Inicio de sesión en una máquina virtual Windows en Azure mediante Azure AD

Las organizaciones pueden mejorar la seguridad de las máquinas virtuales Windows en Azure mediante la integración con la autenticación de Azure Active Directory (Azure AD). Ahora puede usar Azure AD como plataforma de autenticación principal para conectarse mediante RDP a Windows Server 2019 Datacenter Edition y posteriores o la versión 1809 de Windows 10 y posteriores. Luego, puede controlar y aplicar de forma centralizada el control de acceso basado en roles (RBAC) de Azure y las directivas de acceso condicional que permiten o deniegan el acceso a las máquinas virtuales.

En este artículo, se muestra cómo crear y configurar una máquina virtual Windows e iniciar sesión mediante la autenticación basada en Azure AD.

Usar la autenticación basada en Azure AD para iniciar sesión en máquinas virtuales Windows en Azure implica varias ventajas de seguridad. Incluyen:

  • Usar las credenciales de Azure AD para iniciar sesión en máquinas virtuales Windows en Azure. El resultado son usuarios de dominio federados y administrados.

  • Reducir la dependencia de cuentas de administrador local.

  • Las directivas de complejidad y vigencia de las contraseñas configuradas para Azure AD también ayudan a proteger las máquinas virtuales Windows.

  • Con RBAC de Azure, puede hacer lo siguiente:

    • Especificar quién puede iniciar sesión en una máquina virtual como usuario normal o con privilegios de administrador.
    • Cuando los usuarios se unen o dejan el equipo, puede actualizar la directiva de RBAC de Azure de la máquina virtual para conceder acceso según corresponda.
    • Cuando los empleados dejan la organización y su cuenta de usuario se deshabilita o se quita de Azure AD, dejan de tener acceso a los recursos.
  • Configurar las directivas de acceso condicional para que exijan la autenticación multifactor (MFA) y otras señales, como el riesgo de inicio de sesión de usuario, antes de poder conectarse mediante RDP a las máquinas virtuales Windows.

  • Utilice Azure Policy para implementar y auditar directivas para requerir el inicio de sesión de Azure AD para las máquinas virtuales Windows y para marcar el uso de cuentas locales no aprobadas en las máquinas virtuales.

  • Usar Intune para automatizar y escalar la unión a Azure AD con la inscripción automática de administración de dispositivos móviles (MDM) de las máquinas virtuales Windows de Azure que forman parte de las implementaciones de infraestructura de escritorio virtual (VDI).

    La inscripción automática de MDM requiere licencias de Azure AD Premium P1. Las máquinas virtuales con Windows Server no admiten la inscripción de MDM.

Nota:

Una vez habilitada esta funcionalidad, las máquinas virtuales Windows en Azure se unirán a Azure AD. No se pueden unir a otro dominio, como en Active Directory local o Azure Active Directory Domain Services. Si tiene que hacerlo, desconecte la máquina virtual de Azure AD mediante la desinstalación de la extensión.

Requisitos

Regiones de Azure compatibles y distribuciones de Windows

Esta característica admite actualmente las siguientes distribuciones de Windows:

  • Windows Server 2019 Datacenter y posteriores
  • Windows 10 1809 y versiones posteriores

Importante

La conexión remota a las máquinas virtuales unidas a Azure AD solo se permite desde equipos con Windows 10 o versiones posteriores que estén registrados en Azure AD (a partir de Windows 10 20H1), que estén unidos a Azure AD o a Azure AD híbrido en el mismo directorio que la máquina virtual.

Esta característica ahora está disponible en las siguientes nubes de Azure:

  • Azure Global
  • Azure Government
  • Azure China 21Vianet

Requisitos de red

Para habilitar la autenticación de Azure AD para las máquinas virtuales Windows en Azure, debe asegurarse de que la configuración de red de las máquinas virtuales permita el acceso de salida a los siguientes puntos de conexión a través del puerto TCP 443.

