Configure o logon único para a Área de Trabalho Virtual do Azure usando a autenticação do Microsoft Entra ID.
Este artigo explica o processo de configuração do SSO (logon único) para a Área de Trabalho Virtual do Azure usando a autenticação do Microsoft Entra ID. Quando você habilita o logon único, os usuários se autenticam no Windows usando um token do Microsoft Entra ID. Esse token habilita o uso de autenticação sem senha e provedores de identidade de terceiros que federam com o Microsoft Entra ID ao se conectar a um host de sessão, tornando a experiência de entrada perfeita.
O logon único usando a autenticação do Microsoft Entra ID também fornece uma experiência perfeita para recursos baseados no Microsoft Entra ID dentro da sessão. Para obter mais informações sobre como usar a autenticação sem senha em uma sessão, consulte Autenticação sem senha na sessão.
Para habilitar o logon único usando a autenticação do Microsoft Entra ID, há cinco tarefas que você deve concluir:
Habilite a autenticação do Microsoft Entra para RDP (Protocolo de Área de Trabalho Remota).
Configure os grupos de dispositivos de destino.
Crie um objeto de servidor Kerberos, se o Active Directory Domain Services fizer parte do seu ambiente. Mais informações sobre os critérios estão incluídas em sua seção.
Examine as políticas de acesso condicional.
Configure o pool de hosts para habilitar o logon único.
Antes de habilitar o logon único
Antes de habilitar o logon único, revise as informações a seguir para usá-lo em seu ambiente.
Desconexão quando a sessão está bloqueada
Quando o logon está habilitado, você entra no Windows usando um token de autenticação do Microsoft Entra ID, que fornece suporte para autenticação sem senha no Windows. A tela de bloqueio do Windows na sessão remota não dá suporte a tokens de autenticação do Microsoft Entra ID ou a métodos de autenticação sem senha, como chaves FIDO. A falta de suporte para esses métodos de autenticação significa que os usuários não podem desbloquear suas telas em uma sessão remota. Quando você tenta bloquear uma sessão remota, por meio da ação do usuário ou da política do sistema, a sessão é desconectada e o serviço envia uma mensagem ao usuário explicando que ele foi desconectado.
A desconexão da sessão também garante que, quando a conexão for reestabelecida após um período de inatividade, o Microsoft Entra ID reavalie as políticas de acesso condicional aplicáveis.
Uso de uma conta de administrador de domínio do Active Directory com logon único
Em ambientes com um AD DS (Active Directory Domain Services) e contas de usuário híbrida, a Política de Replicação de Senha padrão em controladores de domínio somente leitura nega a replicação de senha para membros de grupos de segurança Administradores de domínio e Administradores. Essa política impede que essas contas de administrador entrem em hosts ingressados híbridos do Microsoft Entra e podem continuar solicitando que eles insiram suas credenciais. Isso também impedirá que as contas de administrador acessem recursos locais que usam a autenticação Kerberos de hosts ingressados no Microsoft Entra.
Para permitir que essas contas de administrador se conectem quando o logon único estiver habilitado, consulte Permitir que contas de administrador de domínio do Active Directory se conectem.
Pré-requisitos
Antes de habilitar o logon único, você deve atender aos seguintes pré-requisitos:
Para configurar seu locatário do Microsoft Entra, você deve receber uma das seguintes funções internas do Microsoft Entra:
Os hosts de sessão devem estar executando um dos seguintes sistemas operacionais com a atualização cumulativa relevante instalada:
- Windows 11 Enterprise de uma ou várias sessões com as atualizações cumulativas 2022-10 para Windows 11 (KB5018418) ou posterior instaladas.
- Windows 10 Enterprise de uma ou várias sessões com as Atualizações cumulativas 2022-10 para Windows 10 (KB5018410) ou posteriores instaladas.
- Windows Server 2022 com a atualização cumulativa 2022-10 para o sistema operacional do servidor Microsoft (KB5018421) ou posterior instalada.
Os hosts de sessão devem ser ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido. Hosts de sessão ingressados somente no Microsoft Entra Domain Services ou no Active Directory Domain Services não têm suporte.
Se os hosts de sessão ingressados no Microsoft Entra híbrido estiverem em um domínio do Active Directory diferente das suas contas de usuário, deverá haver uma relação de confiança bidirecional entre os dois domínios. Sem a relação de confiança bidirecional, as conexões voltarão aos protocolos de autenticação mais antigos.
Instalar o SDK do Microsoft Graph PowerShell versão 2.9.0 ou posterior em seu dispositivo local ou no Azure Cloud Shell.
