你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置 Azure 虚拟桌面的会话锁定行为
可以选择会话是断开连接还是远程锁定屏幕(由用户或策略锁定)时显示。 当会话锁定行为设置为断开连接时,会显示一个对话框,让用户知道他们已断开连接。 用户可以在准备好再次连接时从对话框中选择“重新连接”选项。
使用 Microsoft Entra ID 进行单一登录时,断开会话的连接具有以下优势:
在需要时通过 Microsoft Entra ID 获得一致的登录体验。
在条件访问策略允许时获得单一登录体验,并且在无需身份验证提示的情况下重新连接。
与远程锁定屏幕相反,支持无密码身份验证,如密钥和 FIDO2 设备。 必须断开会话的连接,以确保完全支持无密码身份验证。
当用户重新连接到其会话时,会重新评估条件访问策略,包括多重身份验证和登录频率。
可以需要完成多重身份验证才能返回会话,并防止用户使用简单的用户名和密码解锁。
对于依赖于旧式身份验证(包括 NTLM、CredSSP、RDSTLS、TLS 和 RDP 基本身份验证协议)的方案,当用户重新连接或启动新连接时,系统会提示他们重新输入其凭据。
默认会话锁定行为有所不同,具体取决于是通过 Microsoft Entra ID 还是旧式身份验证使用单一登录。 下表显示了每个应用场景的默认配置:
| 场景 | 默认配置 |
|---|---|
| 使用 Microsoft Entra ID 的单一登录 | 断开会话连接 |
| 旧式身份验证协议 | 显示远程锁屏界面 |
本文介绍如何使用 Microsoft Intune 或组策略从其默认配置更改会话锁定行为。
先决条件
为你的配置方法选择相关的选项卡。
在配置会话锁定行为之前,需要满足以下先决条件:
具有会话主机的主机池。
会话主机必须运行安装了相关累积更新的以下操作系统之一:
- 安装了适用于 Windows 11 的 2024-05 累积更新 (KB5037770) 或更高版本的 Windows 11 单会话或多会话。
- 安装了适用于 Windows 10 的 2024-06 累积更新 (KB5039211) 或更高版本更新的 Windows 10 单会话或多会话版本 21H2 或更高版本。
- 安装了适用于 Microsoft 服务器操作系统的 2024-05 累积更新 (KB5037782) 或更高版本更新的 Windows Server 2022。
要配置 Intune,需要具有以下项:
- 一个分配了策略和配置文件管理器内置 RBAC 角色的 Microsoft Entra ID 帐户。
- 一个包含要配置的设备的组。
配置会话锁定行为
为你的配置方法选择相关的选项卡。
若要使用 Intune 配置会话锁定体验:
使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件。
在设置选取器中,浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“安全”。
根据你的要求,选中以下设置之一的对应框:
若要使用 Microsoft Entra ID 进行单一登录:
选中“锁定 Microsoft 标识平台身份验证时断开连接远程会话”的框,然后关闭设置选取器。
展开“管理模板”类别,然后将“锁定 Microsoft 标识平台身份验证的断开连接远程会话”开关切换为“已启用”或“禁用”:
若要在会话锁定时断开远程会话的连接,请将开关切换为“已启用”,然后选择“确定”。
若要在会话锁定时显示远程锁屏,请将开关切换为“禁用”,然后选择“确定”。
对于旧式身份验证协议:
选中“锁定旧式身份验证时断开连接远程会话”的框,然后关闭设置选取器。
展开“管理模板”类别,然后将“锁定旧式身份验证的断开连接远程会话”开关切换为“已启用”或“禁用”:
若要在会话锁定时断开远程会话的连接,请将开关切换为“已启用”,然后选择“确定”。
若要在会话锁定时显示远程锁屏,请将开关切换为“禁用”,然后选择“确定”。
选择下一步。
可选:在“范围标记”选项卡上,选择用于筛选配置文件的范围标记。 若要详细了解范围标记,请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT。
在“分配”选项卡上选择一个组(其中包含提供你要配置的远程会话的计算机),然后选择“下一步”。
在“查看 + 创建”选项卡上查看设置,然后选择“创建”。
策略应用于会话主机后,重启它们,使设置生效。
若要测试配置,请连接到远程会话,然后锁定远程会话。 验证会话是否已断开连接或显示远程锁屏(根据配置)。
