Het gedrag van sessievergrendeling configureren voor Azure Virtual Desktop

U kunt kiezen of de sessie is verbroken of het externe vergrendelingsscherm wordt weergegeven wanneer een externe sessie is vergrendeld, hetzij door de gebruiker of door beleid. Wanneer het sessievergrendelingsgedrag is ingesteld om de verbinding te verbreken, wordt er een dialoogvenster weergegeven om gebruikers te laten weten dat de verbinding is verbroken. Gebruikers kunnen de optie Opnieuw verbinding maken kiezen in het dialoogvenster wanneer ze weer verbinding kunnen maken.

Wanneer u eenmalige aanmelding gebruikt met behulp van Microsoft Entra ID, biedt het loskoppelen van de sessie de volgende voordelen:

• Een consistente aanmeldingservaring via Microsoft Entra-id wanneer dat nodig is.

• Een ervaring met eenmalige aanmelding en opnieuw verbinding maken zonder verificatieprompt, wanneer dit is toegestaan door beleid voor voorwaardelijke toegang.

• Ondersteuning voor verificatie zonder wachtwoord, zoals wachtwoordsleutels en FIDO2-apparaten, in tegenstelling tot het externe vergrendelingsscherm. Het verbreken van de sessie is nodig om volledige ondersteuning van verificatie zonder wachtwoord te garanderen.

• Beleidsregels voor voorwaardelijke toegang, waaronder meervoudige verificatie en aanmeldingsfrequentie, worden opnieuw geëvalueerd wanneer de gebruiker opnieuw verbinding maakt met de sessie.

• U kunt meervoudige verificatie vereisen om terug te keren naar de sessie en te voorkomen dat gebruikers ontgrendelen met een eenvoudige gebruikersnaam en wachtwoord.

Voor scenario's die afhankelijk zijn van verouderde verificatie, waaronder NTLM, CredSSP, RDSTLS, TLS en RDP- basisverificatieprotocollen, wordt gebruikers gevraagd hun referenties opnieuw in te voeren wanneer ze opnieuw verbinding maken of een nieuwe verbinding starten.

Het standaardgedrag voor sessievergrendeling verschilt, afhankelijk van of u eenmalige aanmelding gebruikt met Microsoft Entra ID of verouderde verificatie. In de volgende tabel ziet u de standaardconfiguratie voor elk scenario:

Scenario	Standaardconfiguratie
Eenmalige aanmelding met Microsoft Entra-id	De sessie verbreken
Verouderde verificatieprotocollen	Het externe vergrendelingsscherm weergeven

In dit artikel leest u hoe u het gedrag voor sessievergrendeling wijzigt van de standaardconfiguratie met behulp van Microsoft Intune of Groepsbeleid.

Vereisten

Selecteer het relevante tabblad voor uw configuratiemethode.

Intune

Voordat u het gedrag voor sessievergrendeling kunt configureren, moet u aan de volgende vereisten voldoen:

• Een bestaande hostgroep met sessiehosts.

• Op uw sessiehosts moet een van de volgende besturingssystemen worden uitgevoerd waarop de relevante cumulatieve update is geïnstalleerd:

  • Windows 11 enkele of meerdere sessies met de cumulatieve updates 2024-05 voor Windows 11 (KB5037770) of hoger geïnstalleerd.
  • Windows 10 enkele of meerdere sessies, versies 21H2 of hoger met de cumulatieve updates 2024-06 voor Windows 10 (KB5039211) of hoger geïnstalleerd.
  • Windows Server 2022 met de cumulatieve update 2024-05 voor het Besturingssysteem microsoft-server (KB5037782) of hoger geïnstalleerd.

• Voor het configureren van Intune hebt u het volgende nodig:

  • Een Microsoft Entra ID-account waaraan de ingebouwde RBAC-rol beleids- en profielbeheer is toegewezen.
  • Een groep met de apparaten die u wilt configureren.

Groepsbeleid

Voordat u het gedrag voor sessievergrendeling kunt configureren, moet u aan de volgende vereisten voldoen:

• Een bestaande hostgroep met sessiehosts.

• Op uw sessiehosts moet een van de volgende besturingssystemen worden uitgevoerd waarop de relevante cumulatieve update is geïnstalleerd:

  • Windows 11 enkele of meerdere sessies met de cumulatieve updates 2024-05 voor Windows 11 (KB5037770) of hoger geïnstalleerd.
  • Windows 10 enkele of meerdere sessies, versies 21H2 of hoger met de cumulatieve updates 2024-06 voor Windows 10 (KB5039211) of hoger geïnstalleerd.
  • Windows Server 2022 met de cumulatieve update 2024-05 voor het Besturingssysteem microsoft-server (KB5037782) of hoger geïnstalleerd.

• Als u Groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount met machtigingen voor het maken of bewerken van groepsbeleidsobjecten.
  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

Het gedrag van sessievergrendeling configureren

Selecteer het relevante tabblad voor uw configuratiemethode.

