Konfigurera sessionslåsbeteendet för Azure Virtual Desktop

Du kan välja om sessionen är frånkopplad eller fjärrlåsskärmen visas när en fjärrsession är låst, antingen av användaren eller av principen. När beteendet för sessionslåset är inställt på att kopplas från visas en dialogruta som meddelar användarna att de har kopplats från. Användare kan välja alternativet Återanslut från dialogrutan när de är redo att ansluta igen.

När den används med enkel inloggning med Microsoft Entra-ID ger frånkoppling av sessionen följande fördelar:

• En konsekvent inloggningsupplevelse via Microsoft Entra-ID när det behövs.

• En enkel inloggningsupplevelse och återanslutning utan autentiseringsprompt, när det tillåts av principer för villkorlig åtkomst.

• Stöd för lösenordslös autentisering som nyckelnycklar och FIDO2-enheter, i motsats till fjärrlåsskärmen. Det är nödvändigt att koppla från sessionen för att säkerställa fullständigt stöd för lösenordsfri autentisering.

• Principer för villkorlig åtkomst, inklusive multifaktorautentisering och inloggningsfrekvens, omvärderas när användaren återansluter till sin session.

• Du kan kräva multifaktorautentisering för att återgå till sessionen och förhindra att användare låser upp med ett enkelt användarnamn och lösenord.

För scenarier som förlitar sig på äldre autentisering, inklusive NTLM, CredSSP, RDSTLS, TLS och RDP grundläggande autentiseringsprotokoll, uppmanas användarna att ange sina autentiseringsuppgifter igen när de återansluter eller startar en ny anslutning.

Standardbeteendet för sessionslås skiljer sig beroende på om du använder enkel inloggning med Microsoft Entra-ID eller äldre autentisering. I följande tabell visas standardkonfigurationen för varje scenario:

Scenario	Standardkonfiguration
Enkel inloggning med Microsoft Entra-ID	Koppla från sessionen
Äldre autentiseringsprotokoll	Visa fjärrlåsskärmen

Den här artikeln visar hur du ändrar beteendet för sessionslås från standardkonfigurationen med hjälp av Microsoft Intune eller grupprincip.

Förutsättningar

Välj relevant flik för konfigurationsmetoden.

Intune

Innan du kan konfigurera sessionslåsbeteendet måste du uppfylla följande krav:

• En befintlig värdpool med sessionsvärdar.

• Sessionsvärdarna måste köra något av följande operativsystem med relevant kumulativ uppdatering installerad:

  • Windows 11– en eller flera sessioner med kumulativa uppdateringar 2024–05 för Windows 11 (KB5037770) eller senare installerade.
  • Windows 10– en eller flera sessioner, version 21H2 eller senare med kumulativa uppdateringar 2024–06 för Windows 10 (KB5039211) eller senare installerade.
  • Windows Server 2022 med den kumulativa uppdateringen 2024-05 för Microsoft Server-operativsystemet (KB5037782) eller senare installerad.

• För att konfigurera Intune behöver du:

  • Ett Microsoft Entra-ID-konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare .
  • En grupp som innehåller de enheter som du vill konfigurera.

Grupprincip

Innan du kan konfigurera sessionslåsbeteendet måste du uppfylla följande krav:

• En befintlig värdpool med sessionsvärdar.

• Sessionsvärdarna måste köra något av följande operativsystem med relevant kumulativ uppdatering installerad:

  • Windows 11– en eller flera sessioner med kumulativa uppdateringar 2024–05 för Windows 11 (KB5037770) eller senare installerade.
  • Windows 10– en eller flera sessioner, version 21H2 eller senare med kumulativa uppdateringar 2024–06 för Windows 10 (KB5039211) eller senare installerade.
  • Windows Server 2022 med den kumulativa uppdateringen 2024-05 för Microsoft Server-operativsystemet (KB5037782) eller senare installerad.

• För att konfigurera grupprincip behöver du:

  • Ett domänkonto som har behörighet att skapa eller redigera grupprincip objekt.
  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.

Konfigurera beteendet för sessionslås

Välj relevant flik för konfigurationsmetoden.

