Identidades e métodos de autenticação com suporte
Neste artigo, apresentaremos uma breve visão geral de quais tipos de identidades e métodos de autenticação você pode usar na Área de Trabalho Virtual do Azure.
Identidades
A Área de Trabalho Virtual do Azure dá suporte a diferentes tipos de identidades, dependendo da configuração escolhida. Esta seção explica quais identidades você pode usar para cada configuração.
Importante
A Área de Trabalho Virtual do Azure não dá suporte à entrada no Microsoft Entra ID com uma conta de usuário e, em seguida, entrar no Windows com uma conta de usuário separada. Entrar com duas contas diferentes ao mesmo tempo pode levar os usuários a se reconectarem ao host de sessão errado, informações incorretas ou ausentes no portal do Azure e mensagens de erro que aparecem ao usar a anexação de aplicativo MSIX.
Identidade local
Como os usuários precisam ser detectáveis pelo Microsoft Entra ID para acessar a Área de Trabalho Virtual do Azure, não há suporte para as identidades de usuário que existem somente no AD DS (Active Directory Domain Services). Isso inclui implantações do Active Directory autônomas com Serviços de Federação do Active Directory (AD FS).
Identidade híbrida
A Área de Trabalho Virtual do Azure dá suporte a identidades híbridas por meio do Microsoft Entra ID, incluindo as federadas usando o AD FS. Você pode gerenciar essas identidades de usuário no AD DS e sincronizá-las com o Microsoft Entra ID usando o Microsoft Entra Connect. Você também pode usar o Microsoft Entra ID para gerenciar essas identidades e sincronizá-las com o Microsoft Entra Domain Services.
Ao acessar a Área de Trabalho Virtual do Azure usando identidades híbridas, às vezes, o UPN (nome principal do usuário) ou o SID (Identificador de Segurança) para o usuário no Active Directory (AD) e no Microsoft Entra ID não correspondem. Por exemplo, a conta user@contoso.local do AD pode corresponder à user@contoso.com no Microsoft Entra ID. A Área de Trabalho Virtual do Azure dá suporte apenas a esse tipo de configuração se o UPN ou o SID para as contas do AD e do Microsoft Entra ID forem correspondentes. SID refere-se à propriedade de objeto de usuário "objectSid" no AD e "OnPremisesSecurityIdentifier" no Microsoft Entra ID.
Identidade somente em nuvem
A Área de Trabalho Virtual do Azure dá suporte a identidades somente em nuvem ao usar VMs ingressadas no Microsoft Entra. Esses usuários são criados e gerenciados diretamente no Microsoft Entra ID.
Observação
Você também pode atribuir identidades híbridas a grupos de Aplicativos da Área de Trabalho Virtual do Azure que hospedam hosts de sessão do tipo de junção ingressado no Microsoft Entra.
Provedores de identidade terceirizados
Se você estiver usando um IdP (Provedor de Identidade) diferente do Microsoft Entra ID para gerenciar contas de usuário, garanta que:
- Seu IdP é federado com o Microsoft Entra ID.
- Os hosts de sessão são ingressados no Microsoft Entra ou no Microsoft Entra híbrido ingressado.
- Habilite a autenticação do Microsoft Entra para o host da sessão.
Identidade externa
A Área de Trabalho Virtual do Azure atualmente não dá suporte a identidades externas.
Métodos de autenticação
Para usuários que se conectam a uma sessão remota, há três pontos de autenticação separados:
Autenticação de serviço para a Área de Trabalho Virtual do Azure: recuperando uma lista de recursos aos quais o usuário tem acesso ao acessar o cliente. A experiência depende da configuração da conta do Microsoft Entra. Por exemplo, se o usuário tiver a autenticação multifator habilitada, ele será solicitado a fornecer sua conta de usuário e uma segunda forma de autenticação, da mesma forma que acessar outros serviços.
Host da sessão: ao iniciar uma sessão remota. Um nome de usuário e senha são necessários para um host de sessão, mas isso é perfeito para o usuário se o logon único (SSO) estiver habilitado.
Autenticação na sessão: conectando-se a outros recursos em uma sessão remota.
As seções a seguir explicam cada um desses pontos de autenticação com mais detalhes.
Autenticação do serviço
Para acessar os recursos da Área de Trabalho Virtual do Azure, primeiro você precisa se autenticar no serviço entrando em uma conta do Microsoft Entra. A autenticação ocorre quando você se inscreve um workspace para recuperar recursos ou sempre que você se conecta a aplicativos ou áreas de trabalho. Você pode usar provedores de identidade de terceiros, desde que sejam federados com o Microsoft Entra ID.
Autenticação multifator
Siga as instruções em Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o acesso condicional para aprender como impor a autenticação multifator do Microsoft Entra para sua implantação. Este artigo também explicará como configurar a frequência com que os usuários são solicitados a inserir suas credenciais. Ao implantar VMs ingressadas no Microsoft Entra, observe as etapas extras para VMs de host de sessão ingressadas no Microsoft Entra.
Autenticação sem senha
Você pode usar qualquer tipo de autenticação compatível com o Microsoft Entra ID, como o Windows Hello para Empresas e outras opções de autenticação sem senha (por exemplo, chaves FIDO), para se autenticar no serviço.
Autenticação com cartão inteligente
Para usar um cartão inteligente para autenticação no Microsoft Entra ID, primeiro você precisa Configurar o AD FS para autenticação de certificado de usuário ou Configurar a autenticação baseada em certificado do Microsoft Entra.
