Konfigurieren des einmaligen Anmeldens für Windows 365 Business mithilfe der Microsoft Entra-Authentifizierung

In diesem Artikel wird das Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) für Windows 365 mithilfe der Microsoft Entra-Authentifizierung erläutert. Wenn Sie einmaliges Anmelden aktivieren, können Benutzer die kennwortlose Authentifizierung und Identitätsanbieter von Drittanbietern verwenden, die mit Microsoft Entra ID verbunden sind, um sich bei ihrem Cloud-PC anzumelden. Wenn diese Funktion aktiviert ist, bietet dieses Feature eine SSO-Erfahrung sowohl bei der Authentifizierung beim Cloud-PC als auch innerhalb der Sitzung beim Zugriff auf Microsoft Entra ID-basierten Apps und Websites.

Um einmaliges Anmelden mit Microsoft Entra ID Authentifizierung zu aktivieren, müssen Sie vier Aufgaben ausführen:

1. Aktivieren Sie Microsoft Entra-Authentifizierung für das Remotedesktopprotokoll (RDP).

2. Konfigurieren Sie die Zielgerätegruppen.

3. Überprüfen Sie Ihre Richtlinien für bedingten Zugriff.

4. Konfigurieren Sie Ihre Organisationseinstellungen, um einmaliges Anmelden zu aktivieren.

Vor dem Aktivieren von SSO

Bevor Sie einmaliges Anmelden aktivieren, lesen Sie die folgenden Informationen zur Verwendung in Ihrer Umgebung.

Trennen der Verbindung, wenn die Sitzung gesperrt ist

Wenn SSO aktiviert ist, melden sich Benutzer bei Windows mit einem Microsoft Entra ID-Authentifizierungstoken an, das Unterstützung für die kennwortlose Authentifizierung für Windows bietet. Der Windows-Sperrbildschirm in der Remotesitzung unterstützt keine Microsoft Entra ID Authentifizierungstoken oder kennwortlose Authentifizierungsmethoden wie FIDO-Schlüssel. Anstelle des vorherigen Verhaltens, dass der Remotesperrbildschirm angezeigt wird, wenn eine Sitzung gesperrt ist, wird die Sitzung stattdessen getrennt, und der Benutzer wird benachrichtigt. Durch trennen der Sitzung wird Folgendes sichergestellt:

• Benutzer profitieren von einem einmaligen Anmelden und können ohne Authentifizierungsaufforderung eine verbindung herstellen, wenn dies zulässig ist.
• Benutzer können sich mit kennwortloser Authentifizierung wie FIDO-Schlüsseln wieder bei ihrer Sitzung anmelden.
• Richtlinien für bedingten Zugriff, einschließlich mehrstufiger Authentifizierung und Anmeldehäufigkeit, werden erneut ausgewertet, wenn der Benutzer die Verbindung mit seiner Sitzung wiederherstellen kann.

Voraussetzungen

Bevor Sie einmaliges Anmelden aktivieren können, müssen die folgenden Voraussetzungen erfüllt sein:

• Zum Konfigurieren Ihres Microsoft Entra Mandanten muss Ihnen eine der folgenden Microsoft Entra integrierten Rollen zugewiesen werden:

  • Anwendungsadministrator
  • Cloudanwendungsadministrator

• Auf den Cloud-PCs muss eines der folgenden Betriebssysteme mit dem entsprechenden kumulativen Update ausgeführt werden:

  • Windows 11 Enterprise mit installiertem kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher.
  • Windows 10 Enterprise mit installiertem kumulativen Updates 2022-10 für Windows 10 (KB5018410) oder höher.

• Installieren Sie das Microsoft Graph PowerShell SDK Version 2.9.0 oder höher auf Ihrem lokalen Gerät oder in Azure Cloud Shell.

Aktivieren der Microsoft Entra-Authentifizierung für RDP

Sie müssen zunächst Microsoft Entra-Authentifizierung für Windows in Ihrem Microsoft Entra Mandanten zulassen, wodurch das Ausstellen von RDP-Zugriffstoken ermöglicht wird, damit sich Benutzer bei ihren Cloud-PCs anmelden können. Diese Änderung muss für die Dienstprinzipale für die folgenden Microsoft Entra Anwendungen vorgenommen werden:

Name der Anwendung	Anwendungs-ID
Microsoft-Remotedesktop	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud-Anmeldung	270efc09-cd0d-444b-a71f-39af4910ec45

Wichtig

Im Rahmen einer bevorstehenden Änderung wechseln wir ab 2024 von Microsoft-Remotedesktop zur Windows-Cloudanmeldung. Durch das Konfigurieren beider Anwendungen wird jetzt sichergestellt, dass Sie für die Änderung bereit sind.

Um die Entra-Authentifizierung zuzulassen, können Sie das Microsoft Graph PowerShell SDK verwenden, um ein neues remoteDesktopSecurityConfiguration-Objekt für den Dienstprinzipal zu erstellen und die -Eigenschaft isRemoteDesktopProtocolEnabled auf truefestzulegen. Sie können die Microsoft Graph-API auch mit einem Tool wie Graph Explorer verwenden.

Führen Sie die folgenden Schritte aus, um die Änderungen mithilfe von PowerShell vorzunehmen:

1. Starten Sie die Azure-Cloud Shell im Azure-Portal mit dem PowerShell-Terminaltyp, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.

