Microsoft Entra in Azure Virtual Desktop eingebundene Sitzungshosts

In diesem Artikel erfahren Sie, wie Sie Microsoft Entra verknüpften virtuellen Computer in Azure Virtual Desktop bereitstellen und darauf zugreifen. Microsoft Entra eingebundenen VMs ist es nicht mehr erforderlich, eine Sichtverbindung von der VM zu einem lokalen oder virtualisierten Active Directory-Domäne Controller (DC) zu haben oder Microsoft Entra Domain Services bereitzustellen. In einigen Fällen kann die Notwendigkeit eines DC vollständig entfernt werden, wodurch die Bereitstellung und Verwaltung der Umgebung vereinfacht wird. Diese VMs können auch automatisch in Intune registriert werden, um die Verwaltung zu vereinfachen.

Bekannte Einschränkungen

Die folgenden bekannten Einschränkungen können sich auf den Zugriff auf Ihre lokalen oder in die Active Directory-Domäne eingebundenen Ressourcen auswirken, und Sie sollten sie berücksichtigen, wenn Sie entscheiden, ob Microsoft Entra verknüpfte VMs für Ihre Umgebung geeignet sind.

• Microsoft Entra eingebundenen VM-Zugriff auf Azure Files-Freigaben für Hybridbenutzer, die Microsoft Entra Kerberos für FSLogix-Benutzerprofile verwenden, wird vollständig unterstützt.
• Microsoft Entra eingebundenen VM-Zugriff auf Azure Files Freigaben für reine Cloudidentitäten und externe Identitäten, die Microsoft Entra Kerberos für FSLogix-Benutzerprofile verwenden, befindet sich in der Vorschauphase.

Bereitstellen Microsoft Entra verknüpfter VMs

Sie können Microsoft Entra verknüpften VMs direkt aus dem Azure-Portal bereitstellen, wenn Sie einen neuen Hostpool erstellen oder einen vorhandenen Hostpool erweitern. Um eine Microsoft Entra eingebundene VM bereitzustellen, öffnen Sie die Registerkarte Virtual Machines, und wählen Sie dann aus, ob der virtuelle Computer active Directory oder Microsoft Entra ID hinzugefügt werden soll. Wenn Sie Microsoft Entra ID auswählen, können Sie VMs automatisch bei Intune registrieren, sodass Sie Ihre Sitzungshosts problemlos verwalten können. Beachten Sie, dass die Option Microsoft Entra ID VMs nur mit demselben Microsoft Entra Mandanten wie das Abonnement verknüpft, in dem Sie sich befinden.

Zuweisen des Benutzerzugriffs auf Hostpools

Nachdem Sie Ihren Hostpool erstellt haben, müssen Sie Benutzern Zugriff auf ihre Ressourcen zuweisen. Um Zugriff auf Ressourcen zu gewähren, fügen Sie jeden Benutzer der Anwendungsgruppe hinzu. Befolgen Sie die Anweisungen unter Verwalten von Anwendungsgruppen , um Benutzerzugriff auf Apps und Desktops zuzuweisen. Es wird empfohlen, nach Möglichkeit Benutzergruppen anstelle einzelner Benutzer zu verwenden.

Für Microsoft Entra verknüpfte VMs in Hostpools ohne Sitzungshostkonfiguration müssen Sie zusätzlich zu den Anforderungen für Active Directory- oder Microsoft Entra Domain Services-basierte Bereitstellungen die folgenden zusätzlichen Aufgaben ausführen. Für Hostpools, die eine Sitzungshostkonfiguration verwenden, ist diese zusätzliche Rollenzuweisung nicht erforderlich.

• Weisen Sie Ihren Benutzern die Rolle Vm-Benutzeranmeldung zu, damit sie sich bei den VMs anmelden können.
• Weisen Sie Administratoren, die lokale Administratorrechte benötigen, die Rolle VM-Administratoranmeldung zu .

Um Benutzern Zugriff auf Microsoft Entra verknüpfte VMs zu gewähren, müssen Sie Rollenzuweisungen für den virtuellen Computer konfigurieren. Sie können die Rolle VM-Benutzeranmeldung oder VM-Administratoranmeldung entweder auf den virtuellen Computern, der Ressourcengruppe, die die VMs enthält, oder dem Abonnement zuweisen. Es wird empfohlen, die Rolle Vm-Benutzeranmeldung der gleichen Benutzergruppe zuzuweisen, die Sie für die Anwendungsgruppe auf Ressourcengruppenebene verwendet haben, damit sie auf alle VMs im Hostpool angewendet wird.

Zugreifen auf Microsoft Entra verknüpfte VMs

In diesem Abschnitt wird erläutert, wie Sie über verschiedene Azure Virtual Desktop-Clients auf Microsoft Entra verknüpfte VMs zugreifen.