Intune

Så här konfigurerar du sessionslåsupplevelsen med Hjälp av Intune:

1. Logga in på administrationscentret för Microsoft Intune.

2. Skapa eller redigera en konfigurationsprofil för Windows 10- och senare enheter med katalogprofiltypen Inställningar.

3. I inställningsväljaren bläddrar du till Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbord>Sessionsvärdsäkerhet.>

   

4. Markera kryssrutan för någon av följande inställningar, beroende på dina krav:

   • För enkel inloggning med Microsoft Entra-ID:

     1. Markera kryssrutan för Koppla från fjärrsession på lås för Microsofts identitetsplattform autentisering och stäng sedan inställningsväljaren.

     2. Expandera kategorin Administrativa mallar och växla sedan växeln för Koppla från fjärrsession på lås för Microsofts identitetsplattform autentisering till Aktiverad eller Inaktiverad:

        • Om du vill koppla från fjärrsessionen när sessionen låss växlar du till Aktiverad och väljer sedan OK.

        • Om du vill visa fjärrlåsskärmen när sessionen låses växlar du till Inaktiverad och väljer sedan OK.

   • För äldre autentiseringsprotokoll:

     1. Markera kryssrutan för Koppla från fjärrsession vid lås för äldre autentisering och stäng sedan inställningsväljaren.

     2. Expandera kategorin Administrativa mallar och växla sedan växeln för Koppla från fjärrsession vid lås för äldre autentisering till Aktiverad eller Inaktiverad:

        • Om du vill koppla från fjärrsessionen när sessionen låss växlar du till Aktiverad och väljer sedan OK.

        • Om du vill visa fjärrlåsskärmen när sessionen låses växlar du till Inaktiverad och väljer sedan OK.

5. Välj Nästa.

6. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

7. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

8. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

9. När principen gäller för sessionsvärdarna startar du om dem för att inställningarna ska börja gälla.

10. Om du vill testa konfigurationen ansluter du till en fjärrsession och låser sedan fjärrsessionen. Kontrollera att sessionen antingen kopplas från eller att fjärrlåsskärmen visas, beroende på din konfiguration.

Grupprincip

Följ dessa steg för att konfigurera sessionslåsupplevelsen med hjälp av grupprincip.

1. Inställningarna för grupprincip är endast tillgängliga på de operativsystem som anges i Krav. För att göra dem tillgängliga i andra versioner av Windows Server måste du kopiera filerna för administrativa mallar C:\Windows\PolicyDefinitions\terminalserver.admx och C:\Windows\PolicyDefinitions\en-US\terminalserver.adml från en sessionsvärd till samma plats på domänkontrollanterna eller grupprincip Central Store, beroende på din miljö. I filsökvägen för terminalserver.adml ersätt en-US med lämplig språkkod om du använder ett annat språk.

2. Öppna grupprincip-hanteringskonsolen på den enhet som du använder för att hantera Active Directory-domänen.

3. Skapa eller redigera en princip som riktar sig till de datorer som tillhandahåller en fjärrsession som du vill konfigurera.

4. Gå till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbord>Sessionsvärdsäkerhet.>

   

5. Dubbelklicka på någon av följande principinställningar, beroende på dina krav:

   • För enkel inloggning med Microsoft Entra-ID:

     1. Dubbelklicka på Koppla från fjärrsession på lås för Microsofts identitetsplattform autentisering för att öppna den.

        • Om du vill koppla från fjärrsessionen när sessionen låss väljer du Aktiverad eller Inte konfigurerad.

        • Om du vill visa fjärrlåsskärmen när sessionen låses väljer du Inaktiverad.

     2. Välj OK.

   • För äldre autentiseringsprotokoll:

     1. Dubbelklicka på Koppla från fjärrsession vid lås för äldre autentisering för att öppna den.

        • Om du vill koppla från fjärrsessionen när sessionen låss väljer du Aktiverad.

        • Om du vill visa fjärrlåsskärmen när sessionen låses väljer du Inaktiverad eller Inte konfigurerad.

     2. Välj OK.

6. Kontrollera att principen tillämpas på sessionsvärdarna och starta sedan om dem för att inställningarna ska börja gälla.

7. Om du vill testa konfigurationen ansluter du till en fjärrsession och låser sedan fjärrsessionen. Kontrollera att sessionen antingen kopplas från eller att fjärrlåsskärmen visas, beroende på din konfiguration.

Relaterat innehåll

• Lär dig hur du konfigurerar enkel inloggning för Azure Virtual Desktop med hjälp av Microsoft Entra-ID.