Compartir a través de

Microsoft Entra hosts de sesión unidos en Azure Virtual Desktop

Este artículo le guiará por el proceso de implementación y acceso a Microsoft Entra máquinas virtuales unidas en Azure Virtual Desktop. Microsoft Entra máquinas virtuales unidas eliminan la necesidad de tener una línea de visión de la máquina virtual en un controlador de Dominio de Active Directory (DC) local o virtualizado o para implementar Servicios de dominio de Microsoft Entra. En algunos casos, puede quitar completamente la necesidad de un controlador de dominio, lo que simplifica la implementación y administración del entorno. Estas máquinas virtuales también se pueden inscribir automáticamente en Intune para facilitar la administración.

Limitaciones conocidas

Las siguientes limitaciones conocidas pueden afectar al acceso a los recursos locales o unidos a un dominio de Active Directory y debe tenerlas en cuenta al decidir si Microsoft Entra máquinas virtuales unidas son adecuadas para su entorno.

  • Microsoft Entra las máquinas virtuales unidas no admiten actualmente identidades externas, como Microsoft Entra negocio a negocio (B2B) y Microsoft Entra negocio a consumidor (B2C).
  • Microsoft Entra máquinas virtuales unidas solo pueden acceder a recursos compartidos de Azure Files para usuarios híbridos mediante Microsoft Entra Kerberos para perfiles de usuario de FSLogix.
  • La aplicación tienda de Escritorio remoto para Windows no admite Microsoft Entra máquinas virtuales unidas.

Implementación de máquinas virtuales unidas a Microsoft Entra

Puede implementar Microsoft Entra máquinas virtuales unidas directamente desde el Azure Portal al crear un nuevo grupo host o expandir un grupo de hosts existente. Para implementar una máquina virtual Microsoft Entra unida, abra la pestaña Virtual Machines y, a continuación, seleccione si desea unir la máquina virtual a Active Directory o Microsoft Entra ID. La selección de Microsoft Entra ID le ofrece la opción de inscribir máquinas virtuales con Intune automáticamente, lo que le permite administrar fácilmente los hosts de sesión. Tenga en cuenta que la opción Microsoft Entra ID solo unirá máquinas virtuales al mismo inquilino Microsoft Entra que la suscripción en la que se encuentra.

Nota:

  • Los grupos de hosts solo deben contener máquinas virtuales del mismo tipo de combinación de dominio. Por ejemplo, Microsoft Entra máquinas virtuales unidas solo deben estar con otras máquinas virtuales unidas a Microsoft Entra y viceversa.
  • Las máquinas virtuales del grupo de hosts deben ser Windows 11 o Windows 10 sesión única o multisesión, versión 2004 o posterior, o Windows Server 2022 o Windows Server 2019.

Asignación de acceso de usuario a grupos host

Después de crear el grupo host, debe asignar a los usuarios acceso a sus recursos. Para conceder acceso a los recursos, agregue cada usuario al grupo de aplicaciones. Siga las instrucciones de Administración de grupos de aplicaciones para asignar acceso de usuario a aplicaciones y escritorios. Se recomienda usar grupos de usuarios en lugar de usuarios individuales siempre que sea posible.

Para Microsoft Entra máquinas virtuales unidas en grupos de hosts sin una configuración de host de sesión, debe realizar las siguientes tareas adicionales además de los requisitos para las implementaciones basadas en Active Directory o Servicios de dominio de Microsoft Entra. Para los grupos de hosts que usan una configuración de host de sesión, esta asignación de roles adicional no es necesaria.

  • Asigne a los usuarios el rol De inicio de sesión de usuario de máquina virtual para que puedan iniciar sesión en las máquinas virtuales.
  • Asigne a los administradores que necesiten privilegios administrativos locales el rol De inicio de sesión de administrador de máquinas virtuales .

Para conceder a los usuarios acceso a Microsoft Entra máquinas virtuales unidas, debe configurar asignaciones de roles para la máquina virtual. Puede asignar el rol Inicio de sesión de usuario de máquina virtual o Inicio de sesión de administrador de máquina virtual en las máquinas virtuales, el grupo de recursos que contiene las máquinas virtuales o la suscripción. Se recomienda asignar el rol Inicio de sesión de usuario de máquina virtual al mismo grupo de usuarios que usó para el grupo de aplicaciones en el nivel de grupo de recursos para que se aplique a todas las máquinas virtuales del grupo de hosts.

