Accedere a una macchina virtuale Windows in Azure usando Azure AD

Le organizzazioni possono migliorare la sicurezza delle macchine virtuali Windows in Azure grazie all'integrazione con l'autenticazione di Azure Active Directory (Azure AD). È ora possibile usare Azure AD come piattaforma di autenticazione principale per RDP in Windows Server 2019 Datacenter Edition e versioni successive o Windows 10 1809 e versioni successive. È quindi possibile controllare e applicare centralmente il controllo degli accessi in base al ruolo di Azure e i criteri di accesso condizionale che consentono o negano l'accesso alle macchine virtuali.

Questo articolo illustra come creare e configurare una macchina virtuale Windows e accedere usando l'autenticazione basata su Azure AD.

L'uso dell'autenticazione basata su Azure AD offre molti vantaggi per la sicurezza per accedere alle macchine virtuali Windows in Azure. e comprendono:

  • Usare le credenziali di Azure AD per accedere alle macchine virtuali Windows in Azure. Il risultato è costituito da utenti di dominio federati e gestiti.

  • Ridurre la dipendenza da account amministratore locali.

  • La complessità delle password e i criteri di durata delle password configurati per Azure AD consentono anche di proteggere le macchine virtuali Windows.

  • Con il controllo degli accessi in base al ruolo di Azure:

    • Specificare chi può accedere a una macchina virtuale come utente normale o con privilegi di amministratore.
    • Quando gli utenti accedono o lasciano il team, è possibile aggiornare i criteri di controllo degli accessi in base al ruolo di Azure per la macchina virtuale per concedere l'accesso in base alle esigenze.
    • Quando i dipendenti lasciano l'organizzazione e i relativi account utente vengono disabilitati o rimossi da Azure AD, non hanno più accesso alle risorse.
  • Configurare i criteri di accesso condizionale per richiedere l'autenticazione a più fattori (MFA) e altri segnali, ad esempio il rischio di accesso utente, prima di poter accedere a RDP nelle macchine virtuali Windows.

  • Usare Criteri di Azure per distribuire e controllare i criteri per richiedere l'accesso di Azure AD per le macchine virtuali Windows e contrassegnare l'uso di account locali non approvati nelle macchine virtuali.

  • Usare Intune per automatizzare e ridimensionare l'aggiunta ad Azure AD con la registrazione automatica di macchine virtuali Windows di Azure che fanno parte delle distribuzioni VDI (Virtual Desktop Infrastructure).

    La registrazione automatica MDM richiede licenze Azure AD Premium P1. Le macchine virtuali Windows Server non supportano la registrazione MDM.

Nota

Dopo aver abilitato questa funzionalità, le macchine virtuali Windows in Azure verranno aggiunte ad Azure AD. Non è possibile aggiungerli a un altro dominio, ad esempio Active Directory locale o Azure Active Directory Domain Services. Se è necessario eseguire questa operazione, disconnettere la macchina virtuale da Azure AD disinstallando l'estensione.

Requisiti

Aree di Azure supportate e distribuzioni di Windows

Questa funzionalità supporta attualmente le distribuzioni di Windows seguenti:

  • Windows Server 2019 Datacenter e versioni successive
  • Windows 10 1809 e versioni successive

Importante

La connessione remota alle macchine virtuali aggiunte ad Azure AD è consentita solo da Windows 10 o versioni successive pc registrati in Azure AD (a partire da Windows 10 20H1), aggiunti ad Azure AD o aggiunti ad Azure AD ibrido alla stessa directory della macchina virtuale.

Questa funzionalità è ora disponibile nei cloud di Azure seguenti:

  • Azure Global
  • Azure Government
  • Azure Cina 21Vianet

Requisiti di rete

Per abilitare l'autenticazione di Azure AD per le macchine virtuali Windows in Azure, è necessario assicurarsi che la configurazione di rete della macchina virtuale consenta l'accesso in uscita agli endpoint seguenti sulla porta TCP 443.

Azure globale:

  • https://enterpriseregistration.windows.net: per la registrazione del dispositivo.
  • http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
  • https://login.microsoftonline.com: per i flussi di autenticazione.
  • https://pas.windows.net: per i flussi di controllo degli accessi in base al ruolo di Azure.

