Accedere a una macchina virtuale Windows in Azure usando Microsoft Entra ID, incluso senza password

Le organizzazioni possono migliorare la sicurezza delle macchine virtuali Windows in Azure integrando l'autenticazione di Microsoft Entra. È ora possibile usare Microsoft Entra ID come piattaforma di autenticazione principale per Remote Desktop Protocol (RDP) in Windows Server 2019 Datacenter Edition e versioni successive o Windows 10 1809 e versioni successive. È quindi possibile controllare e applicare in modo centralizzato il controllo degli accessi in base al ruolo (RBAC) di Azure e i criteri di accesso condizionale che consentono o negano l'accesso alle macchine virtuali.

Questo articolo mostra come creare e configurare una macchina virtuale Windows e accedere usando l'autenticazione basata su Microsoft Entra ID.

Vi sono molti vantaggi di sicurezza dell'uso dell'autenticazione basata su Microsoft Entra ID per accedere alle macchine virtuali Windows in Azure. Essi includono:

• Usare l'autenticazione di Microsoft Entra, incluso senza password, per accedere alle macchine virtuali Windows in Azure.

• Ridurre la dipendenza da account amministratore locali.

• Anche i criteri di durata e complessità della password configurati per Microsoft Entra ID aiutano a proteggere le macchine virtuali Windows.

• Con il controllo degli accessi in base al ruolo di Azure:

  • È possibile specificare chi può accedere a una macchina virtuale (VM) come utente normale o con privilegi di amministratore.
  • Quando gli utenti si uniscono o abbandonano il team, è possibile aggiornare i criteri RBAC di Azure per la macchina virtuale per concedere l'accesso in base alle esigenze.
  • Quando i dipendenti lasciano l'organizzazione e gli account utente vengono disabilitati o rimossi da Microsoft Entra ID, non hanno più accesso alle risorse.

• Configurare i Criteri di accesso condizionale per "MFA resistente al phishing" usando il controllo delle concessioni con “Richiedere un livello di autenticazione” o “Richedere l'autenticazione a più fattori” e altri segnali, come il rischio di accesso dell’utente, prima di poter accedere alle macchine virtuali Windows.

• Usare i Criteri di Azure per distribuire e controllare i criteri per richiedere l'accesso a Microsoft Entra per le macchine virtuali Windows e contrassegnare l'uso di account locali non approvati nelle macchine virtuali.

• Usare Intune per automatizzare e scalare l'aggiunta a Microsoft Entra con la registrazione automatica della gestione di dispositivi mobili (MDM) delle macchine virtuali Windows di Azure che fanno parte delle distribuzioni VDI (Virtual Desktop Infrastructure).

  La registrazione automatica MDM richiede licenze P1 di Microsoft Entra ID. Le macchine virtuali Windows Server non supportano la registrazione MDM.

Nota

Dopo aver abilitato questa funzionalità, le macchine virtuali Windows in Azure saranno aggiunte a Microsoft Entra. Non è possibile aggiungerle a un altro dominio, ad esempio Active Directory locale o Microsoft Entra Domain Services. Se è necessario farlo, disconnettere la macchina virtuale da Microsoft Entra ID disinstallando l'estensione.

Requisiti

Aree di Windows e distribuzioni di Linux supportate

Questa funzionalità supporta attualmente le seguenti distribuzioni di Windows:

• Windows Server 2019 Datacenter e versioni successive
• Windows 10 1809 e versioni successive
• Windows 11 21H2 e versioni successive

Questa funzionalità è ora disponibile nei seguenti cloud di Azure:

• Azure Global
• Azure per enti pubblici
• Microsoft Azure gestito da 21Vianet

Requisiti di rete

Per abilitare l'autenticazione di Microsoft Entra per le macchine virtuali Windows in Azure, è necessario garantire che la configurazione della rete della macchina virtuale consenta l'accesso in uscita ai seguenti endpoint sulla porta TCP 443.

Azure Global:

• https://enterpriseregistration.windows.net: per la registrazione di dispositivi.
• http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
• https://login.microsoftonline.com: per flussi di autenticazione.
• https://pas.windows.net: per i flussi di Controllo degli accessi in base al ruolo di Azure.

