Inicie sesión en la máquina virtual de Windows en Azure utilizando Microsoft Entra ID y Control de Acceso Basado en Roles de Azure.

Las organizaciones pueden mejorar la seguridad de Windows Server virtual machines en Azure mediante la integración con la autenticación de Microsoft Entra. Ahora puede usar Microsoft Entra ID como plataforma de autenticación principal para Remote Desktop Protocol (RDP) en versiones compatibles de Windows Server. Después, puede controlar y aplicar de manera centralizada las directivas de control de acceso basado en roles de Azure (RBAC) y de acceso condicional que permiten o deniegan acceso a las máquinas virtuales.

En este artículo se muestra cómo crear y configurar una máquina virtual de Windows Server e iniciar sesión mediante la autenticación basada en Microsoft Entra ID.

Hay muchas ventajas de seguridad de usar la autenticación basada en Microsoft Entra ID para iniciar sesión en Windows Server virtual machines en Azure. Entre ellas, las siguientes:

• Use la autenticación de Microsoft Entra, incluida la sin contraseña, para iniciar sesión en Windows Server virtual machines. Reducir la dependencia de cuentas de administrador local.
• Utilice las directivas de complejidad de contraseñas y de duración de contraseña que configure para Microsoft Entra ID, ya que también ayudan a proteger las máquinas virtuales de Windows Server.
• Utilice el control de acceso basado en roles de Azure.
  • Especifique quién puede iniciar sesión como usuario normal o con privilegios de administrador.
  • Cuando los usuarios se unen o abandonan el equipo, puede(n) actualizar la directiva de control de acceso basada en roles de Azure para conceder acceso según sea necesario.
  • Cuando los empleados abandonan la organización y sus cuentas de usuario se deshabilitan o se quitan de Microsoft Entra ID, ya no tienen acceso a los recursos de su organización.
• Usa la directiva de acceso condicional "MFA resistente a la suplantación de identidad" y otras señales, como el riesgo de inicio de sesión del usuario.
• Utilice Azure Policy para implementar y auditar directivas que requieran que Microsoft Entra inicie sesión en las máquinas virtuales de Windows Server y para marcar el uso de cuentas locales no aprobadas en las máquinas virtuales.
• Use Intune para automatizar y ampliar la incorporación a Microsoft Entra con la inscripción automática de administración de dispositivos móviles (MDM) de máquinas virtuales de Azure Windows que forman parte de las implementaciones de infraestructura de escritorio virtual (VDI). La inscripción automática de MDM requiere licencias de Microsoft Entra ID P1.

La inscripción automática de MDM requiere licencias de Microsoft Entra ID P1. Máquinas virtuales con Windows Server no permiten la inscripción de MDM.

Importante

Después de habilitar esta funcionalidad, la máquina virtual Azure estará unida a Microsoft Entra. No se pueden unir a otro dominio, como Active Directory local o los servicios de dominio de Microsoft Entra. Si necesita hacerlo, desconecte el dispositivo de Microsoft Entra desinstalando la extensión. Además, si implementa una imagen dorada compatible, puede habilitar la autenticación de Microsoft Entra ID mediante la instalación de la extensión. El acceso condicional no se admite con Windows Server con la extensión de unión a Microsoft Entra en máquinas virtuales de Azure Windows.

Requisitos

Regiones de Azure admitidas y distribuciones de Windows

Esta característica admite actualmente las siguientes distribuciones de Windows Server:

• Windows 11 24H2 o posterior instalado.
• Windows Server 2025 o posterior instalado con experiencia de escritorio.

Esta característica ya está disponible en las siguientes nubes de Azure:

• Azure global
• Azure Government
• Microsoft Azure operado por 21Vianet

Nota:

Las imágenes reforzadas por CIS admiten la autenticación de Microsoft Entra ID para las ofertas de Microsoft Windows Enterprise y Microsoft Windows Server. Para obtener más información, consulte: Imágenes Fortificadas de CIS en Microsoft Windows Enterprise.

Requisitos de red

Para habilitar la autenticación de Microsoft Entra para máquinas virtuales en Azure, debe asegurarse de que la configuración de red permite acceso saliente a los siguientes puntos de conexión a través del puerto TCP 443.

Azure Global:

• https://enterpriseregistration.windows.net: registro de dispositivos.

• http://169.254.169.254: punto de conexión del servicio de metadatos de instancia de Azure.