Azure per enti pubblici:

  • https://enterpriseregistration.microsoftonline.us: per la registrazione del dispositivo.
  • http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
  • https://login.microsoftonline.us: per i flussi di autenticazione.
  • https://pasff.usgovcloudapi.net: per i flussi di controllo degli accessi in base al ruolo di Azure.

Azure China (21Vianet):

  • https://enterpriseregistration.partner.microsoftonline.cn: per la registrazione del dispositivo.
  • http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
  • https://login.chinacloudapi.cn: per i flussi di autenticazione.
  • https://pas.chinacloudapi.cn: per i flussi di controllo degli accessi in base al ruolo di Azure.

Abilitare l'accesso di Azure AD per una macchina virtuale Windows in Azure

Per usare l'account di accesso di Azure AD per una macchina virtuale Windows in Azure, è necessario:

  1. Abilitare l'opzione di accesso di Azure AD per la macchina virtuale.
  2. Configurare le assegnazioni di ruolo di Azure per gli utenti autorizzati ad accedere alla macchina virtuale.

Esistono due modi per abilitare l'accesso di Azure AD per la macchina virtuale Windows:

  • Il portale di Azure, quando si crea una macchina virtuale Windows.
  • Azure Cloud Shell, quando si crea una macchina virtuale Windows o si usa una macchina virtuale Windows esistente.

Portale di Azure

È possibile abilitare l'accesso di Azure AD per le immagini di macchine virtuali in Windows Server 2019 Datacenter o Windows 10 1809 e versioni successive.

Per creare una macchina virtuale Windows Server 2019 Datacenter in Azure con l'account di accesso di Azure AD:

  1. Accedere al portale di Azure usando un account che ha accesso per creare macchine virtuali e selezionare + Crea una risorsa.

  2. Nella barra di ricerca cerca nel Marketplace digitare Windows Server.

  3. Selezionare Windows Server e quindi scegliere Windows Server 2019 Datacenter dall'elenco a discesa Seleziona un piano software .

  4. Selezionare Crea.

  5. Nella scheda Gestione selezionare la casella di controllo Account di accesso con Azure AD nella sezione Azure AD .

    Screenshot che mostra la scheda Gestione nella pagina portale di Azure per la creazione di una macchina virtuale.

  6. Assicurarsi che l'identità gestita assegnata dal sistema nella sezione Identità sia selezionata. Questa azione deve essere eseguita automaticamente dopo aver abilitato l'accesso con Azure AD.

  7. Esaminare il resto dell'esperienza di creazione di una macchina virtuale. Sarà necessario creare un nome utente e una password di amministratore per la macchina virtuale.

Nota

Per accedere alla macchina virtuale usando le credenziali di Azure AD, è prima necessario configurare le assegnazioni di ruolo per la macchina virtuale.

Azure Cloud Shell

Azure Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Gli strumenti comuni di Azure sono preinstallati e configurati in Cloud Shell per l'uso con l'account. Basta selezionare il pulsante Copia per copiare il codice, incollarlo in Cloud Shell e quindi selezionare la chiave INVIO per eseguirla. Esistono alcuni modi per aprire Cloud Shell:

  • Selezionare Prova nell'angolo superiore destro di un blocco di codice.
  • Aprire Cloud Shell nel browser.
  • Selezionare il pulsante Cloud Shell nel menu nell'angolo superiore destro del portale di Azure.

Questo articolo richiede l'esecuzione dell'interfaccia della riga di comando di Azure versione 2.0.31 o successiva. Eseguire az --version per trovare la versione. Se è necessario installare o aggiornare, vedere l'articolo Installare l'interfaccia della riga di comando di Azure.

  1. Creare un gruppo di risorse eseguendo az group create.
  2. Creare una macchina virtuale eseguendo az vm create. Usare una distribuzione supportata in un'area supportata.
  3. Installare l'estensione della macchina virtuale di accesso di Azure AD.

Nell'esempio seguente viene distribuita una macchina virtuale denominata myVM (che usa Win2019Datacenter) in un gruppo di risorse denominato myResourceGroup, nell'area southcentralus . In questo esempio e quello successivo è possibile specificare il proprio gruppo di risorse e i nomi delle macchine virtuali in base alle esigenze.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Nota

È necessario abilitare l'identità gestita assegnata dal sistema nella macchina virtuale prima di installare l'estensione della macchina virtuale di accesso di Azure AD.