Azure per enti pubblici:

• https://enterpriseregistration.microsoftonline.us: per la registrazione di dispositivi.
• http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
• https://login.microsoftonline.us: per flussi di autenticazione.
• https://pasff.usgovcloudapi.net: per i flussi di Controllo degli accessi in base al ruolo di Azure.

Microsoft Azure gestito da 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn: per la registrazione di dispositivi.
• http://169.254.169.254: endpoint del servizio metadati dell'istanza di Azure.
• https://login.chinacloudapi.cn: per flussi di autenticazione.
• https://pas.chinacloudapi.cn: per i flussi di Controllo degli accessi in base al ruolo di Azure.

Requisiti di autenticazione

Gli account Guest di Microsoft Entra non possono connettersi alle macchine virtuali di Azure o alle macchine virtuali abilitate per Azure Bastion tramite l'autenticazione di Microsoft Entra.

Abilitare l'accesso a Microsoft Entra per una macchina virtuale Windows in Azure

Per usare l'accesso a Microsoft Entra per una macchina virtuale Windows in Azure, è necessario:

1. Abilitare l'opzione di accesso di Microsoft Entra per la macchina virtuale.
2. Configurare le assegnazioni di ruolo di Azure per gli utenti autorizzati ad accedere alla macchina virtuale.

Vi sono due modi per abilitare l'accesso a Microsoft Entra per la macchina virtuale Windows:

• Il portale di Azure, quando si crea una macchina virtuale Windows.
• Azure Cloud Shell, quando si crea una macchina virtuale Windows o si usa una macchina virtuale Windows esistente.

Nota

Se esiste un oggetto di dispositivo con lo stesso displayName del nome host di una macchina virtuale in cui è installata un'estensione, la macchina virtuale non riesce a unire Microsoft Entra ID con un errore di duplicazione del nome host. Evitare la duplicazione modificando il nome host.

Portale di Azure

È possibile abilitare l'accesso a Microsoft Entra per le immagini VM in Windows Server 2019 Datacenter o Windows 10 1809 e versioni successive.

Per creare una macchina virtuale Windows Server 2019 Datacenter in Azure con l'accesso di Microsoft Entra:

1. Accedere al portale di Azure usando un account autorizzato ad accedere per la creazione di macchine virtuali e selezionare + Crea una risorsa.

2. Nella barra di ricerca Cerca nel marketplace, digitare Windows Server.

3. Selezionare Windows Server e poi scegliere Windows Server 2019 Datacenter dall'elenco a discesa Selezionare un piano software.

4. Selezionare Crea.

5. Nella scheda Gestione, selezionare la casella di spunta Accesso con Microsoft Entra ID nella sezione Microsoft Entra ID.

   

6. Assicurarsi che l'identità gestita assegnata dal sistema nella sezione Identità sia selezionata. Questa azione dovrebbe avvenire automaticamente dopo aver abilitato l'accesso con Microsoft Entra ID.

7. Esaminare il resto dell'esperienza di creazione di una macchina virtuale. Occorre creare un nome utente e password dell'amministratore per la macchina virtuale.

Nota

Per accedere alla macchina virtuale usando le credenziali di Microsoft Entra, è prima necessario configurare le assegnazioni di ruolo per la macchina virtuale.

Azure Cloud Shell

Azure Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Gli strumenti comuni di Azure sono preinstallati e configurati in Cloud Shell per l'uso con l'account. È sufficiente selezionare il pulsante Copia per copiare il codice, incollarlo in Cloud Shell e quindi selezionare il tasto Invio per eseguirlo. Esistono alcuni modi per aprire Cloud Shell:

• Selezionare Prova nell'angolo superiore destro di un blocco di codice.
• Aprire Cloud Shell nel browser.
• Selezionare il pulsante Cloud Shell nel menu nell'angolo in alto a destra del portale di Azure.

Questo articolo richiede di eseguire l'interfaccia della riga di comando di Azure 2.0.31 o versioni successive. Eseguire az --version per trovare la versione. Se è necessario installare o aggiornare, vedere l’articolo Installare l'interfaccia della riga di comando di Azure.

1. Creare un gruppo di risorse eseguendo az group create.
2. Creare una macchina virtuale eseguendo il comando az vm create. Usare una distribuzione supportata in un'area supportata.
3. Installare l'estensione della macchina virtuale per l’accesso con Microsoft Entra.

