Compartilhar via

Identidades e métodos de autenticação suportados

Neste artigo, vamos dar-lhe uma breve descrição geral dos tipos de identidades e métodos de autenticação que pode utilizar no Azure Virtual Desktop.

Identidades

O Azure Virtual Desktop suporta diferentes tipos de identidades consoante a configuração que escolher. Esta secção explica quais as identidades que pode utilizar para cada configuração.

Importante

O Azure Virtual Desktop não suporta o início de sessão no Microsoft Entra ID com uma conta de utilizador e, em seguida, iniciar sessão no Windows com uma conta de utilizador separada. Iniciar sessão com duas contas diferentes ao mesmo tempo pode fazer com que os utilizadores voltem a ligar-se ao anfitrião da sessão errado, informações incorretas ou em falta no portal do Azure e mensagens de erro apresentadas ao utilizar a Anexação de Aplicações.

Identidade no local

Uma vez que os utilizadores têm de ser detetáveis através de Microsoft Entra ID para aceder ao Azure Virtual Desktop, as identidades de utilizador que existem apenas no Active Directory Domain Services (AD DS) não são suportadas. Isto inclui implementações autónomas do Active Directory com Serviços de Federação do Active Directory (AD FS) (AD FS).

Identidade híbrida

O Azure Virtual Desktop suporta identidades híbridas através de Microsoft Entra ID, incluindo as federadas com o AD FS. Pode gerir estas identidades de utilizador no AD DS e sincronizá-las para Microsoft Entra ID com o Microsoft Entra Connect. Também pode utilizar Microsoft Entra ID para gerir estas identidades e sincronizá-las para Microsoft Entra Domain Services.

Ao aceder ao Azure Virtual Desktop com identidades híbridas, por vezes, o Nome Principal de Utilizador (UPN) ou o Identificador de Segurança (SID) para o utilizador no Active Directory (AD) e Microsoft Entra ID não correspondem. Por exemplo, a conta user@contoso.local do AD pode corresponder a user@contoso.com em Microsoft Entra ID. O Azure Virtual Desktop só suporta este tipo de configuração se o UPN ou o SID das suas contas do AD e Microsoft Entra ID corresponderem. SID refere-se à propriedade de objeto de utilizador "ObjectSID" no AD e "OnPremisesSecurityIdentifier" no Microsoft Entra ID.

Identidade somente na nuvem

O Azure Virtual Desktop suporta identidades apenas na cloud ao utilizar Microsoft Entra VMs associadas. Estes utilizadores são criados e geridos diretamente no Microsoft Entra ID.

Observação

Também pode atribuir identidades híbridas a grupos de Aplicações do Azure Virtual Desktop que alojam anfitriões de sessão do tipo de associação Microsoft Entra associados.

Identidade federada

Se estiver a utilizar um Fornecedor de Identidade (IdP) de terceiros, que não Microsoft Entra ID ou Active Directory Domain Services, para gerir as suas contas de utilizador, tem de garantir que:

Identidade externa

Atualmente, o Azure Virtual Desktop não suporta identidades externas.

Métodos de autenticação

Ao aceder aos recursos do Azure Virtual Desktop, existem três fases de autenticação separadas:

  • Autenticação do serviço cloud: a autenticação no serviço Azure Virtual Desktop, que inclui a subscrição de recursos e a autenticação no Gateway, é Microsoft Entra ID.
  • Autenticação de sessão remota: autenticação na VM remota. Existem várias formas de autenticar na sessão remota, incluindo o início de sessão único (SSO) recomendado.
  • Autenticação na sessão: autenticação em aplicações e sites na sessão remota.

Para obter a lista de credenciais disponíveis nos diferentes clientes para cada uma das fases de autenticação, compare os clientes entre plataformas.

Importante

Para que a autenticação funcione corretamente, o seu computador local também tem de conseguir aceder aos URLs necessários para clientes de Ambiente de Trabalho Remoto.

As secções seguintes fornecem mais informações sobre estas fases de autenticação.

Autenticação do serviço cloud

Para aceder aos recursos do Azure Virtual Desktop, primeiro tem de se autenticar no serviço ao iniciar sessão com uma conta Microsoft Entra ID. A autenticação ocorre sempre que subscrever para obter os seus recursos, ligar ao gateway ao iniciar uma ligação ou ao enviar informações de diagnóstico para o serviço. O recurso Microsoft Entra ID utilizado para esta autenticação é o Azure Virtual Desktop (ID da aplicação 9cdead84-a844-4324-93f2-b2e6bb768d07).

