Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Organisationer som inför nätfiskeresistenta system utan lösenord behöver vanligtvis att vissa av deras användare använder fjärrskrivbordsteknik för att underlätta produktivitet, säkerhet eller administration. De två grundläggande användningsfallen är:
- Initiera och autentisera en fjärrskrivbordsanslutningssession från en lokal klient till en fjärrdator med nätfiskeresistenta lösenordsfria autentiseringsuppgifter
- Använda nätfiskeresistenta lösenordsfria autentiseringsuppgifter i en etablerad fjärrskrivbordsanslutningssession
Granska de specifika övervägandena för varje användningsfall.
- Initiering av lösenordslös fjärrskrivbordsanslutningssession
- Lösenordslös autentisering under sessionen
Anslutningskomponenter för fjärrskrivbord
Windows fjärrskrivbordsprotokoll omfattar tre primära komponenter, som alla behöver stöd för nätfiskeresistenta lösenordsfria autentiseringsuppgifter för att initiera en anslutningssession för fjärrskrivbord med hjälp av dessa autentiseringsuppgifter. Om någon av dessa komponenter inte kan fungera korrekt eller saknar stöd för vissa lösenordslösa autentiseringsuppgifter fungerar inte ett eller båda scenarierna som beskrivs. Den här guiden fokuserar på stöd för nyckel/FIDO2 och stöd för Cert-Based-autentisering (CBA).
Gå igenom följande avsnitt för att avgöra om stöd för phishing-resistent lösenordsfri är förväntat för alla tre komponenter som du använder. Upprepa den här processen om du har flera scenarier som kräver utvärdering.
Klientplattform
Det finns flera olika vanliga operativsystem för lokala klienter som används för att instansiera fjärrskrivbordssessioner. Vanliga alternativ är:
- Windows 10+
- Windows Server
- macOS
- Ios
- Android
- Linux
Stöd för nätfiskeresistent lösenordsfri och fjärrskrivbordsanslutning beror på att klientplattformen har stöd för nyckelprotokoll, särskilt CTAP (Client To Authenticator Protocol) och WebAuthn. CTAP är ett kommunikationslager mellan roaming autentiserare, till exempel FIDO2-säkerhetsnycklar eller passkeys på en mobil enhet, och en klientplattform. De flesta klientplattformar stöder dessa protokoll, men det finns vissa plattformar som inte gör det. I vissa fall, till exempel med dedikerade tunna klientenheter som kör specialiserade operativsystem, bör du kontakta leverantören för att bekräfta supporten.
Microsoft Entra-certifikatbaserad autentisering (CBA) kräver konfiguration i Microsoft Entra-ID så att användarna kan använda certifikat från din offentliga nyckelinfrastruktur (PKI) för autentisering. Den här artikeln behandlar inte endast certifikatbaserade autentiseringsimplementeringar lokalt.
| Klientplattform | FIDO-Support | Microsoft Entra CBA | Noteringar |
|---|---|---|---|
| Windows 10+ | Ja | Ja | |
| Windows Server | Partiell | Ja | Windows Server rekommenderas inte för klientberäkningsenheter. Windows Server-hoppservrar kan hindra FIDO-baserade nätfiskeresistenta lösenordslösa. Om du använder jump-servrar rekommenderas CBA i stället för FIDO |
| macOS | Ja | Ja | Alla Apple-webbramverk stöder inte FIDO |
| Ios | Ja | Ja | Alla Apple-webbramverk stöder inte FIDO |
| Android | Ja | Ja | |
| Linux | Kanske | Ja | Bekräfta FIDO-supporten med Linux-distributionsleverantören |
Målplattform
Målplattformen är viktig för att avgöra om nätfiskeresistent lösenordsfri autentisering stöds för att upprätta själva fjärrskrivbordsanslutningssessionen.