• https://login.microsoftonline.com: flujos de autenticación.

• https://pas.windows.net: flujos de control de acceso en Azure basados en roles.

Azure Government:

• https://enterpriseregistration.microsoftonline.us: registro de dispositivos.

• http://169.254.169.254: punto de conexión del servicio de metadatos de instancia de Azure.

• https://login.microsoftonline.us: flujos de autenticación.

• https://pasff.usgovcloudapi.net: flujos de control de acceso en Azure basados en roles.

Microsoft Azure operado por 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn: registro de dispositivos.

• http://169.254.169.254: punto de conexión del servicio de metadatos de instancia de Azure.

• https://login.chinacloudapi.cn: flujos de autenticación.

• https://pas.chinacloudapi.cn: flujos de control de acceso en Azure basados en roles.

Requisitos de autenticación

• Tipo de cuenta de usuario: solo se admiten las cuentas de usuario estándar de Microsoft Entra del mismo tenant que la máquina virtual Windows de Azure. Las cuentas de invitado (usuarios B2B) no se pueden usar para la autenticación.

• Identidades administradas: debe habilitar la identidad administrada por el sistema en su máquina virtual Azure antes de instalar la extensión de inicio de sesión de máquina virtual de Microsoft Entra. Las identidades administradas se almacenan en un único inquilino de Microsoft Entra y actualmente no admiten escenarios entre directorios.

• Asignación de roles: a los usuarios se les debe asignar el rol de Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual para iniciar sesión en la máquina virtual. Tener el rol de Propietario o Colaborador no concede por sí solo privilegios de inicio de sesión.

• Inicio de sesión del administrador de máquinas virtuales: Los usuarios que tienen este rol asignado pueden iniciar sesión en una máquina virtual de Azure con privilegios de administrador.

• Inicio de sesión de usuario de máquina virtual: Los usuarios que tienen este rol asignado pueden iniciar sesión en una máquina virtual de Azure con privilegios de usuario normales.

• Métodos de autenticación:

  • Se recomienda la autenticación sin contraseña y se admite a través de las credenciales de Microsoft Entra.
  • La autenticación basada en contraseña se admite con asignaciones de roles adecuadas
  • Windows Hello for Business solo se admite mediante el modelo de confianza de certificados (no el modelo de confianza de claves)
  • No se admiten las cuentas de administrador local creadas manualmente agregando usuarios a grupos locales.

Habilitar el inicio de sesión de Microsoft Entra para una máquina virtual Windows en Azure

Para usar el inicio de sesión de Microsoft Entra para una máquina virtual Windows, debe hacer lo siguiente:

1. Habilite la extensión de inicio de sesión de Microsoft Entra para el dispositivo.
2. Configure asignaciones de roles de Azure para los usuarios.

Habilitación de la extensión de inicio de sesión de Microsoft Entra

• Máquina virtual de Azure que ejecuta Windows

Debe habilitar la identidad administrada asignada por el sistema en la máquina virtual Azure antes de instalar la extensión de máquina virtual de inicio de sesión de Microsoft Entra. Las identidades administradas se almacenan en un único inquilino de Microsoft Entra y actualmente no admiten escenarios entre directorios.

En el ejemplo siguiente se muestran las plantillas de Azure para extensiones de Máquina Virtual de Azure.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

Configuración de asignaciones de roles

Para asignar roles de usuario, debe tener el rol Virtual Machine Data Access Administrator o cualquier rol que incluya la acción Microsoft.Authorization/roleAssignments/write, como la Role Based Access Control Administrator. Sin embargo, si usa un rol diferente al administrador de acceso a datos de máquinas virtuales, le recomendamos agregar una condición para limitar el permiso de crear asignaciones de roles.

• Inicio de sesión del administrador de máquinas virtuales: Los usuarios que tienen este rol asignado pueden iniciar sesión en una máquina virtual de Azure con privilegios de administrador.
• Inicio de sesión de usuario de máquina virtual: Los usuarios que tienen este rol asignado pueden iniciar sesión en una máquina virtual de Azure con privilegios de usuario normales.

Nota:

No se admite la elevación manual de un usuario para que se convierta en administrador local en el dispositivo agregando el usuario a un miembro del grupo de administradores locales o ejecutando net localgroup administrators /add "AzureAD\UserUpn" el comando . Debe usar roles en Azure para autorizar el inicio de sesión.

