Configurare l'accesso Single Sign-On per Desktop virtuale Azure usando l'autenticazione di Microsoft Entra ID

  • Articolo

Questo articolo illustra il processo di configurazione dell'accesso Single Sign-On (SSO) per Desktop virtuale Azure usando l'autenticazione di Microsoft Entra ID. Quando si abilita l'accesso Single Sign-On, gli utenti eseguono l'autenticazione a Windows usando un token ID Microsoft Entra. Questo token consente l'uso dell'autenticazione senza password e dei provider di identità di terze parti federati con Microsoft Entra ID durante la connessione a un host di sessione.

L'accesso Single Sign-On tramite l'autenticazione microsoft Entra ID offre anche un'esperienza semplice per le risorse basate su ID di Microsoft Entra all'interno della sessione. Per altre informazioni sull'uso dell'autenticazione senza password all'interno di una sessione, vedere Autenticazione senza password nella sessione.

Per abilitare l'accesso Single Sign-On usando l'autenticazione di Microsoft Entra ID, è necessario completare cinque attività:

  1. Abilitare l'autenticazione Di Microsoft Entra per Remote Desktop Protocol (RDP).

  2. Configurare i gruppi di dispositivi di destinazione.

  3. Creare un oggetto Server Kerberos, se Dominio di Active Directory Services fa parte dell'ambiente. Altre informazioni sui criteri sono incluse nella relativa sezione.

  4. Esaminare i criteri di accesso condizionale.

  5. Configurare il pool di host per abilitare l'accesso Single Sign-On.

Prima di abilitare l'accesso Single Sign-On

Prima di abilitare l'accesso Single Sign-On, esaminare le informazioni seguenti per usarlo nell'ambiente in uso.

Disconnessione quando la sessione è bloccata

Quando l'accesso Single Sign-On è abilitato, si accede a Windows usando un token di autenticazione di Microsoft Entra ID, che fornisce il supporto per l'autenticazione senza password a Windows. La schermata di blocco di Windows nella sessione remota non supporta i token di autenticazione di Microsoft Entra ID o i metodi di autenticazione senza password, ad esempio le chiavi FIDO. La mancanza di supporto per questi metodi di autenticazione significa che gli utenti non possono sbloccare le schermate in una sessione remota. Quando si tenta di bloccare una sessione remota, tramite l'azione dell'utente o i criteri di sistema, la sessione viene invece disconnessa e il servizio invia un messaggio all'utente che spiega che sono stati disconnessi.

La disconnessione della sessione garantisce anche che quando la connessione viene riavviata dopo un periodo di inattività, Microsoft Entra ID rivaluta eventuali criteri di accesso condizionale applicabili.

Uso di un account amministratore di dominio Di Active Directory con Single Sign-On

Negli ambienti con un Dominio di Active Directory Services (AD DS) e gli account utente ibridi, i criteri di replica delle password predefiniti nei controller di dominio di sola lettura negano la replica delle password per i membri dei gruppi di sicurezza di Amministrazione di dominio e Amministrazione istrator. Questo criterio impedisce a questi account amministratore di accedere agli host aggiunti all'ambiente ibrido di Microsoft Entra e potrebbe continuare a chiedere loro di immettere le credenziali. Impedisce inoltre agli account amministratore di accedere alle risorse locali che usano l'autenticazione Kerberos dagli host aggiunti a Microsoft Entra.

Per consentire a questi account amministratore di connettersi quando l'accesso Single Sign-On è abilitato, vedere Consentire la connessione degli account amministratore di dominio Active Directory.

Prerequisiti

Prima di abilitare l'accesso Single Sign-On, è necessario soddisfare i prerequisiti seguenti:

  • Per configurare il tenant di Microsoft Entra, è necessario assegnare uno dei ruoli predefiniti di Microsoft Entra seguenti:

  • Gli host di sessione devono eseguire uno dei sistemi operativi seguenti con l'aggiornamento cumulativo pertinente installato:

  • Gli host di sessione devono essere aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. Gli host di sessione aggiunti a Microsoft Entra Domain Services o ai servizi di Dominio di Active Directory non sono supportati.

    Se gli host di sessione aggiunti a Microsoft Entra ibrido si trovano in un dominio di Active Directory diverso rispetto agli account utente, deve esistere un trust bidirezionale tra i due domini. Senza l'attendibilità bidirezionale, le connessioni eseguiranno il fallback ai protocolli di autenticazione meno recenti.

