Share via

Configure o logon único para a Área de Trabalho Virtual do Azure usando a autenticação do Microsoft Entra ID.

  • Artigo

Este artigo explica o processo de configuração do SSO (logon único) para a Área de Trabalho Virtual do Azure usando a autenticação do Microsoft Entra ID. Quando você habilita o logon único, os usuários se autenticam no Windows usando um token do Microsoft Entra ID. Esse token habilita o uso de autenticação sem senha e provedores de identidade de terceiros que federam com o Microsoft Entra ID ao se conectar a um host de sessão, tornando a experiência de entrada perfeita.

O logon único usando a autenticação do Microsoft Entra ID também fornece uma experiência perfeita para recursos baseados no Microsoft Entra ID dentro da sessão. Para obter mais informações sobre como usar a autenticação sem senha em uma sessão, consulte Autenticação sem senha na sessão.

Para habilitar o logon único usando a autenticação do Microsoft Entra ID, há cinco tarefas que você deve concluir:

  1. Habilite a autenticação do Microsoft Entra para RDP (Protocolo de Área de Trabalho Remota).

  2. Configure os grupos de dispositivos de destino.

  3. Crie um objeto de servidor Kerberos, se o Active Directory Domain Services fizer parte do seu ambiente. Mais informações sobre os critérios estão incluídas em sua seção.

  4. Examine as políticas de acesso condicional.

  5. Configure o pool de hosts para habilitar o logon único.

Antes de habilitar o logon único

Antes de habilitar o logon único, revise as informações a seguir para usá-lo em seu ambiente.

Desconexão quando a sessão está bloqueada

Quando o logon está habilitado, você entra no Windows usando um token de autenticação do Microsoft Entra ID, que fornece suporte para autenticação sem senha no Windows. A tela de bloqueio do Windows na sessão remota não dá suporte a tokens de autenticação do Microsoft Entra ID ou a métodos de autenticação sem senha, como chaves FIDO. A falta de suporte para esses métodos de autenticação significa que os usuários não podem desbloquear suas telas em uma sessão remota. Quando você tenta bloquear uma sessão remota, por meio da ação do usuário ou da política do sistema, a sessão é desconectada e o serviço envia uma mensagem ao usuário explicando que ele foi desconectado.

A desconexão da sessão também garante que, quando a conexão for reestabelecida após um período de inatividade, o Microsoft Entra ID reavalie as políticas de acesso condicional aplicáveis.

Uso de uma conta de administrador de domínio do Active Directory com logon único

Em ambientes com um AD DS (Active Directory Domain Services) e contas de usuário híbrida, a Política de Replicação de Senha padrão em controladores de domínio somente leitura nega a replicação de senha para membros de grupos de segurança Administradores de domínio e Administradores. Essa política impede que essas contas de administrador entrem em hosts ingressados híbridos do Microsoft Entra e podem continuar solicitando que eles insiram suas credenciais. Isso também impedirá que as contas de administrador acessem recursos locais que usam a autenticação Kerberos de hosts ingressados no Microsoft Entra.

Para permitir que essas contas de administrador se conectem quando o logon único estiver habilitado, consulte Permitir que contas de administrador de domínio do Active Directory se conectem.

Pré-requisitos

Antes de habilitar o logon único, você deve atender aos seguintes pré-requisitos:

Habilitar a autenticação do Microsoft Entra para RDP

Primeiro, você deve permitir a autenticação do Microsoft Entra para Windows em seu locatário do Microsoft Entra, o que permite a emissão de tokens de acesso RDP, permitindo que os usuários entrem em seus hosts de sessão da Área de Trabalho Virtual do Azure. Defina a propriedade isRemoteDesktopProtocolEnabled como true no objeto remoteDesktopSecurityConfiguration da entidade de serviço para os seguintes aplicativos do Microsoft Entra:

Nome do Aplicativo Application ID
Área de Trabalho Remota da Microsoft a4a365df-50f1-4397-bc59-1a1564b8bb9c
Logon na Nuvem do Windows 270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Como parte de uma alteração futura, estamos fazendo a transição da Área de Trabalho Remota da Microsoft para o Logon na Nuvem do Windows, a partir de 2024. A configuração de ambos os aplicativos agora garante que você esteja pronto para a alteração.

Para configurar a entidade de serviço, use o objeto SDK do Microsoft Graph PowerShell para criar um novo objeto remoteDesktopSecurityConfiguration na entidade de serviço e defina a propriedade isRemoteDesktopProtocolEnabled como true. Você também pode usar a API do Microsoft Graph com uma ferramenta como Graph Explorer.

  1. Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell, ou execute o PowerShell em seu dispositivo local.

    1. Se você estiver usando o Cloud Shell, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.

    2. Se estiver usando a CLI do o PowerShell localmente, primeiro Entre com o Azure PowerShell e verifique se o contexto do Azure está definido como a assinatura que você deseja usar.

  1. Verifique se você instalou o SDK do Microsoft Graph PowerShell a partir dos pré-requisitos e, em seguida, importe os módulos Autenticação e Aplicativosdo Microsoft Graph e conecte-se ao Microsoft Graph com os escopos Application.Read.All e Application-RemoteDesktopConfig.ReadWrite.All executando os seguintes comandos:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Obtenha a ID do objeto para cada entidade de serviço e armazene-as em variáveis executando os seguintes comandos:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Defina a propriedade isRemoteDesktopProtocolEnabled como true executando os comandos a seguir. Não há saída desses comandos.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Confirme se a propriedade isRemoteDesktopProtocolEnabled está definida como true executando os comandos a seguir:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    A saída deverá ser como a seguinte:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Configurar os grupos de dispositivos de destino

Depois de habilitar a autenticação do Microsoft Entra para RDP, você precisará configurar os grupos de dispositivos de destino. Por padrão, ao habilitar o logon único, os usuários são solicitados a autenticar-se na ID do Microsoft Entra e permitir a conexão da Área de Trabalho Remota ao iniciar uma conexão com um novo host de sessão. O Microsoft Entra se lembra de até 15 hosts durante 30 dias antes de fazer uma nova solicitação. Se você vir uma caixa de diálogo para permitir a conexão da Área de Trabalho Remota, selecione Sim para se conectar.