Acceso a máquinas virtuales unidas a Microsoft Entra

En esta sección se explica cómo acceder a Microsoft Entra máquinas virtuales unidas desde diferentes clientes de Azure Virtual Desktop.

Inicio de sesión único

Para obtener la mejor experiencia en todas las plataformas, debe habilitar una experiencia de inicio de sesión único mediante la autenticación Microsoft Entra al acceder a Microsoft Entra máquinas virtuales unidas. Siga los pasos para configurar el inicio de sesión único para proporcionar una experiencia de conexión sin problemas.

Conexión mediante protocolos de autenticación heredados

Si prefiere no habilitar el inicio de sesión único, puede usar la siguiente configuración para habilitar el acceso a Microsoft Entra máquinas virtuales unidas.

Conexión mediante el cliente de Escritorio de Windows

La configuración predeterminada admite conexiones desde Windows 11 o Windows 10 mediante el cliente de Escritorio de Windows. Puede usar sus credenciales, tarjeta inteligente, Windows Hello para empresas confianza de certificado o Windows Hello para empresas confianza de clave con certificados para iniciar sesión en el host de sesión. Sin embargo, para acceder al host de sesión, el equipo local debe cumplir una de las siguientes condiciones:

  • El equipo local está Microsoft Entra unido al mismo inquilino Microsoft Entra que el host de sesión.
  • El equipo local está Microsoft Entra híbrido unido al mismo inquilino Microsoft Entra que el host de sesión
  • El equipo local ejecuta Windows 11 o Windows 10, versión 2004 o posterior, y se Microsoft Entra registra en el mismo inquilino Microsoft Entra que el host de sesión.

Si el equipo local no cumple una de estas condiciones, agregue targetisaadjoined:i:1 como una propiedad RDP personalizada al grupo de hosts. Estas conexiones están restringidas a escribir credenciales de nombre de usuario y contraseña al iniciar sesión en el host de sesión.

Conexión con los demás clientes

Para acceder a Microsoft Entra máquinas virtuales unidas mediante los clientes web, Android, macOS e iOS, debe agregar targetisaadjoined:i:1 como una propiedad RDP personalizada al grupo de hosts. Estas conexiones están restringidas a escribir credenciales de nombre de usuario y contraseña al iniciar sesión en el host de sesión.

Aplicación de Microsoft Entra autenticación multifactor para Microsoft Entra máquinas virtuales de sesión unidas

Puede usar Microsoft Entra autenticación multifactor con máquinas virtuales unidas a Microsoft Entra. Siga los pasos para aplicar Microsoft Entra autenticación multifactor para Azure Virtual Desktop mediante el acceso condicional y anote los pasos adicionales para Microsoft Entra máquinas virtuales de host de sesión unidas.

Si usa Microsoft Entra autenticación multifactor y no quiere restringir el inicio de sesión a métodos de autenticación seguros como Windows Hello para empresas, deberá excluir la aplicación de Sign-In de máquina virtual Windows de Azure de la directiva de acceso condicional.

Perfiles de usuario

Puede usar contenedores de perfiles de FSLogix con Microsoft Entra máquinas virtuales unidas al almacenarlas en Azure Files mientras usa cuentas de usuario híbridas. Para obtener más información, consulte Creación de un contenedor de perfiles con Azure Files y Microsoft Entra ID.

Acceso a recursos locales

Aunque no necesita una instancia de Active Directory para implementar o acceder a las máquinas virtuales unidas a Microsoft Entra, se necesita una instancia de Active Directory y una línea de visión para acceder a los recursos locales desde esas máquinas virtuales.

Pasos siguientes

Ahora que ha implementado algunas máquinas virtuales unidas a Microsoft Entra, se recomienda habilitar el inicio de sesión único antes de conectarse con un cliente de Azure Virtual Desktop compatible para probarlo como parte de una sesión de usuario. Para más información, consulte estos artículos: