Configuración del comportamiento de bloqueo de sesión para Azure Virtual Desktop

Puede elegir si la sesión está desconectada o la pantalla de bloqueo remoto se muestra cuando el usuario o la directiva bloquean una sesión remota. Cuando el comportamiento del bloqueo de sesión se establece en desconexión, se muestra un cuadro de diálogo para que los usuarios sepan que estaban desconectados. Los usuarios pueden elegir la opción Volver a conectar del cuadro de diálogo cuando estén listos para conectarse de nuevo.

Cuando se usa con el inicio de sesión único mediante Microsoft Entra ID, la desconexión de la sesión proporciona las siguientes ventajas:

• Una experiencia de inicio de sesión coherente a través de Microsoft Entra ID cuando sea necesario.

• Una experiencia de inicio de sesión único y una reconexión sin solicitud de autenticación, cuando se permiten mediante directivas de acceso condicional.

• Compatibilidad con la autenticación sin contraseña, como claves de acceso y dispositivos FIDO2, contrariamente a la pantalla de bloqueo remoto. La desconexión de la sesión es necesaria para garantizar la compatibilidad completa con la autenticación sin contraseña.

• Las directivas de acceso condicional, incluida la autenticación multifactor y la frecuencia de inicio de sesión, se vuelven a evaluar cuando el usuario se vuelve a conectar a su sesión.

• Puede requerir la autenticación multifactor para volver a la sesión y evitar que los usuarios desbloqueen con un nombre de usuario y una contraseña sencillos.

En escenarios que se basan en la autenticación heredada, incluidos NTLM, CredSSP, RDSTLS, TLS y protocolos de autenticación básicas de RDP, se pide a los usuarios que vuelvan a escribir sus credenciales cuando se vuelvan a conectar o inicien una nueva conexión.

El comportamiento de bloqueo de sesión predeterminado es diferente en función de si usa el inicio de sesión único con Microsoft Entra ID o la autenticación heredada. En la tabla siguiente se muestra la configuración predeterminada para cada escenario:

Escenario	Configuración predeterminada
Inicio de sesión único con Microsoft Entra ID	Desconectar la sesión
Protocolos de autenticación heredados	Mostrar la pantalla de bloqueo remoto

En este artículo se muestra cómo cambiar el comportamiento del bloqueo de sesión de su configuración predeterminada mediante Microsoft Intune o directiva de grupo.

Requisitos previos

Seleccione la pestaña correspondiente para el método de configuración.

Intune

Para poder configurar el comportamiento del bloqueo de sesión, debe cumplir los siguientes requisitos previos:

• Un grupo de hosts existente con hosts de sesión.

• Los hosts de sesión deben ejecutar uno de los siguientes sistemas operativos con la actualización acumulativa correspondiente instalada:

  • Sesión única o sesión múltiple de Windows 11 con las Actualizaciones acumulativas 2024-05 para Windows 11 (KB5037770) o posteriores instaladas.
  • Windows 10 una o varias sesiones, versiones 21H2 o posteriores con las actualizaciones acumulativas de 2024-06 para Windows 10 (KB5039211) o posterior instaladas.
  • Windows Server 2022 con la actualización acumulativa de 2024-05 para el sistema operativo del servidor De Microsoft (KB5037782) o posterior instalado.

• Para configurar Intune, necesita lo siguiente:

  • Una cuenta de Microsoft Entra ID asignada a la Directiva y el administrador de perfiles rol RBAC integrado.
  • Un grupo que contiene los dispositivos que quiere configurar.

Directiva de grupo

Para poder configurar el comportamiento del bloqueo de sesión, debe cumplir los siguientes requisitos previos:

• Un grupo de hosts existente con hosts de sesión.

• Los hosts de sesión deben ejecutar uno de los siguientes sistemas operativos con la actualización acumulativa correspondiente instalada:

  • Sesión única o sesión múltiple de Windows 11 con las Actualizaciones acumulativas 2024-05 para Windows 11 (KB5037770) o posteriores instaladas.
  • Windows 10 una o varias sesiones, versiones 21H2 o posteriores con las actualizaciones acumulativas de 2024-06 para Windows 10 (KB5039211) o posterior instaladas.
  • Windows Server 2022 con la actualización acumulativa de 2024-05 para el sistema operativo del servidor De Microsoft (KB5037782) o posterior instalado.

• Para configurar la directiva de grupo, se necesita:

  • Una cuenta de dominio que tenga permiso para crear o editar objetos de directiva de grupo.
  • Un grupo de seguridad o una unidad organizativa (UO) que contenga los dispositivos que quiera configurar.

Configuración del comportamiento del bloqueo de sesión

Seleccione la pestaña correspondiente para el método de configuración.

Intune

Para configurar la experiencia de bloqueo de sesión mediante Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil Catálogo de configuración.