Nota:

Un usuario de Azure que tenga asignado el rol Propietario o Colaborador no tiene privilegios para iniciar sesión automáticamente en los dispositivos. La razón es proporcionar una separación auditada entre el conjunto de personas que controlan las máquinas virtuales y el conjunto de personas que pueden acceder a las máquinas virtuales.

En la siguiente documentación se proporcionan detalles paso a paso para agregar cuentas de usuario a asignaciones de roles en Azure:

• Asignar roles de Azure mediante el portal de Azure
• Asignar roles de Azure mediante la CLI de Azure
• Asignar roles de Azure mediante Azure PowerShell

Inicio de sesión con credenciales de Microsoft Entra en una máquina virtual Windows

Puede iniciar sesión en RDP mediante uno de estos dos métodos:

• Método sin contraseña mediante cualquiera de las credenciales de Microsoft Entra admitidas (recomendado)
• Con contraseña o sin contraseña mediante Windows Hello para Empresas implementado mediante el modelo de confianza de certificados

Inicio de sesión con autenticación sin contraseña con Microsoft Entra ID

Para usar la autenticación sin contraseña para las máquinas virtuales de Windows Server en Azure, el host de sesión (VM) debe estar ejecutándose:

• Windows 11 con las actualizaciones acumulativas de octubre de 2022 para Windows 11 (KB5018418) o posteriores instaladas.
• Windows 10, versión 20H2 o posteriores con las actualizaciones acumulativas de octubre de 2022 para Windows 10 (KB5018410) o posteriores instaladas.
• Windows Server 2022 con la actualización acumulativa de octubre de 2022 para el sistema operativo Microsoft Server (KB5018421) o una posterior instalada.
• Windows Server 2025 o posterior instalado.

Nota:

Al usar la cuenta web para iniciar sesión en el equipo remoto opción, no es necesario que el dispositivo local se una a un dominio o Microsoft Entra ID.

Para conectarse al equipo remoto:

• Inicie Remote Desktop Connection desde Windows Search o ejecute mstsc.exe.
• Seleccione la opción Usar una cuenta web para iniciar sesión en el equipo remoto en la pestaña Opciones avanzadas. Esta opción es equivalente a la propiedad de RDP enablerdsaadauth. Para obtener más información, consulte Propiedades RDP admitidas con Remote Desktop Services.
• Especifique el nombre del equipo remoto y seleccione Conectar.

Importante

No se puede usar la dirección IP con Usar una cuenta web para iniciar sesión en la opción de equipo remoto . El nombre debe coincidir con el nombre de host del dispositivo remoto en Microsoft Entra ID y debe ser accesible en la red, resolviendo a la dirección IP del dispositivo remoto.

• Cuando se le pidan credenciales, especifique el nombre de usuario en formato user@domain.com.
• A continuación, se le pedirá que permita la conexión remote desktop al conectarse a un equipo nuevo. Microsoft Entra recuerda hasta 15 servidores durante 30 días antes de volver a solicitar. Si ve este cuadro de diálogo, seleccione Sí para conectarse.

Importante

Si su organización usa Microsoft Entra Conditional Access, el dispositivo debe cumplir los requisitos de Access condicional para permitir la conexión al equipo remoto. Las directivas de acceso condicional se pueden aplicar a la aplicación Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para acceso controlado.

Nota:

La pantalla de bloqueo de Windows en la sesión remota no admite tokens de autenticación de Microsoft Entra ni métodos de autenticación sin contraseña, como las claves FIDO. La falta de compatibilidad con estos métodos de autenticación significa que los usuarios no pueden desbloquear sus pantallas en las sesiones remotas. Cuando intenta bloquear una sesión remota, ya sea a través de la acción del usuario o la directiva del sistema, la sesión se desconecta y el servicio envía un mensaje al usuario. La desconexión de la sesión también garantiza que cuando se vuelva a iniciar la conexión después de un período de inactividad, Microsoft Entra ID vuelva a evaluar las directivas de Acceso Condicional aplicables.

Inicia sesión usando autenticación con/sin contraseña con Microsoft Entra ID

Tanto la autenticación basada en Password y la autenticación Passwordless se admiten para iniciar sesión en Windows virtual machines.

