Melden Sie sich bei einem virtuellen Computer in Azure oder einem Arc-fähigen Windows Server an, indem Sie Microsoft Entra ID und Azure Roles Based Access Control verwenden.

Organisationen können die Sicherheit von Windows-Geräten in Azure oder über Azure Arc verbessern, indem sie die Microsoft Entra-Authentifizierung integrieren. Sie können Microsoft Entra ID jetzt als zentrale Authentifizierungsplattform für das Remotedesktopprotokoll (RDP) in unterstützten Versionen von Windows verwenden. Sie können dann azure role-based access control (RBAC) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf die Geräte zulassen oder verweigern.

In diesem Artikel erfahren Sie, wie Sie einen Windows-Computer erstellen und konfigurieren und sich mithilfe der microsoft Entra ID-basierten Authentifizierung anmelden.

Es gibt viele Sicherheitsvorteile bei der Verwendung der microsoft Entra ID-basierten Authentifizierung, um sich bei Windows-Geräten in Azure anzumelden oder mit Azure Arc verbunden zu sein. Dazu gehören:

• Verwenden Sie die Microsoft Entra-Authentifizierung, einschließlich kennwortloser Authentifizierung, um sich bei Windows-Geräten anzumelden. Verringern Sie die Abhängigkeit von lokalen Administratorkonten.
• Verwenden Sie Kennwortkomplexitäts- und Kennwortlebensdauerrichtlinien, die Sie für Microsoft Entra ID konfigurieren, um Windows-Geräte zusätzlich abzusichern.
• Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure:
  • Geben Sie an, wer sich als regulärer Benutzer oder mit Administratorrechten anmelden kann.
  • Wenn Benutzer Ihrem Team beitreten oder ihr Team verlassen, können Sie die Azure-Richtlinien für die rollenbasierte Zugriffssteuerung aktualisieren, um den Zugriff entsprechend zu gewähren.
  • Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten in Microsoft Entra ID deaktiviert oder entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.
• Verwenden Sie die Richtlinie für den bedingten Zugriff „phishing-resistente MFA“ und andere Signale wie das Risiko der Benutzer-Anmeldung.
• Verwenden Sie Azure-Richtlinie zum Bereitstellen und Überwachen von Richtlinien, um die Anmeldung von Microsoft Entra für Windows-Geräte zu erfordern und die Verwendung nicht genehmigter lokaler Konten auf den Geräten zu kennzeichnen.
• Nutzen Sie Intune, um den Microsoft Entra-Beitritt mithilfe der automatischen Registrierung im Rahmen der Verwaltung mobiler Geräte (Mobile Device Management, MDM) von Azure Windows-VMs, die Teil Ihrer VDI-Bereitstellungen (Virtual Desktop Infrastructure) sind, zu automatisieren und zu skalieren. Für die automatische MDM-Registrierung sind Microsoft Entra ID P1-Lizenzen erforderlich. Windows Server-VMs unterstützen keine MDM-Einschreibung.

Für die automatische MDM-Registrierung sind Microsoft Entra ID P1-Lizenzen erforderlich. Windows Server-VMs unterstützen keine MDM-Einschreibung.

Anforderungen

Unterstützte Azure-Regionen und Windows-Distributionen

Dieses Feature wird derzeit von den folgenden Windows-Distributionen unterstützt:

Diese Funktion ist jetzt in den folgenden Azure-Clouds verfügbar:

• Azure Global
• Azure für Behörden
• Microsoft Azure von 21Vianet

Netzwerkanforderungen

Um die Microsoft Entra-Authentifizierung für virtuelle Computer in Azure- oder Arc-fähigen Windows-Servern zu aktivieren, müssen Sie sicherstellen, dass Ihre Netzwerkkonfiguration ausgehenden Zugriff auf die folgenden Endpunkte über TCP-Port 443 zulässt.

Azure Global:

• https://enterpriseregistration.windows.net: Geräteregistrierung.

• https://login.microsoftonline.com: Authentifizierungsabläufe.
• https://pas.windows.net: Rollenbasierte Zugriffssteuerungsflüsse in Azure.

Azure Government:

• https://enterpriseregistration.microsoftonline.us: Geräteregistrierung.

