Een verificatiestrategie voor Azure Virtual Desktop selecteren
Voor gebruikers die verbinding maken met een externe sessie, zijn er drie afzonderlijke verificatiepunten:
- Serviceverificatie voor Azure Virtual Desktop: het ophalen van een lijst met resources waar de gebruiker toegang toe heeft bij het openen van de client. De ervaring is afhankelijk van de configuratie van het Microsoft Entra-account. Als de gebruiker bijvoorbeeld meervoudige verificatie heeft ingeschakeld, wordt de gebruiker gevraagd om zijn of haar gebruikersaccount en een tweede vorm van verificatie, op dezelfde manier als bij het openen van andere services.
- Sessiehost: bij het starten van een externe sessie. Een gebruikersnaam en wachtwoord zijn vereist voor een sessiehost, maar dit is naadloos voor de gebruiker als eenmalige aanmelding (SSO) is ingeschakeld.
- Verificatie in sessie: verbinding maken met andere resources binnen een externe sessie.
In de volgende secties wordt elk van deze verificatiepunten uitgebreid beschreven.
Serviceverificatie
Voor toegang tot Azure Virtual Desktop-resources moet u zich eerst bij de service verifiëren door u aan te melden met een Microsoft Entra-account. Verificatie vindt plaats wanneer u zich abonneert op een werkruimte om uw resources op te halen en verbinding te maken met apps of desktops. U kunt id-providers van derden gebruiken zolang ze federeren met Microsoft Entra-id.
Meervoudige verificatie
Volg de instructies in Meervoudige verificatie van Microsoft Entra afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang voor meer informatie over het afdwingen van Meervoudige Verificatie van Microsoft Entra voor uw implementatie. In dit artikel wordt ook uitgelegd hoe u kunt configureren hoe vaak uw gebruikers worden gevraagd hun referenties in te voeren. Houd bij het implementeren van aan Microsoft Entra gekoppelde VM's rekening met de extra stappen voor aan Microsoft Entra gekoppelde sessiehost-VM's.
Verificatie zonder wachtwoord
U kunt elk verificatietype gebruiken dat wordt ondersteund door Microsoft Entra-id, zoals Windows Hello voor Bedrijven en andere verificatieopties zonder wachtwoord (bijvoorbeeld FIDO-sleutels), om te verifiëren bij de service.
Smartcardauthenticatie
Als u een smartcard wilt gebruiken voor verificatie bij Microsoft Entra-id, moet u eerst AD FS configureren voor verificatie van gebruikerscertificaten of verificatie op basis van Microsoft Entra-certificaten configureren.
Verificatie van sessiehost
Als u eenmalige aanmelding nog niet hebt ingeschakeld of uw referenties lokaal hebt opgeslagen , moet u zich ook verifiëren bij de sessiehost bij het starten van een verbinding. In de volgende lijst wordt beschreven welke typen verificatie momenteel door elke Azure Virtual Desktop-client worden ondersteund. Voor sommige clients moet mogelijk een specifieke versie worden gebruikt, die u kunt vinden in de koppeling voor elk verificatietype.
| Client | Ondersteunde verificatietypen |
|---|---|
| Windows Desktop-client | Gebruikersnaam en wachtwoord Smartcard Windows Hello voor Bedrijven certificaatvertrouwen Windows Hello voor Bedrijven sleutelvertrouwen met certificaten Microsoft Entra-verificatie |
| Azure Virtual Desktop Store-app | Gebruikersnaam en wachtwoord Smartcard Windows Hello voor Bedrijven certificaatvertrouwen Windows Hello voor Bedrijven sleutelvertrouwen met certificaten Microsoft Entra-verificatie |
| Extern bureaublad-app | Gebruikersnaam en wachtwoord |
| Webclient | Gebruikersnaam en wachtwoord Microsoft Entra-verificatie |
| Android-client | Gebruikersnaam en wachtwoord Microsoft Entra-verificatie |
| iOS-client | Gebruikersnaam en wachtwoord Microsoft Entra-verificatie |
| macOS-client | Gebruikersnaam en wachtwoord Smartcard: ondersteuning voor aanmelding op basis van smartcards met behulp van smartcardomleiding bij de Winlogon-prompt wanneer er niet wordt onderhandeld over NLA. Microsoft Entra-verificatie |
Belangrijk
Als verificatie goed werkt, moet uw lokale computer ook toegang hebben tot de vereiste URL's voor Extern bureaublad-clients.