L'esempio seguente distribuisce una macchina virtuale denominata myVM (che usa Win2019Datacenter) in un gruppo di risorse denominato myResourceGroup, nell'area southcentralus. In questo esempio e nel successivo, è possibile fornire i nomi del proprio gruppo di risorse e della macchina virtuale in base alle esigenze.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Nota

È necessario abilitare l'identità gestita assegnata dal sistema nella macchina virtuale prima di installare l'estensione della macchina virtuale di accesso a Microsoft Entra. Le identità gestite sono archiviate in un singolo tenant di Microsoft Entra e attualmente non supportano scenari tra directory.

La creazione della macchina virtuale e delle risorse di supporto richiede alcuni minuti.

Infine, installare l'estensione della macchina virtuale di accesso a Microsoft Entra per abilitare l'accesso a Microsoft Entra per le macchine virtuali Windows. Le estensioni della macchina virtuale sono piccole applicazioni che eseguono attività di configurazione e automazione post-distribuzione nelle macchine virtuali di Azure. Usare l’impostazione az vm extension per installare l'estensione AADLoginForWindows nella macchina virtuale denominata myVM nel gruppo di risorse myResourceGroup.

È possibile installare l'estensione AADLoginForWindows in un'istanza esistente di Windows Server 2019 o Windows 10 1809 e versioni successive per abilitarla per l'autenticazione di Microsoft Entra. L'esempio seguente usa l'interfaccia della riga di comando di Azure per installare l'estensione:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Dopo l'installazione dell'estensione nella macchina virtuale, provisioningState mostra Succeeded.

Configurare le assegnazioni di ruolo per la macchina virtuale

Dopo aver creato la macchina virtuale, è necessario assegnare uno dei seguenti ruoli di Azure per determinare chi può accedere alla macchina virtuale. Per assegnare questi ruoli, è necessario avere il ruolo di Amministratore di accesso ai dati della macchina virtuale o qualsiasi ruolo che includa l'azione Microsoft.Authorization/roleAssignments/write, ad esempio il ruolo di Amministratore di controllo degli accessi in base al ruolo. Tuttavia, se si usa un ruolo diverso da Amministratore di accesso ai dati della macchina virtuale, è consigliabile aggiungere una condizione per ridurre l'autorizzazione per creare assegnazioni di ruolo.

• Accesso amministratore alle macchine virtuali: gli utenti ai quali è stato assegnato questo ruolo possono accedere a una macchina virtuale di Azure con privilegi di amministratore.
• Accesso utente alle macchine virtuali: gli utenti ai quali è stato assegnato questo ruolo possono accedere a una macchina virtuale di Azure con i normali privilegi utente.

Per consentire all'utente di accedere alla macchina virtuale su RDP, è necessario assegnare il ruolo di Accesso amministratore alle macchine virtuali oppure Accesso utente alle macchine virtuali alla risorsa per le macchine virtuali.

Nota

L’elevazione manuale di un utente per diventare un amministratore locale nella macchina virtuale aggiungendo l'utente a un membro del gruppo degli amministratori locali o eseguendo il comando net localgroup administrators /add "AzureAD\UserUpn" non è supportata. È necessario usare i ruoli di Azure di cui sopra per autorizzare l'accesso alla macchina virtuale.

Un utente di Azure a cui è stato assegnato il ruolo di proprietario o contributore per una macchina virtuale non dispone automaticamente dei privilegi per accedere alla macchina virtuale su RDP. Il motivo è fornire una separazione controllata tra il set di persone che controllano le macchine virtuali e il set di persone che possono accedere alle macchine virtuali.

Vi sono due modi per configurare le assegnazioni di ruolo per una macchina virtuale:

• Esperienza dell'interfaccia di amministrazione di Microsoft Entra
• Esperienza di Azure Cloud Shell

Nota

I ruoli Accesso amministratore alle macchine virtuali e Accesso utente alle macchine virtuali usano dataActions, quindi non possono essere assegnati all’ambito del gruppo di gestione. Attualmente, è possibile assegnare questi ruoli solo a livello di sottoscrizione, di gruppo di risorse o di ambito della risorsa.

