Configuración del inicio de sesión único para Windows 365 Business mediante la autenticación de Microsoft Entra

En este artículo se explica el proceso de configuración del inicio de sesión único (SSO) para Windows 365 mediante la autenticación de Microsoft Entra. Al habilitar el inicio de sesión único, los usuarios pueden usar la autenticación sin contraseña y proveedores de identidades de terceros que se federan con Microsoft Entra ID para iniciar sesión en su equipo en la nube. Cuando está habilitada, esta característica proporciona una experiencia de SSO tanto al autenticarse en el equipo en la nube como dentro de la sesión al acceder a aplicaciones y sitios web basados en Microsoft Entra ID.

Para habilitar el inicio de sesión único mediante Microsoft Entra ID autenticación, debe completar cuatro tareas:

1. Habilite la autenticación Microsoft Entra para el Protocolo de Escritorio remoto (RDP).

2. Configure los grupos de dispositivos de destino.

3. Revise las directivas de acceso condicional.

4. Configure la configuración de la organización para habilitar el inicio de sesión único.

Antes de habilitar el inicio de sesión único

Antes de habilitar el inicio de sesión único, revise la siguiente información para usarlo en su entorno.

Desconexión cuando se bloquea la sesión

Cuando se habilita el inicio de sesión único, los usuarios inician sesión en Windows mediante un token de autenticación de Microsoft Entra ID, que proporciona compatibilidad con la autenticación sin contraseña en Windows. La pantalla de bloqueo de Windows de la sesión remota no admite Microsoft Entra ID tokens de autenticación ni métodos de autenticación sin contraseña, como las claves FIDO. En lugar del comportamiento anterior de mostrar la pantalla de bloqueo remoto cuando se bloquea una sesión, la sesión se desconecta y se notifica al usuario. La desconexión de la sesión garantiza que:

• Los usuarios se benefician de una experiencia de inicio de sesión único y pueden volver a conectarse sin aviso de autenticación cuando se permite.
• Los usuarios pueden volver a iniciar sesión en su sesión mediante la autenticación sin contraseña, como las claves FIDO.
• Las directivas de acceso condicional, incluida la autenticación multifactor y la frecuencia de inicio de sesión, se vuelven a evaluar cuando el usuario se vuelve a conectar a su sesión.

Requisitos previos

Para poder habilitar el inicio de sesión único, debe cumplir los siguientes requisitos previos:

• Para configurar el inquilino de Microsoft Entra, se le debe asignar uno de los siguientes roles integrados Microsoft Entra:

  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Administrador global

• Los equipos en la nube deben ejecutar uno de los siguientes sistemas operativos con la actualización acumulativa correspondiente instalada:

  • Windows 11 Empresas con la Novedades acumulativa 2022-10 para Windows 11 (KB5018418) o posterior instalada.
  • Windows 10 Enterprise con la Novedades acumulativa de 2022-10 para Windows 10 (KB5018410) o posterior instalada.

• Instale la versión 2.9.0 o posterior del SDK de PowerShell de Microsoft Graph en el dispositivo local o en Azure Cloud Shell.

Habilitación de la autenticación de Microsoft Entra para RDP

Primero debe permitir la autenticación de Microsoft Entra para Windows en el inquilino de Microsoft Entra, lo que permite emitir tokens de acceso RDP que permiten a los usuarios iniciar sesión en sus pc en la nube. Este cambio debe realizarse en las entidades de servicio para las siguientes aplicaciones de Microsoft Entra:

Nombre de la aplicación	Id. de aplicación
Escritorio remoto de Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Inicio de sesión en la nube de Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Como parte de un próximo cambio, vamos a realizar la transición de Escritorio remoto de Microsoft a Inicio de sesión en la nube de Windows, a partir de 2024. La configuración de ambas aplicaciones ahora garantiza que está listo para el cambio.

Para permitir la autenticación de Entra, puede usar el SDK de PowerShell de Microsoft Graph para crear un nuevo objeto remoteDesktopSecurityConfiguration en la entidad de servicio y establecer la propiedad isRemoteDesktopProtocolEnabledtrueen . También puede usar microsoft Graph API con una herramienta como Graph Explorer.

Siga los pasos siguientes para realizar los cambios mediante PowerShell:

1. Inicie azure Cloud Shell en el Azure Portal con el tipo de terminal de PowerShell o ejecute PowerShell en el dispositivo local.