Autenticação de vários fatores

Siga as instruções em Impor Microsoft Entra autenticação multifator para o Azure Virtual Desktop com o Acesso Condicional para saber como impor Microsoft Entra autenticação multifator para a sua implementação. Este artigo também lhe indicará como configurar a frequência com que os seus utilizadores são solicitados a introduzir as respetivas credenciais. Ao implementar Microsoft Entra VMs associadas, tenha em atenção os passos adicionais para Microsoft Entra VMs de anfitrião de sessões associadas.

Autenticação sem palavra-passe

Pode utilizar qualquer tipo de autenticação suportado por Microsoft Entra ID, como Windows Hello para Empresas e outras opções de autenticação sem palavra-passe (por exemplo, chaves FIDO), para se autenticar no serviço.

Autenticação de card inteligente

Para utilizar uma card inteligente para se autenticar no Microsoft Entra ID, primeiro tem de configurar Microsoft Entra autenticação baseada em certificados ou configurar o AD FS para autenticação de certificados de utilizador.

Fornecedores de identidade de terceiros

Pode utilizar fornecedores de identidade de terceiros desde que federam com Microsoft Entra ID.

Autenticação de sessão remota

Se ainda não ativou o início de sessão único ou guardou as suas credenciais localmente, também terá de se autenticar no anfitrião da sessão ao iniciar uma ligação.

SSO (logon único)

O SSO permite que a ligação ignore o pedido de credenciais do anfitrião da sessão e inicie sessão automaticamente no Windows através Microsoft Entra autenticação. Para anfitriões de sessão Microsoft Entra associados ou Microsoft Entra associados híbridos, é recomendado ativar o SSO através da autenticação Microsoft Entra. Microsoft Entra autenticação fornece outras vantagens, incluindo a autenticação sem palavra-passe e o suporte para fornecedores de identidade de terceiros.

O Azure Virtual Desktop também suporta o SSO através de Serviços de Federação do Active Directory (AD FS) (AD FS) para o Ambiente de Trabalho do Windows e clientes Web.

Sem o SSO, o cliente pede aos utilizadores as respetivas credenciais de anfitrião de sessão para cada ligação. A única forma de evitar que lhe seja pedido é guardar as credenciais no cliente. Recomendamos que guarde apenas as credenciais em dispositivos seguros para impedir que outros utilizadores acedam aos seus recursos.

Smart card e Windows Hello para Empresas

O Azure Virtual Desktop suporta o NT LAN Manager (NTLM) e o Kerberos para autenticação de anfitrião de sessão. No entanto, o Smart card e Windows Hello para Empresas só podem utilizar o Kerberos para iniciar sessão. Para utilizar o Kerberos, o cliente tem de obter permissões de segurança Kerberos a partir de um serviço do Centro de Distribuição de Chaves (KDC) em execução num controlador de domínio. Para obter pedidos de suporte, o cliente precisa de uma linha de visão de rede direta para o controlador de domínio. Pode obter uma linha de visão ao ligar diretamente na sua rede empresarial, através de uma ligação VPN ou ao configurar um servidor Proxy KDC.

Autenticação na sessão

Assim que estiver ligado ao remoteApp ou ao ambiente de trabalho, poderá ser-lhe pedida autenticação dentro da sessão. Esta secção explica como utilizar credenciais que não o nome de utilizador e a palavra-passe neste cenário.

Autenticação sem palavra-passe na sessão

O Azure Virtual Desktop suporta a autenticação sem palavra-passe na sessão através de dispositivos Windows Hello para Empresas ou de segurança, como chaves FIDO, ao utilizar o cliente de Ambiente de Trabalho do Windows. A autenticação sem palavra-passe é ativada automaticamente quando o anfitrião da sessão e o PC local estão a utilizar os seguintes sistemas operativos:

Para desativar a autenticação sem palavra-passe no conjunto de anfitriões, tem de personalizar uma propriedade RDP. Pode encontrar a propriedade de redirecionamento WebAuthn no separador Redirecionamento de dispositivos no portal do Azure ou definir a propriedade redirectwebauthn como 0 com o PowerShell.

Quando ativado, todos os pedidos WebAuthn na sessão são redirecionados para o PC local. Pode utilizar Windows Hello para Empresas ou dispositivos de segurança ligados localmente para concluir o processo de autenticação.

Para aceder Microsoft Entra recursos com Windows Hello para Empresas ou dispositivos de segurança, tem de ativar a Chave de Segurança FIDO2 como um método de autenticação para os seus utilizadores. Para ativar este método, siga os passos em Ativar o método de chave de segurança FIDO2.

Autenticação de card inteligente na sessão

Para utilizar uma card inteligente na sua sessão, certifique-se de que instalou os controladores de card inteligentes no anfitrião da sessão e ativou o redirecionamento de card inteligente. Reveja os gráficos de comparação para Windows App e a aplicação Ambiente de Trabalho Remoto para que possa utilizar o redirecionamento de card inteligente.

Próximas etapas