  • Installare Microsoft Graph PowerShell SDK versione 2.9.0 o successiva nel dispositivo locale o in Azure Cloud Shell.

  • Un client Desktop remoto supportato per connettersi a una sessione remota. Sono supportati i client seguenti:

    • Client Desktop di Windows nei PC locali che eseguono Windows 10 o versione successiva. Non è necessario che il PC locale venga aggiunto a Microsoft Entra ID o a un dominio di Active Directory.
    • Client Web.
    • client macOS versione 10.8.2 o successiva.
    • Client iOS, versione 10.5.1 o successiva.
    • Client Android, versione 10.0.16 o successiva.

  • Per configurare la connessione dell'account amministratore di dominio Active Directory quando è abilitato l'accesso Single Sign-On, è necessario un account membro del gruppo di sicurezza Domain Amministrazione s.

Abilitare l'autenticazione di Microsoft Entra per RDP

È innanzitutto necessario consentire l'autenticazione di Microsoft Entra per Windows nel tenant di Microsoft Entra, che consente di emettere token di accesso RDP che consentono agli utenti di accedere agli host di sessione di Desktop virtuale Azure. Impostare la isRemoteDesktopProtocolEnabled proprietà su true nell'oggetto dell'entità remoteDesktopSecurityConfiguration servizio per le applicazioni Microsoft Entra seguenti:

Nome dell'applicazione Application ID
Desktop remoto Microsoft a4a365df-50f1-4397-bc59-1a1564b8bb9c
Accesso a Windows Cloud 270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Come parte di un cambiamento imminente, stiamo passando da Desktop remoto Microsoft a Windows Cloud Login, a partire dal 2024. La configurazione di entrambe le applicazioni assicura ora di essere pronti per la modifica.

Per configurare l'entità servizio, usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto remoteDesktopSecurityConfiguration nell'entità servizio e impostare la proprietà isRemoteDesktopProtocolEnabled su true. È anche possibile usare l'API Microsoft Graph con uno strumento come Graph Explorer.

  1. Avviare Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

    1. Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.

    2. Se si usa PowerShell in locale, accedere prima con Azure PowerShell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.

  1. Assicurarsi di aver installato Microsoft Graph PowerShell SDK dai prerequisiti, quindi importare i moduli Authentication and Applications Microsoft Graph e connettersi a Microsoft Graph con gli Application.Read.All ambiti e Application-RemoteDesktopConfig.ReadWrite.All eseguendo i comandi seguenti:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Ottenere l'ID oggetto per ogni entità servizio e archiviarli in variabili eseguendo i comandi seguenti:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Impostare la proprietà isRemoteDesktopProtocolEnabled su true eseguendo i comandi seguenti. Non è disponibile alcun output da questi comandi.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Verificare che la proprietà isRemoteDesktopProtocolEnabled sia impostata su true eseguendo i comandi seguenti:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    L'output dovrebbe essere simile al seguente:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Configurare i gruppi di dispositivi di destinazione

Dopo aver abilitato l'autenticazione di Microsoft Entra per RDP, è necessario configurare i gruppi di dispositivi di destinazione. Per impostazione predefinita, quando si abilita l'accesso Single Sign-On, agli utenti viene richiesto di eseguire l'autenticazione all'ID Microsoft Entra e di consentire la connessione Desktop remoto all'avvio di una connessione a un nuovo host di sessione. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di richiedere di nuovo. Se viene visualizzata una finestra di dialogo per consentire la connessione Desktop remoto, selezionare per connettersi.

È possibile nascondere questa finestra di dialogo e fornire l'accesso Single Sign-On per le connessioni a tutti gli host di sessione configurando un elenco di dispositivi attendibili. È necessario creare uno o più gruppi in Microsoft Entra ID che contiene gli host di sessione, quindi impostare una proprietà sulle entità servizio per le stesse applicazioni di accesso Desktop remoto Microsoft e Windows Cloud Login, come usato nella sezione precedente, per il gruppo.

Suggerimento

È consigliabile usare un gruppo dinamico e configurare le regole di appartenenza dinamica per includere tutti gli host di sessione di Desktop virtuale Azure. È possibile usare i nomi dei dispositivi in questo gruppo, ma per un'opzione più sicura è possibile impostare e usare gli attributi di estensione del dispositivo usando l'API Microsoft Graph. Anche se i gruppi dinamici vengono normalmente aggiornati entro 5-10 minuti, i tenant di grandi dimensioni possono richiedere fino a 24 ore.

I gruppi dinamici richiedono la licenza Microsoft Entra ID P1 o la licenza di Intune per Education. Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi.