| Målplattform | Fido-stöd för initiering av fjärrskrivbordsanslutningssession | Initierande av fjärrskrivbordsanslutningssession Microsoft Entra CBA |
|---|---|---|
| Windows 10+ ansluten till Microsoft Entra | Ja | Ja |
| Windows Server Microsoft Entra-ansluten | Ja1 | Ja |
| Windows 10+ Microsoft Entra hybridanslutning | Ja | Ja |
| Windows Server Microsoft Entra hybridansluten | Ja1 | Ja |
| Windows 10+ Microsoft Entra registrerad | Nej | Nej |
| Windows 10+ endast lokalt domänansluten | Nej | Nej |
| Endast lokal Windows Server-domänansluten | Nej | Nej |
| Windows 10+ Workgroup | Nej | Nej |
| Azure Arc-hanterad fristående arbetsgruppsserver för Windows Server2 | Ja | Ja |
1. Gäller endast för Microsoft Entra-anslutna eller Hybrid-anslutna servrar som kör Windows Server 2022 eller senare
2. Gäller endast för Microsoft Entra-anslutna servrar som kör Windows Server 2025 eller senare
Fjärrskrivbordsanslutningsklient
Bara klientplattformsstöd för nätfiskeresistent autentisering räcker inte för att stödja detta vid anslutningssessioner för fjärrskrivbord. Den fjärrskrivbordsanslutningsklient som används måste också ha stöd för nödvändiga komponenter för att dessa autentiseringsuppgifter ska fungera korrekt. Granska många av de vanliga fjärrskrivbordsanslutningsklienterna och deras olika alternativ som stöds:
| Anslutningsklient för fjärrskrivbord | Fido-stöd för initiering av fjärrskrivbordsanslutningssession | Initierande av fjärrskrivbordsanslutningssession Microsoft Entra CBA |
|---|---|---|
| MSTSC.exe för Windows-klienten | Ja | Ja |
| MSTSC.exe för Windows Server 2022+ | Ja | Ja |
| MSTSC.exe för Windows Server 2019 eller tidigare | Nej | Nej |
| Windows App för Windows | Ja | Ja |
| Windows App för macOS | Ja | Ja |
| Windows App för iOS | Ja | Ja |
| Windows App för Android | Ja | Ja |
| Windows 365-webbapp | Nej | Nej |
| Fjärrskrivbordsanslutningsklient från tredje part | Kanske | Kanske |
Viktigt!
Klient- och målenheter måste vara Microsoft Entra-anslutna, Microsoft Entra-hybridanslutna eller Microsoft Entra-registrerade i samma klient. Autentisering mellan klientorganisationer fungerar inte. Klientenheten kan inte autentisera till målenheten om de är anslutna till olika klientorganisationer.
Utvärdera stöd för dina scenarier
Om någon av de tre komponenterna som beskrivs i det här dokumentet inte stöder ditt scenario förväntas ditt scenario inte fungera. För att utvärdera bör du överväga varje komponent för autentisering av fjärrskrivbordsanslutningssession och användning av autentiseringsuppgifter under sessionen. Upprepa den här processen för varje scenario i din miljö för att förstå vilka scenarier som förväntas fungera och vilka som inte fungerar.
Exempel 1
Så här kan du till exempel utvärdera om ditt scenario är "mina informationsarbetare behöver använda sina Windows-enheter för att få åtkomst till Azure Virtual Desktop, måste autentisera anslutningssessionen för fjärrskrivbord med hjälp av en Microsoft Authenticator-nyckel och använda nyckeln i anslutningssessionen för fjärrskrivbord i Microsoft Edge-webbläsaren":
| Scenarium | Klientplattform | Målplattform | Anslutningsklient för fjärrskrivbord | Stödd? |
|---|---|---|---|---|
| Initiering av anslutningssession för fjärrskrivbord med hjälp av Auth App Passkey | Windows 11 Microsoft Entra-registrerad/Hybrid-ansluten/fristående | Azure Virtual Desktop ansluten med Microsoft Entra | Windows-App | Ja+Ja+Ja = Ja |
| Anslutning till fjärrskrivbord In-Session autentisering med Auth-app lösenkod | Windows 11 Microsoft Entra-registrerad/Hybrid-ansluten/fristående | Azure Virtual Desktop ansluten med Microsoft Entra | Windows-App | Ja+Ja+Ja = Ja |
I det här exemplet kan både själva fjärrskrivbordsanslutningssessionen och sessionsappar dra nytta av användarens nyckel. System för nätfiskeresistent inloggning utan lösenord bör fungera brett.