Interfaccia di amministrazione di Microsoft Entra

Per configurare le assegnazioni di ruolo per le macchine virtuali Windows Server 2019 Datacenter abilitate per Microsoft Entra ID:

1. Per il gruppo di risorse, selezionare il gruppo di risorse che contiene la macchina virtuale e la rete virtuale, l'interfaccia di rete, l'indirizzo IP pubblico o la risorsa di bilanciamento del carico ad essa associata.

2. Seleziona Controllo di accesso (IAM).

3. Selezionare Aggiungi>Aggiungi assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo.

4. Assegnare il ruolo seguente. Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

   Impostazione	Valore
   Ruolo	Accesso amministratore alle macchine virtuali o Accesso utente alle macchine virtuali
   Assegna accesso a	Utente, gruppo, entità servizio o identità gestita

   

Azure Cloud Shell

L'esempio seguente usa az role assignment create per assegnare il ruolo Accesso amministratore alle macchine virtuali alla macchina virtuale per l'utente di Azure corrente. Si ottiene il nome utente dell'account di Azure attuale usando az account show e viene impostato l'ambito per la macchina virtuale creata in un passaggio precedente con az vm show.

È anche possibile assegnare l’ambito a livello di un grupp di risorse o di sottoscrizione. Si applicano le normali autorizzazioni ereditate per il controllo degli accessi in base al ruolo di Azure.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Nota

Se il dominio di Microsoft Entra e il dominio del nome utente di accesso non corrispondono, è necessario specificare l'ID oggetto dell'account utente usando --assignee-object-id, non solo il nome utente per --assignee. È possibile ottenere l'ID oggetto per l'account utente usando az ad user list.

Per altre informazioni su come usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse della sottoscrizione di Azure, vedere i seguenti articoli:

• Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure
• Assegnare ruoli di Azure usando il portale di Azure
• Assegnare ruoli di Azure usando Azure PowerShell

Accedere usando le credenziali di Microsoft Entra a una macchina virtuale Windows

È possibile accedere tramite RDP usando uno dei due metodi seguenti:

1. Senza password usando una delle credenziali di Microsoft Entra supportate (scelta consigliata)
2. Password/Senza password limitata con Windows Hello for Business distribuito con il modello di attendibilità del certificato

Accesso usando l’autenticazione senza password con Microsoft Entra ID

Per usare l'autenticazione senza password per le macchine virtuali Windows in Azure, sono necessari il computer client Windows e l'host della sessione (VM) nei seguenti sistemi operativi:

• Windows 11 con Aggiornamenti cumulativi 2022-10 per Windows 11 (KB5018418) o versioni successive installate.
• Windows 10 versione 20H2 o successiva con aggiornamenti cumulativi 2022-10 per Windows 10 (KB5018410) o versioni successive installate.
• Windows Server 2022 con aggiornamento cumulativo 2022-10 per il sistema operativo server Microsoft (KB5018421) o versioni successive installata.

Nota

Quando si usa l'account Web per accedere all'opzione computer remoto, non è necessario che il dispositivo locale venga aggiunto a un dominio o a un ID Microsoft Entra.

Per connettersi al computer remoto:

• Avviare la Connessione Desktop remoto da Windows Search o eseguendo mstsc.exe.
• Selezionare l’opzione Usa un account web per accedere al computer remoto nella scheda Avanzate. Questa opzione equivale alla proprietà RDP enablerdsaadauth. Per altre informazioni, vedere Proprietà RDP supportate con Servizi Desktop remoto.
• Specificare il nome del computer remoto e selezionare Connetti.

Importante

Non è possibile usare l'indirizzo IP con l'opzione Usa un account Web per accedere al computer remoto. Il nome deve corrispondere al nome host del dispositivo remoto in Microsoft Entra ID e deve essere indirizzabile in rete, risolvendo l'indirizzo IP del dispositivo remoto.

• Quando vengono richieste le credenziali, specificare il nome utente in formato user@domain.com.
• Quando ci si connette a un nuovo PC, viene poi richiesto di consentire la connessione desktop remoto. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di richiedere di nuovo. Se viene visualizzata questa finestra di dialogo, selezionare Sì per connettersi.

Importante

Se l'organizzazione ha configurato e usa l'accesso condizionale Microsoft Entra, il dispositivo deve soddisfare i requisiti di accesso condizionale per consentire la connessione al computer remoto. I criteri di accesso condizionale possono essere applicati all'applicazione Desktop remoto Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) per l'accesso controllato.