Autenticação de host de sessão
Se você ainda não ativou o logon único nem salvou as credenciais localmente, também precisará se autenticar no host da sessão ao iniciar uma conexão. A lista a seguir descreve a quais tipos de autenticação cada cliente da Área de Trabalho Virtual do Azure dá suporte no momento. Alguns clientes podem exigir que uma versão específica seja usada, que você poderá encontrar no link para cada tipo de autenticação.
| Cliente | Tipos de autenticação com suporte |
|---|---|
| Cliente de Área de Trabalho do Windows | Nome de usuário e senha Cartão inteligente Certificado de confiança do Windows Hello para Empresas Chave de confiança do Windows Hello para Empresas com certificados autenticação do Microsoft Entra |
| Aplicativo de Área de Trabalho Virtual do Azure | Nome de usuário e senha Cartão inteligente Certificado de confiança do Windows Hello para Empresas Chave de confiança do Windows Hello para Empresas com certificados autenticação do Microsoft Entra |
| Aplicativo de Área de Trabalho Remota | Nome de usuário e senha |
| Cliente Web | Nome de usuário e senha autenticação do Microsoft Entra |
| Cliente Android | Nome de usuário e senha autenticação do Microsoft Entra |
| Cliente iOS | Nome de usuário e senha autenticação do Microsoft Entra |
| Cliente para macOS | Nome de usuário e senha Cartão inteligente: suporte para entrada baseada em cartão inteligente por meio de redirecionamento de cartão inteligente no prompt do Winlogon quando a NLA não é negociada. autenticação do Microsoft Entra |
Importante
Para que a autenticação funcione corretamente, o computador local também precisa acessar as URLs necessárias para clientes da Área de Trabalho Remota.
SSO (logon único)
O SSO permite que a conexão ignore a solicitação de credenciais do host da sessão e entre automaticamente no Windows. Para hosts de sessão ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido, é recomendável habilitar o SSO usando a autenticação do Microsoft Entra. A autenticação do Microsoft Entra fornece outros benefícios, incluindo autenticação sem senha e suporte para provedores de identidade de terceiros.
A Área de Trabalho Virtual do Azure dá suporte para SSO usando o Serviços de Federação do Active Directory (AD FS) para os clientes Área de Trabalho do Windows e Web.
Sem o SSO, o cliente solicitará aos usuários as credenciais do host da sessão para cada conexão. A única maneira de evitar essa solicitação é salvar as credenciais no cliente. Recomendamos o salvamento de credenciais apenas em dispositivos seguros para impedir que outros usuários acessem os recursos.
Cartão inteligente/Windows Hello para Empresas
A Área de Trabalho Virtual do Azure dá suporte a o NTLM (NT LAN Manager) e ao Kerberos para autenticação de host da sessão, no entanto, o cartão inteligente e o Windows Hello para Empresas só podem usar o Kerberos para entrar. Para usar o Kerberos, o cliente precisa obter tíquetes de segurança do Kerberos de um serviço de KDC (Centro de Distribuição de Chaves) em execução em um controlador de domínio. Para obter tíquetes, o cliente precisa de uma linha de visão de rede direta para o controlador de domínio. Você pode obter uma linha de visão conectando-se diretamente à rede corporativa, usando uma conexão VPN ou configurando um servidor proxy KDC.
Autenticação na sessão
Quando estiver conectado ao seu RemoteApp ou área de trabalho, você poderá ser solicitado a fornecer a autenticação dentro da sessão. Esta seção explica como usar credenciais diferentes de nome de usuário e senha neste cenário.
Autenticação sem senha na sessão
A Área de Trabalho Virtual do Azure dá suporte à autenticação sem senha na sessão usando o Windows Hello para Empresas ou dispositivos de segurança como chaves FIDO ao usar o cliente do Windows Desktop. A autenticação sem senha é habilitada automaticamente quando o host de sessão e o computador local estão usando os seguintes sistemas operacionais:
- Windows 11 de uma ou várias sessões com as Atualizações cumulativas 2022-10 para Windows 11 (KB5018418) ou posteriores instaladas.
- Windows 10 de uma ou várias sessões, versões 20H2 ou posteriores com as Atualizações cumulativas 2022-10 para Windows 10 (KB5018410) ou posteriores instaladas.
- Windows Server 2022 com a atualização cumulativa 2022-10 para o sistema operacional do servidor Microsoft (KB5018421) ou posterior instalada.
Para desabilitar a autenticação sem senha em seu pool de hosts, você deve personalizar uma propriedade RDP. Você pode encontrar a propriedade WebAuthn redirection na guia Device redirection no portal do Azure ou configurar a propriedade redirectwebauthn como 0 usando PowerShell.
Quando habilitada, todas as solicitações do WebAuthn na sessão são redirecionadas ao computador local. Você pode usar o Windows Hello para Empresas ou dispositivos de segurança anexados localmente para concluir o processo de autenticação.
Para acessar recursos do Microsoft Entra com o Windows Hello para Empresas ou dispositivos de segurança, você precisa habilitar a Chave de Segurança FIDO2 como um método de autenticação para os usuários. Para habilitar esse método, siga as etapas em Habilitar o método de chave de segurança FIDO2.
Autenticação de cartão inteligente na sessão
Para usar um cartão inteligente na sessão, verifique se os drivers do cartão inteligente foram instalados no host da sessão e habilite-o no redirecionamento de cartão inteligente. Revise o gráfico de comparação do cliente para verificar se o cliente oferece suporte ao redirecionamento de cartão inteligente.
Próximas etapas
- Quer conhecer outras maneiras de manter sua implantação segura? Confira Implementar melhores práticas de segurança.
- Problemas ao se conectar às VMs ingressadas no Microsoft Entra? Examine Solucionar problemas de conexões com VMs ingressadas no Microsoft Entra.
- Problemas com a autenticação sem senha na sessão? Confira Solucionar problemas de redirecionamento do WebAuthn.
- Quer usar os cartões inteligentes de fora de sua rede corporativa? Examine como configurar um servidor Proxy KDC.