Exempel 2
Så här kan du utvärdera om ditt scenario är "mina informationsarbetare behöver använda sina macOS-enheter för att få tillgång till Azure Virtual Desktop, behöver autentisera den fjärrskrivbordssessionsanslutningen med en Microsoft Authenticator-lösenkod och använda lösenkoden inuti fjärrskrivbordssessionen":
| Scenarium | Klientplattform | Målplattform | Anslutningsklient för fjärrskrivbord | Stödd? |
|---|---|---|---|---|
| Initiering av anslutningssession för fjärrskrivbord med hjälp av Auth App Passkey | macOS 15 | Azure Virtual Desktop ansluten med Microsoft Entra | Windows-App | Ja+Ja+Ja = Ja |
| Anslutning till fjärrskrivbord In-Session autentisering med Auth-app lösenkod | macOS 15 | Azure Virtual Desktop ansluten med Microsoft Entra | Windows-App | Ja+Ja+Nej = Nej |
I det här exemplet kan användare använda sin nyckel för att upprätta anslutningssessionen för fjärrskrivbord, men kan inte använda den i anslutningssessionen för fjärrskrivbord eftersom Windows-appen på macOS inte stöder den här funktionen ännu. Du kan vänta på bättre nyckelstöd i anslutningsklienten för fjärrskrivbord eller växla till en annan autentiseringsuppgift, till exempel certifikat med CBA.
Exempel 3
Så här kan du utvärdera om ditt scenario är "mina administratörer behöver använda sina Windows-enheter för att få åtkomst till lokala Windows-servrar, behöver autentisera anslutningssessionen för fjärrskrivbord med hjälp av ett certifikat och använda certifikatet i anslutningssessionen för fjärrskrivbord":
| Scenarium | Klientplattform | Målplattform | Anslutningsklient för fjärrskrivbord | Stödd? |
|---|---|---|---|---|
| Initiering av fjärrskrivbordsanslutningssession med certifikat | Windows 11 | Domain-Joined Windows Server | MSTSC.exe | Ja+Ja+Ja = Ja |
| Anslutning till fjärrskrivbord In-Session autentisering med certifikat | Windows 11 | Domain-Joined Windows Server | MSTSC.exe | Ja+Ja+Ja = Ja |
I det här exemplet kan användare använda sitt certifikat för att upprätta anslutningssessionen för fjärrskrivbord och även använda certifikatet i anslutningssessionen för fjärrskrivbord. Det här scenariot fungerar dock inte med en nyckel, eftersom den domänanslutna Windows-servern inte kan använda en nyckel för att konfigurera en fjärrskrivbordsanslutningssession eller inuti sessionen.
Exempel 4
Så här kan du utvärdera om ditt scenario är "mina medarbetare i frontlinjen behöver använda en Linux-baserad tunn klient för att få åtkomst till lokala domänanslutna VDI-klienter (Windows Virtual Desktop Infrastructure) som inte är Microsoft Entra-hybridanslutna, måste autentisera anslutningssessionen för fjärrskrivbord med hjälp av en FIDO2-säkerhetsnyckel och använda FIDO2-säkerhetsnyckeln i anslutningssessionen för fjärrskrivbord":
| Scenarium | Klientplattform | Målplattform | Anslutningsklient för fjärrskrivbord | Stödd? |
|---|---|---|---|---|
| Initiering av anslutningssession för fjärrskrivbord med hjälp av FIDO2-säkerhetsnyckel | Linux Embedded-distribution | Domain-Joined Windows 11 | Leverantörsbaserad klient | Kanske+Nej+Nej = Nej |
| Anslutning till fjärrskrivbord In-Session autentisering med fido2-säkerhetsnyckel | Linux Embedded-distribution | Domain-Joined Windows 11 | Leverantörsbaserad klient | Kanske+Ja+Kanske = Kanske |
I det här exemplet kan användarna förmodligen inte använda sina FIDO2-säkerhetsnycklar för fjärrskrivbordsanslutning alls eftersom det tunna klientoperativsystemet och fjärrskrivbordsanslutningsklienten inte stöder FIDO2/nyckel i varje scenario som krävs. Arbeta med din tunna klientleverantör för att förstå deras plan för support. Planera dessutom för Microsoft Entra-hybridanslutning eller Microsoft Entra-anslutning med de virtuella Target Platform-datorerna så att passerkoder kan få bättre stöd.
Nästa steg
Distribuera en nätfiskeresistent lösenordsfri autentiseringslösning i Microsoft Entra ID