Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel geven we u een kort overzicht van de soorten identiteiten en verificatiemethoden die u kunt gebruiken in Azure Virtual Desktop.
Identiteiten
Azure Virtual Desktop ondersteunt verschillende typen identiteiten, afhankelijk van de configuratie die u kiest. In deze sectie wordt uitgelegd welke identiteiten u voor elke configuratie kunt gebruiken.
Belangrijk
Azure Virtual Desktop biedt geen ondersteuning voor aanmelden bij Microsoft Entra ID met één gebruikersaccount en vervolgens aanmelden bij Windows met een afzonderlijk gebruikersaccount. Aanmelden met twee verschillende accounts op hetzelfde moment kan ertoe leiden dat gebruikers opnieuw verbinding maken met de verkeerde sessiehost, onjuiste of ontbrekende informatie in de Azure Portal en foutberichten worden weergegeven tijdens het gebruik van App-bijlage.
On-premises identiteit
Omdat gebruikers kunnen worden gedetecteerd via Microsoft Entra ID om toegang te krijgen tot de Azure Virtual Desktop, worden gebruikersidentiteiten die alleen aanwezig zijn in Active Directory Domain Services (AD DS) niet ondersteund. Dit omvat zelfstandige Active Directory-implementaties met Active Directory Federation Services (AD FS).
Hybride identiteit
Azure Virtual Desktop ondersteunt hybride identiteiten via Microsoft Entra ID, inclusief de identiteiten die zijn gefedereerd met behulp van AD FS. U kunt deze gebruikersidentiteiten in AD DS beheren en synchroniseren met Microsoft Entra ID met behulp van Microsoft Entra Connect. U kunt Microsoft Entra ID ook gebruiken om deze identiteiten te beheren en ze te synchroniseren met Microsoft Entra Domeinservices.
Bij het openen van Azure Virtual Desktop met behulp van hybride identiteiten, komen de UPN (User Principal Name) of Security Identifier (SID) voor de gebruiker in Active Directory (AD) en Microsoft Entra ID soms niet overeen. Het AD-account user@contoso.local kan bijvoorbeeld overeenkomen met user@contoso.com in Microsoft Entra ID. Azure Virtual Desktop ondersteunt dit type configuratie alleen als de UPN of SID voor zowel uw AD- als Microsoft Entra ID-accounts overeenkomen. SID verwijst naar de eigenschap van het gebruikersobject 'ObjectSID' in AD en 'OnPremisesSecurityIdentifier' in Microsoft Entra ID.
Alleen cloudidentiteit
Azure Virtual Desktop ondersteunt identiteiten in de cloud wanneer u Microsoft Entra gekoppelde VM's gebruikt. Deze gebruikers worden rechtstreeks in Microsoft Entra ID gemaakt en beheerd.
Opmerking
U kunt ook hybride identiteiten toewijzen aan Azure Virtual Desktop-toepassingsgroepen die sessiehosts van het jointype hosten Microsoft Entra toegevoegd.
Federatieve identiteit
Als u een andere id-provider (IdP) van derden dan Microsoft Entra ID of Active Directory Domain Services gebruikt om uw gebruikersaccounts te beheren, moet u ervoor zorgen dat:
- Uw IdP is gefedereerd met Microsoft Entra ID.
- Uw sessiehosts zijn Microsoft Entra lid of Microsoft Entra hybride gekoppeld.
- U schakelt Microsoft Entra verificatie voor de sessiehost in.
Externe identiteit
Met ondersteuning voor externe identiteit kunt u gebruikers uitnodigen voor uw Entra ID-tenant en deze Azure Virtual Desktop-resources bieden. Er zijn verschillende vereisten en beperkingen bij het leveren van resources aan externe identiteiten:
- Vereisten
- Besturingssysteem sessiehost: op de sessiehost moet Windows 11 Enterprise, versie 24H2 of hoger worden uitgevoerd met cumulatieve Updates 2025-09 voor Windows 11 (KB5065789) of hoger geïnstalleerd.
- Type sessiehostdeelname: de sessiehost moet entra-lid zijn.
- Eenmalige aanmelding: Eenmalige aanmelding moet worden geconfigureerd voor de hostgroep.
- Windows App-client: de externe identiteit moet verbinding maken vanuit de Windows App in Windows of een webbrowser.
- Beperkingen
FSLogix: FSLogix-ondersteuning is in preview voor externe identiteiten. Meer informatie over het opslaan van FSLogix-profielcontainers op Azure Files met behulp van Microsoft Entra ID.
Intune apparaatconfiguratiebeleid: Apparaatconfiguratiebeleid dat is toegewezen aan de externe identiteit, wordt niet toegepast op de gebruiker op de sessiehost. Wijs in plaats daarvan apparaatconfiguratiebeleid toe aan het apparaat.
Cloudbeschikbaarheid: deze functie is alleen beschikbaar in de Azure openbare cloud, maar niet in de Government-cloud of Azure beheerd door 21Vianet.