   1. Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   2. Wenn Sie PowerShell lokal verwenden, stellen Sie zuerst Mit Azure PowerShell anmelden sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Stellen Sie sicher, dass Sie das Microsoft Graph PowerShell SDK aus den erforderlichen Komponenten installiert haben. Importieren Sie dann die Microsoft Graph-Module Authentifizierung und Anwendungen , und stellen Sie mit den Application.Read.All Bereichen und Application-RemoteDesktopConfig.ReadWrite.All eine Verbindung mit Microsoft Graph her, indem Sie die folgenden Befehle ausführen:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Rufen Sie die Objekt-ID für jeden Dienstprinzipal ab, und speichern Sie sie in Variablen, indem Sie die folgenden Befehle ausführen:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Legen Sie die -Eigenschaft isRemoteDesktopProtocolEnabled auf fest, true indem Sie die folgenden Befehle ausführen. Es gibt keine Ausgabe dieser Befehle.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Vergewissern Sie sich, dass die Eigenschaft isRemoteDesktopProtocolEnabled auf true festgelegt ist, indem Sie die folgenden Befehle ausführen:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Die Ausgabe sollte wie folgt aussehen:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Konfigurieren der Zielgerätegruppen

Nachdem Sie Microsoft Entra Authentifizierung für RDP aktiviert haben, müssen Sie die Zielgerätegruppen konfigurieren. Standardmäßig werden Benutzer beim Aktivieren von SSO aufgefordert, sich bei Microsoft Entra ID zu authentifizieren und die Remotedesktopverbindung zuzulassen, wenn sie eine Verbindung mit einem neuen Cloud-PC starten. Microsoft Entra speichert bis zu 15 Hosts für 30 Tage, bevor es erneut aufgefordert wird. Wenn einem Benutzer ein Dialogfeld zum Zulassen der Remotedesktopverbindung angezeigt wird, sollte er Ja auswählen, um eine Verbindung herzustellen.

Um dieses Dialogfeld auszublenden, müssen Sie eine oder mehrere Gruppen in Microsoft Entra ID erstellen, die Ihre Cloud-PCs enthält, und dann eine Eigenschaft für die Dienstprinzipale für dieselbe Microsoft-Remotedesktop- und Windows-Cloudanmeldungsanwendungen festlegen, wie im vorherigen Abschnitt für die Gruppe verwendet.

Tipp

Es wird empfohlen, eine dynamische Gruppe zu verwenden und die Regeln für die dynamische Mitgliedschaft so zu konfigurieren, dass sie alle Ihre Cloud-PCs umfassen. Sie können die Gerätenamen in dieser Gruppe verwenden, aber für eine sicherere Option können Sie Geräteerweiterungsattribute mithilfe von Microsoft Graph-API festlegen und verwenden. Während dynamische Gruppen normalerweise innerhalb von 5 bis 10 Minuten aktualisiert werden, können große Mandanten bis zu 24 Stunden dauern.

Dynamische Gruppen erfordern die Microsoft Entra ID P1-Lizenz oder Intune für Bildungseinrichtungen.Dynamic groups requires the Microsoft Entra ID P1 license or Intune for Education license. Weitere Informationen finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen.

Verwenden Sie zum Konfigurieren des Dienstprinzipals das Microsoft Graph PowerShell SDK , um ein neues targetDeviceGroup-Objekt für den Dienstprinzipal mit der Objekt-ID und dem Anzeigenamen der dynamischen Gruppe zu erstellen. Sie können die Microsoft Graph-API auch mit einem Tool wie Graph Explorer verwenden.

1. Erstellen Sie eine dynamische Gruppe in Microsoft Entra ID mit den Cloud-PCs, für die Sie das Dialogfeld ausblenden möchten. Notieren Sie sich die Objekt-ID der Gruppe für den nächsten Schritt.

2. Erstellen Sie in derselben PowerShell-Sitzung ein targetDeviceGroup -Objekt, indem Sie die folgenden Befehle ausführen und dabei durch <placeholders> Ihre eigenen Werte ersetzen:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Fügen Sie die Gruppe dem targetDeviceGroup -Objekt hinzu, indem Sie die folgenden Befehle ausführen:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Die Ausgabe sollte ähnlich aussehen:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Wiederholen Sie die Schritte 2 und 3 für jede Gruppe, die Sie dem targetDeviceGroup Objekt hinzufügen möchten, bis zu maximal 10 Gruppen.

4. Wenn Sie später eine Gerätegruppe aus dem targetDeviceGroup Objekt entfernen müssen, führen Sie die folgenden Befehle aus, und ersetzen Sie dabei durch <placeholders> Ihre eigenen Werte:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Überprüfen Ihrer Richtlinien für bedingten Zugriff

Wenn einmaliges Anmelden aktiviert ist, wird eine neue Microsoft Entra ID-App eingeführt, um Benutzer beim Cloud-PC zu authentifizieren. Wenn Sie über Richtlinien für bedingten Zugriff verfügen, die beim Zugriff auf Windows 365 gelten, lesen Sie die Empfehlungen zum Festlegen von Richtlinien für bedingten Zugriff für Windows 365, um sicherzustellen, dass Benutzer die gewünschte Erfahrung haben und Ihre Umgebung schützen.

Aktivieren des einmaligen Anmeldens für alle Cloud-PCs in Ihrem Konto

1. Melden Sie sich bei windows365.microsoft.com mit einem Konto an, das über die Rolle Windows 365 Administrator verfügt.
2. Wählen Sie Cloud-PCs Ihres organization und dann organization Einstellungen aktualisieren aus.
3. Wählen Sie unter Cloud-PC-Einstellungen die Option Einmaliges Anmelden aus.