Single Sign-On

Um eine optimale Erfahrung auf allen Plattformen zu erzielen, sollten Sie beim Zugriff auf Microsoft Entra eingebundene VMs eine einmalige Anmeldung mithilfe Microsoft Entra Authentifizierung aktivieren. Führen Sie die Schritte unter Konfigurieren des einmaligen Anmeldens aus , um eine nahtlose Verbindung bereitzustellen.

Herstellen einer Verbindung mithilfe von Legacyauthentifizierungsprotokollen

Wenn Sie das einmalige Anmelden nicht aktivieren möchten, können Sie die folgende Konfiguration verwenden, um den Zugriff auf Microsoft Entra verknüpften VMs zu ermöglichen.

Herstellen einer Verbindung mithilfe des Windows-Desktopclients

Die Standardkonfiguration unterstützt Verbindungen von Windows 11 oder Windows 10 mithilfe des Windows-Desktopclients. Sie können Ihre Anmeldeinformationen, smarte Karte, Windows Hello for Business Zertifikatvertrauensstellung oder Windows Hello for Business Schlüsselvertrauensstellung mit Zertifikaten verwenden, um sich beim Sitzungshost anzumelden. Für den Zugriff auf den Sitzungshost muss Ihr lokaler PC jedoch eine der folgenden Bedingungen erfüllen:

• Der lokale PC ist Microsoft Entra mit demselben Microsoft Entra Mandanten wie der Sitzungshost verbunden.
• Der lokale PC ist Microsoft Entra hybrid mit demselben Microsoft Entra Mandanten verknüpft wie der Sitzungshost.
• Auf dem lokalen PC wird Windows 11 oder Windows 10, Version 2004 oder höher, ausgeführt und Microsoft Entra bei demselben Microsoft Entra Mandanten wie der Sitzungshost registriert.

Wenn Ihr lokaler PC eine dieser Bedingungen nicht erfüllt, fügen Sie dem Hostpool targetisaadjoined:i:1 als benutzerdefinierte RDP-Eigenschaft hinzu. Diese Verbindungen sind auf die Eingabe von Benutzernamen und Kennwortanmeldeinformationen beschränkt, wenn Sie sich beim Sitzungshost anmelden.

Herstellen einer Verbindung mithilfe der anderen Clients

Um über die Web-, Android-, macOS- und iOS-Clients auf Microsoft Entra eingebundenen VMs zuzugreifen, müssen Sie targetisaadjoined:i:1 als benutzerdefinierte RDP-Eigenschaft zum Hostpool hinzufügen. Diese Verbindungen sind auf die Eingabe von Benutzernamen und Kennwortanmeldeinformationen beschränkt, wenn Sie sich beim Sitzungshost anmelden.

Erzwingen Microsoft Entra mehrstufiger Authentifizierung für Microsoft Entra verknüpfte Sitzungs-VMs

Sie können Microsoft Entra mehrstufige Authentifizierung mit Microsoft Entra eingebundenen VMs verwenden. Führen Sie die Schritte unter Erzwingen Microsoft Entra multi-faktor-Authentifizierung für Azure Virtual Desktop mithilfe des bedingten Zugriffs aus, und beachten Sie die zusätzlichen Schritte für Microsoft Entra verknüpften Sitzungshost-VMs.

Wenn Sie Microsoft Entra mehrstufige Authentifizierung verwenden und die Anmeldung nicht auf sichere Authentifizierungsmethoden wie Windows Hello for Business beschränken möchten, müssen Sie die Azure Windows-VM Sign-In-App aus Ihrer Richtlinie für bedingten Zugriff ausschließen.

Benutzerprofile

Sie können FSLogix-Profilcontainer mit Microsoft Entra verknüpften VMs verwenden, wenn Sie sie unter Verwendung von Hybridbenutzerkonten auf Azure Files speichern. Weitere Informationen finden Sie unter Erstellen eines Profilcontainers mit Azure Files und Microsoft Entra ID.

Zugreifen auf lokale Ressourcen

Sie benötigen zwar kein Active Directory für die Bereitstellung oder den Zugriff auf Ihre Microsoft Entra eingebundenen VMs, aber für den Zugriff auf lokale Ressourcen von diesen virtuellen Computern aus sind eine Active Directory- und Sichtverbindung erforderlich.

Nächste Schritte

Nachdem Sie einige Microsoft Entra verknüpfte VMs bereitgestellt haben, empfehlen wir ihnen, einmaliges Anmelden zu aktivieren, bevor Sie eine Verbindung mit einem unterstützten Azure Virtual Desktop-Client herstellen, um ihn als Teil einer Benutzersitzung zu testen. Weitere Informationen finden Sie in den folgenden Artikeln:

• Einmaliges Anmelden konfigurieren
• Erstellen eines Profilcontainers mit Azure Files und Microsoft Entra ID
• Stellen Sie eine Verbindung mit dem Windows-Desktopclient her
• Stellen Sie eine Verbindung mit dem Webclient her
• Problembehandlung bei Verbindungen mit Microsoft Entra verknüpften VMs