• https://login.microsoftonline.us: Authentifizierungsabläufe.
• https://pasff.usgovcloudapi.net: Rollenbasierte Zugriffssteuerungsflüsse in Azure.

Microsoft Azure, betrieben von 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn: Geräteregistrierung.

• https://login.chinacloudapi.cn: Authentifizierungsabläufe.
• https://pas.chinacloudapi.cn: Rollenbasierte Zugriffssteuerungsflüsse in Azure.

Für Azure Arc-fähige Windows-Server werden weitere Netzwerkanforderungen in der Arc-verbundenen Serverdokumentation bereitgestellt.

Authentifizierungsanforderungen

Microsoft Entra-Gastkonten können keine Verbindung mit Azure-VMs, Azure Bastion-aktivierten VMs oder Arc-fähigen Windows-Servern über die Microsoft Entra-Authentifizierung herstellen.

Aktivieren Sie die Microsoft Entra-Anmeldung für einen virtuellen Windows-Computer in Azure oder einem Arc-aktivierten Windows Server

Um die Microsoft Entra-Anmeldung für einen virtuellen Windows-Computer in Azure oder Arc-fähigen Windows Server zu verwenden, müssen Sie:

1. Aktivieren Sie die Microsoft Entra-Anmeldeerweiterung für das Gerät.
2. Konfigurieren sie Azure-Rollenzuweisungen für Benutzer.

Aktivieren der Microsoft Entra-Anmeldeerweiterung

Folgen Sie dem entsprechenden Link für Ihr Gerät, um detaillierte Anleitungen und Beispiele für die Bereitstellung zu finden.

• Virtueller Azure-Computer mit Windows
• Arc-fähiges Windows Server

Sie müssen die vom System zugewiesene verwaltete Identität auf Ihrem virtuellen Azure-Computer oder Arc-fähigen Windows Server aktivieren, bevor Sie die Microsoft Entra-Anmeldeerweiterung für virtuelle Computer installieren. Verwaltete Identitäten werden in einem einzelnen Microsoft Entra-Mandanten gespeichert und unterstützen derzeit keine verzeichnisübergreifenden Szenarien.

Die folgenden Beispiele veranschaulichen Azure-Vorlagen für Azure Virtual Machine-Erweiterungen und -Erweiterungen für Arc-fähige Windows Server.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "___location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "___location": "[parameters('___location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "___location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.HybridCompute/machines/extensions",
      "___location": "[parameters('___location')]",
      "apiVersion": "2024-07-10",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "2.1.0.0",
        "autoUpgradeMinorVersion": true,
        "settings": {
            "mdmId": ""
        }
      }
    }
  ]
}

Nachdem die Erweiterung auf dem Gerät installiert wurde, wird provisioningStateSucceeded angezeigt.

Konfigurieren von Rollenzuweisungen

Ein Benutzerkonto in Microsoft Entra muss einer Rollenzuweisung in Azure hinzugefügt werden, bevor der Benutzer sich bei virtuellen Azure-Computern oder arc-verbundenen Windows Server anmelden darf. Die gleichen Rollen werden sowohl für virtuelle Azure-Computer als auch für Arc-fähige Windows Server verwendet.

Um Benutzerrollen zuzuweisen, müssen Sie über die Rolle "Administrator für den Datenzugriff für virtuelle Computer " oder eine beliebige Rolle verfügen, die die Microsoft.Authorization/roleAssignments/write Aktion enthält, z. B. die Rolle " Rollenbasierte Zugriffssteuerungsadministrator ". Wenn Sie jedoch eine andere Rolle als der Data Access-Administrator für virtuelle Computer verwenden, empfehlen wir, eine Bedingung hinzuzufügen, um die Berechtigung zum Erstellen von Rollenzuweisungen zu verringern.

• Administratoranmeldung für virtuelle Computer: Benutzer, denen diese Rolle zugewiesen ist, können sich mit Administratorrechten bei einem virtuellen Azure-Computer anmelden.
• Benutzeranmeldung für virtuelle Computer: Benutzer, denen diese Rolle zugewiesen ist, können sich mit regulären Benutzerberechtigungen bei einem virtuellen Azure-Computer anmelden.