La creazione della VM e delle risorse di supporto richiede alcuni minuti.

Installare infine l'estensione della macchina virtuale di accesso di Azure AD per abilitare l'accesso di Azure AD per le macchine virtuali Windows. Le estensioni della macchina virtuale sono piccole applicazioni che eseguono attività di configurazione e automazione post-distribuzione nelle macchine virtuali di Azure. Usare az vm extension set per installare l'estensione AADLoginForWindows nella macchina virtuale denominata myVM nel myResourceGroup gruppo di risorse.

È possibile installare l'estensione AADLoginForWindows in un'istanza esistente di Windows Server 2019 o Windows 10 1809 e versioni successive per abilitarla per l'autenticazione di Azure AD. L'esempio seguente usa l'interfaccia della riga di comando di Azure per installare l'estensione :

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Dopo aver installato l'estensione nella macchina virtuale, provisioningState viene visualizzato Succeeded.

Configurare le assegnazioni di ruolo per la macchina virtuale

Dopo aver creato la macchina virtuale, è necessario configurare un criterio di controllo degli accessi in base al ruolo di Azure per determinare chi può accedere alla macchina virtuale. Per autorizzare l'accesso alla macchina virtuale vengono usati due ruoli di Azure:

  • Accesso amministratore macchina virtuale: gli utenti a cui è assegnato questo ruolo possono accedere a una macchina virtuale di Azure con privilegi di amministratore.
  • Accesso utente macchina virtuale: gli utenti a cui è assegnato questo ruolo possono accedere a una macchina virtuale di Azure con privilegi utente regolari.

Per consentire a un utente di accedere alla macchina virtuale tramite RDP, è necessario assegnare il ruolo Accesso amministratore macchina virtuale o Accesso utente macchina virtuale al gruppo di risorse che contiene la macchina virtuale e la rete virtuale associata, l'interfaccia di rete, l'indirizzo IP pubblico o le risorse di bilanciamento del carico.

Nota

L'elevazione manuale di un utente per diventare un amministratore locale nella macchina virtuale aggiungendo l'utente a un membro del gruppo administrators locale o eseguendo net localgroup administrators /add "AzureAD\UserUpn" il comando non è supportato. È necessario usare i ruoli di Azure precedenti per autorizzare l'accesso alla macchina virtuale.

Un utente di Azure a cui è assegnato il ruolo Proprietario o Collaboratore per una macchina virtuale non dispone automaticamente dei privilegi per accedere alla macchina virtuale tramite RDP. Il motivo è fornire una separazione audited tra il set di persone che controllano le macchine virtuali e il set di persone che possono accedere alle macchine virtuali.

Esistono due modi per configurare le assegnazioni di ruolo per una macchina virtuale:

  • Esperienza del portale di Azure AD
  • Esperienza Cloud Shell di Azure

Nota

I ruoli Accesso amministratore macchina virtuale e Accesso utente macchina virtuale usano dataActions, in modo che non possano essere assegnati nell'ambito del gruppo di gestione. Attualmente, è possibile assegnare questi ruoli solo nell'ambito della sottoscrizione, del gruppo di risorse o della risorsa.

Portale di Azure AD

Per configurare le assegnazioni di ruolo per le macchine virtuali Windows Server 2019 Datacenter abilitate per Azure AD:

  1. Per Gruppo di risorse selezionare il gruppo di risorse che contiene la macchina virtuale e la rete virtuale associata, l'interfaccia di rete, l'indirizzo IP pubblico o la risorsa di bilanciamento del carico.

  2. Selezionare Controllo di accesso (IAM) .

  3. Selezionare Aggiungi aggiungi>assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo .

  4. Assegnare il ruolo seguente. Per i passaggi dettagliati, vedere Assegnare ruoli di Azure usando il portale di Azure.

    Impostazione valore
    Ruolo Accesso amministratore macchina virtuale o account di accesso utente macchina virtuale
    Assegna accesso a Utente, gruppo, entità servizio o identità gestita

    Screenshot che mostra la pagina per l'aggiunta di un'assegnazione di ruolo nel portale di Azure.