Importante

La conexión remota a las máquinas virtuales que están unidas a Microsoft Entra ID solo se permite desde equipos Windows 10 o posteriores que estén registrados por Microsoft Entra (la versión mínima requerida es 20H1), unidos a Microsoft Entra o unidos a Microsoft Entra de manera híbrida al mismo directorio que la máquina virtual. Además, para RDP mediante credenciales de Microsoft Entra, los usuarios deben pertenecer a uno de los dos roles de Azure, inicio de sesión de administrador de máquinas virtuales o inicio de sesión de usuario de máquina virtual.

Si usa un equipo registrado de Microsoft Entra con Windows 10 o posterior, debe escribir las credenciales en el formato AzureAD\UPN (por ejemplo, AzureAD\john@contoso.com). En este momento, puede usar Azure Bastion para iniciar sesión con la autenticación de Microsoft Entra via el Azure CLI y el cliente RDP nativo mstsc.

Para iniciar sesión en la máquina virtual de Windows Server 2019 mediante Microsoft Entra ID:

1. Vaya a la página de información general de la máquina virtual habilitada con el inicio de sesión de Microsoft Entra.
2. Seleccione Conectar para abrir el panel Conectarse a una máquina virtual.
3. Seleccione Descargar archivo RDP.
4. Seleccione Abrir para abrir el cliente de conexión de Remote Desktop.
5. Seleccione Conectar para abrir el cuadro de diálogo de inicio de sesión de Windows.
6. Inicie sesión con sus credenciales de Microsoft Entra.

Ahora ha iniciado sesión en la máquina virtual de Windows Server 2019 Azure con los permisos de rol asignados, como usuario de máquina virtual o administrador de vm.

Nota:

Puede guardar el archivo .RDP localmente en su equipo para iniciar futuras conexiones de escritorio remoto a la máquina virtual, en lugar de ir a la página de información general de la máquina virtual en el portal de Azure y usar la opción de conectar.

Aplicar directivas de acceso condicionales

Puede aplicar directivas de Acceso condicional, como "MFA resistente a phishing" o evaluación de riesgo de inicio de sesión de usuario antes de que los usuarios puedan acceder a las máquinas virtuales de Windows Server en Azure. Para aplicar una directiva de acceso condicional, debe seleccionar la aplicación Microsoft Azure Windows Virtual Machine Sign-in desde la opción de asignación de aplicaciones o acciones en la nube.

Las directivas de Access condicionales que restringen el inicio de sesión mediante reglas de configuración de dispositivos no se admiten al conectarse desde un dispositivo Windows Server. Para obtener una guía sobre cómo establecer directivas de acceso condicional, consulte: Tutorial: Proteger eventos de inicio de sesión de usuario con autenticación multifactor de Microsoft Entra.

Nota:

Si necesita MFA como control, debe proporcionar una declaración de MFA como parte del cliente que inicia la sesión RDP en la máquina virtual destino de Windows Server. La aplicación Remote Desktop admite directivas de acceso condicional, pero si usa el inicio de sesión en la web, debe usar un PIN de Windows Hello para Empresas o una autenticación biométrica. En la versión 1809 de Windows 10 se agregó compatibilidad con la autenticación biométrica al cliente RDP. Remote desktop mediante la autenticación de Windows Hello para empresas solo está disponible para las implementaciones que usan un modelo de confianza de certificados y no está disponible para un modelo de confianza de claves.

Uso de Azure Policy para cumplir los estándares y evaluar el cumplimiento

Utiliza Azure Policy para:

• Asegúrese de que el inicio de sesión de Microsoft Entra esté habilitado para sus máquinas virtuales de Windows Server nuevas y existentes.
• Evaluar el cumplimiento de su entorno a gran escala en un panel de cumplimiento.

Con esta funcionalidad, puede usar muchos niveles de cumplimiento. Puede marcar las virtual machines de Windows Server nuevas y existentes en su entorno que no tengan habilitado el inicio de sesión de Microsoft Entra. También puede usar Azure Policy para implementar la extensión Microsoft Entra en Windows virtual machines en Azure.

Además de estas funcionalidades, puede usar Azure Policy para detectar y marcar máquinas Windows que tienen cuentas locales no aprobadas creadas en sus dispositivos. Para más información, revise Azure Policy.

