Configurar o comportamento de bloqueio de sessão para o Azure Virtual Desktop

Pode escolher se a sessão está desligada ou se o ecrã de bloqueio remoto é apresentado quando uma sessão remota é bloqueada pelo utilizador ou pela política. Quando o comportamento do bloqueio de sessão está definido para desligar, é apresentada uma caixa de diálogo para informar os utilizadores de que foram desligados. Os utilizadores podem escolher a opção Restabelecer Ligação na caixa de diálogo quando estiverem prontos para se ligarem novamente.

Quando utilizado com o início de sessão único com Microsoft Entra ID, desligar a sessão proporciona as seguintes vantagens:

• Uma experiência de início de sessão consistente através de Microsoft Entra ID quando necessário.

• Uma experiência de início de sessão único e restabelecimento de ligação sem pedido de autenticação, quando permitido por políticas de acesso condicional.

• Suporte para autenticação sem palavra-passe, como chaves de acesso e dispositivos FIDO2, ao contrário do ecrã de bloqueio remoto. É necessário desligar a sessão para garantir o suporte total da autenticação sem palavra-passe.

• As políticas de acesso condicional, incluindo a autenticação multifator e a frequência de início de sessão, são reavaliadas quando o utilizador voltar a ligar à sessão.

• Pode exigir que a autenticação multifator regresse à sessão e impeça que os utilizadores desbloqueiem com um nome de utilizador e palavra-passe simples.

Para cenários que dependem da autenticação legada, incluindo NTLM, CredSSP, RDSTLS, TLS e protocolos de autenticação básica RDP, é pedido aos utilizadores que reinsiram novamente as suas credenciais quando restabelecerem ligação ou iniciarem uma nova ligação.

O comportamento de bloqueio de sessão predefinido é diferente consoante esteja a utilizar o início de sessão único com Microsoft Entra ID ou a autenticação legada. A tabela seguinte mostra a configuração predefinida para cada cenário:

Cenário	Configuração padrão
Início de sessão único com Microsoft Entra ID	Desconectar a sessão
Protocolos de autenticação legados	Mostrar o ecrã de bloqueio remoto

Este artigo mostra-lhe como alterar o comportamento do bloqueio de sessão da configuração predefinida com Microsoft Intune ou Política de Grupo.

Pré-requisitos

Selecione o separador relevante para o seu método de configuração.

Intune

Antes de poder configurar o comportamento do bloqueio de sessão, tem de cumprir os seguintes pré-requisitos:

• Um conjunto de anfitriões existente com anfitriões de sessão.

• Os anfitriões de sessão têm de estar a executar um dos seguintes sistemas operativos com a atualização cumulativa relevante instalada:

  • Windows 11 única ou múltipla sessão com a Atualizações Cumulativa 2024-05 para Windows 11 (KB5037770) ou posterior instalada.
  • Windows 10 única ou múltipla sessão, versões 21H2 ou posterior com a Atualizações Cumulativa 2024-06 para Windows 10 (KB5039211) ou posterior instalada.
  • Windows Server 2022 com a Atualização Cumulativa 2024-05 para o sistema operativo do servidor Microsoft (KB5037782) ou posterior instalada.

• Para configurar Intune, precisa de:

  • Uma conta Microsoft Entra ID atribuída à função RBAC incorporada Gestor de Políticas e Perfis.
  • Um grupo que contém os dispositivos que pretende configurar.

Política de grupo

Antes de poder configurar o comportamento do bloqueio de sessão, tem de cumprir os seguintes pré-requisitos:

• Um conjunto de anfitriões existente com anfitriões de sessão.

• Os anfitriões de sessão têm de estar a executar um dos seguintes sistemas operativos com a atualização cumulativa relevante instalada:

  • Windows 11 única ou múltipla sessão com a Atualizações Cumulativa 2024-05 para Windows 11 (KB5037770) ou posterior instalada.
  • Windows 10 única ou múltipla sessão, versões 21H2 ou posterior com a Atualizações Cumulativa 2024-06 para Windows 10 (KB5039211) ou posterior instalada.
  • Windows Server 2022 com a Atualização Cumulativa 2024-05 para o sistema operativo do servidor Microsoft (KB5037782) ou posterior instalada.

• Para configurar Política de Grupo, precisa de:

  • Uma conta de domínio com permissão para criar ou editar objetos Política de Grupo.
  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que pretende configurar.

Configurar o comportamento do bloqueio de sessão

Selecione o separador relevante para o seu método de configuração.

Intune

Para configurar a experiência de bloqueio de sessão com Intune:

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores, com o tipo de perfil de catálogo Definições.

