Eenmalige aanmelding configureren voor Windows 365 Business met behulp van Microsoft Entra-verificatie

In dit artikel wordt uitgelegd hoe u eenmalige aanmelding (SSO) configureert voor Windows 365 met behulp van Microsoft Entra-verificatie. Wanneer u eenmalige aanmelding inschakelt, kunnen gebruikers verificatie zonder wachtwoord en id-providers van derden gebruiken die federatief zijn met Microsoft Entra ID om zich aan te melden bij hun cloud-pc. Wanneer deze functie is ingeschakeld, biedt deze functie een SSO-ervaring, zowel bij verificatie bij de cloud-pc als binnen de sessie bij het openen van op Microsoft Entra ID gebaseerde apps en websites.

Als u eenmalige aanmelding met behulp van Microsoft Entra ID-verificatie wilt inschakelen, moet u vier taken uitvoeren:

1. Schakel Microsoft Entra-verificatie in voor RdP (Remote Desktop Protocol).

2. Configureer de doelapparaatgroepen.

3. Controleer uw beleid voor voorwaardelijke toegang.

4. Configureer uw organisatie-instellingen om eenmalige aanmelding in te schakelen.

Voordat u eenmalige aanmelding inschakelt

Voordat u eenmalige aanmelding inschakelt, bekijkt u de volgende informatie voor gebruik in uw omgeving.

Verbinding verbreken wanneer de sessie is vergrendeld

Wanneer eenmalige aanmelding is ingeschakeld, melden gebruikers zich aan bij Windows met behulp van een Microsoft Entra ID-verificatietoken, dat ondersteuning biedt voor verificatie zonder wachtwoord voor Windows. Het Windows-vergrendelingsscherm in de externe sessie biedt geen ondersteuning voor Microsoft Entra ID verificatietokens of verificatiemethoden zonder wachtwoord, zoals FIDO-sleutels. In plaats van het vorige gedrag van het weergeven van het externe vergrendelingsscherm wanneer een sessie is vergrendeld, wordt de sessie in plaats daarvan verbroken en wordt de gebruiker op de hoogte gesteld. Als u de sessie loskoppelt, zorgt u ervoor dat:

• Gebruikers profiteren van een eenmalige aanmelding en kunnen opnieuw verbinding maken zonder verificatieprompt wanneer dit is toegestaan.
• Gebruikers kunnen zich weer aanmelden bij hun sessie met behulp van verificatie zonder wachtwoord, zoals FIDO-sleutels.
• Beleid voor voorwaardelijke toegang, inclusief meervoudige verificatie en aanmeldingsfrequentie, wordt opnieuw geëvalueerd wanneer de gebruiker opnieuw verbinding maakt met de sessie.

Vereisten

Voordat u eenmalige aanmelding kunt inschakelen, moet u voldoen aan de volgende vereisten:

• Als u uw Microsoft Entra-tenant wilt configureren, moet u een van de volgende Microsoft Entra ingebouwde rollen toegewezen krijgen:

  • Toepassingsbeheerder
  • Cloudtoepassingsbeheerder

• Op de cloud-pc's moet een van de volgende besturingssystemen worden uitgevoerd waarop de relevante cumulatieve update is geïnstalleerd:

  • Windows 11 Enterprise met de cumulatieve Updates 2022-10 voor Windows 11 (KB5018418) of hoger geïnstalleerd.
  • Windows 10 Enterprise met de cumulatieve Updates 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.

• Installeer de Microsoft Graph PowerShell SDK versie 2.9.0 of hoger op uw lokale apparaat of in Azure Cloud Shell.

Microsoft Entra-verificatie inschakelen voor RDP

U moet eerst Microsoft Entra verificatie voor Windows toestaan in uw Microsoft Entra-tenant, waardoor rdp-toegangstokens kunnen worden uitgegeven zodat gebruikers zich kunnen aanmelden bij hun cloud-pc's. Deze wijziging moet worden uitgevoerd op de service-principals voor de volgende Microsoft Entra toepassingen:

Toepassingsnaam	Toepassings-id
Microsoft Extern bureaublad	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Aanmelding bij Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45

Belangrijk

Als onderdeel van een aanstaande wijziging gaan we vanaf 2024 overstappen van Microsoft Extern bureaublad naar Windows Cloud-aanmelding. Als u nu beide toepassingen configureert, bent u klaar voor de wijziging.

