Accedere a una macchina virtuale Windows in Azure usando l'ID Microsoft Entra, incluso l'id senza password

Le organizzazioni possono migliorare la sicurezza delle macchine virtuali Windows in Azure grazie all'integrazione con l'autenticazione Di Microsoft Entra. È ora possibile usare Microsoft Entra ID come piattaforma di autenticazione principale per Remote Desktop Protocol (RDP) in Windows Server 2019 Datacenter Edition e versioni successive o Windows 10 1809 e versioni successive. È quindi possibile controllare e applicare centralmente il controllo degli accessi in base al ruolo di Azure e i criteri di accesso condizionale che consentono o negano l'accesso alle macchine virtuali.

Questo articolo illustra come creare e configurare una macchina virtuale Windows e accedere usando l'autenticazione basata su ID di Microsoft Entra.

Esistono molti vantaggi per la sicurezza dell'uso dell'autenticazione basata su ID di Microsoft Entra per accedere alle macchine virtuali Windows in Azure. che includono:

• Usare l'autenticazione di Microsoft Entra, inclusa la passwordless per accedere alle macchine virtuali Windows in Azure.

• Ridurre la dipendenza da account amministratore locali.

• La complessità delle password e i criteri di durata delle password configurati per Microsoft Entra ID consentono anche di proteggere le macchine virtuali Windows.

• Con il controllo degli accessi in base al ruolo di Azure:

  • Specificare chi può accedere a una macchina virtuale come utente normale o con privilegi di amministratore.
  • Quando gli utenti si uniscono o lasciano il team, è possibile aggiornare i criteri di controllo degli accessi in base al ruolo di Azure per la macchina virtuale per concedere l'accesso in base alle esigenze.
  • Quando i dipendenti lasciano l'organizzazione e i relativi account utente vengono disabilitati o rimossi dall'ID Microsoft Entra, non hanno più accesso alle risorse.

• Configurare i criteri di accesso condizionale per "MFA resistente al phishing" usando richiedono il controllo delle concessioni di livello di autenticazione (anteprima) o richiedono l'autenticazione a più fattori e altri segnali, ad esempio il rischio di accesso utente, prima di poter accedere a VM Windows.

• Usare Criteri di Azure per distribuire e controllare i criteri per richiedere l'accesso a Microsoft Entra per le macchine virtuali Windows e contrassegnare l'uso di account locali non approvati nelle macchine virtuali.

• Usare Intune per automatizzare e ridimensionare l'aggiunta a Microsoft Entra con la registrazione automatica di macchine virtuali Windows di Azure che fanno parte delle distribuzioni VDI (Virtual Desktop Infrastructure).

  La registrazione automatica MDM richiede licenze microsoft Entra ID P1. Le macchine virtuali Windows Server non supportano la registrazione MDM.

Nota

Dopo aver abilitato questa funzionalità, le macchine virtuali Windows in Azure saranno aggiunte a Microsoft Entra. Non è possibile aggiungerli a un altro dominio, ad esempio Active Directory locale o Microsoft Entra Domain Services. Se è necessario farlo, disconnettere la macchina virtuale dall'ID Microsoft Entra disinstallando l'estensione.

Requisiti

Aree di Azure supportate e distribuzioni di Windows

Questa funzionalità supporta attualmente le distribuzioni di Windows seguenti:

• Windows Server 2019 Datacenter e versioni successive
• Windows 10 1809 e versioni successive
• Windows 11 21H2 e versioni successive

Questa funzionalità è ora disponibile nei cloud di Azure seguenti:

• Azure Global
• Azure Government
• Microsoft Azure gestito da 21Vianet

Requisiti di rete

Per abilitare l'autenticazione di Microsoft Entra per le macchine virtuali Windows in Azure, è necessario assicurarsi che la configurazione di rete della macchina virtuale consenta l'accesso in uscita agli endpoint seguenti sulla porta TCP 443.

Azure globale:

• https://enterpriseregistration.windows.net: per la registrazione del dispositivo.
• http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
• https://login.microsoftonline.com: per i flussi di autenticazione.
• https://pas.windows.net: per i flussi di Controllo degli accessi in base al ruolo di Azure.

