Hosts de sesión unidos a Microsoft Entra en Azure Virtual Desktop

Este artículo le guía por el proceso de implementar máquinas virtuales unidas a Microsoft Entra, y acceder a ellas, en Azure Virtual Desktop. Las máquinas virtuales unidas a Microsoft Entra eliminan la necesidad de tener un campo visual desde la máquina virtual hasta un controlador de dominio (DC) de Active Directory local o virtualizado o de implementar Microsoft Entra Domain Services. En algunos casos, puede eliminar la necesidad de un controlador de dominio por completo, lo que simplifica la implementación y administración del entorno. Estas máquinas virtuales también se pueden inscribir automáticamente en Intune para facilitar la administración.

Limitaciones conocidas

Las limitaciones conocidas a continuación pueden afectar al acceso a sus recursos locales o unidos a un dominio de Active Directory y deben tenerse en cuenta a la hora de decidir si las máquinas virtuales unidas a Microsoft Entra son adecuadas para su entorno.

• Tenga en cuenta que Azure Virtual Desktop (clásico) no admite máquinas virtuales unidas a Microsoft Entra.
• Actualmente, las máquinas virtuales unidas a Microsoft Entra no admiten identidades externas, como Microsoft Entra de negocio a negocio (B2B) y Microsoft Entra de negocio a consumidor (B2C).
• Las máquinas virtuales unidas a Microsoft Entra solo pueden acceder a recursos compartidos de Azure Files o a recursos compartidos de Azure NetApp Files para usuarios híbridos que usan Kerberos de Microsoft Entra para perfiles de usuario de FSLogix.
• La aplicación Escritorio remoto para Windows no admite máquinas virtuales unidas a Microsoft Entra.

Implementación de máquinas virtuales unidas a Microsoft Entra

Puede implementar máquinas virtuales unidas a Microsoft Entra directamente desde Azure Portal al crear un grupo de hosts o al expandir un grupo de hosts existente. Para implementar una máquina virtual unida a Microsoft Entra, abra la pestaña Máquinas virtuales, seleccione si quiere unir la máquina virtual a Active Directory o Microsoft Entra ID. Al seleccionar Microsoft Entra ID, se le proporciona automáticamente la opción para inscribir máquinas virtuales con Intune de manera automática, lo que le permite administrar sus hosts de sesiones fácilmente. Tenga en cuenta que la opción de Microsoft Entra ID solo unirá las máquinas virtuales al mismo inquilino de Microsoft Entra que el de la suscripción en la que se encuentra.

Nota:

• Los grupos de hosts solo deben contener máquinas virtuales del mismo tipo de unión a un dominio. Por ejemplo, las máquinas virtuales unidas a Microsoft Entra solo deben estar con otras máquinas virtuales unidas a Microsoft Entra, y viceversa.
• Las máquinas virtuales del grupo de hosts deben ser Windows 11 o Windows 10 de sesión única o multisesión, versión 2004 o posterior, o bien Windows Server 2022 o Windows Server 2019.

Asignación de acceso de usuario a grupos de hosts

Después de crear el grupo de hosts, debe asignar a los usuarios acceso a sus recursos. Para conceder acceso a los recursos, agregue cada usuario al grupo de aplicaciones. Siga las instrucciones que se indican en Administración de grupos de aplicaciones para asignar el acceso de usuario a aplicaciones y escritorios. Se recomienda usar grupos de usuarios en lugar de usuarios individuales siempre que sea posible.

En el caso de las máquinas virtuales unidas a Microsoft Entra, deberá realizar dos acciones adicionales además de cumplir los requisitos para las implementaciones basadas en Active Directory o Microsoft Entra Domain Services:

• Asigne a los usuarios el rol de inicio de sesión de usuario de máquina virtual para que puedan iniciar sesión en las máquinas virtuales.
• Asigne a los administradores que necesiten privilegios administrativos locales el rol de inicio de sesión de administrador de máquina virtual.

Para conceder a los usuarios acceso a máquinas virtuales unidas a Microsoft Entra, debe configurar las asignaciones de roles para la máquina virtual. Puede asignar el rol Inicio de sesión de usuario de máquina virtual o Inicio de sesión de administrador de máquina virtual para las máquinas virtuales, para el grupo de recursos que contiene las máquinas virtuales o para la suscripción. Se recomienda asignar el rol de Inicio de sesión de usuario de máquina virtual al mismo grupo de usuarios que usó para el grupo de aplicaciones en el nivel de grupo de recursos de forma que se aplique a todas las máquinas virtuales del grupo de hosts.

