Compartir a través de

Identidades y métodos de autenticación admitidos

En este artículo, le proporcionaremos una breve introducción a los tipos de identidades y métodos de autenticación que puede usar en Azure Virtual Desktop.

Identidades

Azure Virtual Desktop admite diferentes tipos de identidades en función de la configuración que elija. En esta sección se explican las identidades que puede usar para cada configuración.

Importante

Azure Virtual Desktop no admite el inicio de sesión en Microsoft Entra ID con una cuenta de usuario y, a continuación, iniciar sesión en Windows con una cuenta de usuario independiente. El inicio de sesión con dos cuentas diferentes al mismo tiempo puede provocar que los usuarios se vuelvan a conectar al host de sesión incorrecto, que falte información o que falte información en el Azure Portal y que aparezcan mensajes de error al usar La asociación de aplicaciones.

Identidad local

Dado que los usuarios deben poder detectarse a través de Microsoft Entra ID para acceder a Azure Virtual Desktop, no se admiten las identidades de usuario que solo existen en Servicios de dominio de Active Directory (AD DS). Esto incluye implementaciones independientes de Active Directory con Servicios de federación de Active Directory (AD FS) (AD FS).

Identidad híbrida

Azure Virtual Desktop admite identidades híbridas a través de Microsoft Entra ID, incluidas las federadas mediante AD FS. Puede administrar estas identidades de usuario en AD DS y sincronizarlas con Microsoft Entra ID mediante Microsoft Entra Connect. También puede usar Microsoft Entra ID para administrar estas identidades y sincronizarlas con Servicios de dominio de Microsoft Entra.

Al acceder a Azure Virtual Desktop mediante identidades híbridas, a veces el nombre principal de usuario (UPN) o el identificador de seguridad (SID) del usuario en Active Directory (AD) y Microsoft Entra ID no coinciden. Por ejemplo, la cuenta user@contoso.local de AD puede corresponder a user@contoso.com en Microsoft Entra ID. Azure Virtual Desktop solo admite este tipo de configuración si el UPN o EL SID de las cuentas de AD y Microsoft Entra ID coinciden. SID hace referencia a la propiedad de objeto de usuario "ObjectSID" en AD y "OnPremisesSecurityIdentifier" en Microsoft Entra ID.

Identidad solo de nube

Azure Virtual Desktop admite identidades solo en la nube cuando se usan máquinas virtuales unidas a Microsoft Entra. Estos usuarios se crean y administran directamente en Microsoft Entra ID.

Nota:

También puede asignar identidades híbridas a grupos de aplicaciones de Azure Virtual Desktop que hospedan hosts de sesión de tipo de combinación Microsoft Entra unidos.

Identidad federada

Si usa un proveedor de identidades (IdP) de terceros, distinto de Microsoft Entra ID o Servicios de dominio de Active Directory, para administrar las cuentas de usuario, debe asegurarse de que:

Identidad externa

Actualmente, Azure Virtual Desktop no admite identidades externas.

Métodos de autenticación

Al acceder a los recursos de Azure Virtual Desktop, hay tres fases de autenticación independientes:

  • Autenticación del servicio en la nube: la autenticación en el servicio Azure Virtual Desktop, que incluye la suscripción a los recursos y la autenticación a la puerta de enlace, se realiza con Microsoft Entra ID.
  • Autenticación de sesión remota: autenticación en la máquina virtual remota. Hay varias maneras de autenticarse en la sesión remota, incluido el inicio de sesión único (SSO) recomendado.
  • Autenticación en sesión: autenticación en aplicaciones y sitios web dentro de la sesión remota.

Para obtener la lista de credenciales disponibles en los diferentes clientes para cada una de las fases de autenticación, compare los clientes entre plataformas.

Importante

Para que la autenticación funcione correctamente, la máquina local también debe poder acceder a las direcciones URL necesarias para los clientes de Escritorio remoto.

En las secciones siguientes se proporciona más información sobre estas fases de autenticación.

Autenticación del servicio en la nube

Para acceder a los recursos de Azure Virtual Desktop, primero debe autenticarse en el servicio iniciando sesión con una cuenta de Microsoft Entra ID. La autenticación se produce siempre que se suscribe para recuperar los recursos, se conecta a la puerta de enlace al iniciar una conexión o al enviar información de diagnóstico al servicio. El recurso Microsoft Entra ID que se usa para esta autenticación es Azure Virtual Desktop (id. de aplicación 9cdead84-a844-4324-93f2-b2e6bb768d07).

