Inicio de sesión en una máquina virtual Windows en Azure mediante Azure AD
Las organizaciones pueden mejorar la seguridad de las máquinas virtuales Windows en Azure mediante la integración con la autenticación de Azure Active Directory (Azure AD). Ahora puede usar Azure AD como plataforma de autenticación principal para conectarse mediante RDP a Windows Server 2019 Datacenter Edition y posteriores o la versión 1809 de Windows 10 y posteriores. Luego, puede controlar y aplicar de forma centralizada el control de acceso basado en roles (RBAC) de Azure y las directivas de acceso condicional que permiten o deniegan el acceso a las máquinas virtuales.
En este artículo, se muestra cómo crear y configurar una máquina virtual Windows e iniciar sesión mediante la autenticación basada en Azure AD.
Usar la autenticación basada en Azure AD para iniciar sesión en máquinas virtuales Windows en Azure implica varias ventajas de seguridad. Incluyen:
Usar las credenciales de Azure AD para iniciar sesión en máquinas virtuales Windows en Azure. El resultado son usuarios de dominio federados y administrados.
Reducir la dependencia de cuentas de administrador local.
Las directivas de complejidad y vigencia de las contraseñas configuradas para Azure AD también ayudan a proteger las máquinas virtuales Windows.
Con RBAC de Azure, puede hacer lo siguiente:
- Especificar quién puede iniciar sesión en una máquina virtual como usuario normal o con privilegios de administrador.
- Cuando los usuarios se unen o dejan el equipo, puede actualizar la directiva de RBAC de Azure de la máquina virtual para conceder acceso según corresponda.
- Cuando los empleados dejan la organización y su cuenta de usuario se deshabilita o se quita de Azure AD, dejan de tener acceso a los recursos.
Configurar las directivas de acceso condicional para que exijan la autenticación multifactor (MFA) y otras señales, como el riesgo de inicio de sesión de usuario, antes de poder conectarse mediante RDP a las máquinas virtuales Windows.
Utilice Azure Policy para implementar y auditar directivas para requerir el inicio de sesión de Azure AD para las máquinas virtuales Windows y para marcar el uso de cuentas locales no aprobadas en las máquinas virtuales.
Usar Intune para automatizar y escalar la unión a Azure AD con la inscripción automática de administración de dispositivos móviles (MDM) de las máquinas virtuales Windows de Azure que forman parte de las implementaciones de infraestructura de escritorio virtual (VDI).
La inscripción automática de MDM requiere licencias de Azure AD Premium P1. Las máquinas virtuales con Windows Server no admiten la inscripción de MDM.
Nota:
Una vez habilitada esta funcionalidad, las máquinas virtuales Windows en Azure se unirán a Azure AD. No se pueden unir a otro dominio, como en Active Directory local o Azure Active Directory Domain Services. Si tiene que hacerlo, desconecte la máquina virtual de Azure AD mediante la desinstalación de la extensión.
Requisitos
Regiones de Azure compatibles y distribuciones de Windows
Esta característica admite actualmente las siguientes distribuciones de Windows:
- Windows Server 2019 Datacenter y posteriores
- Windows 10 1809 y versiones posteriores
Importante
La conexión remota a las máquinas virtuales unidas a Azure AD solo se permite desde equipos con Windows 10 o versiones posteriores que estén registrados en Azure AD (a partir de Windows 10 20H1), que estén unidos a Azure AD o a Azure AD híbrido en el mismo directorio que la máquina virtual.
Esta característica ahora está disponible en las siguientes nubes de Azure:
- Azure Global
- Azure Government
- Azure China 21Vianet
Requisitos de red
Para habilitar la autenticación de Azure AD para las máquinas virtuales Windows en Azure, debe asegurarse de que la configuración de red de las máquinas virtuales permita el acceso de salida a los siguientes puntos de conexión a través del puerto TCP 443.
Azure global:
https://enterpriseregistration.windows.net
: para el registro de dispositivos.http://169.254.169.254
: punto de conexión de Azure Instance Metadata Service.https://login.microsoftonline.com
: para flujos de autenticación.https://pas.windows.net
: para flujos de RBAC de Azure.