Azure global:

  • https://enterpriseregistration.windows.net: para el registro de dispositivos.
  • http://169.254.169.254: punto de conexión de Azure Instance Metadata Service.
  • https://login.microsoftonline.com: para flujos de autenticación.
  • https://pas.windows.net: para flujos de RBAC de Azure.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: para el registro de dispositivos.
  • http://169.254.169.254: punto de conexión de Azure Instance Metadata Service.
  • https://login.microsoftonline.us: para flujos de autenticación.
  • https://pasff.usgovcloudapi.net: para flujos de RBAC de Azure.

Azure China 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: para el registro de dispositivos.
  • http://169.254.169.254: punto de conexión de Azure Instance Metadata Service.
  • https://login.chinacloudapi.cn: para flujos de autenticación.
  • https://pas.chinacloudapi.cn: para flujos de RBAC de Azure.

Habilitación del inicio de sesión de Azure AD para una máquina virtual Windows en Azure

Para usar el inicio de sesión de Azure AD en máquinas virtuales Windows en Azure, debe:

  1. Habilitar la opción de inicio de sesión de Azure AD para la máquina virtual.
  2. Configurar las asignaciones de roles de Azure para los usuarios que están autorizados a iniciar sesión en la máquina virtual.

Hay dos formas de habilitar el inicio de sesión de Azure AD para una máquina virtual Windows:

  • Azure Portal, cuando se crea una máquina virtual Windows.
  • Azure Cloud Shell, cuando se crea una máquina virtual Windows o se usa una maquina virtual Windows existente.

Azure portal

Puede habilitar el inicio de sesión de Azure AD para las imágenes de la máquina virtual en Windows Server 2019 Datacenter o Windows 10 1809 y versiones posteriores.

Para crear una máquina virtual con Windows Server 2019 Datacenter en Azure con el inicio de sesión de Azure AD:

  1. Inicie sesión en Azure Portal con una cuenta que tenga acceso para crear máquinas virtuales y seleccione + Crear un recurso.

  2. En la barra de búsqueda Buscar en el Marketplace, escriba Windows Server.

  3. Seleccione Windows Server y luego elija Windows Server 2019 Datacenter en la lista desplegable Seleccionar un plan de software.

  4. Seleccione Crear.

  5. En la pestaña Administración, active la casilla Inicio de sesión con Azure AD en la sección Azure AD.

    Captura de pantalla que muestra la pestaña Administración de la página de Azure Portal para crear una máquina virtual.

  6. Asegúrese de que esté seleccionada la opción Identidad administrada asignada por el sistema de la sección Identidad. Esta acción se debe producir automáticamente una vez se habilite el inicio de sesión con Azure AD.

  7. Pase por el resto de la experiencia de creación de una máquina virtual. Tendrá que crear un nombre de usuario y contraseña de administrador para la máquina virtual.

Nota

Para iniciar sesión en la máquina virtual mediante las credenciales de Azure AD, primero será necesario configurar las asignaciones de roles para la máquina virtual.

Azure Cloud Shell

Azure Cloud Shell es un shell interactivo gratuito que puede usar para ejecutar los pasos de este artículo. Cloud Shell incluye herramientas comunes de Azure preinstaladas y configuradas para que las use con su cuenta. Solo hay que seleccionar el botón Copiar para copiar el código, pegarlo en Cloud Shell y, a continuación, pulsar la tecla Entrar para que se ejecute. Existen varias maneras de abrir Cloud Shell:

  • Seleccione Pruébelo en la esquina superior derecha de un bloque de código.
  • Abra Cloud Shell en el explorador.
  • Seleccione el botón Cloud Shell en el menú de la esquina superior derecha de Azure Portal.

En este artículo, se requiere ejecutar la versión 2.0.31 de la CLI de Azure o posteriores. Ejecute az --version para encontrar la versión. Si tiene que instalar o actualizar, consulte el artículo Instalación de la CLI de Azure.

  1. Cree un grupo de recursos mediante la ejecución de az group create.
  2. Cree una máquina virtual mediante la ejecución de az vm create. Use una distribución admitida en una región admitida.
  3. Instale la extensión de VM para el inicio de sesión de Azure AD.