Azure per enti pubblici:

• https://enterpriseregistration.microsoftonline.us: per la registrazione del dispositivo.
• http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
• https://login.microsoftonline.us: per i flussi di autenticazione.
• https://pasff.usgovcloudapi.net: per i flussi di Controllo degli accessi in base al ruolo di Azure.

Microsoft Azure gestito da 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn: per la registrazione del dispositivo.
• http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
• https://login.chinacloudapi.cn: per i flussi di autenticazione.
• https://pas.chinacloudapi.cn: per i flussi di Controllo degli accessi in base al ruolo di Azure.

Requisiti dell'autenticazione

Gli account Guest Microsoft Entra non possono connettersi alle macchine virtuali di Azure o alle macchine virtuali abilitate per Azure Bastion tramite l'autenticazione Microsoft Entra.

Abilitare l'accesso a Microsoft Entra per una macchina virtuale Windows in Azure

Per usare l'account di accesso Microsoft Entra per una macchina virtuale Windows in Azure, è necessario:

1. Abilitare l'opzione di accesso Microsoft Entra per la macchina virtuale.
2. Configurare le assegnazioni di ruolo di Azure per gli utenti autorizzati ad accedere alla macchina virtuale.

Esistono due modi per abilitare l'accesso di Microsoft Entra per la macchina virtuale Windows:

• Il portale di Azure, quando si crea una macchina virtuale Windows.
• Azure Cloud Shell, quando si crea una macchina virtuale Windows o si usa una macchina virtuale Windows esistente.

Nota

Se esiste un oggetto dispositivo con lo stesso displayName del nome host di una macchina virtuale in cui è installata un'estensione, la macchina virtuale non riesce a unire l'ID Microsoft Entra con un errore di duplicazione del nome host. Evitare la duplicazione modificando il nome host.

Azure portal

È possibile abilitare l'accesso a Microsoft Entra per le immagini di macchine virtuali in Windows Server 2019 Datacenter o Windows 10 1809 e versioni successive.

Per creare una macchina virtuale Windows Server 2019 Datacenter in Azure con l'account di accesso Di Microsoft Entra:

1. Accedere al portale di Azure usando un account che ha accesso per creare macchine virtuali e selezionare + Crea una risorsa.

2. Nella barra di ricerca cerca nel Marketplace digitare Windows Server.

3. Selezionare Windows Server e quindi scegliere Windows Server 2019 Datacenter dall'elenco a discesa Selezionare un piano software.

4. Seleziona Crea.

5. Nella scheda Gestione selezionare la casella di controllo Login with Microsoft Entra ID (Login with Microsoft Entra ID ) nella sezione Microsoft Entra ID (ID di Microsoft Entra).

   

6. Assicurarsi che l'identitàgestita assegnata dal sistema nella sezione Identità sia selezionata. Questa azione dovrebbe essere eseguita automaticamente dopo aver abilitato l'accesso con Microsoft Entra ID.

7. Esaminare il resto dell'esperienza di creazione di una macchina virtuale. È necessario creare un nome utente e una password di amministratore per la macchina virtuale.

Nota

Per accedere alla macchina virtuale usando le credenziali di Microsoft Entra, è prima necessario configurare le assegnazioni di ruolo per la macchina virtuale.

Azure Cloud Shell

Azure Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Gli strumenti comuni di Azure sono preinstallati e configurati in Cloud Shell per l'uso con l'account. È sufficiente selezionare il pulsante Copia per copiare il codice, incollarlo in Cloud Shell e quindi selezionare la chiave INVIO per eseguirla. Esistono alcuni modi per aprire Cloud Shell:

• Selezionare Prova nell'angolo superiore destro di un blocco di codice.
• Aprire Cloud Shell nel browser.
• Selezionare il pulsante Cloud Shell nel menu nell'angolo in alto a destra del portale di Azure.

Questo articolo richiede l'esecuzione dell'interfaccia della riga di comando di Azure versione 2.0.31 o successiva. Eseguire az --version per trovare la versione. Se è necessario installare o aggiornare, vedere l'articolo Installare l'interfaccia della riga di comando di Azure.

1. Creare un gruppo di risorse eseguendo az group create.
2. Creare una macchina virtuale eseguendo az vm create. Usare una distribuzione supportata in un'area supportata.
3. Installare l'estensione della macchina virtuale di accesso Di Microsoft Entra.