Acceso a máquinas virtuales unidas a Microsoft Entra

En esta sección se explica cómo acceder a las máquinas virtuales unidas a Microsoft Entra desde diferentes clientes de Azure Virtual Desktop.

Inicio de sesión único

Para disfrutar de la mejor experiencia en todas las plataformas, debe habilitar una experiencia de inicio de sesión único mediante la autenticación de Microsoft Entra al acceder a máquinas virtuales unidas a Microsoft Entra. Siga los pasos para Configurar el inicio de sesión único de cara a proporcionar una experiencia de conexión perfecta.

Conexión mediante protocolos de autenticación heredados

Si prefiere no habilitar el inicio de sesión único, puede usar la siguiente configuración para habilitar el acceso a máquinas virtuales unidas a Microsoft Entra.

Conexión con el cliente de escritorio de Windows

La configuración predeterminada admite conexiones desde Windows 11 o Windows 10 mediante el cliente de escritorio de Windows. Puede usar sus credenciales, una tarjeta inteligente, la confianza de certificados de Windows Hello para empresas o la confianza de claves de Windows Hello para empresas con certificados para iniciar sesión en el host de sesión. Sin embargo, para acceder al host de sesión, el equipo local debe cumplir una de las siguientes condiciones:

• El equipo local está unido a Microsoft Entra en el mismo inquilino de Microsoft Entra que el host de sesión.
• El equipo local está unido a Microsoft Entra híbrido en el mismo inquilino de Microsoft Entra que el host de sesión.
• El equipo local ejecuta Windows 11 o Windows 10, versión 2004 o posterior, y Microsoft Entra se registró en el mismo inquilino de Microsoft Entra que el host de sesión.

Si el equipo local no cumple una de estas condiciones, agregue targetisaadjoined:i:1 como una propiedad RDP personalizada al grupo de hosts. Estas conexiones están restringidas a la especificación de las credenciales de nombre de usuario y contraseña al iniciar sesión en el host de sesión.

Conexión con los demás clientes

Para acceder a máquinas virtuales unidas a Microsoft Entra con los clientes web, de Android, macOS e iOS, agregue targetisaadjoined:i:1 como una propiedad RDP personalizada al grupo de hosts. Estas conexiones están restringidas a la especificación de las credenciales de nombre de usuario y contraseña al iniciar sesión en el host de sesión.

Aplicación de la autenticación multifactor de Microsoft Entra para máquinas virtuales de sesión unidas a Microsoft Entra

Puede usar la autenticación multifactor de Microsoft Entra con máquinas virtuales unidas a Microsoft Entra. Siga los pasos para aplicar la autenticación multifactor de Microsoft Entra para Azure Virtual Desktop mediante el acceso condicional y tenga en cuenta los pasos adicionales para las máquinas virtuales de host de sesión unidas a Microsoft Entra.

Si usa la autenticación multifactor de Microsoft Entra y no quiere restringir el inicio de sesión a métodos de autenticación seguros como Windows Hello para empresas, deberá excluir la aplicación de inicio de sesión de máquina virtual Windows de Azure de la directiva de acceso condicional.

Perfiles de usuario

Puede usar contenedores de perfiles de FSLogix con máquinas virtuales unidas a Microsoft Entra al almacenarlos en Azure Files o Azure NetApp Files mientras usa cuentas de usuario híbridas. Para obtener más información, consulte Creación de un contenedor de perfil con Azure Files y Microsoft Entra ID.

Acceso a recursos locales

Aunque no necesita una instancia de Active Directory para implementar las máquinas virtuales unidas a Microsoft Entra ni para acceder a ellas, necesita una instancia de Active Directory y una línea de visión para acceder a los recursos locales desde esas máquinas virtuales. Para obtener más información sobre el acceso a los recursos locales, consulte Funcionamiento del inicio de sesión único en recursos locales de dispositivos unidos a Microsoft Entra.

Pasos siguientes

Ahora que ha implementado algunas máquinas virtuales conectadas a Microsoft Entra, le recomendamos que habilite el inicio de sesión único antes de la conexión con un cliente de Azure Virtual Desktop admitido para probarlo como parte de una sesión de usuario. Para obtener más información, consulte estos artículos:

• Configuración del inicio de sesión único
• Creación de un contenedor de perfiles con Azure Files y Microsoft Entra ID
• Conexión con el cliente de Escritorio de Windows
• Conexión con el cliente web
• Solucionar problemas de conexiones a máquinas virtuales unidas a Microsoft Entra
• Creación de un contenedor de perfiles con Azure NetApp Files