Azure Government:
https://enterpriseregistration.microsoftonline.us
: para el registro de dispositivos.http://169.254.169.254
: punto de conexión de Azure Instance Metadata Service.https://login.microsoftonline.us
: para flujos de autenticación.https://pasff.usgovcloudapi.net
: para flujos de RBAC de Azure.
Azure China 21Vianet:
https://enterpriseregistration.partner.microsoftonline.cn
: para el registro de dispositivos.http://169.254.169.254
: punto de conexión de Azure Instance Metadata Service.https://login.chinacloudapi.cn
: para flujos de autenticación.https://pas.chinacloudapi.cn
: para flujos de RBAC de Azure.
Habilitación del inicio de sesión de Azure AD para una máquina virtual Windows en Azure
Para usar el inicio de sesión de Azure AD en máquinas virtuales Windows en Azure, debe:
- Habilitar la opción de inicio de sesión de Azure AD para la máquina virtual.
- Configurar las asignaciones de roles de Azure para los usuarios que están autorizados a iniciar sesión en la máquina virtual.
Hay dos formas de habilitar el inicio de sesión de Azure AD para una máquina virtual Windows:
- Azure Portal, cuando se crea una máquina virtual Windows.
- Azure Cloud Shell, cuando se crea una máquina virtual Windows o se usa una maquina virtual Windows existente.
Azure portal
Puede habilitar el inicio de sesión de Azure AD para las imágenes de la máquina virtual en Windows Server 2019 Datacenter o Windows 10 1809 y versiones posteriores.
Para crear una máquina virtual con Windows Server 2019 Datacenter en Azure con el inicio de sesión de Azure AD:
Inicie sesión en Azure Portal con una cuenta que tenga acceso para crear máquinas virtuales y seleccione + Crear un recurso.
En la barra de búsqueda Buscar en el Marketplace, escriba Windows Server.
Seleccione Windows Server y luego elija Windows Server 2019 Datacenter en la lista desplegable Seleccionar un plan de software.
Seleccione Crear.
En la pestaña Administración, active la casilla Inicio de sesión con Azure AD en la sección Azure AD.
Asegúrese de que esté seleccionada la opción Identidad administrada asignada por el sistema de la sección Identidad. Esta acción se debe producir automáticamente una vez se habilite el inicio de sesión con Azure AD.
Pase por el resto de la experiencia de creación de una máquina virtual. Tendrá que crear un nombre de usuario y contraseña de administrador para la máquina virtual.
Nota
Para iniciar sesión en la máquina virtual mediante las credenciales de Azure AD, primero será necesario configurar las asignaciones de roles para la máquina virtual.
Azure Cloud Shell
Azure Cloud Shell es un shell interactivo gratuito que puede usar para ejecutar los pasos de este artículo. Cloud Shell incluye herramientas comunes de Azure preinstaladas y configuradas para que las use con su cuenta. Solo hay que seleccionar el botón Copiar para copiar el código, pegarlo en Cloud Shell y, a continuación, pulsar la tecla Entrar para que se ejecute. Existen varias maneras de abrir Cloud Shell:
- Seleccione Pruébelo en la esquina superior derecha de un bloque de código.
- Abra Cloud Shell en el explorador.
- Seleccione el botón Cloud Shell en el menú de la esquina superior derecha de Azure Portal.
En este artículo, se requiere ejecutar la versión 2.0.31 de la CLI de Azure o posteriores. Ejecute az --version
para encontrar la versión. Si tiene que instalar o actualizar, consulte el artículo Instalación de la CLI de Azure.
- Cree un grupo de recursos mediante la ejecución de az group create.
- Cree una máquina virtual mediante la ejecución de az vm create. Use una distribución admitida en una región admitida.
- Instale la extensión de VM para el inicio de sesión de Azure AD.
En el ejemplo siguiente, se implementa una máquina virtual llamada myVM
(que usa Win2019Datacenter
) en un grupo de recursos llamado myResourceGroup
en la región southcentralus
. En este ejemplo y el siguiente, puede proporcionar sus propios nombres de máquinas virtuales y grupos de recursos según sea necesario.
az group create --name myResourceGroup --location southcentralus
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Win2019Datacenter \
--assign-identity \
--admin-username azureuser \
--admin-password yourpassword
Nota
Debe habilitar la identidad administrada asignada por el sistema en la máquina virtual antes de instalar la extensión de máquina virtual para el inicio de sesión de Azure AD.