L'esempio seguente distribuisce una macchina virtuale denominata myVM (che usa Win2019Datacenter) in un gruppo di risorse denominato myResourceGroup, nell'area southcentralus . In questo esempio e quello successivo è possibile specificare il proprio gruppo di risorse e i nomi delle macchine virtuali in base alle esigenze.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Nota

È necessario abilitare l'identità gestita assegnata dal sistema nella macchina virtuale prima di installare l'estensione della macchina virtuale di accesso Microsoft Entra. Le identità gestite vengono archiviate in un singolo tenant di Microsoft Entra e attualmente non supportano scenari tra directory.

La creazione della macchina virtuale e delle risorse di supporto richiede alcuni minuti.

Installare infine l'estensione della macchina virtuale di accesso Di Microsoft Entra per abilitare l'accesso a Microsoft Entra per le macchine virtuali Windows. Le estensioni vm sono applicazioni di piccole dimensioni che forniscono attività di configurazione e automazione post-distribuzione in Azure Macchine virtuali. Usare az vm extension set per installare l'estensione AADLoginForWindows nella macchina virtuale denominata myVM nel myResourceGroup gruppo di risorse.

È possibile installare l'estensione AADLoginForWindows in un'istanza esistente di Windows Server 2019 o Windows 10 1809 e versioni successive per abilitarla per l'autenticazione di Microsoft Entra. L'esempio seguente usa l'interfaccia della riga di comando di Azure per installare l'estensione :

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Dopo l'installazione dell'estensione nella macchina virtuale, provisioningState mostra Succeeded.

Configurare le assegnazioni di ruolo per la macchina virtuale

Dopo aver creato la macchina virtuale, è necessario assegnare uno dei ruoli di Azure seguenti per determinare chi può accedere alla macchina virtuale. Per assegnare questi ruoli, è necessario avere il ruolo accesso ai dati della macchina virtuale Amministrazione istrator o qualsiasi ruolo che includa l'azioneMicrosoft.Authorization/roleAssignments/write, ad esempio il ruolo basato su ruoli Controllo di accesso Amministrazione istrator. Tuttavia, se si usa un ruolo diverso da Accesso ai dati della macchina virtuale Amministrazione istrator, è consigliabile aggiungere una condizione per ridurre l'autorizzazione per creare assegnazioni di ruolo.

• Accesso alla macchina virtuale Amministrazione istrator: gli utenti con questo ruolo assegnato possono accedere a una macchina virtuale di Azure con privilegi di amministratore.
• Accesso utente macchina virtuale: gli utenti con questo ruolo assegnato possono accedere a una macchina virtuale di Azure con privilegi utente normali.

Per consentire a un utente di accedere alla macchina virtuale tramite RDP, è necessario assegnare il ruolo di accesso della macchina virtuale Amministrazione istrator o dell'account di accesso utente della macchina virtuale alla risorsa macchina virtuale.

Nota

Elevare manualmente un utente per diventare un amministratore locale nella macchina virtuale aggiungendo l'utente a un membro del gruppo administrators locale o eseguendo net localgroup administrators /add "AzureAD\UserUpn" il comando non è supportato. È necessario usare i ruoli di Azure precedenti per autorizzare l'accesso alla macchina virtuale.

Un utente di Azure a cui è assegnato il ruolo Proprietario o Collaboratore per una macchina virtuale non dispone automaticamente dei privilegi per accedere alla macchina virtuale tramite RDP. Il motivo è fornire una separazione controllato tra il set di persone che controllano le macchine virtuali e il set di persone che possono accedere alle macchine virtuali.

Esistono due modi per configurare le assegnazioni di ruolo per una macchina virtuale:

• Esperienza dell'interfaccia di amministrazione di Microsoft Entra
• Esperienza di Azure Cloud Shell

Nota

I ruoli Di accesso e Accesso utente macchina virtuale della macchina virtuale Amministrazione istrator usano dataActions, in modo che non possano essere assegnati nell'ambito del gruppo di gestione. Attualmente, è possibile assegnare questi ruoli solo nell'ambito della sottoscrizione, del gruppo di risorse o della risorsa.