En el ejemplo siguiente, se implementa una máquina virtual llamada myVM (que usa Win2019Datacenter) en un grupo de recursos llamado myResourceGroup en la región southcentralus. En este ejemplo y el siguiente, puede proporcionar sus propios nombres de máquinas virtuales y grupos de recursos según sea necesario.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Nota

Debe habilitar la identidad administrada asignada por el sistema en la máquina virtual antes de instalar la extensión de máquina virtual para el inicio de sesión de Azure AD.

La creación de la máquina virtual y los recursos auxiliares tarda unos minutos en realizarse.

Por último, instale la extensión de máquina virtual para el inicio de sesión de Azure AD para habilitar el inicio de sesión de Azure AD para las máquinas virtuales Windows. Las extensiones de máquina virtual son aplicaciones pequeñas que realizan tareas de automatización y configuración posterior a la implementación en máquinas virtuales de Azure. Use az vm extension set para instalar la extensión AADLoginForWindows en la máquina virtual llamada myVM en el grupo de recursos myResourceGroup.

Puede instalar la extensión AADLoginForWindows en una máquina virtual existente con Windows Server 2019 o Windows 10 1809 y versiones posteriores para habilitarla para la autenticación de Azure AD. En el ejemplo siguiente, se usa la CLI de Azure para instalar la extensión:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Una vez instalada la extensión en la máquina virtual, provisioningState se muestra como Succeeded.

Configuración de asignaciones de roles para la máquina virtual

Ahora que ha creado la máquina virtual, debe configurar una directiva de RBAC de Azure para determinar quién puede iniciar sesión en la máquina virtual. Para autorizar el inicio de sesión de una VM se usan dos roles de Azure:

  • Inicio de sesión de administrador de máquina virtual: los usuarios que tienen asignado este rol pueden iniciar sesión en una máquina virtual de Azure con privilegios de administrador.
  • Inicio de sesión de usuario de máquina virtual: los usuarios que tienen asignado este rol pueden iniciar sesión en una máquina virtual de Azure con los privilegios de un usuario normal.

Para permitir que un usuario inicie sesión en una máquina virtual mediante RDP, debe asignar el rol Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual al grupo de recursos que contiene la máquina virtual y sus recursos de red virtual, interfaz de red, dirección IP pública o equilibrador de carga asociados.

Un usuario de Azure que tiene asignados los roles Propietario o Colaborador para una máquina virtual no tiene automáticamente privilegios para iniciar sesión en la máquina virtual mediante RDP. La razón es proporcionar una separación auditada entre el conjunto de personas que controlan las máquinas virtuales y el conjunto de personas que pueden tener acceso a las máquinas virtuales.

Hay dos maneras de configurar las asignaciones de roles para una máquina virtual:

  • La experiencia del portal de Azure AD
  • La experiencia de Azure Cloud Shell

Nota:

Los roles Inicio de sesión de administrador de máquina virtual e Inicio de sesión de usuario de máquina virtual usan dataActions, por tanto, no se les puede asignar al ámbito del grupo de administración. Actualmente, solo puede asignar estos roles en el ámbito de la suscripción, el grupo de recursos o el recurso.

Portal de Azure AD

Para configurar las asignaciones de roles para las máquinas virtuales con Windows Server 2019 Datacenter habilitadas para Azure AD:

  1. En Grupo de recursos, seleccione el grupo de recursos que contiene la máquina virtual y sus recursos de red virtual, interfaz de red, dirección IP pública o equilibrador de carga asociados.

  2. Seleccione Access Control (IAM) .

  3. Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.

  4. Asigne el siguiente rol. Para obtener los pasos detallados, consulte Asignación de roles de Azure mediante Azure Portal.

    Configuración Valor
    Role Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual
    Asignar acceso a Usuario, grupo, entidad de servicio o identidad administrada

    Captura de pantalla que muestra la página para agregar una asignación de roles en Azure Portal.

Azure Cloud Shell

En el ejemplo siguiente se usa az role assignment create para asignar el rol Inicio de sesión de administrador de Virtual Machine a la VM para el usuario de Azure actual. El nombre de usuario de la cuenta de Azure actual se obtiene con az account show y el ámbito se establece en la máquina virtual que se creó en un paso anterior con az vm show.