Die folgende Dokumentation enthält schrittweise Details zum Hinzufügen von Benutzerkonten zu Rollenzuweisungen in Azure:

• Zuweisen von Azure-Rollen mithilfe des Azure-Portals
• Zuweisen von Azure-Rollen mithilfe der Azure CLI
• Zuweisen von Azure-Rollen mithilfe von Azure PowerShell

Melden Sie sich mit Microsoft Entra-Anmeldeinformationen bei einer Windows-VM an

Sie können sich über RDP auf zwei Arten anmelden:

• Kennwortlose Anmeldung mit einer der unterstützten Microsoft Entra-Anmeldeinformationen (empfohlen)
• Mit Kennwort/eingeschränkt kennwortlos mit Windows Hello for Business mit Bereitstellung über das Zertifikatvertrauensmodell

Anmelden mit kennwortloser Authentifizierung mit Microsoft Entra-ID

Um die kennwortlose Authentifizierung für Ihre Windows-VMs in Azure zu verwenden, müssen der Windows-Clientcomputer und der Sitzungshost (VM) unter den folgenden Betriebssystemen ausgeführt werden:

• Installation von Windows 11 mit kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher
• Windows 10, Version 20H2 oder höher mit 2022-10 kumulativen Updates für Windows 10 (KB5018410) oder höher installiert.
• Windows Server 2022 mit 2022-10 kumulativem Update für das Microsoft Server-Betriebssystem (KB5018421) oder höher installiert.

Zum Herstellen einer Verbindung mit dem Remotecomputer gehen Sie folgendermaßen vor:

• Starten Sie die Remotedesktopverbindung über die Windows-Suche oder durch Ausführen eines Befehls mstsc.exe.
• Wählen Sie im Tab Erweitert die Option Verwenden Sie ein Webkonto, um sich beim Remotecomputer anzumelden aus. Diese Option entspricht der enablerdsaadauth RDP-Eigenschaft. Weitere Informationen finden Sie unter Unterstützte RDP-Eigenschaften mit Remotedesktopdiensten.
• Geben Sie den Namen des Remotecomputers an, und wählen Sie "Verbinden" aus.

• Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Ihren Benutzernamen im Format user@___domain.com an.
• Sie werden dann beim Herstellen einer Verbindung mit einem neuen PC aufgefordert, die Remotedesktopverbindung zuzulassen. Microsoft Entra erinnert sich 30 Tage lang an bis zu 15 Hosts, bevor Sie erneut zur Authentifizierung aufgefordert werden. Wenn dieser Dialog angezeigt wird, wählen Sie "Ja " aus, um eine Verbindung herzustellen.

Anmelden mit Kennwort oder eingeschränkter kennwortloser Authentifizierung mit Microsoft Entra ID

So melden Sie sich mithilfe von Microsoft Entra ID bei Ihrer Windows Server 2019-VM an

1. Wechseln Sie zur Übersichtsseite des virtuellen Computers, der mit der Microsoft Entra-Anmeldung aktiviert ist.
2. Wählen Sie "Verbinden" aus, um den Bereich "Mit virtuellen Computern verbinden" zu öffnen.
3. Wählen Sie "RDP-Datei herunterladen" aus.
4. Wählen Sie "Öffnen" aus, um den Remotedesktopverbindungsclient zu öffnen.
5. Wählen Sie "Verbinden" aus, um das Windows-Anmeldedialogfeld zu öffnen.
6. Melden Sie sich mit Ihren Microsoft Entra-Anmeldeinformationen an.

Sie sind nun mit den entsprechend zugewiesenen Rollenberechtigungen, wie etwa VM-Benutzer oder VM-Administrator bei dem virtuellen Azure Windows Server 2019-VM angemeldet.

Erzwingen von Richtlinien für bedingten Zugriff

Sie können Richtlinien für den bedingten Zugriff durchsetzen, wie z. B. „phishing-resistente MFA“ oder die Überprüfung des Risikos der Benutzeranmeldung, bevor Benutzer auf Windows-Geräte in Azure oder Arc-aktivierte Windows Server zugreifen können. Zum Anwenden einer Richtlinie für bedingten Zugriff müssen Sie die App Microsoft Azure Windows VM Sign-In über die Zuweisungsoption für Cloud-Apps oder Aktionen auswählen.

