Konfigurowanie zachowania blokady sesji dla usługi Azure Virtual Desktop

Możesz wybrać, czy sesja jest rozłączona, czy ekran zdalnej blokady jest wyświetlany, gdy sesja zdalna jest zablokowana przez użytkownika lub przez zasady. Gdy zachowanie blokady sesji zostanie ustawione na rozłączenie, zostanie wyświetlone okno dialogowe z informacją o rozłączeniu użytkowników. Użytkownicy mogą wybrać opcję Połącz ponownie w oknie dialogowym, gdy będą gotowi ponownie nawiązać połączenie.

W przypadku korzystania z logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID rozłączanie sesji zapewnia następujące korzyści:

• Spójne środowisko logowania za pośrednictwem identyfikatora Entra firmy Microsoft w razie potrzeby.

• Środowisko logowania jednokrotnego i ponowne nawiązywanie połączenia bez monitu uwierzytelniania, jeśli jest dozwolone przez zasady dostępu warunkowego.

• Obsługa uwierzytelniania bez hasła, takiego jak hasła i urządzenia FIDO2, w przeciwieństwie do zdalnego ekranu blokady. Odłączanie sesji jest konieczne, aby zapewnić pełną obsługę uwierzytelniania bez hasła.

• Zasady dostępu warunkowego, w tym uwierzytelnianie wieloskładnikowe i częstotliwość logowania, są ponownie oceniane, gdy użytkownik ponownie łączy się ze swoją sesją.

• Możesz wymagać uwierzytelniania wieloskładnikowego, aby powrócić do sesji i uniemożliwić użytkownikom odblokowywanie przy użyciu prostej nazwy użytkownika i hasła.

W przypadku scenariuszy korzystających ze starszego uwierzytelniania, w tym NTLM, CredSSP, RDSTLS, TLS i RDP podstawowych protokołów uwierzytelniania, użytkownicy są monitowani o ponowne wprowadzenie poświadczeń po ponownym połączeniu lub uruchomieniu nowego połączenia.

Domyślne zachowanie blokady sesji różni się w zależności od tego, czy używasz logowania jednokrotnego z identyfikatorem Microsoft Entra ID, czy starszym uwierzytelnianiem. W poniższej tabeli przedstawiono konfigurację domyślną dla każdego scenariusza:

Scenariusz	Konfiguracja domyślna
Logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID	Rozłączenie sesji
Starsze protokoły uwierzytelniania	Wyświetlanie ekranu zdalnego blokowania

W tym artykule pokazano, jak zmienić zachowanie blokady sesji z domyślnej konfiguracji przy użyciu usługi Microsoft Intune lub zasad grupy.

Wymagania wstępne

Wybierz odpowiednią kartę dla metody konfiguracji.

Intune

Przed skonfigurowaniem zachowania blokady sesji należy spełnić następujące wymagania wstępne:

• Istniejąca pula hostów z hostami sesji.

• Hosty sesji muszą być uruchomione w jednym z następujących systemów operacyjnych z zainstalowaną odpowiednią aktualizacją zbiorczą:

  • Windows 11 single or multi-session with the 2024-05 Cumulative Updates for Windows 11 (KB5037770) or nowsza zainstalowana.
  • System Windows 10 z jedną lub wieloma sesjami w wersji 21H2 lub nowszej z zainstalowanymi aktualizacjami zbiorczymi 2024-06 dla systemu Windows 10 (KB5039211) lub nowszym.
  • Windows Server 2022 z aktualizacją zbiorczą 2024-05 dla systemu operacyjnego microsoft server (KB5037782) lub nowszego.

• Do skonfigurowania usługi Intune potrzebne są następujące elementy:

  • Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilów .
  • Grupa zawierająca urządzenia, które chcesz skonfigurować.

Zasady grupy

Przed skonfigurowaniem zachowania blokady sesji należy spełnić następujące wymagania wstępne:

• Istniejąca pula hostów z hostami sesji.

• Hosty sesji muszą być uruchomione w jednym z następujących systemów operacyjnych z zainstalowaną odpowiednią aktualizacją zbiorczą:

  • Windows 11 single or multi-session with the 2024-05 Cumulative Updates for Windows 11 (KB5037770) or nowsza zainstalowana.
  • System Windows 10 z jedną lub wieloma sesjami w wersji 21H2 lub nowszej z zainstalowanymi aktualizacjami zbiorczymi 2024-06 dla systemu Windows 10 (KB5039211) lub nowszym.
  • Windows Server 2022 z aktualizacją zbiorczą 2024-05 dla systemu operacyjnego microsoft server (KB5037782) lub nowszego.

• Aby skonfigurować zasady grupy, potrzebne są następujące elementy:

  • Konto domeny z uprawnieniami do tworzenia lub edytowania obiektów zasad grupy.
  • Grupa zabezpieczeń lub jednostka organizacyjna zawierająca urządzenia, które chcesz skonfigurować.

Konfigurowanie zachowania blokady sesji

Wybierz odpowiednią kartę dla metody konfiguracji.

Intune

Aby skonfigurować środowisko blokady sesji przy użyciu usługi Intune:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.