La creación de la máquina virtual y los recursos auxiliares tarda unos minutos en realizarse.
Por último, instale la extensión de máquina virtual para el inicio de sesión de Azure AD para habilitar el inicio de sesión de Azure AD para las máquinas virtuales Windows. Las extensiones de máquina virtual son aplicaciones pequeñas que realizan tareas de automatización y configuración posterior a la implementación en máquinas virtuales de Azure. Use az vm extension set para instalar la extensión AADLoginForWindows en la máquina virtual llamada myVM
en el grupo de recursos myResourceGroup
.
Puede instalar la extensión AADLoginForWindows en una máquina virtual existente con Windows Server 2019 o Windows 10 1809 y versiones posteriores para habilitarla para la autenticación de Azure AD. En el ejemplo siguiente, se usa la CLI de Azure para instalar la extensión:
az vm extension set \
--publisher Microsoft.Azure.ActiveDirectory \
--name AADLoginForWindows \
--resource-group myResourceGroup \
--vm-name myVM
Una vez instalada la extensión en la máquina virtual, provisioningState
se muestra como Succeeded
.
Configuración de asignaciones de roles para la máquina virtual
Ahora que ha creado la máquina virtual, debe configurar una directiva de RBAC de Azure para determinar quién puede iniciar sesión en la máquina virtual. Para autorizar el inicio de sesión de una VM se usan dos roles de Azure:
- Inicio de sesión de administrador de máquina virtual: los usuarios que tienen asignado este rol pueden iniciar sesión en una máquina virtual de Azure con privilegios de administrador.
- Inicio de sesión de usuario de máquina virtual: los usuarios que tienen asignado este rol pueden iniciar sesión en una máquina virtual de Azure con los privilegios de un usuario normal.
Para permitir que un usuario inicie sesión en una máquina virtual mediante RDP, debe asignar el rol Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual al grupo de recursos que contiene la máquina virtual y sus recursos de red virtual, interfaz de red, dirección IP pública o equilibrador de carga asociados.
Un usuario de Azure que tiene asignados los roles Propietario o Colaborador para una máquina virtual no tiene automáticamente privilegios para iniciar sesión en la máquina virtual mediante RDP. La razón es proporcionar una separación auditada entre el conjunto de personas que controlan las máquinas virtuales y el conjunto de personas que pueden tener acceso a las máquinas virtuales.
Hay dos maneras de configurar las asignaciones de roles para una máquina virtual:
- La experiencia del portal de Azure AD
- La experiencia de Azure Cloud Shell
Nota:
Los roles Inicio de sesión de administrador de máquina virtual e Inicio de sesión de usuario de máquina virtual usan dataActions
, por tanto, no se les puede asignar al ámbito del grupo de administración. Actualmente, solo puede asignar estos roles en el ámbito de la suscripción, el grupo de recursos o el recurso.
Portal de Azure AD
Para configurar las asignaciones de roles para las máquinas virtuales con Windows Server 2019 Datacenter habilitadas para Azure AD:
En Grupo de recursos, seleccione el grupo de recursos que contiene la máquina virtual y sus recursos de red virtual, interfaz de red, dirección IP pública o equilibrador de carga asociados.
Seleccione Access Control (IAM) .
Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.
Asigne el siguiente rol. Para obtener los pasos detallados, consulte Asignación de roles de Azure mediante Azure Portal.
Configuración Valor Role Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual Asignar acceso a Usuario, grupo, entidad de servicio o identidad administrada
Azure Cloud Shell
En el ejemplo siguiente se usa az role assignment create para asignar el rol Inicio de sesión de administrador de Virtual Machine a la VM para el usuario de Azure actual. El nombre de usuario de la cuenta de Azure actual se obtiene con az account show y el ámbito se establece en la máquina virtual que se creó en un paso anterior con az vm show.
También puede asignar el ámbito en el nivel de grupo de recursos o suscripción. Se aplican los permisos de herencia de RBAC de Azure normales.
