Condividi tramite

Identità e metodi di autenticazione supportati

  • Articolo

In questo articolo, verrà fornita una breve panoramica dei tipi di identità e dei metodi di autenticazione che è possibile usare in Desktop virtuale Azure.

Identità

Desktop virtuale Azure supporta diversi tipi di identità a seconda della configurazione scelta. Questa sezione illustra le identità che è possibile usare per ogni configurazione.

Importante

Desktop virtuale Azure non supporta l'accesso a Microsoft Entra ID con un account utente, quindi accedere a Windows con un account utente separato. L'accesso con due account diversi contemporaneamente può portare alla riconnessione degli utenti all'host di sessione errato, informazioni non corrette o mancanti nel portale di Azure e messaggi di errore visualizzati durante l'uso del montaggio app o montaggio app MSIX.

Identità locale

Poiché gli utenti devono essere individuabili tramite Microsoft Entra ID per accedere a Desktop virtuale Azure, le identità utente esistenti solo in Active Directory Domain Services (AD DS) non sono supportate. Sono incluse le distribuzioni autonome di Active Directory con Active Directory Federation Services (AD FS).

Identità ibrida

Desktop virtuale Azure supporta le identità ibride tramite Microsoft Entra ID, incluse quelle associate esterne con AD FS. È possibile gestire queste identità utente in Active Directory Domain Services e sincronizzarle con Microsoft Entra ID, usando Microsoft Entra Connect. È anche possibile usare Microsoft Entra ID per gestire queste identità e sincronizzarle con Microsoft Entra Domain Services.

Quando si accede a Desktop virtuale Azure usando identità ibride, talvolta il nome dell'entità utente (UPN) o l’ID di sicurezza (SID) per l'utente in Active Directory (AD) e Microsoft Entra ID non corrispondono. Ad esempio, l'account AD user@contoso.local può corrispondere a user@contoso.com in Microsoft Entra ID. Desktop virtuale Azure supporta questo tipo di configurazione solo se l'UPN o il SID per gli account AD e Microsoft Entra ID corrispondono. SID fa riferimento alla proprietà dell'oggetto utente "ObjectSID" in AD e "OnPremisesSecurityIdentifier" in Microsoft Entra ID.

Identità solo cloud

Desktop virtuale Azure supporta le identità solo cloud quando si usano VM aggiunte a Microsoft Entra. Questi utenti vengono creati e gestiti direttamente in Microsoft Entra ID.

Nota

È anche possibile assegnare identità ibride ai gruppi di applicazioni Desktop virtuale Azure che ospitano host di sessione di tipo join aggiunti a Microsoft Entra.

Identità federativa

Se si usa un provider di identità di terze parti (IdP), diverso da Microsoft Entra ID o Active Directory Domain Services, per gestire gli account utente, è necessario assicurarsi che:

Identità esterna

Desktop virtuale Azure attualmente non supporta le identità esterne.

Metodi di autenticazione

Quando si accede alle risorse di Desktop virtuale Azure, esistono tre fasi di autenticazione separate:

  • Autenticazione del servizio cloud: l'autenticazione al servizio Desktop virtuale Azure, che include la sottoscrizione alle risorse e l'autenticazione al gateway, è con Microsoft Entra ID.
  • Autenticazione sessione remota: autenticazione alla macchina virtuale remota. Esistono diversi modi per eseguire l'autenticazione alla sessione remota, tra cui il consigliato Single Sign-On (SSO).
  • Autenticazione in sessione: autenticazione alle applicazioni e ai siti Web all'interno della sessione remota.

Per l'elenco delle credenziali disponibili nei diversi client per ogni fase di autenticazione, confrontare i client tra le piattaforme.

Importante

Affinché l'autenticazione funzioni correttamente, il computer locale deve anche essere in grado di accedere agli URL necessari per i client Desktop remoto.

Le sezioni seguenti forniscono ulteriori informazioni su queste fasi di autenticazione.

Autenticazione del servizio cloud

Per accedere alle risorse di Desktop virtuale Azure, è prima necessario eseguire l'autenticazione al servizio eseguendo l'accesso con un account Microsoft Entra ID. L'autenticazione viene eseguita ogni volta che si sottoscrive per recuperare le risorse, connettersi al gateway quando si avvia una connessione o quando si inviano informazioni di diagnostica al servizio. La risorsa Microsoft Entra ID usata per questa autenticazione è Desktop virtuale Azure (ID app 9cdead84-a844-4324-93f2-b2e6bb768d07).

