Auswählen einer Identitätsstrategie für Azure Virtual Desktop
In dieser Lerneinheit erhalten Sie eine kurze Übersicht darüber, welche Identitätstypen und Authentifizierungsmethoden Sie in Azure Virtual Desktop verwenden können.
Identities
Azure Virtual Desktop unterstützt verschiedene Arten von Identitäten abhängig von der ausgewählten Konfiguration. In diesem Abschnitt wird erläutert, welche Identitäten Sie für jede Konfiguration verwenden können.
Wichtig
Azure Virtual Desktop unterstützt nicht die Anmeldung bei Microsoft Entra ID mit einem einzigen Benutzerkonto und die anschließende Anmeldung bei Windows mit einem separaten Benutzerkonto. Die gleichzeitige Anmeldung mit zwei unterschiedlichen Konten kann dazu führen, dass Benutzer wieder eine Verbindung mit dem falschen Sitzungshost herstellen, dass falsche oder fehlende Informationen im Azure-Portal angezeigt werden und dass während der Verwendung von App Attach oder MSIX App Attach Fehlermeldungen erscheinen.
Lokale Identität
Da Benutzer über Microsoft Entra ID auffindbar sein müssen, um auf den Azure Virtual Desktop zuzugreifen, werden Benutzeridentitäten, die nur in Active Directory Domain Services (AD DS) existieren, nicht unterstützt. Das umfasst auch eigenständige Active Directory-Bereitstellungen mit Active Directory-Verbunddiensten (AD FS).
Hybrididentität
Azure Virtual Desktop unterstützt Hybrididentitäten über Microsoft Entra ID, einschließlich solcher, die über AD FS einem Verbund angehören. Sie können diese Benutzeridentitäten in AD DS verwalten und mit Microsoft Entra ID mit Microsoft Entra Connectsynchronisieren. Sie können die Microsoft Entra-ID auch verwenden, um diese Identitäten zu verwalten und mit Microsoft Entra Domain Services zu synchronisieren.
Wenn Sie mit Hybrididentitäten auf Azure Virtual Desktop zugreifen, stimmen manchmal der User Principal Name (UPN) oder Security Identifier (SID) für den Benutzer in Active Directory (AD) und die Microsoft Entra ID nicht überein. Beispielsweise kann das AD-Konto user@contoso.local einer Microsoft Entra-ID user@contoso.com entsprechen. Azure Virtual Desktop unterstützt diese Art der Konfiguration nur, wenn entweder der UPN oder die SID für Ihr AD- und Microsoft Entra ID-Konto übereinstimmen. SID bezieht sich auf die Benutzerobjekteigenschaft „ObjectSID“ in AD und „OnPremisesSecurityIdentifier“ in Microsoft Entra ID.
Reine Cloudidentität
Azure Virtual Desktop unterstützt reine Cloudidentitäten bei Verwendung von in Microsoft Entra eingebundenen VMs. Diese Benutzer werden direkt in der Microsoft Entra ID erstellt und verwaltet.
Hinweis
Sie können hybride Identitäten auch Azure Virtual Desktop-Anwendungsgruppen zuweisen, die Sitzungshosts des Verbindungstyps „In Microsoft Entra eingebunden“ hosten.
Identitätsanbieter von Drittherstellern
Wenn Sie einen anderen Identitätsanbieter (IdP) als Microsoft Entra ID verwenden, um Ihre Benutzerkonten zu verwalten, müssen Sie Folgendes sicherstellen:
- Ihr IdP wird mit der Microsoft Entra-ID verbunden.
- Ihre Sitzungshosts sind Microsoft Entra beigetreten oder Microsoft Entra hybrid eingebunden.
- Sie aktivieren die Microsoft Entra-Authentifizierung für den Sitzungshost.
Externe Identität
Azure Virtual Desktop unterstützt derzeit keine externen Identitäten.