Identidades admitidas y métodos de autenticación
En este artículo, le mostraremos una breve descripción de los tipos de identidades y autenticación que puede usar en Azure Virtual Desktop.
Identities
Azure Virtual Desktop admite diferentes tipos de identidades en función de la configuración que elija. En esta sección se explican las identidades que puede usar para cada configuración.
Importante
Azure Virtual Desktop no admite el inicio de sesión en Microsoft Entra ID con una cuenta de usuario y, a continuación, un inicio de sesión en Windows con una cuenta de usuario independiente. Iniciar sesión con dos cuentas diferentes al mismo tiempo puede provocar que los usuarios se vuelvan a conectar con el host de sesión incorrecto, que falte información en el Azure Portal o que la información sea incorrecta, y que aparezcan mensajes de error al usar la conexión de aplicaciones o la conexión de aplicaciones MSIX.
Identidad local
Dado que los usuarios deben ser reconocibles a través de Microsoft Entra ID para acceder a Azure Virtual Desktop, no se admiten las identidades de usuario que solo existen en los servicios de dominio de Active Directory (AD DS). Esto incluye implementaciones Active Directory independientes con Servicios de federación de Active Directory (AD FS).
Identidad híbrida
Azure Virtual Desktop admite identidades híbridas a través de Microsoft Entra ID, incluidas las federadas mediante AD FS. Puede administrar estas identidades de usuario en AD DS y sincronizarlas con Microsoft Entra ID mediante Microsoft Entra Connect. También puede usar Microsoft Entra ID para administrar estas identidades y sincronizarlas con Microsoft Entra Domain Services.
Al acceder a Azure Virtual Desktop mediante identidades híbridas, a veces el nombre principal de usuario (UPN) o el identificador de seguridad (SID) del usuario en Active Directory (AD) y Microsoft Entra ID no coinciden. Por ejemplo, la cuenta de AD user@contoso.local puede corresponder a user@contoso.com en Microsoft Entra ID. Azure Virtual Desktop solo admite este tipo de configuración si el UPN o el SID de sus cuentas de AD y de Microsoft Entra ID coinciden. SID hace referencia a la propiedad de objeto de usuario "ObjectSID" en AD y "OnPremisesSecurityIdentifier" en Microsoft Entra ID.
Identidad solo en la nube
Azure Virtual Desktop admite identidades solo en la nube cuando se usan máquinas virtuales unidas a Microsoft Entra. Estos usuarios se crean y administran directamente en Microsoft Entra ID.
Nota:
También puede asignar identidades híbridas a grupos de aplicaciones de Azure Virtual Desktop que hospedan hosts de sesión del tipo unido a Microsoft Entra.
Identidad federada
Si usa un proveedor de identidades (IdP) de terceros distinto de Microsoft Entra ID o Active Directory Domain Services para administrar las cuentas de usuario, debe asegurarse de que:
- El IdP está federado con Microsoft Entra ID.
- Los hosts de sesión están unidos a Microsoft Entra o unidos a Microsoft Entra híbrido.
- Tiene habilitada la autenticación de Microsoft Entra en el host de sesión.
Identidad externa
Actualmente, Azure Virtual Desktop no admite identidades externas.
Métodos de autenticación
Al acceder a los recursos de Azure Virtual Desktop, hay tres fases de autenticación independientes:
- Autenticación del servicio en la nube: la autenticación en el servicio Azure Virtual Desktop, que incluye la suscripción a los recursos y la autenticación en la puerta de enlace, se realiza con Microsoft Entra ID.
- Autenticación de sesión remota: autenticación en la máquina virtual remota. Hay varias maneras de autenticarse en la sesión remota, incluido el inicio de sesión único (SSO) recomendado.
- Autenticación dentro de la sesión: autenticación en aplicaciones y sitios web dentro de la sesión remota.
Para obtener la lista de credenciales disponibles en los distintos clientes para cada una de las fases de autenticación, compare los clientes entre plataformas.
Importante
Para que la autenticación funcione correctamente, la máquina local también debe poder acceder a las direcciones URL necesarias requeridas de los clientes del Escritorio remoto.
En las secciones siguientes se proporciona más información sobre estas fases de autenticación.
Autenticación del servicio en la nube
Para acceder a los recursos de Azure Virtual Desktop, primero debe autenticarse en el servicio iniciando sesión con una cuenta de Microsoft Entra ID. La autenticación se produce siempre que se suscriba para recuperar los recursos, se conecta a la puerta de enlace al iniciar una conexión o al enviar información de diagnóstico al servicio. El recurso de Microsoft Entra ID que se usa para esta autenticación es Azure Virtual Desktop (id. de aplicación 9cdead84-a844-4324-93f2-b2e6bb768d07).
Autenticación multifactor
Siga las instrucciones de Aplicación de la autenticación multifactor de Microsoft Entra para Azure Virtual Desktop mediante el acceso condicional para aprender a aplicar la autenticación multifactor de Microsoft Entra para la implementación. En ese artículo también se le indica cómo configurar la frecuencia con la que se solicita a los usuarios que escriban sus credenciales. Al implementar VM unidas a Microsoft Entra, tenga en cuenta los pasos adicionales para las VM de host de sesión unidas a Microsoft Entra.
Autenticación sin contraseñas
Puede usar cualquier tipo de autenticación compatible con Microsoft Entra ID, como Windows Hello para empresas y otras opciones de autenticación sin contraseña (por ejemplo, claves FIDO) para autenticarse en el servicio.