Azure Cloud Shell

L'esempio seguente usa az role assignment create per assegnare il ruolo Accesso amministratore alle macchine virtuali alla macchina virtuale per l'utente di Azure corrente. Si ottiene il nome utente dell'account Azure corrente usando az account show e si imposta l'ambito sulla macchina virtuale creata in un passaggio precedente usando az vm show.

È anche possibile assegnare l'ambito a livello di gruppo di risorse o sottoscrizione. Si applicano le normali autorizzazioni di ereditarietà del controllo degli accessi in base al ruolo di Azure.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Nota

Se il dominio del dominio di Azure AD e il dominio del nome utente di accesso non corrispondono, è necessario specificare l'ID oggetto dell'account utente usando --assignee-object-id, non solo il nome utente per --assignee. È possibile ottenere l'ID oggetto per l'account utente usando az ad user list.

Per altre informazioni su come usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse della sottoscrizione di Azure, vedere gli articoli seguenti:

Applicare i criteri di accesso condizionale

È possibile applicare criteri di accesso condizionale, ad esempio l'autenticazione a più fattori o il controllo dei rischi di accesso utente, prima di autorizzare l'accesso alle macchine virtuali Windows in Azure abilitate con l'accesso di Azure AD. Per applicare un criterio di accesso condizionale, è necessario selezionare l'app di accesso alle macchine virtuali Windows di Azure dall'opzione di assegnazione di app cloud o azioni. Usare quindi il rischio di accesso come condizione e/o richiedere l'autenticazione a più fattori come controllo per concedere l'accesso.

Nota

Se è necessaria l'autenticazione a più fattori come controllo per concedere l'accesso all'app di Sign-In macchina virtuale Windows di Azure, è necessario fornire un'attestazione MFA come parte del client che avvia la sessione RDP alla macchina virtuale Windows di destinazione in Azure. L'unico modo per ottenere questo risultato in un client Windows 10 o versione successiva consiste nell'usare un PIN Windows Hello for Business o l'autenticazione biometrica con il client RDP. Il supporto per l'autenticazione biometrica è stato aggiunto al client RDP in Windows 10 versione 1809.

Desktop remoto con autenticazione Windows Hello for Business è disponibile solo per le distribuzioni che usano un modello di attendibilità dei certificati. Non è attualmente disponibile per un modello di trust chiave.

Accedere usando le credenziali di Azure AD a una macchina virtuale Windows

Importante

La connessione remota alle macchine virtuali aggiunte ad Azure AD è consentita solo da pc Windows 10 o versioni successive registrati in Azure AD (la build minima richiesta è 20H1) o aggiunti ad Azure AD o aggiunti ad Azure AD ibrido alla stessa directory della macchina virtuale. Inoltre, per rdp usando le credenziali di Azure AD, gli utenti devono appartenere a uno dei due ruoli di Azure, accesso amministratore macchina virtuale o accesso utente macchina virtuale.

Se si usa un computer registrato in Azure AD Windows 10 o versione successiva, è necessario immettere le credenziali nel AzureAD\UPN formato , ad esempio AzureAD\john@contoso.com. A questo punto, è possibile usare Azure Bastion per accedere con l'autenticazione di Azure AD tramite l'interfaccia della riga di comando di Azure e il client RDP nativo mstsc.

Per accedere alla macchina virtuale Windows Server 2019 usando Azure AD:

  1. Passare alla pagina di panoramica della macchina virtuale abilitata con l'account di accesso di Azure AD.
  2. Selezionare Connetti per aprire il riquadro Connetti alla macchina virtuale .
  3. Selezionare Scarica file RDP.
  4. Selezionare Apri per aprire il client connessione Desktop remoto.
  5. Selezionare Connetti per aprire la finestra di dialogo di accesso di Windows.
  6. Accedere usando le credenziali di Azure AD.

A questo momento è stato effettuato l'accesso alla macchina virtuale windows Server 2019 di Azure con le autorizzazioni del ruolo assegnate, ad esempio utente della macchina virtuale o amministratore della macchina virtuale.

Nota

È possibile salvare il file con estensione rdp in locale nel computer per avviare connessioni desktop remoto future alla macchina virtuale, invece di passare alla pagina di panoramica della macchina virtuale nel portale di Azure e usando l'opzione di connessione.