También puede asignar el ámbito en el nivel de grupo de recursos o suscripción. Se aplican los permisos de herencia de RBAC de Azure normales.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Nota:

Si su dominio de Azure AD y el dominio del nombre de usuario de inicio de sesión no coinciden, debe especificar el identificador de objeto de su cuenta de usuario mediante --assignee-object-id, y no solo el nombre de usuario para --assignee. Puede obtener el identificador de objeto de su cuenta de usuario mediante az ad user list.

Para obtener más información sobre cómo usar RBAC de Azure para administrar el acceso a los recursos de la suscripción de Azure, consulte los siguientes artículos:

Aplicación de directivas de acceso condicional

Puede aplicar directivas de acceso condicional, como la autenticación multifactor o la comprobación del riesgo de inicio de sesión de usuario, antes de autorizar el acceso a las máquinas virtuales Windows en Azure que están habilitadas con el inicio de sesión de Azure AD. Para aplicar una directiva de acceso condicional, debe seleccionar la aplicación Inicio de sesión de máquina virtual Windows de Azure desde la opción de asignación de acciones o aplicaciones en la nube. A continuación, use el riesgo de inicio de sesión como una condición y/o requiera MFA como control para conceder acceso.

Nota

Si requiere autenticación multifactor como control para conceder acceso a la aplicación de inicio de sesión de máquina virtual Windows de Azure, debe suministrar una notificación de autenticación multifactor como parte del cliente que inicia la sesión de RDP a la máquina virtual Windows de destino en Azure. La única manera de lograr esto en un cliente con Windows 10, o versiones posteriores, es usar el PIN de Windows Hello para empresas o la autenticación biométrica con el cliente RDP. En la versión 1809 de Windows 10 se agregó compatibilidad con la autenticación biométrica al cliente RDP.

El escritorio remoto mediante la autenticación de Windows Hello para empresas está disponible solamente para implementaciones que usen un modelo de confianza de certificado. Actualmente, no está disponible para un modelo de confianza de clave.

Inicio de sesión mediante las credenciales de Azure AD en una máquina virtual Windows

Importante

La conexión remota a las máquinas virtuales unidas a Azure AD solo se permite desde equipos con Windows 10 o versiones posteriores que estén registrados en Azure AD (la compilación mínima requerida es la 20H1), que estén unidos a Azure AD o a Azure AD híbrido en el mismo directorio que la máquina virtual. Además, para conectarse mediante RDP con las credenciales de Azure AD, los usuarios deben pertenecer a uno de los dos roles de Azure: Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual.

Si usa un equipo con Windows 10 o versiones posteriores registrado en Azure AD, debe escribir las credenciales con el formato AzureAD\UPN (por ejemplo, AzureAD\john@contoso.com). En este momento, puede usar Azure Bastion para iniciar sesión con la autenticación de Azure AD mediante la CLI de Azure y el cliente RDP nativo mstsc.

Para iniciar sesión en la máquina virtual Windows Server 2019 mediante Azure AD:

  1. Vaya a la página de información general de la máquina virtual que ha sido habilitada con el inicio de sesión de Azure AD.
  2. Seleccione Conectar para abrir el panel Conectarse a una máquina virtual.
  3. Seleccione Descargar archivo RDP.
  4. Seleccione Abrir para abrir el cliente de Conexión a Escritorio remoto.
  5. Seleccione Conectar para abrir el cuadro de diálogo de inicio de sesión de Windows.
  6. Inicie sesión con las credenciales de Azure AD.

Ahora, ya ha iniciado sesión en la máquina virtual de Azure con Windows Server 2019 con los permisos de rol asignados, como Usuario de máquina virtual o Administrador de máquina virtual.

Nota

Puede guardar el archivo .rdp localmente en su equipo para iniciar futuras conexiones de escritorio remoto a la máquina virtual en lugar de tener que ir a la página de información general de la máquina virtual en Azure Portal y usar la opción Conectar.

Uso de Azure Policy para cumplir los estándares y evaluar el cumplimiento

Use Azure Policy para:

  • Asegurarse de que el inicio de sesión de Azure AD está habilitado para las máquinas virtuales Windows nuevas y existentes.
  • Evaluar el cumplimiento de su entorno a gran escala en un panel de cumplimiento.