Per configurare l'entità servizio, usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto targetDeviceGroup nell'entità servizio con l'ID oggetto del gruppo dinamico e il nome visualizzato. È anche possibile usare l'API Microsoft Graph con uno strumento come Graph Explorer.

  1. Creare un gruppo dinamico in Microsoft Entra ID contenente gli host di sessione per i quali si vuole nascondere la finestra di dialogo. Prendere nota dell'ID oggetto del gruppo per il passaggio successivo.

  2. Nella stessa sessione di PowerShell creare un targetDeviceGroup oggetto eseguendo i comandi seguenti, sostituendo con <placeholders> i propri valori:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Aggiungere il gruppo all'oggetto targetDeviceGroup eseguendo i comandi seguenti:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    L'output dovrebbe essere simile al seguente:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Ripetere i passaggi 2 e 3 per ogni gruppo da aggiungere all'oggetto targetDeviceGroup , fino a un massimo di 10 gruppi.

  4. Se in un secondo momento è necessario rimuovere un gruppo di dispositivi dall'oggetto targetDeviceGroup , eseguire i comandi seguenti, sostituendo con <placeholders> i propri valori:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Creare un oggetto Server Kerberos

Se gli host di sessione soddisfano i criteri seguenti, è necessario creare un oggetto Server Kerberos:

  • L'host di sessione è aggiunto a Microsoft Entra ibrido. Per completare l'autenticazione a un controller di dominio, è necessario disporre di un oggetto Server Kerberos.
  • L'host di sessione è aggiunto a Microsoft Entra e l'ambiente contiene controller di dominio Active Directory. È necessario disporre di un oggetto Server Kerberos per consentire agli utenti di accedere alle risorse locali, ad esempio condivisioni SMB e l'autenticazione integrata di Windows nei siti Web.

Importante

Se si abilita l'accesso Single Sign-On negli host sessione aggiunti all'ambiente ibrido di Microsoft Entra prima di creare un oggetto server Kerberos, può verificarsi una delle operazioni seguenti:

  • Viene visualizzato un messaggio di errore che indica che la sessione specifica non esiste.
  • L'accesso Single Sign-On verrà ignorato e verrà visualizzata una finestra di dialogo di autenticazione standard per l'host sessione.

Per risolvere questi problemi, creare l'oggetto Server Kerberos e quindi connettersi di nuovo.

Esaminare i criteri di accesso condizionale

Quando l'accesso Single Sign-On è abilitato, viene introdotta una nuova app Microsoft Entra ID per autenticare gli utenti nell'host sessione. Se sono presenti criteri di accesso condizionale che si applicano quando si accede a Desktop virtuale Azure, esaminare le raccomandazioni per configurare l'autenticazione a più fattori per assicurarsi che gli utenti abbiano l'esperienza desiderata.

Configurare il pool di host per abilitare l'accesso Single Sign-On

Per abilitare l'accesso Single Sign-On nel pool di host, è necessario configurare la proprietà RDP seguente, che è possibile eseguire usando il portale di Azure o PowerShell. È possibile trovare la procedura per configurare le proprietà RDP in Personalizzare le proprietà RDP (Remote Desktop Protocol) per un pool di host.

  • Nella portale di Azure impostare l'accesso Single Sign-On di Microsoft Entra suConnessione ions userà l'autenticazione di Microsoft Entra per fornire l'accesso Single Sign-On.
  • Per PowerShell impostare la proprietà enablerdsaadauth su 1.

Consentire agli account amministratore di dominio Active Directory di connettersi

Per consentire agli account amministratore di dominio Active Directory di connettersi quando è abilitato l'accesso Single Sign-On:

  1. In un dispositivo usato per gestire il dominio di Active Directory aprire la console di Utenti e computer di Active Directory usando un account membro del gruppo di sicurezza Domain Amministrazione s.

  2. Aprire l'unità organizzativa Controller di dominio per il dominio.

  3. Trovare l'oggetto AzureADKerberos , fare clic con il pulsante destro del mouse, quindi scegliere Proprietà.

  4. Selezionare la scheda Criteri di replica password.

  5. Modificare i criteri per i Amministrazione di dominio da Nega a Consenti.

  6. Eliminare i criteri per Amministrazione istrator. Il gruppo Domain Amministrazione s è membro del gruppo Amministrazione istrators, quindi nega la replica per gli amministratori anche per gli amministratori di dominio.

  7. Selezionare OK per salvare le modifiche.

Passaggi successivi