Autenticazione a più fattori

Seguire le istruzioni in Applicare l'autenticazione a più fattori di Microsoft Entra per Desktop virtuale Azure usando l'accesso condizionale per informazioni su come applicare l'autenticazione a più fattori di Microsoft Entra per la distribuzione. Questo articolo illustra anche come configurare la frequenza con cui agli utenti viene richiesto di immettere le credenziali. Quando si implementano macchine virtuali aggiunte a Microsoft Entra, prendere nota dei passaggi aggiuntivi per le macchine virtuali host di sessione aggiunte a Microsoft Entra.

Autenticazione senza password

È possibile usare qualsiasi tipo di autenticazione supportato da Microsoft Entra ID, ad esempio Windows Hello for Business e altre opzioni di autenticazione senza password (ad esempio, chiavi FIDO), per eseguire l'autenticazione al servizio.

Autenticazione con smart card

Per usare una smart card per eseguire l'autenticazione in Microsoft Entra ID, è necessario innanzitutto configurare l'autenticazione basata su certificati Microsoft Entra o configurare AD FS per l'autenticazione del certificato utente.

Provider di identità di terze parti

È possibile usare provider di identità di terze parti purché siano associati esterni di Microsoft Entra ID.

Autenticazione sessione remota

Se non è già stato abilitato Single Sign-On o le credenziali non sono state salvate in locale, sarà necessario eseguire l'autenticazione anche all'host della sessione quando si avvia una connessione.

Single sign-on (SSO)

SSO consente alla connessione di ignorare la richiesta delle credenziali dell'host sessione e di fare accedere automaticamente l'utente a Windows tramite l'autenticazione di Microsoft Entra. Per gli host di sessione aggiunti a Microsoft Entra o aggiunti in modo ibrido a Microsoft Entra, è consigliabile abilitare l'accesso SSO tramite l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra offre altri vantaggi, tra cui l'autenticazione senza password e il supporto per i provider di identità di terze parti.

Desktop virtuale Azure supporta anche l'accesso SSO usando Active Directory Federation Services (AD FS) per i client Desktop e Web di Windows.

Senza SSO, il client richiede agli utenti le credenziali dell'host di sessione per ogni connessione. L'unico modo per evitare tale richiesta è salvare le credenziali nel client. È consigliabile salvare le credenziali solo su dispositivi sicuri per impedire ad altri utenti di accedere alle risorse.

Smart card e Windows Hello for Business

Desktop virtuale Azure supporta sia l’autenticazione integrata di Windows (NTLM) che autenticazione Kerberos per l'autenticazione host sessione, ma Smart card e Windows Hello for Business possono usare solo Kerberos per accedere. Per usare Kerberos, il client deve ottenere ticket di sicurezza Kerberos da un servizio di Centro distribuzione chiavi (KDC) in esecuzione in un controller di dominio. Per ottenere i ticket, il client necessita di una linea di rete diretta per il controller di dominio. È possibile ottenere una linea di vista connettendosi direttamente all'interno della rete aziendale, usando una connessione VPN o configurando un server proxy KDC.

Autenticazione in sessione

Dopo aver eseguito la connessione a RemoteApp o desktop, potrebbe essere richiesta l'autenticazione all'interno della sessione. Questa sezione illustra come usare credenziali diverse da nome utente e password in questo scenario.

Autenticazione senza password nella sessione

Desktop virtuale Azure supporta l'autenticazione senza password nella sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO quando si usa il client Desktop Windows. L'autenticazione senza password viene abilitata automaticamente quando l'host della sessione e il PC locale usano i sistemi operativi seguenti:

Per disabilitare l'autenticazione senza password nel pool di host, è necessario personalizzare una proprietà RDP. È possibile trovare la proprietà di reindirizzamento WebAuthn nella scheda Reindirizzamento del dispositivo nel portale di Azure o impostare la proprietà redirectwebauthn su 0 usando PowerShell.

Se abilitata, tutte le richieste WebAuthn nella sessione vengono reindirizzate al PC locale. È possibile usare Windows Hello for Business o i dispositivi di sicurezza collegati localmente per completare il processo di autenticazione.

Per accedere alle risorse di Microsoft Entra con Windows Hello for Business o dispositivi di sicurezza, è necessario abilitare la chiave di sicurezza FIDO2 come metodo di autenticazione per gli utenti. Per abilitare questo metodo, seguire la procedura descritta in Abilitare il metodo della chiave di sicurezza FIDO2.

Autenticazione smart card nella sessione

Per usare una smart card nella sessione, assicurarsi di aver installato i driver di smart card nell'host sessione e di aver abilitato il reindirizzamento delle smart card. Esaminare i grafici di confronto per l'app di Windows e l'app Desktop remoto per fare in modo che sia possibile usare il reindirizzamento smart card.

Passaggi successivi