Uitnodigingen voor meerdere clouds: gebruikers in meerdere clouds worden niet ondersteund. U kunt alleen toegang tot Azure Virtual Desktop-resource bieden aan gebruikers die u uitnodigt van sociale id-providers, Microsoft Entra gebruikers van de commerciële cloud van Microsoft Azure of andere id-providers die zijn geregistreerd in uw personeelstenant. U kunt geen Azure Virtual Desktop-resources toewijzen voor gebruikers die u uitnodigt vanuit Microsoft Azure Government of Microsoft Azure beheerd door 21Vianet.
Tokenbeveiliging: Microsoft Entra heeft bepaalde beperkingen voor tokenbeveiliging voor externe identiteiten. Meer informatie over Windows App ondersteuning voor tokenbeveiliging per platform.
Kerberos-verificatie: externe identiteiten kunnen niet worden geverifieerd bij on-premises resources met behulp van Kerberos- of NTLM-protocollen.
Microsoft 365-apps: u kunt zich alleen aanmelden bij de Windows-bureaubladversie van de Microsoft 365-apps als:
- De uitgenodigde gebruiker is een op Entra gebaseerd account of een Microsoft-account met een licentie voor Microsoft 365-apps.
- De uitgenodigde gebruiker wordt niet geblokkeerd voor toegang tot de Microsoft 365-apps door een beleid voor voorwaardelijke toegang van de thuisorganisatie.
Ongeacht het uitgenodigde account hebt u toegang tot Microsoft 365-bestanden die met u worden gedeeld met behulp van de juiste Microsoft 365-app in de webbrowser van de sessiehost.
Zie Microsoft Entra best practices voor B2B voor aanbevelingen voor het configureren van uw omgeving voor externe identiteiten en Licenties voor licentierichtlijnen.
Verificatiemethoden
Bij het openen van Azure Virtual Desktop-resources zijn er drie afzonderlijke verificatiefasen:
- Verificatie van cloudservice: verificatie bij de Azure Virtual Desktop-service, waaronder het abonneren op resources en verificatie bij de gateway, is met Microsoft Entra ID.
- Externe sessieverificatie: verificatie bij de externe VM. Er zijn meerdere manieren om te verifiëren bij de externe sessie, waaronder de aanbevolen eenmalige aanmelding (SSO).
- Verificatie in sessie: verificatie bij toepassingen en websites binnen de externe sessie.
Voor de lijst met referenties die beschikbaar zijn op de verschillende clients voor elk van de verificatiefase, vergelijkt u de clients op verschillende platforms.
Belangrijk
Verificatie werkt alleen goed als uw lokale computer ook toegang heeft tot de vereiste URL's voor Extern bureaublad-clients.
De volgende secties bevatten meer informatie over deze verificatiefasen.
Cloudserviceverificatie
Voor toegang tot Azure Virtual Desktop-resources moet u zich eerst verifiëren bij de service door u aan te melden met een Microsoft Entra ID-account. Verificatie vindt plaats wanneer u zich abonneert om uw resources op te halen, verbinding maakt met de gateway bij het starten van een verbinding of wanneer u diagnostische gegevens naar de service verzendt. De Microsoft Entra ID resource die voor deze verificatie wordt gebruikt, is Azure Virtual Desktop (app-id 9cdead84-a844-4324-93f2-b2e6bb768d07).
Meervoudige verificatie
Volg de instructies in Meervoudige verificatie Microsoft Entra afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang voor meer informatie over het afdwingen van Microsoft Entra meervoudige verificatie voor uw implementatie. In dit artikel wordt ook uitgelegd hoe u kunt configureren hoe vaak uw gebruikers worden gevraagd hun referenties in te voeren. Let bij het implementeren van Microsoft Entra gekoppelde VM's op de extra stappen voor Microsoft Entra gekoppelde sessiehost-VM's.
Verificatie zonder wachtwoord
U kunt elk verificatietype gebruiken dat wordt ondersteund door Microsoft Entra ID, zoals Windows Hello voor Bedrijven en andere verificatieopties zonder wachtwoord (bijvoorbeeld FIDO-sleutels), om te verifiëren bij de service.
Smartcardverificatie
Als u een smartcard wilt gebruiken om te verifiëren bij Microsoft Entra ID, moet u eerst Microsoft Entra verificatie op basis van certificaten configureren of AD FS configureren voor verificatie van gebruikerscertificaten.
Id-providers van derden
U kunt id-providers van derden gebruiken zolang ze federatief zijn met Microsoft Entra ID.
Externe sessieverificatie
Als u eenmalige aanmelding nog niet hebt ingeschakeld of uw referenties nog niet lokaal hebt opgeslagen, moet u zich ook verifiëren bij de sessiehost wanneer u een verbinding start.
