Configuración del inicio de sesión único para Azure Virtual Desktop con Microsoft Entra ID

El inicio de sesión único (SSO) para Azure Virtual Desktop mediante Microsoft Entra ID proporciona una experiencia de inicio de sesión perfecta para los usuarios que se conectan a hosts de sesión. Al habilitar el inicio de sesión único, los usuarios se autentican en Windows mediante un token de Microsoft Entra ID. Este token permite el uso de la autenticación sin contraseña y de los proveedores de identidades de terceros que se federan con Microsoft Entra ID al conectarse a un host de sesión, lo que hace que la experiencia de inicio de sesión sea perfecta.

El inicio de sesión único mediante Microsoft Entra ID también proporciona una experiencia perfecta para los recursos basados en Microsoft Entra ID dentro de la sesión. Para obtener información sobre el uso de la autenticación sin contraseña en una sesión, consulte Autenticación sin contraseña en sesión.

Para habilitar el inicio de sesión único mediante la autenticación de Microsoft Entra ID, hay cinco tareas que debe completar:

1. Habilite la autenticación de Microsoft Entra para el Protocolo de escritorio remoto (RDP).

2. Ocultar el cuadro de diálogo de solicitud de consentimiento.

3. Cree un objeto de Kerberos Server, si Active Directory Domain Services forma parte de su entorno. En su sección se incluye más información sobre los criterios.

4. Revise las directivas de acceso condicional.

5. Configure el grupo de hosts para habilitar el inicio de sesión único.

Antes de habilitar el inicio de sesión único

Antes de habilitar el inicio de sesión único, revise la siguiente información sobre su uso en su entorno.

Comportamiento del bloqueo de sesión

Cuando el inicio de sesión único con Microsoft Entra ID está habilitado y la sesión remota está bloqueada, ya sea por el usuario o por directiva, puede elegir si la sesión está desconectada o la pantalla de bloqueo remoto que se muestra. El comportamiento predeterminado es desconectar la sesión cuando se bloquea.

Cuando el comportamiento del bloqueo de sesión se establece en desconexión, se muestra un cuadro de diálogo para que los usuarios sepan que estaban desconectados. Los usuarios pueden elegir la opción Volver a conectar del cuadro de diálogo cuando estén listos para conectarse de nuevo. Este comportamiento se realiza por motivos de seguridad y para garantizar la compatibilidad completa con la autenticación sin contraseña. La desconexión de la sesión proporciona las siguientes ventajas:

• Experiencia de inicio de sesión coherente a través de Microsoft Entra ID cuando sea necesario.

• Experiencia de inicio de sesión único y reconexión sin solicitud de autenticación cuando las directivas de acceso condicional lo permiten.

• Admite la autenticación sin contraseña, como las claves de acceso y los dispositivos FIDO2, contrariamente a la pantalla de bloqueo remoto.

• Las directivas de acceso condicional, incluida la autenticación multifactor y la frecuencia de inicio de sesión, se vuelven a evaluar cuando el usuario se vuelve a conectar a su sesión.

• Puede requerir la autenticación multifactor para volver a la sesión y evitar que los usuarios se desbloqueen con un nombre de usuario y una contraseña simples.

Si desea configurar el comportamiento del bloqueo de sesión para mostrar la pantalla de bloqueo remoto en lugar de desconectar la sesión, consulte Configuración del comportamiento del bloqueo de sesión.

Cuentas de administrador de dominio de Active Directory con inicio de sesión único

En entornos con un Active Directory Domain Services (AD DS) y cuentas de usuario híbridas, la directiva de replicación de contraseñas predeterminada sobre controladores de dominio de solo lectura rechaza la replicación de contraseñas para los miembros de los grupos de seguridad Administradores de dominio y Administradores. Esta directiva impedirá que estas cuentas de administrador inicien sesión en hosts unidos a Microsoft Entra híbrido y se les podría seguir solicitando que introduzcan sus credenciales. También impedirá que las cuentas de administrador accedan a recursos locales que saquen provecho de la autenticación Kerberos desde hosts unidos a Microsoft Entra. No se recomienda conectarse a una sesión remota mediante una cuenta que sea un administrador de dominio por motivos de seguridad.

Si necesita realizar cambios en un host de sesión como administrador, inicie sesión en el host de sesión mediante una cuenta que no sea de administrador, use la opción Ejecutar como administrador o la herramienta Ejecutar como desde un símbolo del sistema para cambiar a un administrador.

Requisitos previos

Para poder habilitar el inicio de sesión único, debe cumplir los siguientes requisitos:

• Para configurar el inquilino de Microsoft Entra, debe tener asignado uno de los siguientes roles integrados de Microsoft Entra o equivalentes:

  • Administrador de aplicaciones

  • Administrador de aplicaciones en la nube

• Los hosts de sesión deben ejecutar uno de los siguientes sistemas operativos con la actualización acumulativa correspondiente instalada:

  • Sesión única o múltiple de Windows 11 Enterprise con actualizaciones acumulativas de octubre de 2022 para Windows 11 (KB5018418) o posteriores instaladas.