Richtlinien für bedingten Zugriff, die die Anmeldung mithilfe von Gerätekonfigurationsregeln einschränken, werden beim Herstellen einer Verbindung von einem Windows Server-Gerät nicht unterstützt.

Erfüllen von Standards und Bewertung der Konformität mit Azure Policy

Verwenden Sie Azure Policy für Folgendes:

• Stellen Sie sicher, dass die Microsoft Entra-Anmeldung für Ihre neuen und vorhandenen Windows-Geräte aktiviert ist.
• Bewerten Sie die Konformität Ihrer Umgebung im großen Maßstab auf einem Compliance-Dashboard.

Diese Funktionalität ermöglicht zahlreiche Erzwingungsstufen. Sie können neue und vorhandene Windows-Geräte in Ihrer Umgebung kennzeichnen, für die keine Microsoft Entra-Anmeldung aktiviert ist. Sie können azure Policy auch verwenden, um die Microsoft Entra-Erweiterung auf virtuellen Windows-Computern in Azure oder Arc-fähigen Windows Server bereitzustellen.

Zusätzlich zu diesen Funktionen können Sie Azure-Richtlinie verwenden, um Windows-Computer zu erkennen und zu kennzeichnen, die nicht genehmigte lokale Konten auf ihren Geräten erstellt haben. Weitere Informationen finden Sie in der Azure-Richtlinie.

Behandeln von Bereitstellungsproblemen

Die AADLoginForWindows-Erweiterung muss erfolgreich installiert werden, damit das Gerät den Microsoft Entra-Verknüpfungsprozess abschließen kann. Wenn die Erweiterung nicht ordnungsgemäß installiert werden kann, führen Sie die folgenden Schritte aus:

1. Stellen Sie eine Verbindung mit dem Gerät her, und überprüfen Sie die CommandExecution.log Datei unter "C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1".

   Wenn die Erweiterung nach dem anfänglichen Fehler neu gestartet wird, wird das Protokoll mit dem Bereitstellungsfehler als CommandExecution_YYYYMMDDHHMMSSSSS.log gespeichert.

2. Öffnen Sie ein PowerShell-Fenster auf dem Gerät. Überprüfen Sie, ob die folgenden Abfragen für den Azure Instance Metadata Service-Endpunkt, der auf dem Host ausgeführt wird, die erwartete Ausgabe zurückgeben:

   Für virtuelle Azure-Computer:

   Auszuführender Befehl	Erwartete Ausgabe
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Richtige Informationen zum virtuellen Azure-Computer
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Gültige dem Azure-Abonnement zugeordnete Mandanten-ID
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Gültiges Zugriffstoken, das von der Microsoft Entra-ID für die verwaltete Identität ausgestellt wurde, die diesem virtuellen Computer zugewiesen ist

   Für Arc-fähige Windows-Server:

   Auszuführender Befehl	Erwartete Ausgabe
   curl.exe -H Metadata:true "http://localhost:40342/metadata/instance?api-version=2017-08-01"	Richtige Informationen zu Azure Arc-fähigen Windows Server
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/info?api-version=2018-02-01"	Gültige dem Azure-Abonnement zugeordnete Mandanten-ID
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Gültiges Zugriffstoken, das von der Microsoft Entra-ID für die verwaltete Identität ausgestellt wurde, die diesem Azure Arc-fähigen Windows Server zugewiesen ist

   Sie können das Zugriffstoken mithilfe eines Tools wie https://jwt.ms/ decodieren. Stellen Sie sicher, dass der oid Wert im Zugriffstoken der verwalteten Identität des Geräts entspricht.

3. Stellen Sie sicher, dass über PowerShell auf die erforderlichen Endpunkte über das Gerät zugegriffen werden kann:

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Ersetzen Sie sie <TenantID> durch die Microsoft Entra-Mandanten-ID, die dem Azure-Abonnement zugeordnet ist. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net und pas.windows.net sollten „404 Nicht gefunden“ zurückgeben, was dem erwarteten Verhalten entspricht.

4. Zeigen Sie den Gerätestatus an, indem Sie dsregcmd /status ausführen. Ziel ist es, dass der Gerätestatus als AzureAdJoined : YES angezeigt wird.