3. No seletor de definições, navegue para Modelos administrativos Componentes>do Windows Serviços> de Ambiente deTrabalho Remoto Segurança>do Anfitrião de Sessões> de Ambiente de Trabalho Remoto.

   

4. Selecione a caixa de verificação de uma das seguintes definições, consoante os seus requisitos:

   • Para o início de sessão único com Microsoft Entra ID:

     1. Selecione a caixa Desativar sessão remota no bloqueio para plataforma de identidade da Microsoft autenticação e, em seguida, feche o seletor de definições.

     2. Expanda a categoria Modelos administrativos e, em seguida, alterne o botão para Desligar sessão remota no bloqueio para plataforma de identidade da Microsoft autenticação para Ativado ou Desativado:

        • Para desligar a sessão remota quando a sessão é bloqueada, alterne o seletor para Ativado.

        • Para mostrar o ecrã de bloqueio remoto quando a sessão é bloqueada, alterne o seletor para Desativado.

   • Para protocolos de autenticação legados:

     1. Selecione a caixa Desativar sessão remota bloqueada para autenticação legada e, em seguida, feche o seletor de definições.

     2. Expanda a categoria Modelos administrativos e, em seguida, alterne o botão para Desligar a sessão remota no bloqueio para autenticação legada para Ativada ou Desativada:

        • Para desligar a sessão remota quando a sessão é bloqueada, alterne o seletor para Ativado.

        • Para mostrar o ecrã de bloqueio remoto quando a sessão é bloqueada, alterne o seletor para Desativado.

5. Selecione Avançar.

6. Opcional: no separador Etiquetas de âmbito , selecione uma etiqueta de âmbito para filtrar o perfil. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

7. No separador Atribuições , selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

8. No separador Rever + criar , reveja as definições e, em seguida, selecione Criar.

9. Assim que a política se aplicar aos anfitriões de sessão, reinicie-os para que as definições entrem em vigor.

10. Para testar a configuração, ligue-se a uma sessão remota e, em seguida, bloqueie a sessão remota. Verifique se a sessão se desliga ou o ecrã de bloqueio remoto é apresentado, dependendo da configuração.

Política de grupo

Para configurar a experiência de bloqueio de sessão com Política de Grupo, siga estes passos.

1. As definições de Política de Grupo só estão disponíveis nos sistemas operativos listados em Pré-requisitos. Para os disponibilizar noutras versões do Windows Server, tem de copiar os ficheiros C:\Windows\PolicyDefinitions\terminalserver.admx de modelo administrativo e C:\Windows\PolicyDefinitions\en-US\terminalserver.adml de um anfitrião de sessão para a mesma localização nos controladores de domínio ou na Política de Grupo Central Store, consoante o seu ambiente. No caminho do ficheiro para terminalserver.adml substituir en-US pelo código de idioma adequado, se estiver a utilizar um idioma diferente.

2. Abra a consola de Gestão de Política de Grupo no dispositivo que utiliza para gerir o domínio do Active Directory.

3. Crie ou edite uma política destinada aos computadores que fornecem uma sessão remota que pretende configurar.

4. Navegue paraPolíticasde Configuração> do Computador Modelos >Administrativos Componentes> doWindows Serviços> deAmbiente> deTrabalho Remoto Segurança do Anfitrião da> Sessão de Ambiente de Trabalho Remoto.

   

5. Faça duplo clique numa das seguintes definições de política, consoante os seus requisitos:

   • Para o início de sessão único com Microsoft Entra ID:

     1. Faça duplo clique em Desligar sessão remota bloqueada para plataforma de identidade da Microsoft autenticação para abri-la.

        • Para desligar a sessão remota quando a sessão é bloqueada, selecione Ativado ou Não configurado.

        • Para mostrar o ecrã de bloqueio remoto quando a sessão é bloqueada, selecione Desativado.

     2. Selecione OK.

   • Para protocolos de autenticação legados:

     1. Faça duplo clique em Desligar sessão remota no bloqueio para que a autenticação legada a abra.

        • Para desligar a sessão remota quando a sessão é bloqueada, selecione Ativado.

        • Para mostrar o ecrã de bloqueio remoto quando a sessão é bloqueada, selecione Desativado ou Não configurado.

     2. Selecione OK.

6. Certifique-se de que a política é aplicada aos anfitriões de sessão e, em seguida, reinicie-os para que as definições entrem em vigor.

7. Para testar a configuração, ligue-se a uma sessão remota e, em seguida, bloqueie a sessão remota. Verifique se a sessão se desliga ou o ecrã de bloqueio remoto é apresentado, dependendo da configuração.

Conteúdo relacionado

• Saiba como Configurar o início de sessão único para o Azure Virtual Desktop com Microsoft Entra ID.