$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)
az role assignment create \
--role "Virtual Machine Administrator Login" \
--assignee $username \
--scope $rg
Nota:
Si su dominio de Azure AD y el dominio del nombre de usuario de inicio de sesión no coinciden, debe especificar el identificador de objeto de su cuenta de usuario mediante --assignee-object-id
, y no solo el nombre de usuario para --assignee
. Puede obtener el identificador de objeto de su cuenta de usuario mediante az ad user list.
Para obtener más información sobre cómo usar RBAC de Azure para administrar el acceso a los recursos de la suscripción de Azure, consulte los siguientes artículos:
- Asignación de roles de Azure mediante la CLI de Azure
- Asignación de roles de Azure mediante Azure Portal
- Asignación de roles de Azure mediante Azure PowerShell
Aplicación de directivas de acceso condicional
Puede aplicar directivas de acceso condicional, como la autenticación multifactor o la comprobación del riesgo de inicio de sesión de usuario, antes de autorizar el acceso a las máquinas virtuales Windows en Azure que están habilitadas con el inicio de sesión de Azure AD. Para aplicar una directiva de acceso condicional, debe seleccionar la aplicación Inicio de sesión de máquina virtual Windows de Azure desde la opción de asignación de acciones o aplicaciones en la nube. A continuación, use el riesgo de inicio de sesión como una condición y/o requiera MFA como control para conceder acceso.
Nota
Si requiere autenticación multifactor como control para conceder acceso a la aplicación de inicio de sesión de máquina virtual Windows de Azure, debe suministrar una notificación de autenticación multifactor como parte del cliente que inicia la sesión de RDP a la máquina virtual Windows de destino en Azure. La única manera de lograr esto en un cliente con Windows 10, o versiones posteriores, es usar el PIN de Windows Hello para empresas o la autenticación biométrica con el cliente RDP. En la versión 1809 de Windows 10 se agregó compatibilidad con la autenticación biométrica al cliente RDP.
El escritorio remoto mediante la autenticación de Windows Hello para empresas está disponible solamente para implementaciones que usen un modelo de confianza de certificado. Actualmente, no está disponible para un modelo de confianza de clave.
Inicio de sesión mediante las credenciales de Azure AD en una máquina virtual Windows
Importante
La conexión remota a las máquinas virtuales unidas a Azure AD solo se permite desde equipos con Windows 10 o versiones posteriores que estén registrados en Azure AD (la compilación mínima requerida es la 20H1), que estén unidos a Azure AD o a Azure AD híbrido en el mismo directorio que la máquina virtual. Además, para conectarse mediante RDP con las credenciales de Azure AD, los usuarios deben pertenecer a uno de los dos roles de Azure: Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual.
Si usa un equipo con Windows 10 o versiones posteriores registrado en Azure AD, debe escribir las credenciales con el formato AzureAD\UPN
(por ejemplo, AzureAD\john@contoso.com
). En este momento, puede usar Azure Bastion para iniciar sesión con la autenticación de Azure AD mediante la CLI de Azure y el cliente RDP nativo mstsc.
Para iniciar sesión en la máquina virtual Windows Server 2019 mediante Azure AD:
- Vaya a la página de información general de la máquina virtual que ha sido habilitada con el inicio de sesión de Azure AD.
- Seleccione Conectar para abrir el panel Conectarse a una máquina virtual.
- Seleccione Descargar archivo RDP.
- Seleccione Abrir para abrir el cliente de Conexión a Escritorio remoto.
- Seleccione Conectar para abrir el cuadro de diálogo de inicio de sesión de Windows.
- Inicie sesión con las credenciales de Azure AD.
Ahora, ya ha iniciado sesión en la máquina virtual de Azure con Windows Server 2019 con los permisos de rol asignados, como Usuario de máquina virtual o Administrador de máquina virtual.
Nota
Puede guardar el archivo .rdp localmente en su equipo para iniciar futuras conexiones de escritorio remoto a la máquina virtual en lugar de tener que ir a la página de información general de la máquina virtual en Azure Portal y usar la opción Conectar.
Uso de Azure Policy para cumplir los estándares y evaluar el cumplimiento
Use Azure Policy para:
- Asegurarse de que el inicio de sesión de Azure AD está habilitado para las máquinas virtuales Windows nuevas y existentes.