Solución de problemas de implementación

La extensión AADLoginForWindows debe instalarse correctamente para que el dispositivo complete el proceso de unión a Microsoft Entra. Si la extensión no se puede instalar correctamente, realice los pasos siguientes:

1. Conéctese al dispositivo y examine el archivo CommandExecution.log en C:\WindowsAzure\Logs\Plugins\Microsoft. Azure. ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Si la extensión se reinicia después del error inicial, el registro con el error de implementación se guardará como CommandExecution_YYYYMMDDHHMMSSSSS.log.

2. Abra una ventana de PowerShell en el dispositivo. Compruebe que las siguientes consultas en el punto de conexión del servicio de metadatos de instancia de Azure que se ejecuta en el host devuelven la salida esperada:

   Para Azure virtual machines:

   Comando para ejecutar	Salida prevista
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Información correcta sobre la máquina virtual de Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Identificador de inquilino válido asociado a la suscripción de Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Token de acceso válido emitido por Microsoft Entra ID para la identidad administrada que se asignó a esta máquina virtual.

3. Asegúrese de que los puntos de conexión necesarios son accesibles desde el dispositivo a través de PowerShell:

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Reemplace <TenantID> por el identificador de inquilino de Microsoft Entra asociado a la suscripción de Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net y pas.windows.net debe devolver 404 No encontrado, que es el comportamiento esperado.

4. Para ver el estado del dispositivo, ejecute dsregcmd /status. El objetivo es que el estado del dispositivo se muestre como AzureAdJoined : YES.

   La actividad de unión a Microsoft Entra se registra en el Visor de Eventos bajo el registro User Device Registration\Admin, localizado en Event Viewer (local)\Applications y Services Logs\Microsoft\Windows\User Device Registration\Admin.

Si se produce un error en la extensión AADLoginForWindows y aparece un código de error, puede realizar los pasos siguientes.

El nombre del dispositivo ya existe

Si existe un objeto de dispositivo con el mismo displayName que el nombre de host de la máquina virtual de Azure, el dispositivo no puede unirse a Microsoft Entra con un error de duplicación de nombre de host. Evite la duplicación modificando el nombre de host.

Código de error de terminal 1007 y código de salida -2145648574

El código de error de terminal 1007 y el código de salida -2145648574 se traducen en DSREG_E_MSI_TENANTID_UNAVAILABLE. La extensión no puede consultar la información del inquilino de Microsoft Entra.

Conéctese al dispositivo como administrador local y compruebe que el punto de conexión devuelve un identificador de inquilino válido de Azure Instance Metadata Service. Ejecute el comando siguiente desde una ventana de PowerShell con privilegios elevados en el dispositivo:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Este problema también puede ocurrir cuando el administrador intenta instalar la extensión AADLoginForWindows, pero el dispositivo no tiene una identidad administrada asignada por el sistema. En ese caso, vaya al panel Identidad del dispositivo. En la pestaña Asignado por el sistema, verifique que el conmutador de Estado esté ajustado a Activado.

Código de salida 2145648607

El código de salida -2145648607 se traduce en DSREG_AUTOJOIN_DISC_FAILED. La extensión no puede acceder al punto de conexión de https://enterpriseregistration.windows.net.

1. Compruebe que los puntos de conexión necesarios son accesibles desde el dispositivo a través de PowerShell:

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Reemplace <TenantID> por el ID de tenant de Microsoft Entra de la suscripción de Azure. Si necesita encontrar el identificador de inquilino, puede mantener el puntero sobre el nombre de la cuenta o seleccionar Entra ID>Información general>Propiedades>Id. de inquilino.

   Los intentos de conectarse a enterpriseregistration.windows.net podrían devolver 404 No encontrado, que es el comportamiento esperado. Los intentos de conectarse a pas.windows.net podrían solicitar credenciales de PIN o devolver 404 No encontrado. (No es necesario escribir el PIN). Cualquiera de ellos es suficiente para comprobar que se puede acceder a la dirección URL.

2. Si se produce un error en cualquiera de los comandos con "No se pudo resolver el host <URL>", intente ejecutar este comando para determinar qué servidor DNS usa Windows:

   nslookup <URL>

   Reemplace <URL> por los nombres de dominio completos que usan los puntos de conexión, como login.microsoftonline.com.

3. Observe si la especificación de un servidor DNS público permite que el comando se ejecute correctamente:

   nslookup <URL> 208.67.222.222

4. Si es necesario, cambie el servidor DNS asignado al grupo de seguridad de red al que pertenece el dispositivo.

Código de salida 51

El código de salida 51 se traduce en "Esta extensión no se admite en este sistema operativo".