Usare Criteri di Azure per soddisfare gli standard e valutare la conformità

Usare Criteri di Azure per:

  • Assicurarsi che l'account di accesso di Azure AD sia abilitato per le macchine virtuali Windows nuove ed esistenti.
  • Valutare la conformità dell'ambiente su larga scala in un dashboard di conformità.

Con questa funzionalità, è possibile usare molti livelli di imposizione. È possibile contrassegnare macchine virtuali Windows nuove ed esistenti all'interno dell'ambiente in cui non è abilitato l'accesso ad Azure AD. È anche possibile usare Criteri di Azure per distribuire l'estensione Azure AD in nuove macchine virtuali Windows che non dispongono dell'account di accesso di Azure AD abilitato e correggere le macchine virtuali Windows esistenti allo stesso standard.

Oltre a queste funzionalità, è possibile usare Criteri di Azure per rilevare e contrassegnare le macchine virtuali Windows con account locali non approvati creati nei computer. Per altre informazioni, vedere Criteri di Azure.

Risolvere i problemi di distribuzione

Per completare il processo di aggiunta ad Azure AD, l'estensione AADLoginForWindows deve essere installata correttamente. Se l'estensione della macchina virtuale non viene installata correttamente, seguire questa procedura:

  1. RDP alla macchina virtuale usando l'account amministratore locale ed esaminare il file CommandExecution.log in C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Nota

    Se l'estensione viene riavviata dopo l'errore iniziale, il log con l'errore di distribuzione verrà salvato come CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Aprire una finestra di PowerShell nella macchina virtuale. Verificare che le query seguenti sull'endpoint del servizio metadati dell'istanza di Azure in esecuzione nell'host di Azure restituisca l'output previsto:

    Comando da eseguire Output previsto
    curl -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Correggere le informazioni sulla macchina virtuale di Azure
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" ID tenant valido associato alla sottoscrizione di Azure
    curl -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Token di accesso valido rilasciato da Azure Active Directory per l'identità gestita assegnata a questa macchina virtuale

    Nota

    È possibile decodificare il token di accesso usando uno strumento come calebb.net. Verificare che il oid valore nel token di accesso corrisponda all'identità gestita assegnata alla macchina virtuale.

  3. Assicurarsi che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Nota

    Sostituire <TenantID> con l'ID tenant di Azure AD associato alla sottoscrizione di Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.nete pas.windows.net deve restituire 404 Non trovato, che è il comportamento previsto.

  4. Visualizzare lo stato del dispositivo eseguendo dsregcmd /status. L'obiettivo è che lo stato del dispositivo venga visualizzato come AzureAdJoined : YES.

    Nota

    L'attività di join di Azure AD viene acquisita in Visualizzatore eventi nel log Registrazione dispositivo utente\Amministrazione all'indirizzo Visualizzatore eventi (locale)\Applications and Services Logs\Microsoft\Windows\User Device Registration\Amministrazione.

Se l'estensione AADLoginForWindows ha esito negativo con un codice di errore, è possibile eseguire la procedura seguente.

Codice errore del terminale 1007 e codice di uscita -2145648574.

Codice errore del terminale 1007 e codice di uscita -2145648574 tradurre in DSREG_E_MSI_TENANTID_UNAVAILABLE. L'estensione non può eseguire query sulle informazioni del tenant di Azure AD.

Connettersi alla macchina virtuale come amministratore locale e verificare che l'endpoint restituisca un ID tenant valido dal servizio metadati dell'istanza di Azure. Eseguire il comando seguente da una finestra di PowerShell con privilegi elevati nella macchina virtuale:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Questo problema può verificarsi anche quando l'amministratore della macchina virtuale tenta di installare l'estensione AADLoginForWindows, ma un'identità gestita assegnata dal sistema non ha abilitato prima la macchina virtuale. In tal caso, passare al riquadro Identità della macchina virtuale. Nella scheda Sistema assegnato verificare che l'interruttore Stato sia impostato su Attiva.

Codice di uscita -2145648607

Il codice di uscita -2145648607 si traduce in DSREG_AUTOJOIN_DISC_FAILED. L'estensione non può raggiungere l'endpoint https://enterpriseregistration.windows.net .

  1. Verificare che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Nota

    Sostituire <TenantID> con l'ID tenant di Azure AD associato alla sottoscrizione di Azure. Se è necessario trovare l'ID tenant, è possibile passare il puntatore del mouse sul nome dell'account o selezionare Azure Active Directory>Properties>Directory ID nella portale di Azure.