Nota

La schermata di blocco di Windows nella sessione remota non supporta i token di autenticazione Microsoft Entra o i metodi di autenticazione senza password, ad esempio le chiavi FIDO. La mancanza di supporto per questi metodi di autenticazione significa che gli utenti non possono sbloccare le schermate in una sessione remota. Quando si tenta di bloccare una sessione remota, tramite l'azione dell'utente o i criteri di sistema, la sessione viene invece disconnessa e il servizio invia un messaggio all'utente che spiega che è stato disconnesso. La disconnessione della sessione garantisce anche che quando la connessione viene riavviata dopo un periodo di inattività, Microsoft Entra ID rivaluta i Criteri di accesso condizionale applicabili.

Accedere usando l'autenticazione senza password limitata/con password tramite Microsoft Entra ID

Importante

La connessione remota alle macchine virtuali aggiunte a Microsoft Entra ID è consentita solo dai PC Windows 10 o versioni successive registrati tramite Microsoft Entra (la build minima richiesta è 20H1) o aggiunti a Microsoft Entra o aggiunti a Microsoft Entra in modo ibrido nella stessa directory della macchina virtuale. Inoltre, per RDP, usando le credenziali di Microsoft Entra, gli utenti devono appartenere a uno dei due ruoli di Azure, l'accesso amministratore delle macchine virtuali o l'accesso utente delle macchine virtuali.

Se si sta usando un PC Windows 10 registrato da Microsoft Entra o versioni successive, occorre immettere le credenziali nel formato AzureAD\UPN (ad esempio, AzureAD\john@contoso.com). A questo punto, è possibile usare Azure Bastion per accedere con l'autenticazione di Microsoft Entra tramite l'interfaccia della riga di comando di Azure e il client RDP nativo mstsc.

Per accedere alla macchina virtuale Windows Server 2019 usando Microsoft Entra ID:

1. Andare sulla pagina di panoramica della macchina virtuale che è stata abilitata con l'accesso di Microsoft Entra.
2. Selezionare Connetti per aprire il riquadro Connetti alla macchina virtuale.
3. Selezionare Scarica file RDP.
4. Selezionare Apri per aprire il client di Connessione Desktop remoto.
5. Selezionare Connetti per aprire la finestra di dialogo di accesso di Windows.
6. Accedere usando le credenziali di Microsoft Entra.

È stato effettuato l'accesso alla macchina virtuale di Azure di Windows Server 2019 con le autorizzazioni del ruolo assegnato, ad esempio come utente della macchina virtuale oppure amministratore della macchina virtuale.

Nota

È possibile salvare il file .RDP in locale nel computer per avviare future connessioni desktop remoto alla macchina virtuale, invece di andare sulla pagina di panoramica della macchina virtuale nel portale di Azure e usare l'opzione di connessione.

Imporre i Criteri di accesso condizionale

È possibile imporre criteri di accesso condizionale, ad esempio "MFA resistenti al phishing" usando il controllo della concessione “Richiedere livello di autenticazione” o l'autenticazione a più fattori o il controllo dei rischi di accesso dell’utente, prima di autorizzare l'accesso alle macchine virtuali Windows in Azure abilitate con l'account di accesso di Microsoft Entra. Per applicare un criterio di accesso condizionale, è necessario selezionare l'app di accesso alla macchina virtuale Windows di Microsoft Azure dall'opzione di assegnazione delle app cloud o delle azioni. Usare quindi il rischio di accesso come condizione o "MFA resistente al phishing" usando il controllo della concessione “Richiedere livello di autenticazione” o richiedere l'autenticazione a più fattori come controllo per concedere l'accesso.

Nota

Se è necessaria l'autenticazione a più fattori come controllo per concedere l'accesso all'app di accesso alla macchina virtuale Windows di Microsoft Azure, è necessario fornire un'attestazione MFA come parte del client che avvia la sessione RDP alla macchina virtuale Windows di destinazione in Azure. Ciò può essere ottenuto usando il metodo di autenticazione senza password per RDP che soddisfa i criteri di accesso condizionale; tuttavia se si sta usando un metodo senza password limitato per RDP, l'unico modo per ottenere questo risultato in un client Windows 10 o versione successiva consiste nell'usare un PIN di Windows Hello for Business o l'autenticazione biometrica con il client RDP. Il supporto per l'autenticazione biometrica è stato aggiunto al client RDP in Windows 10 versione 1809. Il desktop remoto che usa l'autenticazione di Windows Hello for Business è disponibile solo per le distribuzioni che usano un modello di attendibilità certificato. Non è attualmente disponibile per un modello di attendibilità delle chiavi.