   Microsoft Entra-Einbindungsaktivitäten werden in der Ereignisanzeige im Protokoll User Device Registration\Admin unter Event Viewer (local)\Applications und Services Logs\Microsoft\Windows\User Device Registration\Admin erfasst.

Wenn die Erweiterung AADLoginForWindows mit einem Fehlercode fehlschlägt, können Sie die folgenden Schritte ausführen.

Gerätename ist bereits vorhanden

Wenn ein Geräteobjekt mit demselben Anzeigenamen wie der Hostname des virtuellen Computers in Azure existiert, scheitert der Beitritt des Geräts zu Microsoft Entra mit einem Hostnamen-Duplikationsfehler. Vermeiden Sie Duplizierungen, indem Sie den Hostnamen ändern.

Terminalfehlercode 1007 und Beendigungscode -2145648574

Terminalfehlercode 1007 und Exitcode -2145648574 werden in DSREG_E_MSI_TENANTID_UNAVAILABLE übersetzt. Die Erweiterung kann die Microsoft Entra-Mandanteninformationen nicht abfragen.

Stellen Sie eine Verbindung mit dem Gerät als lokaler Administrator her, und stellen Sie sicher, dass der Endpunkt eine gültige Mandanten-ID aus dem Azure Instance Metadata Service zurückgibt. Führen Sie den folgenden Befehl in einem erweiterten PowerShell-Fenster auf dem Gerät aus:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Dieses Problem kann auch auftreten, wenn der Administrator versucht, die AADLoginForWindows-Erweiterung zu installieren, aber das Gerät verfügt nicht über eine vom System zugewiesene verwaltete Identität. Wechseln Sie in diesem Fall zum Identitätsbereich des Geräts. Vergewissern Sie sich auf der Registerkarte "System zugewiesen", dass der Umschalter "Status" auf "Ein" festgelegt ist.

Exitcode -2145648607

Exit-Code -2145648607 wird in DSREG_AUTOJOIN_DISC_FAILED übersetzt. Die Erweiterung kann den Endpunkt https://enterpriseregistration.windows.net nicht erreichen.

1. Stellen Sie sicher, dass auf die erforderlichen Endpunkte über PowerShell über das Gerät zugegriffen werden kann:

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Ersetzen Sie <TenantID> durch die Microsoft Entra-Mandanten-ID des Azure-Abonnements. Wenn Sie die Mandanten-ID finden müssen, können Sie mit dem Mauszeiger über Ihren Kontonamen fahren oder Entra ID>Übersicht>Eigenschaften>Mandanten-ID auswählen.

   Versuche, eine Verbindung mit enterpriseregistration.windows.net herzustellen, könnten '404 Nicht gefunden' ergeben, was erwartetes Verhalten ist. Beim Versuch, pas.windows.net zu verbinden, werden Sie möglicherweise zur Eingabe der PIN aufgefordert, oder es wird eine 404-Fehlermeldung angezeigt. (Sie müssen die PIN nicht eingeben.) Eine der beiden Optionen reicht aus, um zu überprüfen, ob die URL erreichbar ist.

2. Wenn einer der Befehle mit "Host <URL> nicht aufgelöst werden konnte" fehlschlägt, versuchen Sie, diesen Befehl auszuführen, um zu ermitteln, welchen DNS-Server Windows verwendet:

   nslookup <URL>

   Ersetzen Sie <URL> durch die von den Endpunkten verwendeten vollqualifizierten Domänennamen, z. B. login.microsoftonline.com.

3. Prüfen Sie, ob der Befehl durch Angabe eines öffentlichen DNS-Servers erfolgreich ausgeführt werden kann:

   nslookup <URL> 208.67.222.222

4. Ändern Sie bei Bedarf den DNS-Server, der der Netzwerksicherheitsgruppe zugewiesen ist, zu der das Gerät gehört.

Exitcode 51

Der Exit-Code 51 bedeutet "Diese Erweiterung wird auf diesem Betriebssystem nicht unterstützt."

Die AADLoginForWindows-Erweiterung ist nur für die Installation auf virtuellen Azure-Computern mit den Betriebssystemen Windows Server 2019 oder Windows 10 1809 oder höher sowie auf Arc-fähigen Windows-Servern mit den Betriebssystemen Windows Server 2025 oder Windows 11 24H2 auf Arc-fähigen Windows-Servern vorgesehen. Stellen Sie sicher, dass Ihre Version oder Ihr Build von Windows unterstützt wird. Wenn es nicht unterstützt wird, deinstallieren Sie die Erweiterung.