   1. Si usa Cloud Shell, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

   2. Si usa PowerShell localmente, primero inicie sesión con Azure PowerShell y asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

2. Asegúrese de instalar el SDK de PowerShell de Microsoft Graph de los requisitos previos. A continuación, importe los módulos autenticación y aplicaciones de Microsoft Graph y conéctese a Microsoft Graph con los Application.Read.All ámbitos y Application-RemoteDesktopConfig.ReadWrite.All mediante la ejecución de los siguientes comandos:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Obtenga el identificador de objeto de cada entidad de servicio y guárdelo en variables mediante la ejecución de los siguientes comandos:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Establezca la propiedad isRemoteDesktopProtocolEnabled en true mediante la ejecución de los siguientes comandos. No hay ninguna salida de estos comandos.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Confirme que la propiedad isRemoteDesktopProtocolEnabled está establecida en true mediante la ejecución de los siguientes comandos:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   La salida debe ser:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Configuración de los grupos de dispositivos de destino

Después de habilitar Microsoft Entra autenticación para RDP, debe configurar los grupos de dispositivos de destino. De forma predeterminada al habilitar el inicio de sesión único, se pide a los usuarios que se autentiquen para Microsoft Entra ID y permitan la conexión a Escritorio remoto al iniciar una conexión a un nuevo equipo en la nube. Microsoft Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar. Si un usuario ve un diálogo para permitir la conexión a Escritorio remoto, debe seleccionar Sí para conectarse.

Para ocultar este cuadro de diálogo, debe crear uno o varios grupos en Microsoft Entra ID que contenga los equipos en la nube y, a continuación, establecer una propiedad en las entidades de servicio para las mismas aplicaciones de inicio de sesión en la nube de Windows y Escritorio remoto de Microsoft, como se usó en la sección anterior, para el grupo.

Sugerencia

Se recomienda usar un grupo dinámico y configurar las reglas de pertenencia dinámica para incluir todos los equipos en la nube. Puede usar los nombres de dispositivo de este grupo, pero para obtener una opción más segura, puede establecer y usar atributos de extensión de dispositivo mediante Microsoft Graph API. Aunque los grupos dinámicos normalmente se actualizan en un plazo de entre 5 y 10 minutos, los inquilinos grandes pueden tardar hasta 24 horas.

Los grupos dinámicos requieren la licencia Microsoft Entra ID P1 o la licencia de Intune para Educación. Para obtener más información, vea Reglas de pertenencia dinámica para grupos.

Para configurar la entidad de servicio, use el SDK de PowerShell de Microsoft Graph para crear un nuevo objeto targetDeviceGroup en la entidad de servicio con el identificador de objeto y el nombre para mostrar del grupo dinámico. También puede usar microsoft Graph API con una herramienta como Graph Explorer.

1. Cree un grupo dinámico en Microsoft Entra ID que contenga los equipos en la nube para los que desea ocultar el cuadro de diálogo. Anote el identificador de objeto del grupo para el paso siguiente.

2. En la misma sesión de PowerShell, cree un targetDeviceGroup objeto ejecutando los siguientes comandos y reemplazando por <placeholders> sus propios valores:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Agregue el grupo al targetDeviceGroup objeto mediante la ejecución de los siguientes comandos:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   La salida debe ser similar:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Repita los pasos 2 y 3 para cada grupo que quiera agregar al targetDeviceGroup objeto, hasta un máximo de 10 grupos.

4. Si más adelante necesita quitar un grupo de dispositivos del targetDeviceGroup objeto, ejecute los siguientes comandos y reemplace por <placeholders> sus propios valores:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Revisión de las directivas de acceso condicional

Cuando se activa el inicio de sesión único, se introduce una nueva aplicación de Microsoft Entra ID para autenticar a los usuarios en el equipo en la nube. Si tiene directivas de acceso condicional que se aplican al acceder a Windows 365, revise las recomendaciones para establecer directivas de acceso condicional para Windows 365 para asegurarse de que los usuarios tengan la experiencia deseada y proteger su entorno.

Activar el inicio de sesión único para todos los equipos en la nube de su cuenta

1. Inicie sesión en windows365.microsoft.com con una cuenta que tenga un rol de administrador global o de administrador de Windows 365.
2. Seleccione Los equipos en la nube de su organización y, a continuación, seleccione Actualizar configuración de la organización.
3. Seleccione la opción Inicio de sesión único en Configuración del equipo en la nube.