Usare i Criteri di Azure per soddisfare gli standard e valutare la conformità

Usare Criteri di Azure per:

• Assicurarsi che l'accesso di Microsoft Entra sia abilitato per le macchine virtuali Windows nuove ed esistenti.
• Valutare la conformità dell'ambiente su larga scala in un dashboard di conformità.

Con questa funzionalità, è possibile usare molti livelli di imposizione. È possibile segnalare macchine virtuali Windows nuove ed esistenti all'interno dell'ambiente in cui non è abilitato l'accesso a Microsoft Entra. È anche possibile usare Criteri di Azure per distribuire l'estensione Microsoft Entra in nuove macchine virtuali Windows che non dispongono dell'accesso di Microsoft Entra abilitato e correggere le macchine virtuali Windows esistenti nello stesso standard.

Oltre a queste funzionalità, è possibile usare i Criteri di Azure per rilevare e segnalare le macchine virtuali Windows con account locali non approvati creati nei computer. Per altre informazioni, consultare i Criteri di Azure.

Risolvere i problemi di distribuzione

Per completare il processo di aggiunta a Microsoft Entra, l'estensione AADLoginForWindows deve essere installata correttamente. Se l'estensione della macchina virtuale non è installata correttamente, seguire questa procedura:

1. RDP alla macchina virtuale usando l'account amministratore locale ed esaminare il file CommandExecution.log in C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Nota

   Se l'estensione viene riavviata dopo l'errore iniziale, il log con l'errore di distribuzione verrà salvato come CommandExecution_YYYYMMDDHHMMSSSSS.log.

2. Aprire una finestra di PowerShell sulla macchina virtuale. Verificare che le query seguenti sull'endpoint del servizio metadati dell'istanza di Azure in esecuzione nell'host di Azure restituisca l'output previsto:

   Comando da eseguire	Output previsto
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Correggere le informazioni sulla macchina virtuale di Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Un ID tenant valido è associato alla sottoscrizione di Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Token di accesso valido emesso da Microsoft Entra ID per l'identità gestita assegnata a questa macchina virtuale

   Nota

   È possibile decodificare il token di accesso usando uno strumento come https://jwt.ms/. Verificare che il valore oid nel token di accesso corrisponda all'identità gestita assegnata alla macchina virtuale.

3. Assicurarsi che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Nota

   Sostituire <TenantID> con l'ID del tenant di Microsoft Entra associato alla sottoscrizione di Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net e pas.windows.net devono restituire 404 Not Found, ovvero il comportamento previsto.

4. Visualizzare lo stato del dispositivo eseguendo dsregcmd /status. L'obiettivo è che lo stato del dispositivo venga visualizzato come AzureAdJoined : YES.

   Nota

   L'attività di join di Microsoft Entra viene acquisita in Visualizzatore eventi nel registro di Registrazione del dispositivo utente/Amministratore in Visualizzatore eventi\Applicazioni e Log di servizio\Microsoft\Windows\Registrazione di dispositivo utente\Amministratore.

Se l'estensione AADLoginForWindows ha esito negativo con un codice errore, è possibile eseguire la procedura seguente.

Codice errore del terminale 1007 e codice di uscita -2145648574.

Il codice errore del terminale 1007 e il codice di uscita -2145648574 si traducono in DSREG_E_MSI_TENANTID_UNAVAILABLE. L'estensione non può eseguire query sulle informazioni sul tenant di Microsoft Entra.

Connettersi alla macchina virtuale come amministratore locale e verificare che l'endpoint restituisca un ID di tenant valido dal servizio metadati dell'istanza di Azure. Eseguire il comando seguente da una finestra di PowerShell con privilegi elevati sulla macchina virtuale:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Questo problema può verificarsi anche quando l'amministratore della macchina virtuale tenta di installare l'estensione AADLoginForWindows, ma un’identità gestita assegnata dal sistema non ha abilitato prima la macchina virtuale. In tal caso, andare sul riquadro Identità della macchina virtuale. Nella scheda Assegnata dal sistema, verificare che lo Stato sia impostato su Attivato.