Beheben von Problemen bei der Anmeldung

Mithilfe der folgenden Informationen können Sie Anmeldungsprobleme beheben.

Sie können den Status des Geräts und der Einmalanmeldung (SSO) anzeigen, indem Sie dsregcmd /status ausführen. Ziel ist es, dass der Gerätestatus als AzureAdJoined : YES und der SSO-Status als AzureAdPrt : YES angezeigt wird.

Die RDP-Anmeldung über Microsoft Entra-Konten wird in der Ereignisanzeige unter den Anwendungs- und Dienstprotokollen\Microsoft\Windows\AAD\Operational-Ereignisprotokollen erfasst.

Azure-Rolle nicht zugewiesen

Möglicherweise erhalten Sie die folgende Fehlermeldung, wenn Sie eine Remotedesktopverbindung mit Ihrem Gerät initiieren: "Ihr Konto ist so konfiguriert, dass Sie dieses Gerät nicht verwenden können. Wenden Sie sich an den Systemadministrator, um weitere Informationen zu erhalten.“

Überprüfen Sie die rollenbasierten Zugriffssteuerungsrichtlinien für Azure , die dem Benutzer die Administratoranmeldungsrolle für virtuelle Computer oder die Benutzeranmeldung des virtuellen Computers gewähren.

Wenn Sie Probleme mit Azure-Rollenzuweisungen haben, lesen Sie die Problembehandlung für die rollenbasierte Azure-Zugriffssteuerung.

Nicht autorisierter Client oder erforderliche Kennwortänderung

Möglicherweise wird die folgende Fehlermeldung angezeigt, wenn Sie eine Remotedesktopverbindung mit Ihrem Gerät initiieren: "Ihre Anmeldeinformationen funktionieren nicht."

Probieren Sie diese Lösungen:

• Der PC mit Windows 10 oder höher, den Sie zum Initiieren der Remotedesktopverbindung verwenden, muss in Microsoft Entra eingebunden sein oder über eine Microsoft Entra Hybridverbindung mit demselben Microsoft Entra-Verzeichnis verknüpft sein. Weitere Informationen zur Geräteidentität finden Sie im Artikel Was ist eine Geräteidentität?.

  Windows 10 Build 20H1 hat Unterstützung für einen registrierten Microsoft Entra-PC hinzugefügt, um eine RDP-Verbindung mit Ihrem Gerät zu initiieren. Wenn Sie einen PC, der bei Microsoft Entra registriert ist (nicht bei Microsoft Entra joined oder Microsoft Entra hybrid joined), als RDP-Client verwenden, um Verbindungen zu Ihrem Gerät zu initiieren, müssen Sie Anmeldeinformationen in folgendem Format eingeben AzureAD\UPN (z. B. AzureAD\john@contoso.com).

  Stellen Sie sicher, dass die AADLoginForWindows-Erweiterung nach Abschluss des Microsoft Entra-Beitritts nicht deinstalliert wurde.

  Stellen Sie außerdem sicher, dass die Sicherheitsrichtlinie Netzwerksicherheit: PKU2U-Authentifizierungsanforderungen an diesen Computer für die Verwendung von Onlineidentitäten sowohl auf dem Server als auch auf dem Client aktiviert sind.

• Vergewissern Sie sich, dass der Benutzer kein temporäres Kennwort hat. Bei der Anmeldung für eine Remotedesktopverbindung können keine temporären Kennwörter verwendet werden.

  Melden Sie sich mit dem Benutzerkonto in einem Webbrowser an. Melden Sie sich beispielsweise in einem privaten Browserfenster beim Azure-Portal an. Wenn Sie aufgefordert werden, das Kennwort zu ändern, legen Sie ein neues Kennwort fest. Versuchen Sie dann erneut, eine Verbindung herzustellen.