- Evaluar el cumplimiento de su entorno a gran escala en un panel de cumplimiento.
Con esta funcionalidad, puede usar muchos niveles de cumplimiento. Puede marcar las máquinas virtuales Windows nuevas y existentes de su entorno que no tengan habilitado el inicio de sesión de Azure AD. También puede usar Azure Policy para implementar la extensión de Azure AD en las nuevas máquinas virtuales Windows que no tengan habilitado el inicio de sesión de Azure AD y corregir las máquinas virtuales Windows existentes con el mismo estándar.
Además de estas funcionalidades, también puede usar Azure Policy para detectar y marcar las máquinas virtuales Windows que tienen cuentas locales no aprobadas creadas en sus máquinas. Para más información, consulte Azure Policy.
Solución de problemas de implementación
La extensión AADLoginForWindows se debe instalar correctamente para que la máquina virtual complete el proceso de unión a Azure AD. Si la extensión de máquina virtual no se instala correctamente, realice los pasos siguientes:
Conéctese mediante RDP a la máquina virtual con la cuenta de administrador local y examine el archivo CommandExecution.log en C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.
Nota
Si la extensión se reinicia después del error inicial, el registro con el error de implementación se guardará como CommandExecution_YYYYMMDDHHMMSSSSS.log.
Abra una ventana de PowerShell en la máquina virtual. Compruebe que las siguientes consultas en el punto de conexión de Azure Instance Metadata Service que se ejecuta en el host de Azure devuelvan la salida esperada:
Comando para ejecutar Salida prevista curl -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"
Información correcta sobre la VM de Azure curl -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"
Id. de inquilino válido asociado a la suscripción de Azure curl -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"
Token de acceso válido que emite Azure Active Directory para la identidad administrada asignada a esta VM Nota:
Puede descodificar el token de acceso mediante una herramienta como calebb.net. Compruebe que el valor de
oid
en el token de acceso coincida con la identidad administrada que está asignada a la máquina virtual.Asegúrese de que los puntos de conexión necesarios sean accesibles desde la máquina virtual mediante PowerShell:
curl.exe https://login.microsoftonline.com/ -D -
curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
curl.exe https://enterpriseregistration.windows.net/ -D -
curl.exe https://device.login.microsoftonline.com/ -D -
curl.exe https://pas.windows.net/ -D -
Nota
Reemplace
<TenantID>
por el identificador de inquilino Azure AD que está asociado a la suscripción de Azure.login.microsoftonline.com/<TenantID>
,enterpriseregistration.windows.net
ypas.windows.net
deben mostrar "404 No encontrado", que es el comportamiento esperado.Para ver el estado del dispositivo, ejecute
dsregcmd /status
. El objetivo es que el estado del dispositivo se muestre comoAzureAdJoined : YES
.Nota
La actividad de unión a Azure AD se captura en el Visor de eventos en el registro User Device Registration\Admin en Event Viewer (local)\Applications y Services Logs\Microsoft\Windows\User Device Registration\Admin.
Si se produce un error en la extensión AADLoginForWindows y aparece un código de error, puede realizar los pasos siguientes.
Código de error de terminal 1007 y código de salida -2145648574.
El código de error de terminal 1007 y el código de salida -2145648574 se traducen en DSREG_E_MSI_TENANTID_UNAVAILABLE
. La extensión no puede consultar la información del inquilino de Azure AD.
Conéctese a la máquina virtual como administrador local y compruebe que el punto de conexión devuelva un identificador de inquilino válido de Azure Instance Metadata Service. Ejecute el siguiente comando desde una ventana de PowerShell con privilegios elevados en la máquina virtual:
curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01
Este problema también se puede producir cuando el administrador de la máquina virtual intenta instalar la extensión AADLoginForWindows, pero una identidad administrada asignada por el sistema no ha habilitado primero la máquina virtual. En ese caso, vaya al panel Identidad de la máquina virtual. En la pestaña Asignado por el sistema, compruebe que el Estado esté establecido en Activado.
Código de salida 2145648607
El código de salida -2145648607 se traduce en DSREG_AUTOJOIN_DISC_FAILED
. La extensión no puede acceder al punto de conexión https://enterpriseregistration.windows.net
.