Con esta funcionalidad, puede usar muchos niveles de cumplimiento. Puede marcar las máquinas virtuales Windows nuevas y existentes de su entorno que no tengan habilitado el inicio de sesión de Azure AD. También puede usar Azure Policy para implementar la extensión de Azure AD en las nuevas máquinas virtuales Windows que no tengan habilitado el inicio de sesión de Azure AD y corregir las máquinas virtuales Windows existentes con el mismo estándar.

Además de estas funcionalidades, también puede usar Azure Policy para detectar y marcar las máquinas virtuales Windows que tienen cuentas locales no aprobadas creadas en sus máquinas. Para más información, consulte Azure Policy.

Solución de problemas de implementación

La extensión AADLoginForWindows se debe instalar correctamente para que la máquina virtual complete el proceso de unión a Azure AD. Si la extensión de máquina virtual no se instala correctamente, realice los pasos siguientes:

  1. Conéctese mediante RDP a la máquina virtual con la cuenta de administrador local y examine el archivo CommandExecution.log en C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Nota

    Si la extensión se reinicia después del error inicial, el registro con el error de implementación se guardará como CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Abra una ventana de PowerShell en la máquina virtual. Compruebe que las siguientes consultas en el punto de conexión de Azure Instance Metadata Service que se ejecuta en el host de Azure devuelvan la salida esperada:

    Comando para ejecutar Salida prevista
    curl -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Información correcta sobre la VM de Azure
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Id. de inquilino válido asociado a la suscripción de Azure
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Token de acceso válido que emite Azure Active Directory para la identidad administrada asignada a esta VM

    Nota:

    Puede descodificar el token de acceso mediante una herramienta como calebb.net. Compruebe que el valor de oid en el token de acceso coincida con la identidad administrada que está asignada a la máquina virtual.

  3. Asegúrese de que los puntos de conexión necesarios sean accesibles desde la máquina virtual mediante PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Nota

    Reemplace <TenantID> por el identificador de inquilino Azure AD que está asociado a la suscripción de Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net y pas.windows.net deben mostrar "404 No encontrado", que es el comportamiento esperado.

  4. Para ver el estado del dispositivo, ejecute dsregcmd /status. El objetivo es que el estado del dispositivo se muestre como AzureAdJoined : YES.

    Nota

    La actividad de unión a Azure AD se captura en el Visor de eventos en el registro User Device Registration\Admin en Event Viewer (local)\Applications y Services Logs\Microsoft\Windows\User Device Registration\Admin.

Si se produce un error en la extensión AADLoginForWindows y aparece un código de error, puede realizar los pasos siguientes.

Código de error de terminal 1007 y código de salida -2145648574.

El código de error de terminal 1007 y el código de salida -2145648574 se traducen en DSREG_E_MSI_TENANTID_UNAVAILABLE. La extensión no puede consultar la información del inquilino de Azure AD.

Conéctese a la máquina virtual como administrador local y compruebe que el punto de conexión devuelva un identificador de inquilino válido de Azure Instance Metadata Service. Ejecute el siguiente comando desde una ventana de PowerShell con privilegios elevados en la máquina virtual:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Este problema también se puede producir cuando el administrador de la máquina virtual intenta instalar la extensión AADLoginForWindows, pero una identidad administrada asignada por el sistema no ha habilitado primero la máquina virtual. En ese caso, vaya al panel Identidad de la máquina virtual. En la pestaña Asignado por el sistema, compruebe que el Estado esté establecido en Activado.

Código de salida 2145648607

El código de salida -2145648607 se traduce en DSREG_AUTOJOIN_DISC_FAILED. La extensión no puede acceder al punto de conexión https://enterpriseregistration.windows.net.

  1. Compruebe que los puntos de conexión necesarios sean accesibles desde la máquina virtual mediante PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Nota

    Reemplace <TenantID> por el identificador de inquilino Azure AD que está asociado a la suscripción de Azure. Si tiene que encontrar el identificador de inquilino, puede mantener el mouse sobre el nombre de la cuenta o seleccionar Azure Active Directory>Propiedades>Identificador de directorio en Azure Portal.