Als u Entra-verificatie wilt toestaan, kunt u de Microsoft Graph PowerShell SDK gebruiken om een nieuw remoteDesktopSecurityConfiguration-object te maken op de service-principal en de eigenschap isRemoteDesktopProtocolEnabled instellen op true. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

Volg de onderstaande stappen om de wijzigingen aan te brengen met behulp van PowerShell:

1. Start de Azure Cloud Shell in de Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   1. Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   2. Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Zorg ervoor dat u de Microsoft Graph PowerShell SDK hebt geïnstalleerd vanuit de vereisten. Importeer vervolgens de Microsoft Graph-modules Verificatie en toepassingen en maak verbinding met Microsoft Graph met de Application.Read.All bereiken en Application-RemoteDesktopConfig.ReadWrite.All door de volgende opdrachten uit te voeren:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Haal de object-id voor elke service-principal op en sla deze op in variabelen door de volgende opdrachten uit te voeren:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Stel de eigenschap in isRemoteDesktopProtocolEnabled op door de volgende opdrachten uit te true voeren. Er is geen uitvoer van deze opdrachten.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Controleer of de eigenschap isRemoteDesktopProtocolEnabled is ingesteld op door de volgende opdrachten uit te true voeren:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   De uitvoer moet zijn:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

De doelapparaatgroepen configureren

Nadat u Microsoft Entra-verificatie voor RDP hebt ingeschakeld, moet u de doelapparaatgroepen configureren. Bij het inschakelen van eenmalige aanmelding wordt gebruikers standaard gevraagd om zich te verifiëren bij Microsoft Entra ID en de verbinding met extern bureaublad toe te staan bij het starten van een verbinding met een nieuwe cloud-pc. Microsoft Entra onthoudt maximaal 15 hosts gedurende 30 dagen voordat u opnieuw wordt gevraagd. Als een gebruiker een dialoogvenster ziet om de verbinding met extern bureaublad toe te staan, moet deze Ja selecteren om verbinding te maken.

Als u dit dialoogvenster wilt verbergen, moet u een of meer groepen maken in Microsoft Entra ID die uw cloud-pc's bevatten en vervolgens een eigenschap instellen voor de service-principals voor dezelfde Microsoft Extern bureaublad- en Windows-cloudaanmeldingstoepassingen, zoals gebruikt in de vorige sectie, voor de groep.

Tip

U wordt aangeraden een dynamische groep te gebruiken en de dynamische lidmaatschapsregels zo te configureren dat deze al uw cloud-pc's bevat. U kunt de apparaatnamen in deze groep gebruiken, maar voor een veiligere optie kunt u apparaatextensiekenmerken instellen en gebruiken met Microsoft Graph API. Dynamische groepen worden normaal gesproken binnen 5-10 minuten bijgewerkt, maar grote tenants kunnen tot 24 uur duren.

Voor dynamische groepen is de licentie Microsoft Entra ID P1 of Intune for Education vereist. Zie Dynamische lidmaatschapsregels voor groepen voor meer informatie.

Als u de service-principal wilt configureren, gebruikt u de Microsoft Graph PowerShell SDK om een nieuw targetDeviceGroup-object te maken op de service-principal met de object-id en weergavenaam van de dynamische groep. U kunt de Microsoft Graph API ook gebruiken met een hulpprogramma zoals Graph Explorer.

1. Maak een dynamische groep in Microsoft Entra ID die de cloud-pc's bevat waarvoor u het dialoogvenster wilt verbergen. Noteer de object-id van de groep voor de volgende stap.

2. Maak in dezelfde PowerShell-sessie een targetDeviceGroup object door de volgende opdrachten uit te voeren, waarbij u de <placeholders> vervangt door uw eigen waarden:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Voeg de groep toe aan het targetDeviceGroup object door de volgende opdrachten uit te voeren:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   De uitvoer moet vergelijkbaar zijn:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Herhaal stap 2 en 3 voor elke groep die u aan het targetDeviceGroup object wilt toevoegen, tot maximaal 10 groepen.

4. Als u later een apparaatgroep uit het targetDeviceGroup object wilt verwijderen, voert u de volgende opdrachten uit en vervangt u de <placeholders> door uw eigen waarden:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Uw beleid voor voorwaardelijke toegang controleren

Wanneer eenmalige aanmelding is ingeschakeld, wordt er een nieuwe Microsoft Entra ID-app geïntroduceerd om gebruikers te verifiëren bij de cloud-pc. Als u beleid voor voorwaardelijke toegang hebt dat van toepassing is bij het openen van Windows 365, raadpleegt u de aanbevelingen voor het instellen van beleid voor voorwaardelijke toegang voor Windows 365 om ervoor te zorgen dat gebruikers de gewenste ervaring hebben en om uw omgeving te beveiligen.

Eenmalige aanmelding inschakelen voor alle cloud-pc's in uw account

1. Meld u aan bij windows365.microsoft.com met een account met de rol Windows 365 Administrator.
2. Selecteer Cloud-pc's van uw organisatie en selecteer vervolgens Organisatie-instellingen bijwerken.
3. Selecteer de optie Eenmalige aanmelding onder Cloud-pc-instellingen.