Compruebe que los puntos de conexión necesarios sean accesibles desde la máquina virtual mediante PowerShell:
curl https://login.microsoftonline.com/ -D -
curl https://login.microsoftonline.com/<TenantID>/ -D -
curl https://enterpriseregistration.windows.net/ -D -
curl https://device.login.microsoftonline.com/ -D -
curl https://pas.windows.net/ -D -
Nota
Reemplace
<TenantID>
por el identificador de inquilino Azure AD que está asociado a la suscripción de Azure. Si tiene que encontrar el identificador de inquilino, puede mantener el mouse sobre el nombre de la cuenta o seleccionar Azure Active Directory>Propiedades>Identificador de directorio en Azure Portal.Los intentos de conexión a
enterpriseregistration.windows.net
pueden devolver el error 404 No encontrado, que es el comportamiento esperado. Los intentos de conexión apas.windows.net
pueden solicitar las credenciales de PIN o devolver el error 404 No encontrado. (No es necesario escribir el PIN). Cualquiera de ellos es suficiente para comprobar que se puede acceder a la dirección URL.Si en cualquiera de los comandos se produce el error "No se pudo resolver el host
<URL>
", intente ejecutar este comando para determinar el servidor DNS que usa la máquina virtual:nslookup <URL>
Nota
Reemplace
<URL>
por los nombres de dominio completos que usan los puntos de conexión, comologin.microsoftonline.com
.Observe si la especificación de un servidor DNS público permite que el comando se ejecute correctamente:
nslookup <URL> 208.67.222.222
Si fuera necesario, cambie el servidor DNS asignado al grupo de seguridad de red al que pertenece la máquina virtual de Azure.
Código de salida 51
El código de salida 51 se traduce en "Esta extensión no se admite en el sistema operativo de la máquina virtual".
La extensión AADLoginForWindows está diseñada para su instalación solo en Windows Server 2019 o Windows 10 (compilación 1809 o posterior). Asegúrese de que se admita la versión o compilación de Windows. Si no se admite, desinstale la extensión.
Solución de problemas con el inicio de sesión
Use la siguiente información para corregir problemas de inicio de sesión.
Puede ver el estado del dispositivo y del inicio de sesión único (SSO) mediante la ejecución de dsregcmd /status
. El objetivo es que el estado del dispositivo se muestre como AzureAdJoined : YES
y que el estado de SSO se muestre como AzureAdPrt : YES
.
El inicio de sesión con RDP mediante cuentas de Azure AD se captura en el Visor de eventos, en los registros de eventos AAD\Operational.
No hay ningún rol de Azure asignado
Es posible que reciba el siguiente mensaje de error al iniciar una conexión de escritorio remoto a la máquina virtual: "La cuenta está configurada para evitar que use este dispositivo. Para más información, póngase en contacto con el administrador del sistema".
Compruebe que ha configurado directivas de RBAC de Azure para la máquina virtual que concedan al usuario el rol de inicio de sesión de administrador de la máquina virtual o el rol de inicio de sesión de usuario de la máquina virtual.
Nota
Si tiene problemas con las asignaciones de roles de Azure, consulte Solución de problemas de Azure RBAC.
Cambio requerido de contraseña o cliente no autorizado
Es posible que reciba el siguiente mensaje de error al iniciar una conexión de escritorio remoto a la máquina virtual: "Las credenciales no funcionaron".
Pruebe estas soluciones:
El equipo con Windows 10, o cualquier versión posterior, que usa para iniciar la conexión a escritorio remoto debe estar unido a Azure AD o a Azure AD híbrido en el mismo directorio de Azure AD. Para más información sobre la identidad del dispositivo, consulte el artículo ¿Qué es una identidad de dispositivo?
Nota
La compilación 20H1 de Windows 10 agregó compatibilidad con un equipo registrado en Azure AD para iniciar una conexión RDP a la máquina virtual. Al usar un equipo registrado en Azure AD (no unido a Azure AD ni unido a Azure AD híbrido) como el cliente RDP para iniciar conexiones a la máquina virtual, debe escribir las credenciales con el formato
AzureAD\UPN
(por ejemplo,AzureAD\john@contoso.com
).Compruebe que la extensión AADLoginForWindows no se ha desinstalado después de que haya terminado la combinación de Azure AD.