Um cliente de Área de Trabalho Remota com suporte para se conectar a uma sessão remota. Há suporte para os seguintes clientes:
- Cliente da Área de Trabalho do Windows em computadores locais executando o Windows 10 ou posterior. Não há nenhum requisito para que o computador local seja ingressado no Microsoft Entra ID ou em um domínio do Active Directory.
- Cliente Web.
- Cliente macOS, versão 10.8.2 ou posterior.
- Cliente iOS, versão 10.5.1 ou posterior.
- Cliente Android, versão 10.0.16 ou posterior.
Para configurar a permissão de conexão da conta de administrador de domínio do Active Directory quando o logon único estiver ativado, você precisa de uma conta que seja membro do grupo de segurança Administradores de Domínio.
Habilitar a autenticação do Microsoft Entra para RDP
Primeiro, você deve permitir a autenticação do Microsoft Entra para Windows em seu locatário do Microsoft Entra, o que permite a emissão de tokens de acesso RDP, permitindo que os usuários entrem em seus hosts de sessão da Área de Trabalho Virtual do Azure. Defina a propriedade isRemoteDesktopProtocolEnabled
como true no objeto remoteDesktopSecurityConfiguration
da entidade de serviço para os seguintes aplicativos do Microsoft Entra:
Nome do Aplicativo | Application ID |
---|---|
Área de Trabalho Remota da Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
Logon na Nuvem do Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Importante
Como parte de uma alteração futura, estamos fazendo a transição da Área de Trabalho Remota da Microsoft para o Logon na Nuvem do Windows, a partir de 2024. A configuração de ambos os aplicativos agora garante que você esteja pronto para a alteração.
Para configurar a entidade de serviço, use o objeto SDK do Microsoft Graph PowerShell para criar um novo objeto remoteDesktopSecurityConfiguration na entidade de serviço e defina a propriedade isRemoteDesktopProtocolEnabled
como true
. Você também pode usar a API do Microsoft Graph com uma ferramenta como Graph Explorer.
Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell, ou execute o PowerShell em seu dispositivo local.
Se você estiver usando o Cloud Shell, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.
Se estiver usando a CLI do o PowerShell localmente, primeiro Entre com o Azure PowerShell e verifique se o contexto do Azure está definido como a assinatura que você deseja usar.
Verifique se você instalou o SDK do Microsoft Graph PowerShell a partir dos pré-requisitos e, em seguida, importe os módulos Autenticação e Aplicativosdo Microsoft Graph e conecte-se ao Microsoft Graph com os escopos
Application.Read.All
eApplication-RemoteDesktopConfig.ReadWrite.All
executando os seguintes comandos:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
Obtenha a ID do objeto para cada entidade de serviço e armazene-as em variáveis executando os seguintes comandos:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
Defina a propriedade
isRemoteDesktopProtocolEnabled
comotrue
executando os comandos a seguir. Não há saída desses comandos.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }
Confirme se a propriedade
isRemoteDesktopProtocolEnabled
está definida comotrue
executando os comandos a seguir:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
A saída deverá ser como a seguinte:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Configurar os grupos de dispositivos de destino
Depois de habilitar a autenticação do Microsoft Entra para RDP, você precisará configurar os grupos de dispositivos de destino. Por padrão, ao habilitar o logon único, os usuários são solicitados a autenticar-se na ID do Microsoft Entra e permitir a conexão da Área de Trabalho Remota ao iniciar uma conexão com um novo host de sessão. O Microsoft Entra se lembra de até 15 hosts durante 30 dias antes de fazer uma nova solicitação. Se você vir uma caixa de diálogo para permitir a conexão da Área de Trabalho Remota, selecione Sim para se conectar.
Você pode ocultar essa caixa de diálogo e fornecer logon único para conexões com todos os hosts de sessão configurando uma lista de dispositivos confiáveis. É necessário criar um ou mais grupos no Microsoft Entra ID que contenham seus hosts de sessão e, em seguida, definir uma propriedade nas entidades de serviço para os mesmos aplicativos Área de Trabalho Remota da Microsoft e Logon na Nuvem do Windows, conforme usado na seção anterior, para o grupo.
Dica
Recomendamos que você use um grupo dinâmico e configure as regras de associação dinâmica para incluir todos os hosts de sessão da Área de Trabalho Virtual do Azure. Você pode usar os nomes de dispositivo neste grupo, mas para uma opção mais segura, você pode definir e usar atributos de extensão de dispositivo usando a API do Microsoft Graph. Embora os grupos dinâmicos normalmente atualizem dentro de 5 a 10 minutos, grandes locatários podem levar até 24 horas.
Grupos dinâmicos exigem a licença do Microsoft Entra ID P1 ou a licença do Intune para Educação. Para obter mais informações, consulte Regras de associação dinâmica para grupos.
