiken voor verificatie bij Microsoft Entra-id, moet u eerst AD FS configureren voor verificatie van gebruikerscertificaten of verificatie op basis van Microsoft Entra-certificaten configureren.
Verificatie van sessiehost
Als u eenmalige aanmelding nog niet hebt ingeschakeld of uw referenties lokaal hebt opgeslagen , moet u zich ook verifiëren bij de sessiehost bij het starten van een verbinding. In de volgende lijst wordt beschreven welke typen verificatie momenteel door elke Azure Virtual Desktop-client worden ondersteund. Voor sommige clients moet mogelijk een specifieke versie worden gebruikt, die u kunt vinden in de koppeling voor elk verificatietype.
| Klant | Ondersteunde verificatietypen |
|---|---|
| Windows Desktop-client | Gebruikersnaam en wachtwoord Smartcard Windows Hello voor Bedrijven certificaatvertrouwen Windows Hello voor Bedrijven sleutelvertrouwen met certificaten Microsoft Entra-verificatie |
| Azure Virtual Desktop Store-app | Gebruikersnaam en wachtwoord Smartcard Windows Hello voor Bedrijven certificaatvertrouwen Windows Hello voor Bedrijven sleutelvertrouwen met certificaten Microsoft Entra-verificatie |
| Extern bureaublad-app | Gebruikersnaam en wachtwoord |
| Webclient | Gebruikersnaam en wachtwoord Microsoft Entra-verificatie |
| Android-client | Gebruikersnaam en wachtwoord Microsoft Entra-verificatie |
| iOS-client | Gebruikersnaam en wachtwoord Microsoft Entra-verificatie |
| macOS-client | Gebruikersnaam en wachtwoord Smartcard: ondersteuning voor aanmelding op basis van smartcards met behulp van smartcardomleiding bij de Winlogon-prompt wanneer er niet wordt onderhandeld over NLA. Microsoft Entra-verificatie |
Belangrijk
Als verificatie goed werkt, moet uw lokale computer ook toegang hebben tot de vereiste URL's voor Extern bureaublad-clients.
Eenmalige aanmelding (SSO)
Met eenmalige aanmelding kan de verbinding de referentieprompt voor de sessiehost overslaan en de gebruiker automatisch aanmelden bij Windows. Voor sessiehosts die zijn toegevoegd aan Microsoft Entra of aan Een hybride versie van Microsoft Entra, is het raadzaam eenmalige aanmelding in te schakelen met behulp van Microsoft Entra-verificatie. Microsoft Entra-verificatie biedt andere voordelen, waaronder verificatie zonder wachtwoord en ondersteuning voor id-providers van derden.
Azure Virtual Desktop biedt ook ondersteuning voor eenmalige aanmelding met Active Directory Federation Services (AD FS) voor de Windows Desktop- en webclients.
Zonder eenmalige aanmelding vraagt de client gebruikers om hun sessiehostreferenties voor elke verbinding. De enige manier om te voorkomen dat u hierom wordt gevraagd, is door de referenties op te slaan in de client. U wordt aangeraden alleen referenties op te slaan op beveiligde apparaten om te voorkomen dat andere gebruikers toegang hebben tot uw resources.
Smartcard en Windows Hello voor Bedrijven
Azure Virtual Desktop ondersteunt zowel NT LAN Manager (NTLM) als Kerberos voor sessiehostverificatie, maar smartcard en Windows Hello voor Bedrijven kunnen kerberos alleen gebruiken om u aan te melden. Als u Kerberos wilt gebruiken, moet de client Kerberos-beveiligingstickets ophalen uit een KDC-service (Key Distribution Center) die wordt uitgevoerd op een domeincontroller. Om tickets te verkrijgen, heeft de client een directe netwerklijn-of-sight nodig voor de domeincontroller. U kunt een line-of-sight krijgen door rechtstreeks verbinding te maken binnen uw bedrijfsnetwerk, met behulp van een VPN-verbinding of het instellen van een KDC-proxyserver.
Verificatie in sessie
Zodra u verbinding hebt gemaakt met uw RemoteApp of desktop, wordt u mogelijk gevraagd om verificatie binnen de sessie. In deze sectie wordt uitgelegd hoe u in dit scenario andere referenties gebruikt dan gebruikersnaam en wachtwoord.
Verificatie zonder wachtwoord in sessie
Azure Virtual Desktop biedt ondersteuning voor verificatie zonder wachtwoord in sessie met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels bij het gebruik van de Windows Desktop-client. Verificatie zonder wachtwoord wordt automatisch ingeschakeld wanneer de sessiehost en de lokale pc de volgende besturingssystemen gebruiken:
- Windows 11 enkele of meerdere sessies met de cumulatieve updates 2022-10 voor Windows 11 (KB5018418) of hoger geïnstalleerd.
- Windows 10 enkele of meerdere sessies, versies 20H2 of hoger met de cumulatieve updates 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.
- Windows Server 2022 met de cumulatieve update 2022-10 voor het besturingssysteem microsoft-server (KB5018421) of hoger geïnstalleerd.
Als u verificatie zonder wachtwoord wilt uitschakelen voor uw hostgroep, moet u een RDP-eigenschap aanpassen. U vindt de eigenschap WebAuthn-omleiding op het tabblad Apparaatomleiding in Azure Portal of stel de eigenschap redirectwebauthn in op 0 met behulp van PowerShell.
Wanneer deze optie is ingeschakeld, worden alle WebAuthn-aanvragen in de sessie omgeleid naar de lokale pc. U kunt Windows Hello voor Bedrijven of lokaal gekoppelde beveiligingsapparaten gebruiken om het verificatieproces te voltooien.
Als u toegang wilt krijgen tot Microsoft Entra-resources met Windows Hello voor Bedrijven- of beveiligingsapparaten, moet u de FIDO2-beveiligingssleutel inschakelen als verificatiemethode voor uw gebruikers. Volg de stappen in de methode FIDO2-beveiligingssleutel inschakelen om deze methode in te schakelen.
Verificatie van smartcards in sessie
Als u een smartcard in uw sessie wilt gebruiken, moet u ervoor zorgen dat u de smartcardstuurprogramma's op de sessiehost hebt geïnstalleerd en smartcardomleiding hebt ingeschakeld. Controleer de clientvergelijkingsgrafiek om ervoor te zorgen dat uw client smartcardomleiding ondersteunt.
Volgende stappen
- Benieuwd naar andere manieren om uw implementatie veilig te houden? Bekijk de best practices voor beveiliging.
- Hebt u problemen met het maken van verbinding met aan Microsoft Entra gekoppelde VM's? Bekijk problemen met verbindingen met aan Microsoft Entra gekoppelde VM's.
- Ondervindt u problemen met verificatie zonder wachtwoord in sessie? Zie Problemen met webauthn-omleiding oplossen.
- Wilt u smartcards van buiten uw bedrijfsnetwerk gebruiken? Bekijk hoe u een KDC-proxyserver instelt.