Además, asegúrese de que la directiva de seguridad Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en línea esté habilitada en el servidor y el cliente.
Compruebe que el usuario no tiene una contraseña temporal. Las contraseñas temporales no se pueden usar para iniciar sesión en una conexión a Escritorio remoto.
Inicie sesión con la cuenta de usuario en un explorador web. Por ejemplo, abra Azure Portal en una ventana de exploración privada. Si se le pide que cambie la contraseña, establezca una nueva contraseña. A continuación, intente conectarse de nuevo.
Se requiere el método de inicio de sesión MFA
Es posible que observe el siguiente mensaje de error al iniciar una conexión de escritorio remoto a la máquina virtual: "No se permite el método de inicio de sesión que está intentando usar. Pruebe con otro método de inicio de sesión o póngase en contacto con el administrador del sistema."
Si ha configurado una directiva de acceso condicional que requiere MFA o la opción heredada Azure AD MFA habilitada/aplicada por usuario para poder acceder al recurso, debe asegurarse de que el equipo Windows 10 o posterior que está iniciando la conexión de escritorio remoto a la máquina virtual inicia sesión mediante un método de autenticación sólida como Windows Hello. Si no usa un método de autenticación sólida para la conexión de escritorio remoto, recibirá el error.
Otro mensaje de error relacionado con MFA es el descrito anteriormente: "Las credenciales no funcionaron".
Si ha configurado la opción heredada de Azure AD MFA habilitada o aplicada por usuario y ve el error anterior, puede resolver el problema si quita la configuración de MFA por usuario mediante estos comandos:
# Get StrongAuthenticationRequirements configure on a user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements
# Clear StrongAuthenticationRequirements from a user
$mfa = @()
Set-MsolUser -UserPrincipalName username@contoso.com -StrongAuthenticationRequirements $mfa
# Verify StrongAuthenticationRequirements are cleared from the user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements
Si no ha implementado Windows Hello para empresas ni se plantea hacerlo por ahora, puede configurar una directiva de acceso condicional que excluya la aplicación Inicio de sesión de máquinas virtuales Windows de Azure de la lista de aplicaciones en la nube que requieren MFA. Para obtener más información sobre Windows Hello para empresas, consulte Introducción a los requisitos previos de implementación de Windows Hello para empresas.
Nota
La autenticación con el PIN de Windows Hello para empresas con RDP es compatible con varias versiones de Windows 10. La compatibilidad con la autenticación biométrica con RDP ha sido añadida en la versión 1809 de Windows 10. El uso de la autenticación de Windows Hello para empresas durante la conexión RDP está disponible para implementaciones que usen un modelo de confianza de certificado o un modelo de confianza de clave.
Comparta sus comentarios sobre esta característica o notifique cualquier problema al usarla mediante el foro de comentarios de Azure AD.
Falta aplicación
Si falta la aplicación de inicio de sesión de máquina virtual Windows de Azure en el acceso condicional, asegúrese de que la aplicación no esté en el inquilino:
- Inicie sesión en Azure Portal.
- Vaya a Azure Active Directory>Aplicaciones empresariales.
- Quite los filtros para ver todas las aplicaciones y busque Máquina virtual. Si no aparece Inicio de sesión de máquina virtual Windows de Azure como resultado, falta la entidad de servicio del inquilino.
Otra manera de comprobarlo es a través de Graph PowerShell:
- Instale el SDK de Graph PowerShell si aún no lo ha hecho.
- Ejecute
Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All"
, seguido de"Application.ReadWrite.All"
. - Inicie sesión con una cuenta de administrador global.
- Dé su consentimiento a la solicitud de permisos.
- Ejecute
Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'
.Si este comando no da como resultado ninguna salida y le devuelve al símbolo del sistema de PowerShell, puede crear la entidad de servicio con el siguiente comando de PowerShell de Microsoft Graph:
New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201
Una salida correcta mostrará que se crearon la aplicación de inicio de sesión de máquina virtual Windows de Azure y su identificador.
- Cierre la sesión de PowerShell de Microsoft Graph con el comando
Disconnect-MgGraph
.
Pasos siguientes
Para más información sobre Azure AD, consulte ¿Qué es Azure Active Directory?