La extensión AADLoginForWindows está pensada para instalarse solo en máquinas virtuales de Azure con Windows Server 2022 o Windows 10 1809 o posterior. Asegúrese de que se admite la versión de Windows Server. Si no se admite, desinstale la extensión.

Solución de problemas de inicio de sesión

Use la siguiente información para corregir problemas de inicio de sesión.

Puede ver el estado del dispositivo y del inicio de sesión único (SSO) mediante la ejecución de dsregcmd /status. El objetivo es que el estado del dispositivo se muestre como AzureAdJoined : YES y que el estado de SSO se muestre como AzureAdPrt : YES.

El inicio de sesión de RDP a través de cuentas de Microsoft Entra se captura en Event Viewer en los registros de eventos Applications y Services Logs\Microsoft\Windows\AAD\Operational.

Rol de Azure no asignado

Es posible que reciba el siguiente mensaje de error al iniciar una conexión de remote desktop al dispositivo: "La cuenta está configurada para evitar que use este dispositivo. Para más información, póngase en contacto con el administrador del sistema".

Compruebe las directivas de control de acceso basado en roles de Azure que concedan al usuario el rol Inicio de sesión del administrador de máquina virtual o Inicio de sesión del usuario de máquina virtual.

Si tiene problemas con las asignaciones de roles de Azure, consulte Solucionar problemas del control de acceso basado en roles de Azure.

Cliente no autorizado o cambio de contraseña requerido

Es posible que reciba el siguiente mensaje de error al iniciar una conexión de remote desktop al dispositivo: "Las credenciales no funcionaron".

Pruebe estas soluciones:

• El equipo con Windows 10 o posterior que usa para iniciar la conexión a Escritorio remoto debe estar unido a Microsoft Entra, o bien Microsoft Entra híbrido unido al mismo directorio de Microsoft Entra. Para más información sobre la identidad del dispositivo, consulte el artículo ¿Qué es una identidad de dispositivo?

  Windows 10 Build 20H1 agregó compatibilidad con un equipo registrado de Microsoft Entra para iniciar una conexión RDP a la máquina virtual. Cuando se usa un dispositivo cliente registrado (no unido a Microsoft Entra o unido a Microsoft Entra híbrido) como cliente RDP para iniciar conexiones a la máquina virtual, debe escribir las credenciales en el formato AzureAD\UPN (por ejemplo, AzureAD\john@contoso.com).

  Compruebe que la extensión AADLoginForWindows no se ha desinstalado después de que haya terminado la unión a Microsoft Entra.

  Además, asegúrese de que la directiva de seguridad Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en línea esté habilitada en el servidor y el cliente.

• Compruebe que el usuario no tiene una contraseña temporal. Las contraseñas temporales no se pueden usar para iniciar sesión en una conexión de remote desktop.

  Inicie sesión con la cuenta de usuario en un explorador web. Por ejemplo, inicie sesión en el Azure portal en una ventana de exploración privada. Si se le pide que cambie la contraseña, establezca una nueva contraseña. A continuación, intente conectarse de nuevo.

AADSTS293004: el identificador de dispositivo de destino de la solicitud xxx no se encontró en el arrendatario xxx.

Causa:

El nombre de equipo especificado en mstsc no coincide con ninguno de los atributos "hostnames" del dispositivo AADJ de destino. Por ejemplo, el nombre de host del dispositivo AADJ es un nombre corto como device_1, pero el nombre del equipo especificado en mstsc es el FQDN como device_1.contoso.com.

Pruebe estas soluciones:

Hay varias maneras de resolver el problema:

1. Modifique la entrada HOSTS en el equipo cliente, agregue un registro DNS A que apunte el nombre de dispositivo correcto (confirme desde el registro de dispositivo de AAD) a la dirección IP de la máquina de destino. Utilice ese nombre de dispositivo en mstsc.
2. Compruebe si la máquina de destino está administrada y si el nombre de host se establece a través de Group Policy o MDM a través del valor PrimaryDnsSuffix del DNS Client ADMX_DnsClient Policy CSP | Microsoft Learn. Si está establecido y es incorrecto, debe ser eliminado o establecido correctamente.
3. Cuando el cliente necesite usar FQDN para conectarse, pero el nombre del dispositivo de AAD sea un nombre corto, inicie sesión en la máquina de destino mediante el administrador local y agregue un "Primary DNS Suffix" para el sufijo de dominio. Instrucciones detalladas:

• Vaya a la pestaña Configuración avanzada del sistema/Propiedades del sistema ->** Nombre del equipo**:> seleccione el botón "Cambiar" para cambiar el nombre del equipo,> seleccione "Más..." en el nombre de equipo existente:> escriba el nombre de dominio y seleccione Aceptar -> Guardar y reiniciar.
• Una vez hecho esto, podemos RDP con FQDN directamente y no es necesario modificar la entrada HOSTS.

