Konfiguration des Verhaltens beim Session Lock

Seit der Einführung von Single Sign-On (SSO) für die Anmeldung bei AVD Session Hosts besteht das Problem, dass bei einem Session Lock die Sitzung getrennt wird. Das liegt daran, dass der Sperrbildschirm keine modernen Optionen zum Entsperren der Sitzung bietet. Aus Sicherheitsgründen wurde die Sitzung getrennt, mit der Annahme, dass eine erneute Anmeldung schnell und problemlos möglich ist.

In meiner Erfahrung haben viele Kunden kurze Bildschirm-Sperrzeiten, oft 15 Minuten oder weniger, da dies auch auf physischen Geräten so eingestellt ist. Das führt dazu, dass die Verbindung in der Regel mehrmals täglich wiederhergestellt werden muss. Die einzige Lösung bestand bisher darin, auf Single Sign-On zu verzichten.

Seit Mitte September 2024 gibt es nun endlich die Möglichkeit, dieses Verhalten anzupassen. Ursprünglich wurde im Artikel beschrieben, wie dies über Intune und GPO sowie über die Registry gesteuert werden kann. Dafür habe ich eine Scripted Action für Nerdio erstellt, die verwendet werden kann, um die Session Hosts entsprechend zu konfigurieren. Dieses Skript kann jedoch auch auf andere Weise genutzt werden. Aktuell ist im Arikel auch nur noch der Weg via Intune und GPO beschrieben.

Scripted Action

Die folgende Scripted Action kann in Nerdio importiert werden. Die Parameter lassen sich konfigurieren, wenn die Scripted Action zu einem Deployment-Schritt hinzugefügt wird:

Verwendung

Um die Scripted Action nutzen zu können, fügt man sie einer Scripted Action Group hinzu und definiert die entsprechenden Werte:

Es ist auch möglich, die Konfiguration bei der Bereitstellung der VM anzupassen:

Abschluss

Natürlich kann das Verhalten auch weiterhin über Intune und GPO gesteuert werden. Ich bevorzuge jedoch, solche Einstellungen direkt beim Erstellen des Hosts anzuwenden. Da ich zunehmend Implementierungen mit Microsoft Entra ID Only durchführe, bieten sich die Scripted Actions an, um diese Einstellungen direkt von Beginn an zu konfigurieren.