    I tentativi di connessione a enterpriseregistration.windows.net potrebbero restituire 404 Not Found, ovvero il comportamento previsto. Tenta di connettersi a pas.windows.net potrebbe richiedere le credenziali del PIN o potrebbe restituire 404 Not Found. Non è necessario immettere il PIN. Una è sufficiente per verificare che l'URL sia raggiungibile.

  2. Se uno dei comandi ha esito negativo con "Impossibile risolvere l'host <URL>", provare a eseguire questo comando per determinare quale server DNS sta usando la macchina virtuale:

    nslookup <URL>

    Nota

    Sostituire <URL> con i nomi di dominio completi usati dagli endpoint, ad esempio login.microsoftonline.com.

  3. Verificare se specificare un server DNS pubblico consente al comando di avere esito positivo:

    nslookup <URL> 208.67.222.222

  4. Se necessario, modificare il server DNS assegnato al gruppo di sicurezza di rete a cui appartiene la macchina virtuale di Azure.

Codice di uscita 51

Il codice di uscita 51 si traduce in "Questa estensione non è supportata nel sistema operativo della macchina virtuale".

L'estensione AADLoginForWindows è destinata a essere installata solo in Windows Server 2019 o Windows 10 (Build 1809 o versione successiva). Assicurarsi che sia supportata la versione o la compilazione di Windows. Se non è supportata, disinstallare l'estensione.

Risolvere i problemi di accesso

Usare le informazioni seguenti per correggere i problemi di accesso.

È possibile visualizzare lo stato del dispositivo e dell'accesso Single Sign-On (SSO) eseguendo dsregcmd /status. L'obiettivo è che lo stato del dispositivo venga visualizzato come AzureAdJoined : YES e per visualizzare AzureAdPrt : YESlo stato SSO .

L'accesso RDP tramite account Azure AD viene acquisito in Visualizzatore eventi nei log eventi AAD\Operational.

Ruolo di Azure non assegnato

È possibile che venga visualizzato il messaggio di errore seguente quando si avvia una connessione desktop remoto alla macchina virtuale: "L'account è configurato per impedire l'uso di questo dispositivo. Per altre informazioni, contattare l'amministratore del sistema.

Screenshot del messaggio che indica che l'account è configurato per impedire l'uso di questo dispositivo.

Verificare che siano stati configurati criteri di controllo degli accessi in base al ruolo di controllo degli accessi in base al ruolo di controllo degli accessi in base al ruolo di controllo degli accessi in base al ruolo per l'utente della macchina virtuale che concede all'utente l'account di accesso amministratore macchina virtuale o l'account di accesso utente della macchina virtuale.

Nota

Se si verificano problemi con le assegnazioni di ruolo di Azure, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure.

Richiesta di modifica del client o della password non autorizzata

È possibile che venga visualizzato il messaggio di errore seguente quando si avvia una connessione desktop remoto alla macchina virtuale: "Le credenziali non funzionavano".

Screenshot del messaggio che indica che le credenziali non funzionavano.

Provare queste soluzioni:

  • Il pc Windows 10 o versione successiva che si usa per avviare la connessione desktop remoto deve essere aggiunto ad Azure AD o aggiunto ad Azure AD ibrido alla stessa directory di Azure AD. Per altre informazioni sull'identità del dispositivo, vedere l'articolo Che cos'è un'identità del dispositivo?

    Nota

    Windows 10 Build 20H1 aggiunto il supporto per un PC registrato in Azure AD per avviare una connessione RDP alla macchina virtuale. Quando si usa un PC registrato in Azure AD (non aggiunto ad Azure AD o aggiunto ad Azure AD ibrido) come client RDP per avviare le connessioni alla macchina virtuale, è necessario immettere le credenziali nel formato AzureAD\UPN , ad esempio AzureAD\john@contoso.com.

    Verificare che l'estensione AADLoginForWindows non sia stata disinstallata dopo il completamento del join di Azure AD.

    Assicurarsi inoltre che la sicurezza dei criteri di sicurezza Sicurezza: consentire le richieste di autenticazione PKU2U a questo computer per l'uso delle identità online è abilitata sia nel server che nel client.