Codice di uscita -2145648607

Il codice di uscita -2145648607 si traduce in DSREG_AUTOJOIN_DISC_FAILED. L'estensione non riesce a raggiungere l'endpoint https://enterpriseregistration.windows.net.

1. Verificare che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Nota

   Sostituire <TenantID> con l'ID del tenant di Microsoft Entra associato alla sottoscrizione di Azure. Se è necessario trovare l'ID del tenant, è possibile passare il puntatore del mouse sul nome dell'account o selezionare Identità>Panoramica>Proprietà>Tenant ID.

   I tentativi di connessione a enterpriseregistration.windows.net potrebbero restituire 404 Not Found, ovvero il comportamento previsto. I tentativi di connessione a pas.windows.net potrebbero richiedere credenziali PIN o restituire 404 Non trovato. (Non è necessario immettere il PIN). Uno di questi è sufficiente per verificare che l'URL sia raggiungibile.

2. Se uno dei comandi ha esito negativo con "Non è stato possibile risolvere l'host <URL>", provare a eseguire questo comando per determinare il server DNS che sta usando la macchina virtuale:

   nslookup <URL>

   Nota

   Sostituire <URL> con i nomi di dominio completi usati dagli endpoint, come login.microsoftonline.com.

3. Verificare se specificare un server DNS pubblico consente al comando di avere esito positivo:

   nslookup <URL> 208.67.222.222

4. Se necessario, modificare il server DNS assegnato al gruppo di sicurezza di rete a cui appartiene la macchina virtuale di Azure.

Codice di uscita 51

Il codice di uscita 51 si traduce in “Questa estensione non è supportata nel sistema operativo della macchina virtuale.”

L'estensione AADLoginForWindows è destinata a essere installata solo su Windows Server 2019 o Windows 10 (Build 1809 o versioni successive). Assicurarsi che la versione o la build di Windows sia supportata. Se non è supportata, disinstallare l'estensione.

Risolvere i problemi di accesso

Usare le informazioni seguenti per correggere i problemi di accesso.

È possibile visualizzare lo stato del dispositivo e dell'accesso Single Sign-On (SSO) eseguendo dsregcmd /status. L'obiettivo è che lo stato del dispositivo venga visualizzato come AzureAdJoined : YES e che lo stato SSO mostri AzureAdPrt : YES.

L'accesso RDP tramite account di Microsoft Entra viene acquisito in Visualizzatore eventi nei registri evento Applicazioni e registri di servizi\Microsoft\Windows\AAD\Operativo.

Ruolo di Azure non assegnato

È possibile che venga visualizzato il seguente messaggio di errore quando si avvia una connessione Desktop remoto alla macchina virtuale: "L'account è configurato per impedire l'uso di questo dispositivo. Per altre informazioni, contattare il proprio amministratore di sistema."

Verificare di aver configurato i criteri RBAC di Azure per la macchina virtuale che concedono all'utente il ruolo di Accesso amministratore alle macchine virtuali o Accesso utente alle macchine virtuali.

Nota

Se si verificano problemi con le assegnazioni di ruolo di Azure, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure.

Richiesta di modifica non autorizzata di client o password

È possibile che venga visualizzato il seguente messaggio di errore quando si avvia una connessione Desktop remoto alla macchina virtuale: "Le credenziali non funzionano".

Provare queste soluzioni:

• Il PC Windows 10 o versioni successive che si sta usando per avviare la connessione desktop remoto deve essere aggiunto a Microsoft Entra o aggiunto in modo ibrido a Microsoft Entra nella stessa directory di Microsoft Entra. Per altre informazioni sull'identità del dispositivo, consultare Cos’è un’identità del dispositivo?.

  Nota

  La Build 20H1 di Windows 10 ha aggiunto il supporto per un PC registrato da Microsoft Entra per avviare una connessione RDP alla macchina virtuale. Quando si usa un PC registrato da Microsoft Entra (non aggiunto a Microsoft Entra o aggiunto in modo ibrido a Microsoft Entra) come client RDP per avviare le connessioni alla macchina virtuale, è necessario immettere le credenziali nel formato AzureAD\UPN (ad esempio, AzureAD\john@contoso.com).