Autenticación con tarjeta inteligente
Para usar una tarjeta inteligente para autenticarse en Microsoft Entra ID, primero debe configurar la autenticación basada en certificados de Microsoft Entra o configurar AD FS para la autenticación con certificado de usuario.
Proveedores de identidad de otros fabricantes
Puede utilizar proveedores de identidad de terceros siempre que se federen con Microsoft Entra ID.
Autenticación de sesión remota
Si aún no ha habilitado el inicio de sesión único o ha guardado sus credenciales localmente, también deberá autenticarse en el host de sesión al iniciar una conexión.
Inicio de sesión único (SSO)
El inicio de sesión único permite que la conexión omita la solicitud de credenciales del host de sesión e inicie sesión automáticamente para el usuario en Windows mediante la autenticación de Microsoft Entra. En el caso de los hosts de sesión unidos a Microsoft Entra o a Microsoft Entra híbrido, se recomienda habilitar el SSO mediante la autenticación de Microsoft Entra. La autenticación de Microsoft Entra proporciona otras ventajas, incluida la autenticación sin contraseña y la compatibilidad con proveedores de identidades de terceros.
Azure Virtual Desktop también admite una inicio de sesión único mediante Servicios de federación de Active Directory (AD FS) para el Escritorio de Windows y los clientes web.
Sin SSO, el cliente solicita a los usuarios sus credenciales de host de sesión para cada conexión. La única forma de evitar que se le solicite es guardar las credenciales en el cliente. Se recomienda guardar credenciales solo en dispositivos seguros a fin de evitar que otros usuarios tengan acceso a los recursos.
Tarjeta inteligente o Windows Hello para empresas
Azure Virtual Desktop admite NT LAN Manager (NTLM) y Kerberos para la autenticación de host de sesión, pero la tarjeta inteligente y Windows Hello para empresas solo pueden usar Kerberos para iniciar sesión. Sin embargo, para utilizar Kerberos, el cliente debe obtener vales de seguridad de Kerberos de un servicio de Centro de distribución de claves (KDC) que se ejecute en un controlador de dominio. Para obtener vales, el cliente necesita una línea de visión de red directa al controlador de dominio. Puede obtener una línea de visión si se conecta directamente desde su red corporativa, mediante una conexión VPN o configurando un servidor proxy KDC.
Autenticación en sesión
Una vez que esté conectado al escritorio o a RemoteApp, es posible que se le pida autenticación dentro de la sesión. En esta sección se explica cómo usar credenciales que no sean nombre de usuario y contraseña en este escenario.
Autenticación sin contraseña en sesión
Azure Virtual Desktop admite la autenticación sin contraseña en sesión mediante Windows Hello para empresas o dispositivos de seguridad como claves FIDO cuando se utiliza el cliente de Windows Desktop. La autenticación sin contraseña se habilita automáticamente cuando el host de sesión y el equipo local usan los siguientes sistemas operativos:
- Sesión única o múltiple de Windows 11 con actualizaciones acumulativas de octubre de 2022 para Windows 11 (KB5018418) o posteriores instaladas.
- Sesión única o múltiple de Windows 10, versiones 20H2 o posteriores con actualizaciones acumulativas de octubre de 2022 para Windows 10 (KB5018410) o posteriores instaladas.
- Windows Server 2022 con la actualización acumulativa de octubre de 2022 para el sistema operativo de Microsoft Server (KB5018421) o posteriores instaladas.
Para desactivar la autenticación sin contraseña en su grupo de hosts, debe personalizar una propiedad RDP. Puede encontrar la propiedad de redirección WebAuthn en la pestaña Redireccionamiento de dispositivos en el Azure Portal o establecer la propiedad redirectwebauthn a 0 usando PowerShell.
Cuando está habilitada, todas las solicitudes de WebAuthn de la sesión se redirigen al equipo local. Puede usar Windows Hello para empresas o dispositivos de seguridad conectados localmente para completar el proceso de autenticación.
Para acceder a los recursos de Microsoft Entra con Windows Hello para empresas o dispositivos de seguridad, debe habilitar la clave de seguridad FIDO2 como método de autenticación para los usuarios. Para habilitar este método, siga los pasos descritos en Habilitar el método de claves de seguridad FIDO2.
Autenticación de tarjeta inteligente en sesión
Para usar una tarjeta inteligente en la sesión, asegúrese de haber instalado los controladores de tarjeta inteligente en el host de sesión y de haber habilitado la redirección de tarjeta inteligente. Revise los gráficos de comparación de Aplicación de Windows y la aplicación Escritorio remoto para que pueda usar el redireccionamiento de tarjetas inteligentes.
Pasos siguientes
- ¿Tiene curiosidad sobre otras formas de proteger la implementación? Consulte Procedimientos recomendados de seguridad.
- ¿Tiene problemas para conectarse a máquinas virtuales unidas a Microsoft Entra? Consulte Solucionar problemas de conexiones a máquinas virtuales unidas a Microsoft Entra.
- ¿Tiene problemas con la autenticación sin contraseña en sesión? Consulte la información de Solución de problemas de redirección de WebAuthn.
- ¿Quiere usar tarjetas inteligentes desde fuera de su red corporativa? Aprenda a configurar un servidor proxy KDC.