Konfigurieren des Sitzungssperrverhaltens für Azure Virtual Desktop

Sie können auswählen, ob die Sitzung getrennt oder der Remotesperrbildschirm angezeigt wird, wenn eine Remotesitzung entweder durch den Benutzer oder durch eine Richtlinie gesperrt ist. Wenn das Sitzungssperrverhalten auf „Trennen“ festgelegt ist, wird ein Dialogfeld angezeigt, in dem Benutzer über die Trennung informiert werden. Benutzer können im Dialogfeld die Option Verbindung wiederherstellen auswählen, wenn sie wieder eine Verbindung herstellen möchten.

In Verbindung mit einmaligem Anmelden unter Verwendung von Microsoft Entra ID bietet das Trennen der Sitzung die folgenden Vorteile:

• Konsistente Anmeldeerfahrung über Microsoft Entra ID, wenn erforderlich

• Einmaliges Anmelden und erneutes Verbinden ohne Authentifizierungsaufforderung, wenn dies durch Richtlinien für bedingten Zugriff zulässig ist

• Unterstützung für die kennwortlose Authentifizierung, etwa mit Passkeys und FIDO2-Geräten, im Gegensatz zum Remotesperrbildschirm Das Trennen der Sitzung ist erforderlich, um die vollständige Unterstützung der kennwortlosen Authentifizierung sicherzustellen.

• Richtlinien für bedingten Zugriff, einschließlich Multi-Faktor-Authentifizierung und Anmeldehäufigkeit, werden neu ausgewertet, wenn der Benutzer die Verbindung mit seiner Sitzung wiederherstellt.

• Sie können Multi-Faktor-Authentifizierung vorschreiben, um zur Sitzung zurückzukehren und Benutzer am Entsperren mit einem einfachen Benutzernamen und Kennwort zu hindern.

Für Szenarien, die auf Legacyauthentifizierung wie einschließlich NTLM, CredSSP, RDSTLS, TLS und RDP-Standardauthentifizierungsprotokollen basieren, werden Benutzer aufgefordert, ihre Anmeldeinformationen erneut einzugeben, wenn sie sich wieder verbinden oder eine neue Verbindung aufbauen.

Das standardmäßige Sitzungssperrverhalten unterscheidet sich je nachdem, ob Sie einmaliges Anmelden mit Microsoft Entra ID oder Legacyauthentifizierung verwenden. In der folgenden Tabelle ist die Standardkonfiguration für jedes Szenario dargestellt:

Szenario	Standardkonfiguration
Einmaliges Anmelden mithilfe von Microsoft Entra ID	Trennen der Sitzung
Ältere Authentifizierungsprotokolle	Anzeigen des Remotesperrbildschirms

In diesem Artikel erfahren Sie, wie Sie die Standardkonfiguration des Sitzungssperrverhaltens mithilfe von Microsoft Intune oder per Gruppenrichtlinien ändern.

Voraussetzungen

Wählen Sie die entsprechende Registerkarte für Ihre Konfigurationsmethode aus.

Intune

Bevor Sie das Sitzungssperrverhalten konfigurieren können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Auf Ihren Sitzungshosts muss eines der folgenden Betriebssysteme ausgeführt werden, für das alle relevanten kumulativen Update installiert worden sind:

  • Windows 11 Einzel- oder Mehrfachsitzung mit den installierten kumulativen Updates 2024-05 für Windows 11 (KB5037770) oder höher
  • Windows 10 Einzel- oder Mehrfachsitzung, Versionen 21H2 oder höher, mit den installierten kumulativen Updates 2024-06 für Windows 10 (KB5039211) oder höher
  • Windows Server 2022 mit dem installierten kumulativen Update 2024-05 für Microsoft Server-Betriebssystem (KB5037782) oder höher

• Zum Konfigurieren von Intune benötigen Sie Folgendes:

  • Ein Microsoft Entra ID-Konto, dem die integrierte RBAC-Rolle Richtlinien- und Profil-Manager zugewiesen ist.
  • Eine Gruppe mit den Geräten, die Sie konfigurieren möchten

Gruppenrichtlinie

Bevor Sie das Sitzungssperrverhalten konfigurieren können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Auf Ihren Sitzungshosts muss eines der folgenden Betriebssysteme ausgeführt werden, für das alle relevanten kumulativen Update installiert worden sind:

  • Windows 11 Einzel- oder Mehrfachsitzung mit den installierten kumulativen Updates 2024-05 für Windows 11 (KB5037770) oder höher
  • Windows 10 Einzel- oder Mehrfachsitzung, Versionen 21H2 oder höher, mit den installierten kumulativen Updates 2024-06 für Windows 10 (KB5039211) oder höher
  • Windows Server 2022 mit dem installierten kumulativen Update 2024-05 für Microsoft Server-Betriebssystem (KB5037782) oder höher

• Zum Konfigurieren der Gruppenrichtlinie benötigen Sie Folgendes:

  • Ein Domänenkonto, das über die Berechtigung zum Erstellen oder Bearbeiten von Gruppenrichtlinienobjekten verfügt.
  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

Konfigurieren des Sitzungssperrverhaltens

Wählen Sie die entsprechende Registerkarte für Ihre Konfigurationsmethode aus.