Interfaccia di amministrazione di Microsoft Entra

Per configurare le assegnazioni di ruolo per le macchine virtuali windows Server 2019 Datacenter abilitate per Microsoft Entra ID:

1. Per Gruppo di risorse selezionare il gruppo di risorse che contiene la macchina virtuale e la rete virtuale associata, l'interfaccia di rete, l'indirizzo IP pubblico o la risorsa di bilanciamento del carico.

2. Seleziona Controllo di accesso (IAM).

3. Selezionare Aggiungi>Aggiungi assegnazione di ruolo per aprire il riquadro Aggiungi assegnazione di ruolo.

4. Assegnare il ruolo seguente. Per i passaggi dettagliati, vedere Assegnare ruoli di Azure usando il portale di Azure.

   Impostazione	Valore
   Ruolo	Accesso utente macchina virtuale Amministrazione istrator o accesso utente macchina virtuale
   Assegna accesso a	Utente, gruppo, entità servizio o identità gestita

   

Azure Cloud Shell

L'esempio seguente usa az role assignment create per assegnare il ruolo di accesso della macchina virtuale Amministrazione istrator alla macchina virtuale per l'utente di Azure corrente. Si ottiene il nome utente dell'account Azure corrente usando az account show e si imposta l'ambito sulla macchina virtuale creata in un passaggio precedente usando az vm show.

È anche possibile assegnare l'ambito a livello di gruppo di risorse o sottoscrizione. Si applicano le normali autorizzazioni di ereditarietà del controllo degli accessi in base al ruolo di Azure.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Nota

Se il dominio di microsoft Entra e il dominio del nome utente di accesso non corrispondono, è necessario specificare l'ID oggetto dell'account utente usando --assignee-object-id, non solo il nome utente per --assignee. È possibile ottenere l'ID oggetto per l'account utente usando az ad user list.

Per altre informazioni su come usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse della sottoscrizione di Azure, vedere gli articoli seguenti:

• Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure
• Assegnare i ruoli di Azure usando il portale di Azure
• Assegnare ruoli di Azure usando Azure PowerShell

Accedere usando le credenziali di Microsoft Entra a una macchina virtuale Windows

È possibile accedere tramite RDP usando uno dei due metodi seguenti:

1. Senza password usando una delle credenziali di Microsoft Entra supportate (scelta consigliata)
2. Password/limitazioni senza password con Windows Hello for Business distribuito con il modello di attendibilità del certificato

Accedere con l'autenticazione senza password con Microsoft Entra ID

Per usare l'autenticazione senza password per le macchine virtuali Windows in Azure, sono necessari il computer client Windows e l'host sessione (VM) nei sistemi operativi seguenti:

• Windows 11 con Aggiornamenti cumulativi 2022-10 per Windows 11 (KB5018418) o versioni successive installate.
• Windows 10 versione 20H2 o successiva con aggiornamenti cumulativi 2022-10 per Windows 10 (KB5018410) o versioni successive installate.
• Windows Server 2022 con aggiornamento cumulativo 2022-10 per il sistema operativo server Microsoft (KB5018421) o versioni successive installata.

Importante

Il computer client Windows deve essere registrato da Microsoft Entra o aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido alla stessa directory della macchina virtuale. Inoltre, per RDP usando le credenziali di Microsoft Entra, gli utenti devono appartenere a uno dei due ruoli di Azure, Macchina virtuale Amministrazione istrator Login o Accesso utente macchina virtuale. Questo requisito non esiste per l'accesso senza password.

Per connettersi al computer remoto:

• Avviare Desktop remoto Connessione ion da Windows Search o eseguendo mstsc.exe.
• Selezionare Usa un account Web per accedere all'opzione Computer remoto nella scheda Avanzate . Questa opzione equivale alla enablerdsaadauth proprietà RDP. Per altre informazioni, vedere Proprietà RDP supportate con Servizi Desktop remoto.
• Specificare il nome del computer remoto e selezionare Connessione.

Nota

Non è possibile usare l'indirizzo IP quando si usa un account Web per accedere all'opzione computer remoto. Il nome deve corrispondere al nome host del dispositivo remoto in Microsoft Entra ID e deve essere indirizzabile in rete, risolvendo l'indirizzo IP del dispositivo remoto.

