Identidades admitidas y métodos de autenticación
En este artículo, le mostraremos una breve descripción de los tipos de identidades y autenticación que puede usar en Azure Virtual Desktop.
Identities
Azure Virtual Desktop admite diferentes tipos de identidades en función de la configuración que elija. En esta sección se explican las identidades que puede usar para cada configuración.
Importante
Azure Virtual Desktop no admite el inicio de sesión en Microsoft Entra ID con una cuenta de usuario y, a continuación, un inicio de sesión en Windows con una cuenta de usuario independiente. Iniciar sesión con dos cuentas diferentes al mismo tiempo puede provocar que los usuarios se vuelvan a conectar con el host de sesión incorrecto, que falte información en el Azure Portal o que la información sea incorrecta, y que aparezcan mensajes de error al usar la asociación de aplicaciones MSIX.
Identidad local
Dado que los usuarios deben ser reconocibles a través de Microsoft Entra ID para acceder a Azure Virtual Desktop, no se admiten las identidades de usuario que solo existen en los servicios de dominio de Active Directory (AD DS). Esto incluye implementaciones Active Directory independientes con Servicios de federación de Active Directory (AD FS).
Identidad híbrida
Azure Virtual Desktop admite identidades híbridas a través de Microsoft Entra ID, incluidas las federadas mediante AD FS. Puede administrar estas identidades de usuario en AD DS y sincronizarlas con Microsoft Entra ID mediante Microsoft Entra Connect. También puede usar Microsoft Entra ID para administrar estas identidades y sincronizarlas con Microsoft Entra Domain Services.
Al acceder a Azure Virtual Desktop mediante identidades híbridas, a veces el nombre principal de usuario (UPN) o el identificador de seguridad (SID) del usuario en Active Directory (AD) y Microsoft Entra ID no coinciden. Por ejemplo, la cuenta de AD user@contoso.local puede corresponder a user@contoso.com en Microsoft Entra ID. Azure Virtual Desktop solo admite este tipo de configuración si el UPN o el SID de sus cuentas de AD y de Microsoft Entra ID coinciden. SID hace referencia a la propiedad de objeto de usuario "ObjectSID" en AD y "OnPremisesSecurityIdentifier" en Microsoft Entra ID.
Identidad solo en la nube
Azure Virtual Desktop admite identidades solo en la nube cuando se usan máquinas virtuales unidas a Microsoft Entra. Estos usuarios se crean y administran directamente en Microsoft Entra ID.
Nota:
También puede asignar identidades híbridas a grupos de aplicaciones de Azure Virtual Desktop que hospedan hosts de sesión del tipo unido a Microsoft Entra.
Proveedores de identidad de otros fabricantes
Si usa un proveedor de identidades (IdP) distinto de Microsoft Entra ID para administrar las cuentas de usuario, debe asegurarse de que:
- El IdP está federado con Microsoft Entra ID.
- Los hosts de sesión están unidos a Microsoft Entra o unidos a Microsoft Entra híbrido.
- Tiene habilitada la autenticación de Microsoft Entra en el host de sesión.
Identidad externa
Actualmente, Azure Virtual Desktop no admite identidades externas.
Métodos de autenticación
Para los usuarios que se conectan a una sesión remota, hay tres puntos de autenticación independientes:
Autenticación del servicio en Azure Virtual Desktop: permite recuperar una lista de recursos a los que el usuario tiene acceso al acceder al cliente. La experiencia depende de la configuración de la cuenta de Microsoft Entra. Por ejemplo, si el usuario tiene habilitada la autenticación multifactor, se le solicita su cuenta de usuario y una segunda forma de autenticación, de la misma manera que funciona el acceso a otros servicios.
Host de sesión: al iniciar una sesión remota. Se requiere un nombre de usuario y una contraseña para un host de sesión, pero esto es perfecto para el usuario si está habilitado el inicio de sesión único (SSO).
Autenticación en sesión: conexión a otros recursos dentro de una sesión remota.