Para configurar a entidade de serviço, use o SDK do Microsoft Graph PowerShell para criar um novo objeto targetDeviceGroup na entidade de serviço com a ID do objeto e o nome de exibição do grupo dinâmico. Você também pode usar a API do Microsoft Graph com uma ferramenta como Graph Explorer.
Crie um grupo dinâmico no Microsoft Entra ID contendo os hosts de sessão para os quais você deseja ocultar a caixa de diálogo. Anote a ID do objeto do grupo para a próxima etapa.
Na mesma sessão do PowerShell, crie um objeto
targetDeviceGroup
executando os seguintes comandos, substituindo o<placeholders>
por seus próprios valores:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"
Adicione o grupo ao objeto
targetDeviceGroup
executando os seguintes comandos:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
A saída deverá ser semelhante a:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
Repita as etapas 2 e 3 para cada grupo que você deseja adicionar ao objeto
targetDeviceGroup
, até um máximo de 10 grupos.Se mais tarde você precisar remover um grupo de dispositivos do objeto
targetDeviceGroup
, execute os seguintes comandos, substituindo o<placeholders>
por seus próprios valores:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Criar um objeto de servidor Kerberos
Se os hosts de sessão atenderem aos seguintes critérios, você deverá Criar um objeto do servidor Kerberos:
- O host da sessão é ingressado no Microsoft Entra Híbrido. Você deve ter um objeto do servidor Kerberos para concluir a autenticação no controlador de domínio.
- Seu host da sessão está ingressado no Microsoft Entra e seu ambiente contém controladores de domínio do Active Directory. É necessário ter um objeto de Servidor Kerberos para que os usuários acessem recursos locais, como compartilhamentos SMB e autenticação integrada ao Windows para sites.
Importante
Se você habilitar o logon único em hosts de sessão ingressados no Microsoft Entra híbrido antes de criar um objeto de servidor Kerberos, uma das seguintes coisas poderá acontecer:
- Você recebe uma mensagem de erro informando que a sessão específica não existe.
- O logon único será ignorado e você verá uma caixa de diálogo de autenticação padrão para o host da sessão.
Para resolver esses problemas, crie o objeto de servidor Kerberos e conecte-se novamente.
Examine suas políticas de acesso condicional
Quando o logon único está habilitado, um novo aplicativo da ID do Microsoft Entra é introduzido para autenticar usuários no host da sessão. Se você tiver políticas de acesso condicional que se aplicam ao acessar a Área de Trabalho Virtual do Azure, examine as recomendações sobre como configurar a autenticação multifator para garantir que os usuários tenham a experiência desejada.
Configure o pool de hosts para habilitar o logon único.
Para habilitar o logon único no pool de hosts, você deve configurar a propriedade RDP a seguir, o que pode ser feito usando o portal do Microsoft Azure ou o PowerShell. Você pode encontrar as etapas para configurar as propriedades RDP em Personalizar as propriedades RDP (Remote Desktop Protocol) para um pool de hosts.
- No portal do Azure, defina o logon único do Microsoft Entra como As conexões usarão a autenticação do Microsoft Entra para fornecer logon único.
- No PowerShell, defina a propriedade enablerdsaadauth como 1.
Permitir que contas de administrador de domínio do Active Directory se conectem
Para permitir que contas de administrador de domínio do Active Directory se conectem quando o logon único estiver habilitado:
Em um dispositivo que você usa para gerenciar seu domínio do Active Directory, abra o console Usuários e computadores do Active Directory usando uma conta que seja membro do grupo de segurança Administradores de domínio.
Abra a unidade organizacional Controladores de domínio para seu domínio.
Localize o objeto AzureADKerberos, clique nele com o botão direito do mouse e selecione Propriedades.
Selecione a guia Política de Replicação de Senha.
Altere a política para Administradores de Domínio de Negar para Permitir.
Exclua a política para Administradores. O grupo de Administradores de Domínio é membro do grupo de Administradores, portanto, negar a replicação para os administradores também a nega para os administradores de domínio.
Selecione OK para salvar suas alterações.
Próximas etapas
- Confira Autenticação sem senha na sessão para saber como habilitar a autenticação sem senha.
- Para obter mais informações sobre o Kerberos do Microsoft Entra, consulte Aprofundamento: como o Kerberos do Microsoft Entra funciona
- Se você estiver acessando a Área de Trabalho Virtual do Azure no cliente da Área de Trabalho do Windows, confira Conectar-se com o cliente da Área de Trabalho do Windows.
- Se você estiver acessando a Área de Trabalho Virtual do Azure de nosso cliente Web, confira Conectar-se ao cliente Web.
- Se você encontrar problemas, acesse Solucionar problemas de conexões com VMs ingressadas no Microsoft Entra.