3. W selektorze ustawień przejdź do pozycji Szablony>administracyjne Składniki>pulpitu zdalnego Usług>pulpitu zdalnego Zabezpieczenia hosta>sesji usług pulpitu zdalnego.

   

4. Zaznacz pole wyboru dla jednego z następujących ustawień, w zależności od wymagań:

   • Aby zalogować się jednokrotnie przy użyciu identyfikatora Firmy Microsoft Entra:

     1. Zaznacz pole wyboru Rozłącz sesję zdalną przy blokadzie na potrzeby uwierzytelniania Platforma tożsamości Microsoft, a następnie zamknij selektor ustawień.

     2. Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik Rozłącz sesję zdalną na blokadę na potrzeby uwierzytelniania Platforma tożsamości Microsoft w pozycji Włączone lub Wyłączone:

        • Aby odłączyć sesję zdalną po zablokowaniu sesji, przełącz przełącznik na Włączone, a następnie wybierz przycisk OK.

        • Aby wyświetlić ekran zdalnej blokady po zablokowaniu sesji, przełącz przełącznik na Wyłączone, a następnie wybierz przycisk OK.

   • W przypadku starszych protokołów uwierzytelniania:

     1. Zaznacz pole wyboru Rozłącz sesję zdalną przy blokadzie dla starszego uwierzytelniania, a następnie zamknij selektor ustawień.

     2. Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik Rozłącz sesję zdalną na blokadę dla starszego uwierzytelniania na wartość Włączone lub Wyłączone:

        • Aby odłączyć sesję zdalną po zablokowaniu sesji, przełącz przełącznik na Włączone, a następnie wybierz przycisk OK.

        • Aby wyświetlić ekran zdalnej blokady po zablokowaniu sesji, przełącz przełącznik na Wyłączone, a następnie wybierz przycisk OK.

5. Wybierz Dalej.

6. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (

7. Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.

8. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

9. Gdy zasady zostaną zastosowane do hostów sesji, uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

10. Aby przetestować konfigurację, połącz się z sesją zdalną, a następnie zablokuj sesję zdalną. Sprawdź, czy sesja zostanie rozłączona lub zostanie wyświetlony ekran zdalnej blokady, w zależności od konfiguracji.

Zasady grupy

Aby skonfigurować środowisko blokady sesji przy użyciu zasad grupy, wykonaj następujące kroki.

1. Ustawienia zasad grupy są dostępne tylko w systemach operacyjnych wymienionych w sekcji Wymagania wstępne. Aby udostępnić je w innych wersjach systemu Windows Server, należy skopiować pliki C:\Windows\PolicyDefinitions\terminalserver.admx szablonów administracyjnych i C:\Windows\PolicyDefinitions\en-US\terminalserver.adml z hosta sesji do tej samej lokalizacji na kontrolerach domeny lub centralnym magazynie zasad grupy, w zależności od środowiska. Jeśli używasz innego języka, w ścieżce pliku dla terminalserver.adml polecenia zastąp en-US ciąg odpowiednim kodem języka.

2. Otwórz konsolę zarządzania zasadami grupy na urządzeniu używanym do zarządzania domeną usługi Active Directory.

3. Utwórz lub edytuj zasady przeznaczone dla komputerów dostarczających sesję zdalną, którą chcesz skonfigurować.

4. Przejdź do obszaru Zasady>konfiguracji>komputera Szablony>administracyjne Składniki>usług pulpitu zdalnego Usługi>pulpitu zdalnego Zabezpieczenia hosta>sesji.

   

5. Kliknij dwukrotnie jedno z następujących ustawień zasad w zależności od wymagań:

   • Aby zalogować się jednokrotnie przy użyciu identyfikatora Firmy Microsoft Entra:

     1. Kliknij dwukrotnie pozycję Rozłącz sesję zdalną na blokadzie w celu Platforma tożsamości Microsoft uwierzytelnienia, aby go otworzyć.

        • Aby odłączyć sesję zdalną po zablokowaniu sesji, wybierz pozycję Włączone lub Nieskonfigurowane.

        • Aby wyświetlić ekran zdalnej blokady po zablokowaniu sesji, wybierz pozycję Wyłączone.

     2. Wybierz przycisk OK.

   • W przypadku starszych protokołów uwierzytelniania:

     1. Kliknij dwukrotnie rozłącz sesję zdalną przy blokadzie dla starszego uwierzytelniania , aby go otworzyć.

        • Aby rozłączyć sesję zdalną po zablokowaniu sesji, wybierz pozycję Włączone.

        • Aby wyświetlić ekran zdalnej blokady po zablokowaniu sesji, wybierz pozycję Wyłączone lub Nieskonfigurowane.

     2. Wybierz przycisk OK.

6. Upewnij się, że zasady są stosowane do hostów sesji, a następnie uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

7. Aby przetestować konfigurację, połącz się z sesją zdalną, a następnie zablokuj sesję zdalną. Sprawdź, czy sesja zostanie rozłączona lub zostanie wyświetlony ekran zdalnej blokady, w zależności od konfiguracji.

Powiązana zawartość

• Dowiedz się, jak skonfigurować logowanie jednokrotne dla usługi Azure Virtual Desktop przy użyciu identyfikatora Microsoft Entra ID.