3. En el selector de configuración, vaya a Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Security.

   

4. Active la casilla para una de las siguientes opciones, en función de sus requisitos:

   • Para el inicio de sesión único con Microsoft Entra ID:

     1. Active la casilla de Desconectar sesión remota al bloquear la autenticación de la plataforma de identidad de Microsoft, y a continuación, cierre el selector de configuración.

     2. Expanda la categoría Plantillas administrativas, y a continuación, cambie el modificador para Desconectar sesión remota al bloquear la autenticación de la plataforma de identidad de Microsoft a Habilitado o Deshabilitado:

        • Para desconectar la sesión remota cuando la sesión se bloquea, cambie el modificador a Habilitado, y a continuación, seleccione Aceptar.

        • Para mostrar la pantalla de bloqueo remoto cuando se bloquea la sesión, cambie el modificador a Deshabilitado, y a continuación, seleccione Aceptar.

   • Para los protocolos de autenticación heredados:

     1. Active la casilla de Desconectar sesión remota en bloqueo para la autenticación heredada, y a continuación, cierre el selector de configuración.

     2. Expanda la categoría Plantillas administrativas, y a continuación, cambie el modificador Desconectar sesión remota al bloquear para autenticación heredada a Habilitado o Deshabilitado:

        • Para desconectar la sesión remota cuando la sesión se bloquea, cambie el modificador a Habilitado, y a continuación, seleccione Aceptar.

        • Para mostrar la pantalla de bloqueo remoto cuando se bloquea la sesión, cambie el modificador a Deshabilitado, y a continuación, seleccione Aceptar.

5. Seleccione Siguiente.

6. Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para obtener más información sobre las etiquetas de ámbito, consulte Utilizar el control de acceso basado en funciones (RBAC) y las etiquetas de alcance para la TI distribuida.

7. En la pestaña Asignaciones, seleccione el grupo que contiene los ordenadores que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.

8. En la pestaña Revisar y crear, examine la configuración y seleccione Crear.

9. Una vez que la directiva se aplica a los hosts de sesión, reiníciela para que la configuración surta efecto.

10. Para probar la configuración, conéctese a una sesión remota y a continuación, bloquee la sesión remota. Compruebe que la sesión se desconecta o se muestra la pantalla de bloqueo remoto, en función de la configuración.

Directiva de grupo

Para configurar la experiencia de bloqueo de sesión mediante la directiva de grupo, siga estos pasos.

1. La configuración de directiva de grupo solo está disponible para los sistemas operativos enumerados en Requisitos previos. Para que estén disponibles en otras versiones de Windows Server, debe copiar los archivos de plantilla administrativa C:\Windows\PolicyDefinitions\terminalserver.admx y C:\Windows\PolicyDefinitions\en-US\terminalserver.adml de un host de sesión a la misma ubicación en los controladores de dominio o el Almacén central de directiva de grupo, dependiendo de su entorno. En la ruta de acceso del archivo para terminalserver.adml reemplace en-US por el código de lenguaje adecuado si usa otro lenguaje.

2. Abra la consola de Administración de directivas de grupo en el dispositivo que use para administrar el dominio de Active Directory.

3. Cree o edite una directiva destinada a los ordenadores que proporcionan una sesión remota que desea configurar.

4. Vaya a Configuración del equipo>Directivas>Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>seguridad.

   

5. Haga doble clic en una de las siguientes opciones de configuración de directiva, en función de sus requisitos:

   • Para el inicio de sesión único con Microsoft Entra ID:

     1. Haga doble clic en Desconectar sesión remota al bloquear la autenticación de la plataforma de identidad de Microsoft para abrirla.

        • Para desconectar la sesión remota cuando se bloquea la sesión, seleccione Habilitado o No configurado.

        • Para mostrar la pantalla de bloqueo remoto cuando se bloquea la sesión, seleccione Deshabilitado.

     2. Seleccione Aceptar.

   • Para los protocolos de autenticación heredados:

     1. Haga doble clic en Desconectar sesión remota al bloquear la autenticación heredada para abrirla.

        • Para desconectar la sesión remota cuando se bloquea la sesión, seleccione Habilitado.

        • Para mostrar la pantalla de bloqueo remoto cuando se bloquea la sesión, seleccione Deshabilitado o No configurado.

     2. Seleccione Aceptar.

6. Asegúrese de que la directiva se aplica a los hosts de sesión y, a continuación, reinícielos para que la configuración surta efecto.

7. Para probar la configuración, conéctese a una sesión remota y a continuación, bloquee la sesión remota. Compruebe que la sesión se desconecta o se muestra la pantalla de bloqueo remoto, en función de la configuración.

Contenido relacionado

• Aprenda a Configuración del inicio de sesión único para Azure Virtual Desktop mediante Microsoft Entra ID.