Intune

So konfigurieren Sie die Sitzungssperre mithilfe von Intune:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Geräte mit Windows 10 und höher mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Sicherheit.

   

4. Aktivieren Sie je nach Ihren Anforderungen das Kontrollkästchen für eine der folgenden Einstellungen:

   • Für einmaliges Anmelden mithilfe von Microsoft Entra ID:

     1. Aktivieren Sie das Kontrollkästchen für Remotesitzung bei Sperre für Microsoft Identity Platform-Authentifizierung trennen, und schließen Sie dann die Einstellungsauswahl.

     2. Erweitern Sie die Kategorie Administrative Vorlagen, und legen Sie dann den Schalter für Remotesitzung bei Sperre für Microsoft Identity Platform-Authentifizierung trennen auf Aktiviert oder Deaktiviert fest:

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, legen Sie den Schalter auf Aktiviert fest, und wählen Sie dann OK aus.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, legen Sie den Schalter auf Deaktiviert fest, und wählen Sie dann OK aus.

   • Für Legacyauthentifizierungsprotokolle:

     1. Aktivieren Sie das Kontrollkästchen für Remotesitzung bei Sperre für Legacyauthentifizierung trennen, und schließen Sie dann die Einstellungsauswahl.

     2. Erweitern Sie die Kategorie Administrative Vorlagen, und legen Sie dann den Schalter für Remotesitzung bei Sperre für Legacyauthentifizierung auf Aktiviert oder Deaktiviert fest:

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, legen Sie den Schalter auf Aktiviert fest, und wählen Sie dann OK aus.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, legen Sie den Schalter auf Deaktiviert fest, und wählen Sie dann OK aus.

5. Wählen Sie Weiter aus.

6. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (RBAC) und Bereichsmarkierungen für verteilte IT.

7. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

8. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Einstellungen, und wählen Sie Erstellen aus.

9. Wenn die Richtlinie auf die Sitzungshosts angewendet wird, starten Sie sie neu, damit die Einstellungen wirksam werden.

10. Stellen Sie zum Testen der Konfiguration eine Verbindung mit einer Remotesitzung her, und sperren Sie diese dann. Vergewissern Sie sich, dass die Sitzung abhängig von Ihrer Konfiguration entweder getrennt wird oder dass der Remotesperrbildschirm angezeigt wird.

Gruppenrichtlinie

Führen Sie die folgenden Schritte aus, um die Sitzungssperre mithilfe von Gruppenrichtlinien zu konfigurieren.

1. Die Gruppenrichtlinieneinstellungen sind nur für die Betriebssysteme verfügbar, die unter Voraussetzungen aufgeführt sind. Um sie unter anderen Versionen von Windows Server verfügbar zu machen, müssen Sie die Dateien mit den administrativen Vorlagen C:\Windows\PolicyDefinitions\terminalserver.admx und C:\Windows\PolicyDefinitions\en-US\terminalserver.adml von einem Sitzungshost an denselben Speicherort auf Ihren Domänencontrollern oder in den zentralen Gruppenrichtlinienspeicher kopieren, je nach Ihrer Umgebung. Ersetzen Sie im Dateipfad für terminalserver.adml en-US durch den entsprechenden Sprachcode, wenn Sie eine andere Sprache verwenden.

2. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole auf dem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

3. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer ausgerichtet ist, die eine zu konfigurierende Remotesitzung bereitstellen.

4. Navigieren Sie zu Computerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Sicherheit.

   

5. Doppelklicken Sie je nach Ihren Anforderungen auf eine der folgenden Richtlinieneinstellungen:

   • Für einmaliges Anmelden mithilfe von Microsoft Entra ID:

     1. Doppelklicken Sie auf Remotesitzung bei Sperre für Microsoft Identity Platform-Authentifizierung trennen, um diese Option zu öffnen.

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, wählen Sie Aktiviert oder Nicht konfiguriert aus.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, wählen Sie Deaktiviert aus.

     2. Wählen Sie OK aus.

   • Für Legacyauthentifizierungsprotokolle:

     1. Doppelklicken Sie auf Remotesitzung bei Sperre für Legacyauthentifizierung trennen, um diese Option zu öffnen.

        • Um die Remotesitzung zu trennen, wenn die Sitzung gesperrt wird, wählen Sie Aktiviert aus.

        • Um den Remotesperrbildschirm anzuzeigen, wenn die Sitzung gesperrt wird, wählen Sie Deaktiviert oder Nicht konfiguriert aus.

     2. Wählen Sie OK aus.

6. Stellen Sie sicher, dass die Richtlinie auf die Sitzungshosts angewendet wird, und starten Sie sie dann neu, damit die Einstellungen wirksam werden.

7. Stellen Sie zum Testen der Konfiguration eine Verbindung mit einer Remotesitzung her, und sperren Sie diese dann. Vergewissern Sie sich, dass die Sitzung abhängig von Ihrer Konfiguration entweder getrennt wird oder dass der Remotesperrbildschirm angezeigt wird.

Zugehöriger Inhalt

• Erfahren Sie mehr über das Konfigurieren von einmaligem Anmelden für Azure Virtual Desktop mit Microsoft Entra ID-Authentifizierung.