En las secciones siguientes se explica cada uno de estos puntos de autenticación con más detalle.
Autenticación del servicio
Para acceder a los recursos de Azure Virtual Desktop, primero debe autenticarse en el servicio iniciando sesión en una cuenta de Microsoft Entra. La autenticación se produce al suscribirse a un área de trabajo para recuperar los recursos y conectarse a aplicaciones o escritorios. Puede utilizar proveedores de identidad de terceros siempre que se federen con Microsoft Entra ID.
Autenticación multifactor
Siga las instrucciones de Aplicación de la autenticación multifactor de Microsoft Entra para Azure Virtual Desktop mediante el acceso condicional para aprender a aplicar la autenticación multifactor de Microsoft Entra para la implementación. En ese artículo también se le indica cómo configurar la frecuencia con la que se solicita a los usuarios que escriban sus credenciales. Al implementar VM unidas a Microsoft Entra, tenga en cuenta los pasos adicionales para las VM de host de sesión unidas a Microsoft Entra.
Autenticación sin contraseñas
Puede usar cualquier tipo de autenticación compatible con Microsoft Entra ID, como Windows Hello para empresas y otras opciones de autenticación sin contraseña (por ejemplo, claves FIDO) para autenticarse en el servicio.
Autenticación con tarjeta inteligente
Para usar una tarjeta inteligente para autenticarse en Microsoft Entra ID, primero debe configurar AD FS para la autenticación con certificado de usuario o configurar la autenticación basada en certificados de Microsoft Entra.
Autenticación de host de sesión
Si aún no ha habilitado el inicio de sesión único o ha guardado sus credenciales localmente, también deberá autenticarse en el host de sesión al iniciar una conexión. En la lista siguiente se describen los tipos de autenticación que admite actualmente cada cliente de Azure Virtual Desktop. Algunos clientes pueden requerir que se use una versión específica, que puede encontrar en el vínculo para cada tipo de autenticación.
| Remoto | Tipo(s) de autenticación que se admite(n) |
|---|---|
| Cliente de escritorio de Windows | Nombre de usuario y contraseña Tarjeta inteligente Confianza de certificados de Windows Hello para empresas Clave de confianza con certificados de Windows Hello para empresas Autenticación de Microsoft Entra |
| Aplicación Azure Virtual Desktop Store | Nombre de usuario y contraseña Tarjeta inteligente Confianza de certificados de Windows Hello para empresas Clave de confianza con certificados de Windows Hello para empresas Autenticación de Microsoft Entra |
| Aplicación de Escritorio remoto | Nombre de usuario y contraseña |
| Cliente web | Nombre de usuario y contraseña Autenticación de Microsoft Entra |
| Cliente de Android | Nombre de usuario y contraseña Autenticación de Microsoft Entra |
| Cliente de iOS | Nombre de usuario y contraseña Autenticación de Microsoft Entra |
| Cliente de macOS | Nombre de usuario y contraseña Tarjeta inteligente: compatibilidad para el inicio de sesión basado en tarjetas inteligentes a través de la redirección de tarjetas inteligentes en el símbolo de Winlogon cuando no se negocia NLA. Autenticación de Microsoft Entra |
Importante
Para que la autenticación funcione correctamente, la máquina local también debe poder acceder a las direcciones URL necesarias requeridas de los clientes del Escritorio remoto.
Inicio de sesión único (SSO)
El inicio de sesión único permite que la conexión omita la solicitud de credenciales del host de sesión e inicie sesión automáticamente para el usuario en Windows. En el caso de los hosts de sesión unidos a Microsoft Entra o a Microsoft Entra híbrido, se recomienda habilitar el SSO mediante la autenticación de Microsoft Entra. La autenticación de Microsoft Entra proporciona otras ventajas, incluida la autenticación sin contraseña y la compatibilidad con proveedores de identidades de terceros.
Azure Virtual Desktop también admite una inicio de sesión único mediante Servicios de federación de Active Directory (AD FS) para el Escritorio de Windows y los clientes web.