  • Sesión única o múltiple de Windows 10 Enterprise con actualizaciones acumulativas de octubre de 2022 para Windows 10 (KB5018410) o posteriores instaladas.

  • Windows Server 2022 con la actualización acumulativa de octubre de 2022 para el sistema operativo de Microsoft Server (KB5018421) o posteriores instaladas.

• Los hosts de sesión deben estar unidos a Microsoft Entra o Microsoft Entra híbrido. Los hosts de sesión unidos a Active Directory Domain Services o Microsoft Entra Domain Services son los únicos que non tienen soporte.

  Si los hosts de sesión unidos a Microsoft Entra híbrido están en un dominio de Active Directory diferente al de las cuentas de usuario, debe haber una confianza bidireccional entre los dos dominios. Sin la confianza bidireccional, las conexiones se revertirán a los protocolos de autenticación más antiguos.

• Instale la aversión 2.9.0 o posterior del SDK de PowerShell de Microsoft Graph en el dispositivo local o en Azure Cloud Shell.

• Un cliente de Escritorio remoto con soporte para conectarse a una sesión remota. Se admiten los siguientes clientes:

  • Cliente de escritorio de Windows en equipos locales que ejecuten Windows 10 o versiones posteriores. No es necesario que el equipo local se una a un dominio de Active Directory o a Microsoft Entra ID.

  • Cliente web.

  • Cliente macOS, versión 10.8.2 o posterior.

  • Cliente iOS, versión 10.5.1 o posterior.

  • Cliente Android, versión 10.0.16 o posterior.

Habilitación de la autenticación de Microsoft Entra para RDP

Primero debe permitir la autenticación de Microsoft Entra para Windows en el inquilino de Microsoft Entra, lo que permite emitir tokens de acceso RDP y que los usuarios puedan iniciar sesión en los hosts de sesión de Azure Virtual Desktop. Establezca la propiedad isRemoteDesktopProtocolEnabled en True en el objeto remoteDesktopSecurityConfiguration de la entidad de servicio para las siguientes aplicaciones de Microsoft Entra:

Nombre de la aplicación	Identificador de la aplicación
Escritorio remoto de Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Inicio de sesión en la nube de Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Como parte de un próximo cambio, estamos realizando la transición de Escritorio remoto de Microsoft a Inicio de sesión en la nube de Windows a partir de 2024. Si configura ambas aplicaciones, ahora tendrá la garantía de tener todo listo para el cambio.

Para configurar la entidad de servicio, use el SDK de PowerShell de Microsoft Graph para crear un nuevo objeto remoteDesktopSecurityConfigurationen la entidad de servicio y establezca la propiedadisRemoteDesktopProtocolEnabled en true. También puede usar Microsoft Graph API con una herramienta como Graph Explorer.

1. Abra Azure Cloud Shell en Azure Portal con el tipo de terminal PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure de esté establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, primero inicie sesión con Azure PowerShell y asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

2. Compruebe que ha instalado el SDK de PowerShell de Microsoft Graph desde los requisitos previos y, a continuación, importe los módulos Autenticación y Aplicaciones de Microsoft Graph y conéctese a Microsoft Graph con los ámbitos de Application.Read.All y Application-RemoteDesktopConfig.ReadWrite.All mediante la ejecución de los siguientes comandos:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Obtenga el id. de objeto de cada entidad de servicio y almacénelos en variables mediante la ejecución de los siguientes comandos:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Ejecute los siguientes comandos para establecer la propiedad isRemoteDesktopProtocolEnabled en true. No hay ninguna salida de estos comandos.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Ejecute los siguientes comandos para confirmar que la propiedad isRemoteDesktopProtocolEnabled está establecida en true:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   La salida debe ser:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Ocultar el cuadro de diálogo de solicitud de consentimiento

De forma predeterminada, cuando el inicio de sesión único está habilitado, los usuarios ven un cuadro de diálogo para permitir la conexión a Escritorio remoto al conectarse a un nuevo host de sesión. Microsoft Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar. Si los usuarios ven este diálogo para permitir la conexión a Escritorio remoto, pueden seleccionar Sí para conectarse.

Puede ocultar este cuadro de diálogo configurando una lista de dispositivos de confianza. Para configurar la lista de dispositivos, cree uno o varios grupos en Microsoft Entra ID que contenga los hosts de sesión y, a continuación, agregue los identificadores de grupo a una propiedad en las entidades de servicio de SSO, Escritorio remoto de Microsoft e Inicio de sesión en la nube de Windows.

