Configuración del inicio de sesión único para Azure Virtual Desktop mediante Microsoft Entra ID

El inicio de sesión único (SSO) para Azure Virtual Desktop mediante Microsoft Entra ID proporciona una experiencia de inicio de sesión sin problemas para los usuarios que se conectan a los hosts de sesión. Al habilitar el inicio de sesión único, los usuarios se autentican en Windows mediante un token de Microsoft Entra ID. Este token permite el uso de la autenticación sin contraseña y proveedores de identidades de terceros que se federan con Microsoft Entra ID al conectarse a un host de sesión, lo que hace que la experiencia de inicio de sesión sea fluida.

El inicio de sesión único con Microsoft Entra ID también proporciona una experiencia perfecta para los recursos basados en Microsoft Entra ID dentro de la sesión. Para obtener más información sobre el uso de la autenticación sin contraseña dentro de una sesión, consulte Autenticación sin contraseña en sesión.

Para habilitar el inicio de sesión único mediante Microsoft Entra ID autenticación, debe completar cinco tareas:

1. Habilitar la autenticación Microsoft Entra para el Protocolo de Escritorio remoto (RDP).

2. Oculte el cuadro de diálogo de solicitud de consentimiento.

3. Cree un objeto de servidor Kerberos, si Servicios de dominio de Active Directory forma parte de su entorno. En su sección se incluye más información sobre los criterios.

4. Revise las directivas de acceso condicional.

5. Configure el grupo host para habilitar el inicio de sesión único.

Antes de habilitar el inicio de sesión único

Antes de habilitar el inicio de sesión único, revise la siguiente información para usarlo en su entorno.

Comportamiento del bloqueo de sesión

Cuando el inicio de sesión único con Microsoft Entra ID está habilitado y la sesión remota está bloqueada, ya sea por el usuario o por la directiva, puede elegir si la sesión está desconectada o si se muestra la pantalla de bloqueo remoto. El comportamiento predeterminado es desconectar la sesión cuando se bloquea.

Cuando el comportamiento del bloqueo de sesión se establece en disconnect, se muestra un cuadro de diálogo para que los usuarios sepan que se desconectaron. Los usuarios pueden elegir la opción Volver a conectar del cuadro de diálogo cuando estén listos para conectarse de nuevo. Este comportamiento se realiza por motivos de seguridad y para garantizar la compatibilidad completa con la autenticación sin contraseña. La desconexión de la sesión proporciona las siguientes ventajas:

• Experiencia de inicio de sesión coherente a través de Microsoft Entra ID cuando sea necesario.

• Experiencia de inicio de sesión único y reconexión sin aviso de autenticación cuando lo permiten las directivas de acceso condicional.

• Admite la autenticación sin contraseña, como las claves de acceso y los dispositivos FIDO2, en contra de la pantalla de bloqueo remoto.

• Las directivas de acceso condicional, incluida la autenticación multifactor y la frecuencia de inicio de sesión, se vuelven a evaluar cuando el usuario se vuelve a conectar a su sesión.

• Puede requerir la autenticación multifactor para volver a la sesión e impedir que los usuarios se desbloquee con un nombre de usuario y una contraseña sencillos.

Si desea configurar el comportamiento de bloqueo de sesión para mostrar la pantalla de bloqueo remoto en lugar de desconectar la sesión, consulte Configuración del comportamiento del bloqueo de sesión.

Cuentas de administrador de dominio de Active Directory con inicio de sesión único

En entornos con una Servicios de dominio de Active Directory (AD DS) y cuentas de usuario híbridas, la directiva de replicación de contraseñas predeterminada en controladores de dominio de solo lectura deniega la replicación de contraseñas para los miembros de los grupos de seguridad Administradores de dominio y Administradores. Esta directiva impide que estas cuentas de administrador inicien sesión en Microsoft Entra hosts unidos a híbridos y podría seguir solicitándoles que escriban sus credenciales. También impide que las cuentas de administrador accedan a los recursos locales que usan la autenticación Kerberos de Microsoft Entra hosts unidos. No se recomienda conectarse a una sesión remota mediante una cuenta que sea administrador de dominio por motivos de seguridad.

Si necesita realizar cambios en un host de sesión como administrador, inicie sesión en el host de sesión con una cuenta que no sea de administrador y, a continuación, use la opción Ejecutar como administrador o la herramienta runas desde un símbolo del sistema para cambiar a un administrador.

Requisitos previos

Para poder habilitar el inicio de sesión único, debe cumplir los siguientes requisitos previos:

• Para configurar el inquilino de Microsoft Entra, se le debe asignar uno de los siguientes Microsoft Entra roles integrados o equivalentes:

  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube

• Los hosts de sesión deben ejecutar uno de los siguientes sistemas operativos con la actualización acumulativa correspondiente instalada:

  • Windows 11 Empresas sesión única o múltiple con la Novedades acumulativa 2022-10 para Windows 11 (KB5018418) o posterior instalada.