MFA-Anmeldemethode erforderlich

Möglicherweise wird die folgende Fehlermeldung angezeigt, wenn Sie eine Remotedesktopverbindung mit Ihrem Gerät initiieren: "Die Anmeldemethode, die Sie verwenden möchten, ist nicht zulässig. Verwenden Sie eine andere Anmeldemethode, oder wenden Sie sich an Ihren Systemadministrator.“

Wenn Sie eine Richtlinie für den bedingten Zugriff konfigurieren, die MFA erfordert, müssen Sie sicherstellen, dass das Gerät, das die Verbindung initiiert, eine starke Authentifizierung wie Windows Hello verwendet.

Eine weitere MFA-bezogene Fehlermeldung ist die zuvor beschriebene Fehlermeldung: "Ihre Anmeldeinformationen haben nicht funktioniert."

Wenn Sie eine ältere pro Benutzer konfigurierte Einstellung für die aktivierte/erzwungene Microsoft Entra-Multifaktor-Authentifizierung festgelegt haben und den Fehler sehen, können Sie das Problem beheben, indem Sie die MFA-Einstellung pro Benutzer entfernen. Weitere Informationen finden Sie im Artikel Aktivieren der mehrstufigen Microsoft Entra-Authentifizierung für benutzerspezifische Anmeldeereignisse.

Wenn Windows Hello for Business keine Option ist, konfigurieren Sie eine Richtlinie für den bedingten Zugriff, die die Anmelde-App für microsoft Azure Windows Virtual Machine ausschließt. Weitere Informationen zu Windows Hello for Business finden Sie in der Übersicht über Windows Hello for Business.

Die Unterstützung der biometrischen Authentifizierung mit RDP wurde Windows 10 Version 1809 hinzugefügt. Die Verwendung der Windows Hello for Business-Authentifizierung per RDP ist für Bereitstellungen verfügbar, die ein Zertifikatsvertrauensmodell oder ein Schlüsselvertrauensmodell verwenden.

Teilen Sie Ihr Feedback zu diesem Feature mit, oder melden Sie Probleme mit der Verwendung im Microsoft Entra-Feedbackforum.

Fehlende Applikation

Wenn in „Bedingter Zugriff“ die Anwendung „Microsoft Azure Windows-VM-Anmeldung“ fehlt, stellen Sie sicher, dass sich die Anwendung im Mandanten befindet:

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps.
3. Entfernen Sie die Filter, um alle Anwendungen anzuzeigen, und suchen Sie nach einem virtuellen Computer. Wenn Microsoft Azure Windows VM Sign-In nicht angezeigt wird, fehlt der Dienstprinzipal im Mandanten.

Eine weitere Möglichkeit, dies über Graph PowerShell zu überprüfen:

1. Installieren Sie das Graph PowerShell SDK.
2. Ausführen Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", gefolgt von "Application.ReadWrite.All".
3. Melden Sie sich mit einem globalen Administratorkonto an.
4. Willigen Sie in die Berechtigungsaufforderung ein.
5. Führen Sie Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"' aus.

   • Wenn dieser Befehl keine Ausgabe liefert und Sie nur zur PowerShell-Eingabeaufforderung zurückbringt, können Sie den Dienstprinzipal mit dem folgenden Graph PowerShell-Befehl erstellen:

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • Die erfolgreiche Ausgabe zeigt, dass die App „Microsoft Azure Windows VM Sign-In“ und ihre ID erstellt wurden.

6. Melden Sie sich mit dem Disconnect-MgGraph Befehl von Graph PowerShell ab.

In einigen Mandanten wird die Anwendung möglicherweise mit dem Namen „Azure Windows VM Sign-in“ und nicht mit dem Namen „Microsoft Azure Windows Virtual Machine Sign-in“ angezeigt. Die Anwendung hat dieselbe Anwendungs-ID von 372140e0-b3b7-4226-8ef9-d57986796201.

Diese Funktion kann nicht verwendet werden, wenn die Richtlinie für den bedingten Zugriff auf ein konformes Gerät für die Azure Windows VM-Anmelderessource erzwungen wird und Sie sich von einem Windows Server-Gerät aus verbinden.

Die Windows Server-Gerätekompatibilitätskonfiguration in der Richtlinie für bedingten Zugriff wird nicht unterstützt.

Nächste Schritte

Weitere Informationen zur Microsoft Entra-ID finden Sie unter Was ist Microsoft Entra ID?.