Sugerencia

Se recomienda usar un grupo dinámico y configurar las reglas de pertenencia dinámica para incluir todos los hosts de sesión de Azure Virtual Desktop. Puede usar los nombres de dispositivo de este grupo, pero para beneficiarse de una opción más segura, puede establecer y usar atributos de extensión de dispositivo mediante Microsoft Graph API. Aunque los grupos dinámicos normalmente se actualizan en un plazo de 5 a 10 minutos, los inquilinos grandes pueden tardar hasta 24 horas.

Para usar grupos dinámicos, se necesita una licencia de Microsoft Entra ID P1 o una licencia de Intune para Educación. Para obtener más información, consulte Reglas de pertenencia dinámica para grupos.

Para configurar la entidad de servicio, use el SDK de PowerShell de Microsoft Graph para crear un nuevo objeto targetDeviceGroup en la entidad de servicio con el id. de objeto y el nombre para mostrar del grupo dinámico. También puede usar Microsoft Graph API con una herramienta como Graph Explorer.

1. Cree un grupo dinámico en Microsoft Entra ID que contenga los hosts de sesión para los que desea ocultar el diálogo. Anote el id. de objeto del grupo para el paso siguiente.

2. En la misma sesión de PowerShell, cree un objeto de targetDeviceGroup ejecutando los siguientes comandos, reemplazando el <placeholders> por sus propios valores:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Ejecute los siguientes comandos para agregar el grupo al objeto targetDeviceGroup:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   La salida debe ser similar a la del siguiente ejemplo:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Repita los pasos 2 y 3 para cada grupo que quiera agregar al objeto targetDeviceGroup, hasta un máximo de 10 grupos.

4. Si más adelante necesita quitar un grupo de dispositivos del objeto targetDeviceGroup, ejecute los comandos siguientes y reemplace el <placeholders> por sus propios valores:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Crear un objeto de servidor Kerberos

Debe Crear un objeto de servidor Kerberos si su host de sesión cumple los siguientes criterios. Para obtener más información, consulte Habilitación del inicio de sesión de clave de seguridad sin contraseña en recursos locales mediante Microsoft Entra ID, específicamente la sección para Crear un objeto Kerberos Server:

• El host de sesión está unido a Microsoft Entra híbrido. Debe tener un objeto de servidor Kerberos para completar la autenticación en un controlador de dominio.

• Su host de sesión está unido a Microsoft Entra y su entorno contiene controladores de dominio de Active Directory. Debe tener un objeto de servidor Kerberos para que los usuarios accedan a recursos locales, como recursos compartidos SMB y autenticaciones a sitios web integradas con Windows.

Importante

Si habilita el inicio de sesión único en hosts de sesión unidos híbridos de Microsoft Entra sin crear un objeto de servidor Kerberos, se puede producir una de las siguientes cosas al intentar conectarse a una sesión remota:

• Recibe un mensaje de error diciendo que la sesión específica no existe.
• El inicio de sesión único se omitirá y verá un diálogo de autenticación estándar para el host de sesión.

Para resolver estas incidencias, cree el objeto de servidor Kerberos antes de intentar volver a conectar.

Revisión de las directivas de acceso condicional

Cuando el inicio de sesión único está habilitado, se introduce una nueva aplicación de Microsoft Entra ID para autenticar a los usuarios en el host de sesión. Si tiene directivas de acceso condicional que se aplican al acceder a Azure Virtual Desktop, revise las recomendaciones sobre cómo configurar la autenticación multifactor para asegurarse de que los usuarios tengan la experiencia deseada.

Configurar el grupo de hosts para habilitar el inicio de sesión único

Para habilitar el inicio de sesión único en su grupo de hosts, necesita configurar la siguiente propiedad RDP, lo cual puede hacer mediante Azure Portal o PowerShell. Encontrará los pasos para configurar las propiedades RDP en Personalización de las propiedades de Protocolo de escritorio remoto (RDP) para un grupo de hosts.

• En Azure Portal, establezca Inicio de sesión único en Microsoft Entra en Las conexiones usarán la autenticación de Microsoft Entra para proveer el inicio de sesión único.

• En PowerShell, establezca la propiedad enablerdsaadauth en 1.

Pasos siguientes

• Consulte Autenticación sin contraseña en sesión para obtener información sobre cómo habilitar la autenticación sin contraseña.

• Aprenda a Configurar el comportamiento de bloqueo de sesión para Azure Virtual Desktop.

• Para obtener más información sobre Kerberos de Microsoft Entra, consulte Deep dive: How Microsoft Entra Kerberos works (en inglés).

• Si tiene algún problema, vaya a Solución de problemas de conexiones a máquinas virtuales unidas a Microsoft Entra.