  • Windows 10 Enterprise sesión única o múltiple con la Novedades acumulativa 2022-10 para Windows 10 (KB5018410) o posterior instalada.

  • Windows Server 2022 con la actualización acumulativa 2022-10 para el sistema operativo microsoft server (KB5018421) o posterior instalada.

• Los hosts de sesión deben estar unidos Microsoft Entra o Microsoft Entra híbrido. Los hosts de sesión unidos a Servicios de dominio de Microsoft Entra o a Servicios de dominio de Active Directory solo no se admiten.

  Si los Microsoft Entra hosts de sesión unidos a híbridos están en un dominio de Active Directory diferente al de las cuentas de usuario, debe haber una confianza bidireccional entre los dos dominios. Sin la confianza bidireccional, las conexiones se vuelven a los protocolos de autenticación anteriores.

• Instale la versión 2.9.0 o posterior del SDK de PowerShell de Microsoft Graph en el dispositivo local o en Azure Cloud Shell.

• Use una versión compatible de Windows App o el cliente de Escritorio remoto para conectarse a una sesión remota. Se admiten las siguientes plataformas y versiones:

  • Windows App:

    • Windows: todas las versiones de Windows App. No es necesario que el equipo local se una a Microsoft Entra ID o a un dominio de Active Directory.
    • macOS: versión 10.9.10 o posterior.
    • iOS/iPadOS: versión 10.5.2 o posterior.
    • Navegador.

  • Cliente de Escritorio remoto:

    • Cliente de Escritorio de Windows en equipos locales que ejecutan Windows 10 o posterior. No es necesario que el equipo local se una a Microsoft Entra ID o a un dominio de Active Directory.
    • Cliente web.
    • cliente macOS, versión 10.8.2 o posterior.
    • Cliente de iOS, versión 10.5.1 o posterior.
    • Cliente Android, versión 10.0.16 o posterior.

Habilitación de la autenticación de Microsoft Entra para RDP

Primero debe permitir la autenticación de Microsoft Entra para Windows en el inquilino de Microsoft Entra, lo que permite emitir tokens de acceso RDP que permiten a los usuarios iniciar sesión en los hosts de sesión de Azure Virtual Desktop. La propiedad se isRemoteDesktopProtocolEnabled establece en true en el objeto de la entidad de remoteDesktopSecurityConfiguration servicio para las siguientes aplicaciones de Microsoft Entra:

Nombre de la aplicación	Id. de aplicación
Escritorio remoto de Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Inicio de sesión en la nube de Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Como parte de un próximo cambio, vamos a realizar la transición de Escritorio remoto de Microsoft a Inicio de sesión en la nube de Windows, a partir de 2024. La configuración de ambas aplicaciones ahora garantiza que está listo para el cambio.

Para configurar la entidad de servicio, use el SDK de PowerShell de Microsoft Graph para crear un nuevo objeto remoteDesktopSecurityConfiguration en la entidad de servicio y establezca la propiedad isRemoteDesktopProtocolEnabledtrueen . También puede usar microsoft Graph API con una herramienta como Graph Explorer.

1. Abra Azure Cloud Shell en el Azure Portal con el tipo de terminal de PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, inicie sesión primero con Azure PowerShell y, a continuación, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

2. Asegúrese de instalar el SDK de PowerShell de Microsoft Graph desde los requisitos previos y, a continuación, importe los módulosde Microsoft Graph autenticación y aplicaciones y conéctese a Microsoft Graph con los Application.Read.All ámbitos y Application-RemoteDesktopConfig.ReadWrite.All mediante la ejecución de los comandos siguientes:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Obtenga el identificador de objeto de cada entidad de servicio y guárdelo en variables mediante la ejecución de los siguientes comandos:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Establezca la propiedad isRemoteDesktopProtocolEnabled en true mediante la ejecución de los siguientes comandos. No hay ninguna salida de estos comandos.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Confirme que la propiedad isRemoteDesktopProtocolEnabled está establecida en true mediante la ejecución de los siguientes comandos:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   La salida de ambos comandos debe ser:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Ocultar el cuadro de diálogo de solicitud de consentimiento

De forma predeterminada, cuando el inicio de sesión único está habilitado, los usuarios ven un cuadro de diálogo para permitir la conexión a Escritorio remoto al conectarse a un nuevo host de sesión. Microsoft Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar. Si los usuarios ven este diálogo para permitir la conexión a Escritorio remoto, pueden seleccionar Sí para conectarse.

Puede ocultar este cuadro de diálogo configurando una lista de dispositivos de confianza. Para configurar la lista de dispositivos, cree uno o varios grupos en Microsoft Entra ID que contenga los hosts de sesión y, a continuación, agregue los identificadores de grupo a una propiedad en las entidades de servicio sso, Escritorio remoto de Microsoft y Windows Cloud Login.