    Los intentos de conexión a enterpriseregistration.windows.net pueden devolver el error 404 No encontrado, que es el comportamiento esperado. Los intentos de conexión a pas.windows.net pueden solicitar las credenciales de PIN o devolver el error 404 No encontrado. (No es necesario escribir el PIN). Cualquiera de ellos es suficiente para comprobar que se puede acceder a la dirección URL.

  2. Si en cualquiera de los comandos se produce el error "No se pudo resolver el host <URL>", intente ejecutar este comando para determinar el servidor DNS que usa la máquina virtual:

    nslookup <URL>

    Nota

    Reemplace <URL> por los nombres de dominio completos que usan los puntos de conexión, como login.microsoftonline.com.

  3. Observe si la especificación de un servidor DNS público permite que el comando se ejecute correctamente:

    nslookup <URL> 208.67.222.222

  4. Si fuera necesario, cambie el servidor DNS asignado al grupo de seguridad de red al que pertenece la máquina virtual de Azure.

Código de salida 51

El código de salida 51 se traduce en "Esta extensión no se admite en el sistema operativo de la máquina virtual".

La extensión AADLoginForWindows está diseñada para su instalación solo en Windows Server 2019 o Windows 10 (compilación 1809 o posterior). Asegúrese de que se admita la versión o compilación de Windows. Si no se admite, desinstale la extensión.

Solución de problemas con el inicio de sesión

Use la siguiente información para corregir problemas de inicio de sesión.

Puede ver el estado del dispositivo y del inicio de sesión único (SSO) mediante la ejecución de dsregcmd /status. El objetivo es que el estado del dispositivo se muestre como AzureAdJoined : YES y que el estado de SSO se muestre como AzureAdPrt : YES.

El inicio de sesión con RDP mediante cuentas de Azure AD se captura en el Visor de eventos, en los registros de eventos AAD\Operational.

No hay ningún rol de Azure asignado

Es posible que reciba el siguiente mensaje de error al iniciar una conexión de escritorio remoto a la máquina virtual: "La cuenta está configurada para evitar que use este dispositivo. Para más información, póngase en contacto con el administrador del sistema".

Captura de pantalla del mensaje que indica que la cuenta está configurada para evitar que use este dispositivo.

Compruebe que ha configurado directivas de RBAC de Azure para la máquina virtual que concedan al usuario el rol de inicio de sesión de administrador de la máquina virtual o el rol de inicio de sesión de usuario de la máquina virtual.

Nota

Si tiene problemas con las asignaciones de roles de Azure, consulte Solución de problemas de Azure RBAC.

Cambio requerido de contraseña o cliente no autorizado

Es posible que reciba el siguiente mensaje de error al iniciar una conexión de escritorio remoto a la máquina virtual: "Las credenciales no funcionaron".

Captura de pantalla del mensaje que indica que las credenciales no funcionaron.

Pruebe estas soluciones:

  • El equipo con Windows 10, o cualquier versión posterior, que usa para iniciar la conexión a escritorio remoto debe estar unido a Azure AD o a Azure AD híbrido en el mismo directorio de Azure AD. Para más información sobre la identidad del dispositivo, consulte el artículo ¿Qué es una identidad de dispositivo?

    Nota

    La compilación 20H1 de Windows 10 agregó compatibilidad con un equipo registrado en Azure AD para iniciar una conexión RDP a la máquina virtual. Al usar un equipo registrado en Azure AD (no unido a Azure AD ni unido a Azure AD híbrido) como el cliente RDP para iniciar conexiones a la máquina virtual, debe escribir las credenciales con el formato AzureAD\UPN (por ejemplo, AzureAD\john@contoso.com).

    Compruebe que la extensión AADLoginForWindows no se ha desinstalado después de que haya terminado la combinación de Azure AD.

    Además, asegúrese de que la directiva de seguridad Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en línea esté habilitada en el servidor y el cliente.

  • Compruebe que el usuario no tiene una contraseña temporal. Las contraseñas temporales no se pueden usar para iniciar sesión en una conexión a Escritorio remoto.

    Inicie sesión con la cuenta de usuario en un explorador web. Por ejemplo, abra Azure Portal en una ventana de exploración privada. Si se le pide que cambie la contraseña, establezca una nueva contraseña. A continuación, intente conectarse de nuevo.

Se requiere el método de inicio de sesión MFA

Es posible que observe el siguiente mensaje de error al iniciar una conexión de escritorio remoto a la máquina virtual: "No se permite el método de inicio de sesión que está intentando usar. Pruebe con otro método de inicio de sesión o póngase en contacto con el administrador del sistema."

Captura de pantalla del mensaje que indica que el método de inicio de sesión que intenta usar no está permitido.

Si ha configurado una directiva de acceso condicional que requiere MFA o la opción heredada Azure AD MFA habilitada/aplicada por usuario para poder acceder al recurso, debe asegurarse de que el equipo Windows 10 o posterior que está iniciando la conexión de escritorio remoto a la máquina virtual inicia sesión mediante un método de autenticación sólida como Windows Hello. Si no usa un método de autenticación sólida para la conexión de escritorio remoto, recibirá el error.

Otro mensaje de error relacionado con MFA es el descrito anteriormente: "Las credenciales no funcionaron".

Captura de pantalla del mensaje que indica que las credenciales no funcionaron.

Si ha configurado la opción heredada de Azure AD MFA habilitada o aplicada por usuario y ve el error anterior, puede resolver el problema si quita la configuración de MFA por usuario mediante estos comandos:

# Get StrongAuthenticationRequirements configure on a user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements
 
# Clear StrongAuthenticationRequirements from a user
$mfa = @()
Set-MsolUser -UserPrincipalName username@contoso.com -StrongAuthenticationRequirements $mfa
 
# Verify StrongAuthenticationRequirements are cleared from the user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements

Si no ha implementado Windows Hello para empresas ni se plantea hacerlo por ahora, puede configurar una directiva de acceso condicional que excluya la aplicación Inicio de sesión de máquinas virtuales Windows de Azure de la lista de aplicaciones en la nube que requieren MFA. Para obtener más información sobre Windows Hello para empresas, consulte Introducción a los requisitos previos de implementación de Windows Hello para empresas.

Nota

La autenticación con el PIN de Windows Hello para empresas con RDP es compatible con varias versiones de Windows 10. La compatibilidad con la autenticación biométrica con RDP ha sido añadida en la versión 1809 de Windows 10. El uso de la autenticación de Windows Hello para empresas durante la conexión RDP está disponible para implementaciones que usen un modelo de confianza de certificado o un modelo de confianza de clave.

Comparta sus comentarios sobre esta característica o notifique cualquier problema al usarla mediante el foro de comentarios de Azure AD.

Falta aplicación

Si falta la aplicación de inicio de sesión de máquina virtual Windows de Azure en el acceso condicional, asegúrese de que la aplicación no esté en el inquilino:

  1. Inicie sesión en Azure Portal.
  2. Vaya a Azure Active Directory>Aplicaciones empresariales.
  3. Quite los filtros para ver todas las aplicaciones y busque Máquina virtual. Si no aparece Inicio de sesión de máquina virtual Windows de Azure como resultado, falta la entidad de servicio del inquilino.

Otra manera de comprobarlo es a través de Graph PowerShell:

  1. Instale el SDK de Graph PowerShell si aún no lo ha hecho.
  2. Ejecute Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", seguido de "Application.ReadWrite.All".
  3. Inicie sesión con una cuenta de administrador global.
  4. Dé su consentimiento a la solicitud de permisos.
  5. Ejecute Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.
    • Si este comando no da como resultado ninguna salida y le devuelve al símbolo del sistema de PowerShell, puede crear la entidad de servicio con el siguiente comando de PowerShell de Microsoft Graph:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • Una salida correcta mostrará que se crearon la aplicación de inicio de sesión de máquina virtual Windows de Azure y su identificador.

  6. Cierre la sesión de PowerShell de Microsoft Graph con el comando Disconnect-MgGraph.

Pasos siguientes

Para más información sobre Azure AD, consulte ¿Qué es Azure Active Directory?