• Quando vengono richieste le credenziali, specificare il nome utente in user@domain.com formato .
• Viene quindi richiesto di consentire la connessione Desktop remoto durante la connessione a un nuovo PC. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di richiedere di nuovo. Se viene visualizzata questa finestra di dialogo, selezionare Sì per connettersi.

Importante

Se l'organizzazione ha configurato e usa l'accesso condizionale Microsoft Entra, il dispositivo deve soddisfare i requisiti di accesso condizionale per consentire la connessione al computer remoto. I criteri di accesso condizionale possono essere applicati all'applicazione Desktop remoto Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) per l'accesso controllato.

Nota

La schermata di blocco di Windows nella sessione remota non supporta i token di autenticazione Microsoft Entra o i metodi di autenticazione senza password, ad esempio le chiavi FIDO. La mancanza di supporto per questi metodi di autenticazione significa che gli utenti non possono sbloccare le schermate in una sessione remota. Quando si tenta di bloccare una sessione remota, tramite l'azione dell'utente o i criteri di sistema, la sessione viene invece disconnessa e il servizio invia un messaggio all'utente che spiega che è stato disconnesso. La disconnessione della sessione garantisce anche che quando la connessione viene riavviata dopo un periodo di inattività, Microsoft Entra ID rivaluta i criteri di accesso condizionale applicabili.

Accedere usando l'autenticazione senza password/senza password con Microsoft Entra ID

Importante

La connessione remota alle macchine virtuali aggiunte a Microsoft Entra ID è consentita solo dai PC Windows 10 o versioni successive registrati (build minima richiesta 20H1) o aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido alla stessa directory della macchina virtuale. Inoltre, per RDP usando le credenziali di Microsoft Entra, gli utenti devono appartenere a uno dei due ruoli di Azure, Macchina virtuale Amministrazione istrator Login o Accesso utente macchina virtuale.

Se usi un PC Windows 10 registrato da Microsoft Entra o versione successiva, devi immettere le credenziali nel AzureAD\UPN formato (ad esempio, AzureAD\john@contoso.com). A questo punto, è possibile usare Azure Bastion per accedere con l'autenticazione di Microsoft Entra tramite l'interfaccia della riga di comando di Azure e il client RDP nativo mstsc.

Per accedere alla macchina virtuale Windows Server 2019 usando Microsoft Entra ID:

1. Passare alla pagina di panoramica della macchina virtuale abilitata con l'account di accesso di Microsoft Entra.
2. Selezionare Connessione per aprire il riquadro Connessione alla macchina virtuale.
3. Selezionare Scarica file RDP.
4. Selezionare Apri per aprire il client di Connessione Desktop remoto.
5. Selezionare Connessione per aprire la finestra di dialogo di accesso di Windows.
6. Accedere usando le credenziali di Microsoft Entra.

È stato eseguito l'accesso alla macchina virtuale windows Server 2019 di Azure con le autorizzazioni del ruolo assegnate, ad esempio l'utente della macchina virtuale o la macchina virtuale Amministrazione istrator.

Nota

È possibile salvare . File RDP in locale nel computer per avviare future connessioni desktop remoto alla macchina virtuale, invece di passare alla pagina di panoramica della macchina virtuale nella portale di Azure e usando l'opzione di connessione.

Applicare i criteri di accesso condizionale

È possibile applicare criteri di accesso condizionale, ad esempio "MFA resistenti al phishing" usando richiedi il controllo della concessione dell'autenticazione (anteprima) o l'autenticazione a più fattori o il controllo dei rischi di accesso utente, prima di autorizzare l'accesso alle macchine virtuali Windows in Azure abilitate con l'accesso a Microsoft Entra. Per applicare un criterio di accesso condizionale, è necessario selezionare l'app Di accesso alla macchina virtuale Windows di Microsoft Azure dall'opzione di assegnazione delle app cloud o delle azioni. Usare quindi il rischio di accesso come condizione o "MFA resistente al phishing" usando il controllo della concessione del livello di autenticazione (anteprima) o richiedere l'autenticazione a più fattori come controllo per concedere l'accesso.