Sugerencia

Se recomienda usar un grupo dinámico y configurar las reglas de pertenencia dinámica para incluir todos los hosts de sesión de Azure Virtual Desktop. Puede usar los nombres de dispositivo de este grupo, pero para obtener una opción más segura, puede establecer y usar atributos de extensión de dispositivo mediante Microsoft Graph API. Aunque los grupos dinámicos normalmente se actualizan en un plazo de entre 5 y 10 minutos, los inquilinos grandes pueden tardar hasta 24 horas.

Los grupos dinámicos requieren la licencia Microsoft Entra ID P1 o la licencia de Intune para Educación. Para obtener más información, vea Reglas de pertenencia dinámica para grupos.

Para configurar la entidad de servicio, use el SDK de PowerShell de Microsoft Graph para crear un nuevo objeto targetDeviceGroup en la entidad de servicio con el identificador de objeto y el nombre para mostrar del grupo dinámico. También puede usar microsoft Graph API con una herramienta como Graph Explorer.

1. Cree un grupo dinámico en Microsoft Entra ID que contenga los hosts de sesión para los que desea ocultar el cuadro de diálogo. Anote el identificador de objeto del grupo para el paso siguiente.

2. En la misma sesión de PowerShell, cree un targetDeviceGroup objeto ejecutando los siguientes comandos y reemplazando por <placeholders> sus propios valores:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Agregue el grupo al targetDeviceGroup objeto mediante la ejecución de los siguientes comandos:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   La salida debe ser similar al ejemplo siguiente:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Repita los pasos 2 y 3 para cada grupo que quiera agregar al targetDeviceGroup objeto, hasta un máximo de 10 grupos.

4. Si más adelante necesita quitar un grupo de dispositivos del targetDeviceGroup objeto, ejecute los siguientes comandos y reemplace por <placeholders> sus propios valores:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Creación de un objeto de servidor Kerberos

Si los hosts de sesión cumplen los criterios siguientes, debe crear un objeto de servidor Kerberos. Para obtener más información, vea Habilitar el inicio de sesión de clave de seguridad sin contraseña en recursos locales mediante Microsoft Entra ID, específicamente la sección Para crear un objeto de servidor Kerberos:

• El host de sesión está Microsoft Entra unido a un entorno híbrido. Debe tener un objeto de servidor Kerberos para completar la autenticación en un controlador de dominio.

• El host de sesión está Microsoft Entra unido y el entorno contiene controladores de dominio de Active Directory. Debe tener un objeto de servidor Kerberos para que los usuarios accedan a recursos locales, como recursos compartidos SMB y autenticación integrada de Windows en sitios web.

Importante

Si habilita el inicio de sesión único en Microsoft Entra hosts de sesión unidos a híbridos sin crear un objeto de servidor Kerberos, puede ocurrir una de las siguientes cosas al intentar conectarse a una sesión remota:

• Recibe un mensaje de error que indica que la sesión específica no existe.
• Se omitirá el inicio de sesión único y verá un cuadro de diálogo de autenticación estándar para el host de sesión.

Para resolver estos problemas, cree el objeto de servidor Kerberos y vuelva a conectarse.

Revisión de las directivas de acceso condicional

Cuando el inicio de sesión único está habilitado, se introduce una nueva aplicación Microsoft Entra ID para autenticar a los usuarios en el host de sesión. Si tiene directivas de acceso condicional que se aplican al acceder a Azure Virtual Desktop, revise las recomendaciones sobre la configuración de la autenticación multifactor para asegurarse de que los usuarios tengan la experiencia deseada.

Configuración del grupo de hosts para habilitar el inicio de sesión único

Para habilitar el inicio de sesión único en el grupo de hosts, debe configurar la siguiente propiedad RDP, que puede hacer con el Azure Portal o PowerShell. Puede encontrar los pasos para configurar las propiedades de RDP en Personalización de las propiedades del protocolo de Escritorio remoto (RDP) para un grupo de hosts.

• En el Azure Portal, establezca Microsoft Entra inicio de sesión único enConnections usará Microsoft Entra autenticación para proporcionar el inicio de sesión único.

• Para PowerShell, establezca la propiedad enablerdsaadauth en 1.

Pasos siguientes

• Consulte Autenticación sin contraseña en sesión para obtener información sobre cómo habilitar la autenticación sin contraseña.

• Aprenda a configurar el comportamiento del bloqueo de sesión para Azure Virtual Desktop.

• Para obtener más información sobre Microsoft Entra Kerberos, consulte Profundización: Cómo funciona Microsoft Entra Kerberos.

• Si encuentra algún problema, vaya a Solución de problemas de conexiones a Microsoft Entra máquinas virtuales unidas.