  • Verificare che l'utente non disponga di una password temporanea. Le password temporanee non possono essere usate per accedere a una connessione desktop remoto.

    Accedere con l'account utente in un Web browser. Ad esempio, aprire il portale di Azure in una finestra di esplorazione privata. Se viene richiesto di modificare la password, impostare una nuova password. Riprovare a connettersi.

Metodo di accesso MFA richiesto

È possibile che venga visualizzato il messaggio di errore seguente quando si avvia una connessione desktop remoto alla macchina virtuale: "Il metodo di accesso che si sta tentando di usare non è consentito. Provare un metodo di accesso diverso o contattare l'amministratore del sistema.

Screenshot del messaggio che indica che il metodo di accesso che si sta tentando di usare non è consentito.

Se sono stati configurati criteri di accesso condizionale che richiedono MFA o legacy per utente abilitato/applicato azure AD MFA prima di poter accedere alla risorsa, è necessario assicurarsi che il Windows 10 o un PC successivo che avvia la connessione desktop remoto alla macchina virtuale accede usando un metodo di autenticazione sicuro, ad esempio Windows Hello. Se non si usa un metodo di autenticazione sicuro per la connessione desktop remoto, verrà visualizzato l'errore.

Un altro messaggio di errore correlato a MFA è quello descritto in precedenza: "Le credenziali non funzionavano".

Screenshot del messaggio che indica che le credenziali non funzionano.

Se è stata configurata un'impostazione legacy abilitata per utente /Applicazione dell'autenticazione a più fattori di Azure AD e viene visualizzato l'errore precedente, è possibile risolvere il problema rimuovendo l'impostazione MFA per utente tramite questi comandi:

# Get StrongAuthenticationRequirements configure on a user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements
 
# Clear StrongAuthenticationRequirements from a user
$mfa = @()
Set-MsolUser -UserPrincipalName username@contoso.com -StrongAuthenticationRequirements $mfa
 
# Verify StrongAuthenticationRequirements are cleared from the user
(Get-MsolUser -UserPrincipalName username@contoso.com).StrongAuthenticationRequirements

Se non è stata distribuita Windows Hello for Business e, se questa non è un'opzione per il momento, è possibile configurare un criterio di accesso condizionale che esclude l'app windows windows di Azure Sign-In dall'elenco delle app cloud che richiedono L'autenticazione a più fattori. Per altre informazioni sulle Windows Hello for Business, vedere panoramica Windows Hello for Business.

Nota

Windows Hello for Business'autenticazione PIN con RDP è stata supportata per diverse versioni di Windows 10. Il supporto per l'autenticazione biometrica con RDP è stato aggiunto in Windows 10 versione 1809. L'uso dell'autenticazione Windows Hello for Business durante RDP è disponibile per le distribuzioni che usano un modello di trust certificato o un modello di trust chiave.

Condividere i commenti e suggerimenti su questa funzionalità o segnalare problemi relativi all'uso nel forum di feedback di Azure AD.

Applicazione mancante

Se l'applicazione windows windows di Azure Sign-In manca dall'accesso condizionale, assicurarsi che l'applicazione sia nel tenant:

  1. Accedere al portale di Azure.
  2. Passare alle applicazioni Azure Active Directory>Enterprise.
  3. Rimuovere i filtri per visualizzare tutte le applicazioni e cercare la macchina virtuale. Se non viene visualizzato l'accesso alla macchina virtuale Windows di Azure , l'entità servizio manca dal tenant.

Un altro modo per verificare che sia tramite Graph PowerShell:

  1. Installare Graph PowerShell SDK se non è già stato fatto.
  2. Eseguire Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", seguito da "Application.ReadWrite.All".
  3. Accedere con un account amministratore globale.
  4. Consenso al prompt delle autorizzazioni.
  5. Eseguire Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.
    • Se questo comando non genera alcun output e restituisce il prompt di PowerShell, è possibile creare l'entità servizio con il comando Graph PowerShell seguente:

      New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

    • L'output riuscito mostrerà che la macchina virtuale Windows di Azure Sign-In app e il relativo ID sono stati creati.

  6. Disconnettersi da Graph PowerShell usando il Disconnect-MgGraph comando .

Passaggi successivi

Per altre informazioni su Azure AD, vedere Informazioni su Azure Active Directory?.