Nota

Se è necessaria l'autenticazione a più fattori come controllo per concedere l'accesso all'app di accesso alla macchina virtuale Windows di Microsoft Azure, è necessario fornire un'attestazione MFA come parte del client che avvia la sessione RDP alla macchina virtuale Windows di destinazione in Azure. Ciò può essere ottenuto usando il metodo di autenticazione senza password per RDP che soddisfa i criteri di accesso condizionale, tuttavia se si usa un metodo senza password limitato per RDP, l'unico modo per ottenere questo risultato in un client Windows 10 o versione successiva consiste nell'usare un PIN di Windows Hello for Business o l'autenticazione biometrica con il client RDP. Il supporto per l'autenticazione biometrica è stato aggiunto al client RDP in Windows 10 versione 1809. Desktop remoto che usa l'autenticazione di Windows Hello for Business è disponibile solo per le distribuzioni che usano un modello di attendibilità certificato. Non è attualmente disponibile per un modello di attendibilità chiave.

Usare Criteri di Azure per soddisfare gli standard e valutare la conformità

Usare Criteri di Azure per:

• Assicurarsi che l'account di accesso di Microsoft Entra sia abilitato per le macchine virtuali Windows nuove ed esistenti.
• Valutare la conformità dell'ambiente su larga scala in un dashboard di conformità.

Con questa funzionalità, è possibile usare molti livelli di imposizione. È possibile contrassegnare macchine virtuali Windows nuove ed esistenti all'interno dell'ambiente in cui non è abilitato l'accesso a Microsoft Entra. È anche possibile usare Criteri di Azure per distribuire l'estensione Microsoft Entra in nuove macchine virtuali Windows che non dispongono dell'account di accesso microsoft Entra abilitato e correggere le macchine virtuali Windows esistenti nello stesso standard.

Oltre a queste funzionalità, è possibile usare Criteri di Azure per rilevare e contrassegnare le macchine virtuali Windows con account locali non approvati creati nei computer. Per altre informazioni, vedere Criteri di Azure.

Risolvere i problemi di distribuzione

Per completare il processo di aggiunta a Microsoft Entra, l'estensione AADLoginForWindows deve essere installata correttamente. Se l'estensione della macchina virtuale non viene installata correttamente, seguire questa procedura:

1. RDP alla macchina virtuale usando l'account amministratore locale ed esaminare il file CommandExecution.log in C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Nota

   Se l'estensione viene riavviata dopo l'errore iniziale, il log con l'errore di distribuzione verrà salvato come CommandExecution_YYYYMMDDHHMMSSSSS.log.

2. Aprire una finestra di PowerShell nella macchina virtuale. Verificare che le query seguenti sull'endpoint del servizio metadati dell'istanza di Azure in esecuzione nell'host di Azure restituisca l'output previsto:

   Comando da eseguire	Output previsto
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Correggere le informazioni sulla macchina virtuale di Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	ID tenant valido associato alla sottoscrizione di Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Token di accesso valido rilasciato dall'ID Microsoft Entra per l'identità gestita assegnata a questa macchina virtuale

   Nota

   È possibile decodificare il token di accesso usando uno strumento come https://jwt.ms/. Verificare che il oid valore nel token di accesso corrisponda all'identità gestita assegnata alla macchina virtuale.

3. Assicurarsi che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Nota

   Sostituire <TenantID> con l'ID tenant di Microsoft Entra associato alla sottoscrizione di Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.nete pas.windows.net deve restituire 404 Not Found, ovvero il comportamento previsto.

4. Visualizzare lo stato del dispositivo eseguendo dsregcmd /status. L'obiettivo è che lo stato del dispositivo venga visualizzato come AzureAdJoined : YES.

   Nota

   L'attività di aggiunta a Microsoft Entra viene acquisita in Visualizzatore eventi nel registro Registrazione dispositivo utente\Amministrazione all'indirizzo Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\Registrazione dispositivo utente\Amministrazione.

Se l'estensione AADLoginForWindows non riesce con un codice di errore, è possibile eseguire la procedura seguente.

Codice di errore del terminale 1007 e codice di uscita -2145648574.

Codice di errore del terminale 1007 e codice di uscita -2145648574 convertire in DSREG_E_MSI_TENANTID_UNAVAILABLE. L'estensione non può eseguire query sulle informazioni sul tenant di Microsoft Entra.