Intune

De sessievergrendelingservaring configureren met Intune:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10- en hogerapparaten met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostbeveiliging.>

   

4. Schakel het selectievakje in voor een van de volgende instellingen, afhankelijk van uw vereisten:

   • Eenmalige aanmelding met behulp van Microsoft Entra-id:

     1. Schakel het selectievakje voor Verbinding met externe sessie verbreken bij vergrendelen voor verificatie van het Microsoft Identity Platform in en sluit vervolgens de instellingenkiezer.

     2. Vouw de categorie Beheersjablonen uit en schakel vervolgens de schakeloptie in voor externe sessie verbreken op vergrendeling voor Verificatie via Microsoft Identity Platform op Ingeschakeld of Uitgeschakeld:

        • Als u de externe sessie wilt verbreken wanneer de sessie wordt vergrendeld, schakelt u de schakeloptie in op Ingeschakeld en selecteert u OK.

        • Als u het externe vergrendelingsscherm wilt weergeven wanneer de sessie wordt vergrendeld, schakelt u de schakelaar in op Uitgeschakeld en selecteert u OK.

   • Voor verouderde verificatieprotocollen:

     1. Schakel het selectievakje voor Verbinding met externe sessie verbreken bij vergrendelen voor verouderde verificatie in en sluit vervolgens de instellingenkiezer.

     2. Vouw de categorie Beheersjablonen uit en schakel vervolgens de schakeloptie voor externe sessie verbreken op vergrendeling uit voor verouderde verificatie op Ingeschakeld of Uitgeschakeld:

        • Als u de externe sessie wilt verbreken wanneer de sessie wordt vergrendeld, schakelt u de schakeloptie in op Ingeschakeld en selecteert u OK.

        • Als u het externe vergrendelingsscherm wilt weergeven wanneer de sessie wordt vergrendeld, schakelt u de schakelaar in op Uitgeschakeld en selecteert u OK.

5. Selecteer Volgende.

6. Optioneel: Selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

7. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

8. Controleer op het tabblad Controleren en maken de instellingen en selecteer Vervolgens Maken.

9. Zodra het beleid van toepassing is op de sessiehosts, start u deze opnieuw op zodat de instellingen van kracht worden.

10. Als u de configuratie wilt testen, maakt u verbinding met een externe sessie en vergrendelt u de externe sessie. Controleer of de sessie wordt verbroken of het externe vergrendelingsscherm wordt weergegeven, afhankelijk van uw configuratie.

Groepsbeleid

Volg deze stappen om de sessievergrendelingservaring te configureren met behulp van Groepsbeleid.

1. De groepsbeleidsinstellingen zijn alleen beschikbaar op de besturingssystemen die worden vermeld in Vereisten. Als u deze beschikbaar wilt maken in andere versies van Windows Server, moet u de beheersjabloonbestanden C:\Windows\PolicyDefinitions\terminalserver.admx en C:\Windows\PolicyDefinitions\en-US\terminalserver.adml van een sessiehost kopiëren naar dezelfde locatie op uw domeincontrollers of het centrale archief voor groepsbeleid, afhankelijk van uw omgeving. Vervang in het bestandspad door terminalserver.adml en-US de juiste taalcode als u een andere taal gebruikt.

2. Open de console Groepsbeleidsbeheer op het apparaat dat u gebruikt om het Active Directory-domein te beheren.

3. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

4. Navigeer naar Beheersjablonen voor computerconfiguratiebeleid>>>voor Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostbeveiliging.>

   

5. Dubbelklik op een van de volgende beleidsinstellingen, afhankelijk van uw vereisten:

   • Eenmalige aanmelding met behulp van Microsoft Entra-id:

     1. Dubbelklik op Externe sessie verbreken bij vergrendeling voor verificatie van het Microsoft Identity Platform om deze te openen.

        • Als u de externe sessie wilt verbreken wanneer de sessie wordt vergrendeld, selecteert u Ingeschakeld of Niet geconfigureerd.

        • Als u het externe vergrendelingsscherm wilt weergeven wanneer de sessie wordt vergrendeld, selecteert u Uitgeschakeld.

     2. Selecteer OK.

   • Voor verouderde verificatieprotocollen:

     1. Dubbelklik op Externe sessie verbreken bij vergrendelen voor verouderde verificatie om deze te openen.

        • Als u de externe sessie wilt verbreken wanneer de sessie wordt vergrendeld, selecteert u Ingeschakeld.

        • Als u het externe vergrendelingsscherm wilt weergeven wanneer de sessie wordt vergrendeld, selecteert u Uitgeschakeld of Niet geconfigureerd.

     2. Selecteer OK.

6. Zorg ervoor dat het beleid wordt toegepast op de sessiehosts en start deze opnieuw op zodat de instellingen van kracht worden.

7. Als u de configuratie wilt testen, maakt u verbinding met een externe sessie en vergrendelt u de externe sessie. Controleer of de sessie wordt verbroken of het externe vergrendelingsscherm wordt weergegeven, afhankelijk van uw configuratie.

Gerelateerde inhoud

• Ontdek hoe u eenmalige aanmelding configureert voor Azure Virtual Desktop met behulp van Microsoft Entra ID.