Eenmalige aanmelding (SSO)
Met eenmalige aanmelding kan de verbinding de referentieprompt van de sessiehost overslaan en de gebruiker automatisch aanmelden bij Windows via Microsoft Entra verificatie. Voor sessiehosts die zijn Microsoft Entra gekoppeld of Microsoft Entra hybride gekoppeld, is het raadzaam om eenmalige aanmelding in te schakelen met behulp van Microsoft Entra-verificatie. Microsoft Entra verificatie biedt andere voordelen, waaronder verificatie zonder wachtwoord en ondersteuning voor id-providers van derden.
Azure Virtual Desktop biedt ook ondersteuning voor eenmalige aanmelding met behulp van Active Directory Federation Services (AD FS) voor de Windows-bureaublad- en webclients.
Zonder eenmalige aanmelding vraagt de client gebruikers om hun sessiehostreferenties voor elke verbinding. De enige manier om te voorkomen dat u wordt gevraagd, is door de referenties op te slaan in de client. U wordt aangeraden alleen referenties op te slaan op beveiligde apparaten om te voorkomen dat andere gebruikers toegang hebben tot uw resources.
Smartcard en Windows Hello voor Bedrijven
Azure Virtual Desktop ondersteunt zowel NT LAN Manager (NTLM) als Kerberos voor verificatie van sessiehosts, maar smartcards en Windows Hello voor Bedrijven kunnen Kerberos alleen gebruiken om u aan te melden. Als u Kerberos wilt gebruiken, moet de client Kerberos-beveiligingstickets ophalen van een KDC-service (Key Distribution Center) die wordt uitgevoerd op een domeincontroller. Om tickets te krijgen, heeft de client een directe netwerklijn nodig naar de domeincontroller. U kunt een line-of-sight krijgen door rechtstreeks verbinding te maken binnen uw bedrijfsnetwerk, met behulp van een VPN-verbinding of door een KDC-proxyserver in te stellen.
Verificatie in sessie
Zodra u verbinding hebt gemaakt met uw RemoteApp of bureaublad, wordt u mogelijk gevraagd om verificatie binnen de sessie. In deze sectie wordt uitgelegd hoe u in dit scenario andere referenties dan gebruikersnaam en wachtwoord gebruikt.
Verificatie zonder wachtwoord in sessie
Azure Virtual Desktop ondersteunt verificatie zonder wachtwoord in de sessie met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels bij gebruik van de Windows Desktop-client. Verificatie zonder wachtwoord wordt automatisch ingeschakeld wanneer de sessiehost en lokale pc de volgende besturingssystemen gebruiken:
- Windows 11 één of meerdere sessies met de cumulatieve Updates 2022-10 voor Windows 11 (KB5018418) of hoger geïnstalleerd.
- Windows 10 één of meerdere sessies, versie 20H2 of hoger met de cumulatieve Updates 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.
- Windows Server 2022 met de cumulatieve update 2022-10 voor microsoft-serverbesturingssysteem (KB5018421) of hoger geïnstalleerd.
Als u verificatie zonder wachtwoord wilt uitschakelen voor uw hostgroep, moet u een RDP-eigenschap aanpassen. U vindt de eigenschap WebAuthn-omleiding op het tabblad Apparaatomleiding in de Azure Portal of stel de eigenschap redirectwebauthn in op 0 met behulp van PowerShell.
Wanneer deze optie is ingeschakeld, worden alle WebAuthn-aanvragen in de sessie omgeleid naar de lokale pc. U kunt Windows Hello voor Bedrijven of lokaal gekoppelde beveiligingsapparaten gebruiken om het verificatieproces te voltooien.
Voor toegang tot Microsoft Entra resources met Windows Hello voor Bedrijven- of beveiligingsapparaten moet u de FIDO2-beveiligingssleutel inschakelen als verificatiemethode voor uw gebruikers. Volg de stappen in FIDO2-beveiligingssleutelmethode inschakelen om deze methode in te schakelen.
Smartcardverificatie in sessie
Als u een smartcard in uw sessie wilt gebruiken, moet u ervoor zorgen dat u de smartcardstuurprogramma's op de sessiehost hebt geïnstalleerd en smartcardomleiding hebt ingeschakeld. Bekijk de vergelijkingsdiagrammen voor Windows App en de app Extern bureaublad om ervoor te zorgen dat u smartcardomleiding kunt gebruiken.
Volgende stappen
- Benieuwd naar andere manieren om uw implementatie veilig te houden? Bekijk Best practices voor beveiliging.
- Hebt u problemen met het maken van verbinding met Microsoft Entra gekoppelde VM's? Bekijk Problemen met verbindingen met Microsoft Entra gekoppelde VM's oplossen.
- Hebt u problemen met verificatie zonder wachtwoord in de sessie? Zie Problemen met WebAuthn-omleiding oplossen.
- Wilt u smartcards van buiten uw bedrijfsnetwerk gebruiken? Bekijk hoe u een KDC-proxyserver instelt.