Connessione alla macchina virtuale come amministratore locale e verificare che l'endpoint restituisca un ID tenant valido dal servizio metadati dell'istanza di Azure. Eseguire il comando seguente da una finestra di PowerShell con privilegi elevati nella macchina virtuale:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Questo problema può verificarsi anche quando l'amministratore della macchina virtuale tenta di installare l'estensione AADLoginForWindows, ma una identità gestita assegnata dal sistema non ha abilitato prima la macchina virtuale. In tal caso, passare al riquadro Identità della macchina virtuale. Nella scheda Assegnata dal sistema verificare che l'interruttore Stato sia impostato su Sì.

Codice di uscita -2145648607

Codice di uscita -2145648607 viene convertito in DSREG_AUTOJOIN_DISC_FAILED. L'estensione non riesce a raggiungere l'endpoint https://enterpriseregistration.windows.net .

1. Verificare che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Nota

   Sostituire <TenantID> con l'ID tenant di Microsoft Entra associato alla sottoscrizione di Azure. Se è necessario trovare l'ID tenant, è possibile passare il puntatore del mouse sul nome dell'account o selezionare Identity>Overview>Properties Tenant ID (ID tenant).>

   I tentativi di connessione a enterpriseregistration.windows.net potrebbero restituire 404 Not Found, ovvero il comportamento previsto. I tentativi di connessione a pas.windows.net potrebbero richiedere credenziali PIN o restituire 404 Non trovato. Non è necessario immettere il PIN. Uno è sufficiente per verificare che l'URL sia raggiungibile.

2. Se uno dei comandi ha esito negativo con "Non è stato possibile risolvere l'host <URL>", provare a eseguire questo comando per determinare il server DNS usato dalla macchina virtuale:

   nslookup <URL>

   Nota

   Sostituire <URL> con i nomi di dominio completi usati dagli endpoint, ad esempio login.microsoftonline.com.

3. Verificare se specificare un server DNS pubblico consente al comando di avere esito positivo:

   nslookup <URL> 208.67.222.222

4. Se necessario, modificare il server DNS assegnato al gruppo di sicurezza di rete a cui appartiene la macchina virtuale di Azure.

Codice di uscita 51

Il codice di uscita 51 viene convertito in "Questa estensione non è supportata nel sistema operativo della macchina virtuale".

L'estensione AADLoginForWindows deve essere installata solo in Windows Server 2019 o Windows 10 (Build 1809 o versione successiva). Assicurarsi che la versione o la build di Windows sia supportata. Se non è supportato, disinstallare l'estensione.

Risolvere i problemi di accesso

Usare le informazioni seguenti per correggere i problemi di accesso.

È possibile visualizzare lo stato del dispositivo e dell'accesso Single Sign-On (SSO) eseguendo dsregcmd /status. L'obiettivo è che lo stato del dispositivo venga visualizzato come AzureAdJoined : YES e per visualizzare lo stato dell'accesso Single Sign-On AzureAdPrt : YES.

L'accesso RDP tramite account Microsoft Entra viene acquisito in Visualizzatore eventi nei registri eventi Applicazioni e servizi\Microsoft\Windows\AAD\Operational.

Ruolo di Azure non assegnato

È possibile che venga visualizzato il messaggio di errore seguente quando si avvia una connessione Desktop remoto alla macchina virtuale: "L'account è configurato per impedire l'uso di questo dispositivo. Per altre informazioni, contattare l'amministratore di sistema."

Verificare di aver configurato i criteri di controllo degli accessi in base al ruolo di Azure per la macchina virtuale che concedono all'utente il ruolo di accesso della macchina virtuale Amministrazione istrator o l'account di accesso utente della macchina virtuale.

Nota

Se si verificano problemi con le assegnazioni di ruolo di Azure, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure.

Richiesta di modifica non autorizzata di client o password

È possibile che venga visualizzato il messaggio di errore seguente quando si avvia una connessione Desktop remoto alla macchina virtuale: "Le credenziali non funzionano".

Provare queste soluzioni:

• Il PC Windows 10 o versione successiva in uso per avviare la connessione desktop remoto deve essere aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido alla stessa directory di Microsoft Entra. Per altre informazioni sull'identità del dispositivo, vedere l'articolo Che cos'è un'identità del dispositivo?.