Você pode ocultar essa caixa de diálogo e fornecer logon único para conexões com todos os hosts de sessão configurando uma lista de dispositivos confiáveis. É necessário criar um ou mais grupos no Microsoft Entra ID que contenham seus hosts de sessão e, em seguida, definir uma propriedade nas entidades de serviço para os mesmos aplicativos Área de Trabalho Remota da Microsoft e Logon na Nuvem do Windows, conforme usado na seção anterior, para o grupo.

Dica

Recomendamos que você use um grupo dinâmico e configure as regras de associação dinâmica para incluir todos os hosts de sessão da Área de Trabalho Virtual do Azure. Você pode usar os nomes de dispositivo neste grupo, mas para uma opção mais segura, você pode definir e usar atributos de extensão de dispositivo usando a API do Microsoft Graph. Embora os grupos dinâmicos normalmente atualizem dentro de 5 a 10 minutos, grandes locatários podem levar até 24 horas.

Grupos dinâmicos exigem a licença do Microsoft Entra ID P1 ou a licença do Intune para Educação. Para obter mais informações, consulte Regras de associação dinâmica para grupos.

Para configurar a entidade de serviço, use o SDK do Microsoft Graph PowerShell para criar um novo objeto targetDeviceGroup na entidade de serviço com a ID do objeto e o nome de exibição do grupo dinâmico. Você também pode usar a API do Microsoft Graph com uma ferramenta como Graph Explorer.

  1. Crie um grupo dinâmico no Microsoft Entra ID contendo os hosts de sessão para os quais você deseja ocultar a caixa de diálogo. Anote a ID do objeto do grupo para a próxima etapa.

  2. Na mesma sessão do PowerShell, crie um objeto targetDeviceGroup executando os seguintes comandos, substituindo o <placeholders> por seus próprios valores:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Adicione o grupo ao objeto targetDeviceGroup executando os seguintes comandos:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    A saída deverá ser semelhante a:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Repita as etapas 2 e 3 para cada grupo que você deseja adicionar ao objeto targetDeviceGroup, até um máximo de 10 grupos.

  4. Se mais tarde você precisar remover um grupo de dispositivos do objeto targetDeviceGroup, execute os seguintes comandos, substituindo o <placeholders> por seus próprios valores:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Criar um objeto de servidor Kerberos

Se os hosts de sessão atenderem aos seguintes critérios, você deverá Criar um objeto do servidor Kerberos:

  • O host da sessão é ingressado no Microsoft Entra Híbrido. Você deve ter um objeto do servidor Kerberos para concluir a autenticação no controlador de domínio.
  • Seu host da sessão está ingressado no Microsoft Entra e seu ambiente contém controladores de domínio do Active Directory. É necessário ter um objeto de Servidor Kerberos para que os usuários acessem recursos locais, como compartilhamentos SMB e autenticação integrada ao Windows para sites.

Importante

Se você habilitar o logon único em hosts de sessão ingressados no Microsoft Entra híbrido antes de criar um objeto de servidor Kerberos, uma das seguintes coisas poderá acontecer:

  • Você recebe uma mensagem de erro informando que a sessão específica não existe.
  • O logon único será ignorado e você verá uma caixa de diálogo de autenticação padrão para o host da sessão.

Para resolver esses problemas, crie o objeto de servidor Kerberos e conecte-se novamente.

Examine suas políticas de acesso condicional

Quando o logon único está habilitado, um novo aplicativo da ID do Microsoft Entra é introduzido para autenticar usuários no host da sessão. Se você tiver políticas de acesso condicional que se aplicam ao acessar a Área de Trabalho Virtual do Azure, examine as recomendações sobre como configurar a autenticação multifator para garantir que os usuários tenham a experiência desejada.

Configure o pool de hosts para habilitar o logon único.

Para habilitar o logon único no pool de hosts, você deve configurar a propriedade RDP a seguir, o que pode ser feito usando o portal do Microsoft Azure ou o PowerShell. Você pode encontrar as etapas para configurar as propriedades RDP em Personalizar as propriedades RDP (Remote Desktop Protocol) para um pool de hosts.

  • No portal do Azure, defina o logon único do Microsoft Entra como As conexões usarão a autenticação do Microsoft Entra para fornecer logon único.
  • No PowerShell, defina a propriedade enablerdsaadauth como 1.

Permitir que contas de administrador de domínio do Active Directory se conectem

Para permitir que contas de administrador de domínio do Active Directory se conectem quando o logon único estiver habilitado:

  1. Em um dispositivo que você usa para gerenciar seu domínio do Active Directory, abra o console Usuários e computadores do Active Directory usando uma conta que seja membro do grupo de segurança Administradores de domínio.

  2. Abra a unidade organizacional Controladores de domínio para seu domínio.

  3. Localize o objeto AzureADKerberos, clique nele com o botão direito do mouse e selecione Propriedades.

  4. Selecione a guia Política de Replicação de Senha.

  5. Altere a política para Administradores de Domínio de Negar para Permitir.

  6. Exclua a política para Administradores. O grupo de Administradores de Domínio é membro do grupo de Administradores, portanto, negar a replicação para os administradores também a nega para os administradores de domínio.

  7. Selecione OK para salvar suas alterações.

Próximas etapas