Eenmalige aanmelding (SSO)
Met eenmalige aanmelding kan de verbinding de referentieprompt voor de sessiehost overslaan en de gebruiker automatisch aanmelden bij Windows. Voor sessiehosts die zijn toegevoegd aan Microsoft Entra of aan Een hybride versie van Microsoft Entra, is het raadzaam eenmalige aanmelding in te schakelen met behulp van Microsoft Entra-verificatie. Microsoft Entra-verificatie biedt andere voordelen, waaronder verificatie zonder wachtwoord en ondersteuning voor id-providers van derden.
Azure Virtual Desktop biedt ook ondersteuning voor eenmalige aanmelding met Active Directory Federation Services (AD FS) voor de Windows Desktop- en webclients.
Zonder eenmalige aanmelding vraagt de client gebruikers om hun sessiehostreferenties voor elke verbinding. De enige manier om te voorkomen dat u hierom wordt gevraagd, is door de referenties op te slaan in de client. U wordt aangeraden alleen referenties op te slaan op beveiligde apparaten om te voorkomen dat andere gebruikers toegang hebben tot uw resources.
Smartcard en Windows Hello voor Bedrijven
Azure Virtual Desktop ondersteunt zowel NT LAN Manager (NTLM) als Kerberos voor sessiehostverificatie, maar smartcard en Windows Hello voor Bedrijven kunnen kerberos alleen gebruiken om u aan te melden. Als u Kerberos wilt gebruiken, moet de client Kerberos-beveiligingstickets ophalen uit een KDC-service (Key Distribution Center) die wordt uitgevoerd op een domeincontroller. Om tickets te verkrijgen, heeft de client een directe netwerklijn-of-sight nodig voor de domeincontroller. U kunt een line-of-sight krijgen door rechtstreeks verbinding te maken binnen uw bedrijfsnetwerk, met behulp van een VPN-verbinding of het instellen van een KDC-proxyserver.
Verificatie in sessie
Zodra u verbinding hebt gemaakt met uw RemoteApp of desktop, wordt u mogelijk gevraagd om verificatie binnen de sessie. In deze sectie wordt uitgelegd hoe u in dit scenario andere referenties gebruikt dan gebruikersnaam en wachtwoord.
Verificatie zonder wachtwoord in sessie
Azure Virtual Desktop biedt ondersteuning voor verificatie zonder wachtwoord in sessie met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels bij het gebruik van de Windows Desktop-client. Verificatie zonder wachtwoord wordt automatisch ingeschakeld wanneer de sessiehost en de lokale pc de volgende besturingssystemen gebruiken:
- Windows 11 enkele of meerdere sessies met de cumulatieve updates 2022-10 voor Windows 11 (KB5018418) of hoger geïnstalleerd.
- Windows 10 enkele of meerdere sessies, versies 20H2 of hoger met de cumulatieve updates 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.
- Windows Server 2022 met de cumulatieve update 2022-10 voor het besturingssysteem microsoft-server (KB5018421) of hoger geïnstalleerd.
Als u verificatie zonder wachtwoord wilt uitschakelen voor uw hostgroep, moet u een RDP-eigenschap aanpassen. U vindt de eigenschap WebAuthn-omleiding op het tabblad Apparaatomleiding in Azure Portal of stel de eigenschap redirectwebauthn in op 0 met behulp van PowerShell.
Wanneer deze optie is ingeschakeld, worden alle WebAuthn-aanvragen in de sessie omgeleid naar de lokale pc. U kunt Windows Hello voor Bedrijven of lokaal gekoppelde beveiligingsapparaten gebruiken om het verificatieproces te voltooien.
Als u toegang wilt krijgen tot Microsoft Entra-resources met Windows Hello voor Bedrijven- of beveiligingsapparaten, moet u de FIDO2-beveiligingssleutel inschakelen als verificatiemethode voor uw gebruikers. Volg de stappen in de methode FIDO2-beveiligingssleutel inschakelen om deze methode in te schakelen.
Verificatie van smartcards in sessie
Als u een smartcard in uw sessie wilt gebruiken, moet u ervoor zorgen dat u de smartcardstuurprogramma's op de sessiehost hebt geïnstalleerd en smartcardomleiding hebt ingeschakeld. Controleer de clientvergelijkingsgrafiek om ervoor te zorgen dat uw client smartcardomleiding ondersteunt.