  Nota

  Windows 10 Build 20H1 ha aggiunto il supporto per un PC registrato da Microsoft Entra per avviare una connessione RDP alla macchina virtuale. Quando si usa un PC registrato da Microsoft Entra (non aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido) come client RDP per avviare le connessioni alla macchina virtuale, è necessario immettere le credenziali nel formato AzureAD\UPN (ad esempio, AzureAD\john@contoso.com).

  Verificare che l'estensione AADLoginForWindows non sia stata disinstallata al termine dell'aggiunta a Microsoft Entra.

  Assicurarsi inoltre che i criteri di sicurezza Sicurezza di rete: consentire alle richieste di autenticazione PKU2U al computer di usare le identità online sia nel server che nel client.

• Verificare che l'utente non abbia una password temporanea. Non è possibile usare password temporanee per accedere a una connessione Desktop remoto.

  Accedere con l'account utente in un Web browser. Ad esempio, accedere al portale di Azure in una finestra di esplorazione privata. Se viene richiesto di modificare la password, impostare una nuova password. Provare quindi a connettersi di nuovo.

Metodo di accesso MFA obbligatorio

Quando si avvia una connessione Desktop remoto alla macchina virtuale, potrebbe essere visualizzato il messaggio di errore seguente: "Il metodo di accesso che si sta tentando di usare non è consentito. Provare un metodo di accesso diverso o contattare l'amministratore di sistema."

Se sono stati configurati criteri di accesso condizionale che richiedono l'autenticazione a più fattori MFA o legacy per utente abilitato/imposto da Microsoft Entra prima di poter accedere alla risorsa, è necessario assicurarsi che il PC Windows 10 o versione successiva che avvii la connessione desktop remoto alla macchina virtuale esebri l'accesso tramite un metodo di autenticazione avanzata, ad esempio Windows Hello. Se non si usa un metodo di autenticazione avanzata per la connessione Desktop remoto, viene visualizzato l'errore.

Un altro messaggio di errore correlato all'autenticazione a più fattori è quello descritto in precedenza: "Le credenziali non funzionavano".

Se è stata configurata un'impostazione legacy di autenticazione a più fattori abilitata/applicata da Microsoft Entra e viene visualizzato l'errore precedente, è possibile risolvere il problema rimuovendo l'impostazione MFA per utente. Per altre informazioni, vedere l'articolo Abilitare l'autenticazione a più fattori Microsoft Entra per utente per proteggere gli eventi di accesso.

Se Windows Hello for Business non è stato distribuito e, se non è un'opzione per il momento, è possibile configurare un criterio di accesso condizionale che esclude l'app di accesso alla macchina virtuale Windows di Microsoft Azure dall'elenco di app cloud che richiedono L'autenticazione a più fattori. Per altre informazioni su Windows Hello for Business, vedere Panoramica di Windows Hello for Business.

Nota

L'autenticazione PIN di Windows Hello for Business con RDP è stata supportata per diverse versioni di Windows 10. Il supporto per l'autenticazione biometrica con RDP è stato aggiunto in Windows 10 versione 1809. L'uso dell'autenticazione di Windows Hello for Business durante RDP è disponibile per le distribuzioni che usano un modello di attendibilità certificato o un modello di attendibilità delle chiavi.

Condividere commenti e suggerimenti su questa funzionalità o segnalare problemi relativi all'uso nel forum di feedback di Microsoft Entra.

Applicazione mancante

Se l'applicazione di accesso alla macchina virtuale Windows di Microsoft Azure non è presente nell'accesso condizionale, assicurarsi che l'applicazione si trova nel tenant:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
2. Passare a Applicazioni di identità>Applicazioni>aziendali.
3. Rimuovere i filtri per visualizzare tutte le applicazioni e cercare la macchina virtuale. Se non viene visualizzato l'accesso alla macchina virtuale Windows di Microsoft Azure, l'entità servizio non è presente nel tenant.

Suggerimento

Alcuni tenant potrebbero visualizzare l'applicazione denominata Accesso alla macchina virtuale Windows di Azure anziché l'accesso alla macchina virtuale Windows di Microsoft Azure. L'applicazione avrà lo stesso ID applicazione 372140e0-b3b7-4226-8ef9-d57986796201.

Passaggi successivi

Per altre informazioni sull'ID Microsoft Entra, vedere Che cos'è Microsoft Entra ID?.