Nota:

En tal caso, cuando se agrega el sufijo DNS principal, la tarea programada Device-Sync se desencadena al agregar el FQDN al atributo "hostnames" del dispositivo de AAD. Este es el motivo por el que resuelve el problema.

Se requiere el método de inicio de sesión MFA

Es posible que vea el siguiente mensaje de error al iniciar una conexión remote desktop con el dispositivo: "No se permite el método de inicio de sesión que intenta usar. Pruebe con otro método de inicio de sesión o póngase en contacto con el administrador del sistema."

Si configura una directiva de Access condicional que requiere MFA, debe asegurarse de que el dispositivo que inicia la conexión usa una autenticación segura, como Windows Hello.

Otro mensaje de error relacionado con MFA es el descrito anteriormente: "Las credenciales no funcionaron".

Si ha configurado la opción Microsoft Entra multifactor authentication habilitada o aplicada heredada por usuario y obtiene el error, puede quitar la configuración de MFA por usuario para resolver el problema. Para obtener más información, consulte el artículo Habilitar la autenticación multifactor por usuario de Microsoft Entra para proteger los eventos de inicio de sesión.

Si Windows Hello para empresas no es una opción, configure una directiva de Acceso Condicional que excluya la aplicación de inicio de sesión de Windows Virtual Machine de Microsoft Azure. Para obtener más información sobre Windows Hello para empresas, consulte Windows Hello for Business overview.

La compatibilidad con la autenticación biométrica con RDP ha sido añadida en la versión 1809 de Windows 10. El uso de Windows Hello para la autenticación empresarial durante RDP está disponible para implementaciones que usan un modelo de confianza de certificados o un modelo de confianza de claves.

Comparta sus comentarios sobre esta característica o informe de problemas con su uso en el foro de comentarios de Microsoft Entra.

Falta la aplicación

Si falta la aplicación de inicio de sesión de la máquina virtual Windows de Microsoft Azure en Acceso condicional, asegúrese de que la aplicación está en la entidad:

1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo un administrador de aplicaciones de Cloud.
2. Navegue a Entra ID>Aplicaciones empresariales.
3. Quite los filtros para ver todas las aplicaciones y busque Máquina virtual. Si no ve Microsoft Azure Máquina Virtual Windows Inicio de sesión como resultado, falta el principal de servicio del tenant.

Otra manera de comprobarlo es a través de Graph PowerShell:

1. Instale el SDK de PowerShell de Graph.
2. Ejecute Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", seguido de "Application.ReadWrite.All".
3. Inicie sesión con una cuenta de Global Administrator.
4. Dé su consentimiento a la solicitud de permisos.
5. Ejecute Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

   • Si este comando no da como resultado ninguna salida y le devuelve al símbolo del sistema de PowerShell, puede crear la entidad de servicio con el siguiente comando de Graph PowerShell:

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • La salida exitosa indica que se creó la aplicación de inicio de sesión de la máquina virtual Windows de Microsoft Azure y su identificador.

6. Cierre sesión en Graph PowerShell mediante el Disconnect-MgGraph comando .

Es posible que algunos inquilinos vean la aplicación denominada Inicio de sesión en Azure Windows VM en lugar de Inicio de sesión en Microsoft Azure Windows Virtual Machine. La aplicación tiene el mismo identificador de aplicación de 372140e0-b3b7-4226-8ef9-d57986796201.

No se puede usar esta funcionalidad cuando se aplica la directiva de Acceso Condicional para dispositivos conformes en el recurso de inicio de sesión de máquina virtual de Windows en Azure y se está conectando desde un dispositivo Windows Server.

No se admite la configuración de cumplimiento de dispositivos de Windows Server en la directiva de Acceso condicional.

Pasos siguientes

Para obtener más información sobre Microsoft Entra ID, vea ¿Qué es Microsoft Entra ID?.