  Verificare che l'estensione AADLoginForWindows non sia stata disinstallata al termine dell'aggiunta a Microsoft Entra.

  Assicurarsi inoltre che i criteri di sicurezza Sicurezza di rete: consenti utilizzo di identità online da parte di richieste di autenticazione PKU2U a questo computer siano abilitati sia nel server che nel client.

• Verificare che l'utente non abbia una password temporanea. Non è possibile usare password temporanee per accedere a una connessione Desktop remoto.

  Accedere con l'account utente in un web browser. Ad esempio, accedere al portale di Azure in una finestra di esplorazione privata. Se viene richiesto di modificare la password, impostare una nuova password. Poi provare a eseguire di nuovo la connessione.

Metodo di accesso con autenticazione a più fattori obbligatorio

Quando si avvia una connessione desktop remoto alla macchina virtuale, potrebbe apparire il seguente messaggio di errore: "Il metodo di accesso che si sta tentando di usare non è consentito. Provare un altro metodo di accesso o contattare l'amministratore di sistema."

Se sono stati configurati criteri di accesso condizionale che richiedono l'autenticazione a più fattori o l’autenticazione a più fattori abilitata per Microsoft Entra o applicata alla stessa per l'utente prima di poter accedere alla risorsa, è necessario assicurarsi che il PC Windows 10 o versioni successive che sta avviando la connessione desktop remoto alla macchina virtuale esegua l'accesso tramite un metodo di autenticazione dettagliata come Windows Hello. Se non si usa un metodo di autenticazione dettagliata per la connessione desktop remoto, viene visualizzato l'errore.

Un altro messaggio di errore correlato all'autenticazione a più fattori è quello descritto in precedenza: "Le credenziali non hanno funzionato".

Se è stata configurata un'impostazione di autenticazione a più fattori abilitata per Microsoft Entra o applicata alla stessa per l'utente e viene visualizzato l'errore di cui sopra, è possibile risolvere il problema rimuovendo l'impostazione di MFA per l’utente. Per altre informazioni, vedere l’articolo: Abilitare l'autenticazione a più fattori di Microsoft Entra per utente per proteggere gli eventi di accesso.

Se Windows Hello for Business non è stato distribuito e se non è un'opzione per il momento, è possibile configurare un criterio di accesso condizionale che esclude l'app di accesso alla macchina virtuale Windows di Microsoft Azure dall'elenco di app cloud che richiedono l'autenticazione a più fattori. Per altre informazioni su Windows Hello for Business, vedere Panoramica di Windows Hello for Business.

Nota

L'autenticazione PIN di Windows Hello for Business con RDP è stata supportata per diverse versioni di Windows 10. Il supporto per l'autenticazione biometrica con RDP è stato aggiunto in Windows 10 versione 1809. L'uso dell'autenticazione di Windows Hello for Business durante RDP è disponibile per le distribuzioni che usano un modello di attendibilità certificato o un modello di attendibilità delle chiavi.

Condividere il proprio feedback su questa funzionalità o segnalare problemi riscontrati durante l'utilizzo nel forum di feedback su Microsoft Entra.

Applicazione mancante

Se l'applicazione di accesso alla macchina virtuale Windows di Microsoft Azure non è presente nell'accesso condizionale, assicurarsi che l'applicazione si trovi nel tenant:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
2. Passare a Identità>Applicazioni>Applicazioni aziendali.
3. Rimuovere i filtri per vedere tutte le applicazioni e cercare VM. Se non viene visualizzato l'accesso alla macchina virtuale Windows di Microsoft Azure, l'entità servizio non è presente nel tenant.

Suggerimento

Alcuni tenant potrebbero mostrare l'applicazione denominata Accesso alla macchina virtuale Windows di Azure anziché l'accesso alla macchina virtuale Windows di Microsoft Azure. L'applicazione avrà lo stesso ID di applicazione di 372140e0-b3b7-4226-8ef9-d57986796201.

Passaggi successivi

Per altre informazioni su Microsoft Entra ID, vedere Che cos'è Microsoft Entra ID?.