Autenticación multifactor

Siga las instrucciones de Aplicación de la autenticación multifactor Microsoft Entra para Azure Virtual Desktop mediante el acceso condicional para aprender a aplicar Microsoft Entra autenticación multifactor para la implementación. En ese artículo también se le indicará cómo configurar la frecuencia con la que se solicita a los usuarios que escriban sus credenciales. Al implementar Microsoft Entra máquinas virtuales unidas, tenga en cuenta los pasos adicionales para Microsoft Entra máquinas virtuales de host de sesión unidas.

Autenticación sin contraseña

Puede usar cualquier tipo de autenticación compatible con Microsoft Entra ID, como Windows Hello para empresas y otras opciones de autenticación sin contraseña (por ejemplo, claves FIDO), para autenticarse en el servicio.

Autenticación con tarjeta inteligente

Para usar una tarjeta inteligente para autenticarse en Microsoft Entra ID, primero debe configurar Microsoft Entra autenticación basada en certificados o configurar AD FS para la autenticación de certificados de usuario.

Proveedores de identidades de terceros

Puede usar proveedores de identidades de terceros siempre que se federen con Microsoft Entra ID.

Autenticación de sesión remota

Si aún no ha habilitado el inicio de sesión único o ha guardado sus credenciales localmente, también tendrá que autenticarse en el host de sesión al iniciar una conexión.

Inicio de sesión único (SSO)

SSO permite que la conexión omita la solicitud de credenciales del host de sesión e inicie sesión automáticamente en Windows mediante Microsoft Entra autenticación. En el caso de los hosts de sesión que están Microsoft Entra unidos o Microsoft Entra unidos a híbridos, se recomienda habilitar el inicio de sesión único mediante la autenticación de Microsoft Entra. Microsoft Entra autenticación proporciona otras ventajas, como la autenticación sin contraseña y la compatibilidad con proveedores de identidades de terceros.

Azure Virtual Desktop también admite el inicio de sesión único mediante Servicios de federación de Active Directory (AD FS) (AD FS) para los clientes web y de escritorio de Windows.

Sin sso, el cliente solicita a los usuarios sus credenciales de host de sesión para cada conexión. La única manera de evitar que se le pida es guardar las credenciales en el cliente. Se recomienda guardar solo las credenciales en dispositivos seguros para evitar que otros usuarios accedan a los recursos.

Tarjeta inteligente y Windows Hello para empresas

Azure Virtual Desktop admite NT LAN Manager (NTLM) y Kerberos para la autenticación de host de sesión, pero la tarjeta inteligente y Windows Hello para empresas solo pueden usar Kerberos para iniciar sesión. Para usar Kerberos, el cliente debe obtener vales de seguridad de Kerberos de un servicio del Centro de distribución de claves (KDC) que se ejecuta en un controlador de dominio. Para obtener vales, el cliente necesita una línea de visión de red directa al controlador de dominio. Puede obtener una línea de visión mediante la conexión directamente dentro de la red corporativa, mediante una conexión VPN o la configuración de un servidor proxy de KDC.

Autenticación en sesión

Una vez que esté conectado a RemoteApp o al escritorio, es posible que se le pida autenticación dentro de la sesión. En esta sección se explica cómo usar credenciales distintas del nombre de usuario y la contraseña en este escenario.

Autenticación sin contraseña en sesión

Azure Virtual Desktop admite la autenticación sin contraseña en sesión mediante Windows Hello para empresas o dispositivos de seguridad como claves FIDO al usar el cliente de Escritorio de Windows. La autenticación sin contraseña se habilita automáticamente cuando el host de sesión y el equipo local usan los siguientes sistemas operativos:

Para deshabilitar la autenticación sin contraseña en el grupo de hosts, debe personalizar una propiedad RDP. Puede encontrar la propiedad redireccionamiento de WebAuthn en la pestaña Redirección de dispositivos en el Azure Portal o establecer la propiedad redirectwebauthn en 0 mediante PowerShell.

Cuando está habilitada, todas las solicitudes de WebAuthn de la sesión se redirigen al equipo local. Puede usar Windows Hello para empresas o dispositivos de seguridad conectados localmente para completar el proceso de autenticación.

Para acceder a Microsoft Entra recursos con dispositivos de Windows Hello para empresas o de seguridad, debe habilitar la clave de seguridad FIDO2 como método de autenticación para los usuarios. Para habilitar este método, siga los pasos descritos en Habilitar el método de clave de seguridad FIDO2.

Autenticación de tarjeta inteligente en sesión

Para usar una tarjeta inteligente en la sesión, asegúrese de que ha instalado los controladores de tarjeta inteligente en el host de sesión y el redireccionamiento de tarjeta inteligente habilitado. Revise los gráficos de comparación de Windows App y la aplicación escritorio remoto para que pueda usar el redireccionamiento de tarjetas inteligentes.

Pasos siguientes