Sin SSO, el cliente solicitará a los usuarios sus credenciales de host de sesión para cada conexión. La única forma de evitar que se le solicite es guardar las credenciales en el cliente. Se recomienda guardar credenciales solo en dispositivos seguros a fin de evitar que otros usuarios tengan acceso a los recursos.
Tarjeta inteligente o Windows Hello para empresas
Azure Virtual Desktop admite NT LAN Manager (NTLM) y Kerberos para la autenticación de host de sesión, pero la tarjeta inteligente y Windows Hello para empresas solo pueden usar Kerberos para iniciar sesión. Sin embargo, para utilizar Kerberos, el cliente debe obtener vales de seguridad de Kerberos de un servicio de Centro de distribución de claves (KDC) que se ejecute en un controlador de dominio. Para obtener vales, el cliente necesita una línea de visión de red directa al controlador de dominio. Puede obtener una línea de visión si se conecta directamente desde su red corporativa, mediante una conexión VPN o configurando un servidor proxy KDC.
Autenticación en sesión
Una vez que esté conectado al escritorio o a RemoteApp, es posible que se le pida autenticación dentro de la sesión. En esta sección se explica cómo usar credenciales que no sean nombre de usuario y contraseña en este escenario.
Autenticación sin contraseña en sesión
Azure Virtual Desktop admite la autenticación sin contraseña en sesión mediante Windows Hello para empresas o dispositivos de seguridad como claves FIDO cuando se utiliza el cliente de Windows Desktop. La autenticación sin contraseña se habilita automáticamente cuando el host de sesión y el equipo local usan los siguientes sistemas operativos:
- Sesión única o múltiple de Windows 11 con actualizaciones acumulativas de octubre de 2022 para Windows 11 (KB5018418) o posteriores instaladas.
- Sesión única o múltiple de Windows 10, versiones 20H2 o posteriores con actualizaciones acumulativas de octubre de 2022 para Windows 10 (KB5018410) o posteriores instaladas.
- Windows Server 2022 con la actualización acumulativa de octubre de 2022 para el sistema operativo de Microsoft Server (KB5018421) o posteriores instaladas.
Para desactivar la autenticación sin contraseña en su grupo de hosts, debe personalizar una propiedad RDP. Puede encontrar la propiedad de redirección WebAuthn en la pestaña Redireccionamiento de dispositivos en el Azure Portal o establecer la propiedad redirectwebauthn a 0 usando PowerShell.
Cuando está habilitada, todas las solicitudes de WebAuthn de la sesión se redirigen al equipo local. Puede usar Windows Hello para empresas o dispositivos de seguridad conectados localmente para completar el proceso de autenticación.
Para acceder a los recursos de Microsoft Entra con Windows Hello para empresas o dispositivos de seguridad, debe habilitar la clave de seguridad FIDO2 como método de autenticación para los usuarios. Para habilitar este método, siga los pasos descritos en Habilitar el método de claves de seguridad FIDO2.
Autenticación de tarjeta inteligente en sesión
Para usar una tarjeta inteligente en la sesión, asegúrese de haber instalado los controladores de tarjeta inteligente en el host de sesión y de haber habilitado la redirección de tarjeta inteligente. Revise la gráfica de comparación de clientes para asegurarse de que su cliente admite la redirección de tarjeta inteligente.
Pasos siguientes
- ¿Tiene curiosidad sobre otras formas de proteger la implementación? Consulte Procedimientos recomendados de seguridad.
- ¿Tiene problemas para conectarse a máquinas virtuales unidas a Microsoft Entra? Consulte Solucionar problemas de conexiones a máquinas virtuales unidas a Microsoft Entra.
- ¿Tiene problemas con la autenticación sin contraseña en sesión? Consulte la información de Solución de problemas de redirección de WebAuthn.
- ¿Quiere usar tarjetas inteligentes desde fuera de su red corporativa? Aprenda a configurar un servidor proxy KDC.