Microsoft Entra juntou anfitriões de sessão no Ambiente de Trabalho Virtual do Azure
Este artigo irá guiá-lo pelo processo de implantação e acesso a máquinas virtuais unidas do Microsoft Entra na Área de Trabalho Virtual do Azure. As VMs associadas ao Microsoft Entra eliminam a necessidade de ter linha de visão da VM para um controlador de domínio (DC) do Ative Directory local ou virtualizado ou para implantar os Serviços de Domínio Microsoft Entra. Em alguns casos, ele pode remover totalmente a necessidade de um DC, simplificando a implantação e o gerenciamento do ambiente. Essas VMs também podem ser registradas automaticamente no Intune para facilitar o gerenciamento.
Limitações conhecidas
As limitações conhecidas a seguir podem afetar o acesso aos seus recursos locais ou ingressados no domínio do Ative Directory e você deve considerá-las ao decidir se as VMs ingressadas no Microsoft Entra são adequadas para seu ambiente.
- O Ambiente de Trabalho Virtual do Azure (clássico) não suporta VMs associadas ao Microsoft Entra.
- Atualmente, as VMs associadas ao Microsoft Entra não oferecem suporte a identidades externas, como o Microsoft Entra Business-to-Business (B2B) e o Microsoft Entra Business-to-Consumer (B2C).
- As VMs ingressadas do Microsoft Entra só podem acessar compartilhamentos de Arquivos do Azure ou compartilhamentos de Arquivos NetApp do Azure para usuários híbridos usando perfis de usuário do Microsoft Entra Kerberos para FSLogix.
- A aplicação Loja de Ambiente de Trabalho Remoto para Windows não suporta VMs associadas ao Microsoft Entra.
Implantar VMs associadas ao Microsoft Entra
Você pode implantar VMs ingressadas no Microsoft Entra diretamente do portal do Azure ao criar um novo pool de hosts ou expandir um pool de hosts existente. Para implantar uma VM ingressada no Microsoft Entra, abra a guia Máquinas Virtuais e selecione se deseja associar a VM ao Ative Directory ou à ID do Microsoft Entra. Selecionar Microsoft Entra ID dá-lhe a opção de inscrever VMs com o Intune automaticamente, o que lhe permite gerir facilmente os seus anfitriões de sessão. Lembre-se de que a opção ID do Microsoft Entra só associará VMs ao mesmo locatário do Microsoft Entra que a assinatura em que você está.
Nota
- Os pools de hosts devem conter apenas VMs do mesmo tipo de associação de domínio. Por exemplo, as VMs ingressadas do Microsoft Entra devem estar apenas com outras VMs ingressadas do Microsoft Entra e vice-versa.
- As VMs no pool de hosts devem ser Windows 11 ou Windows 10 de sessão única ou multisessão, versão 2004 ou posterior, ou Windows Server 2022 ou Windows Server 2019.
Atribuir acesso de usuário a pools de hosts
Depois de criar seu pool de hosts, você deve atribuir aos usuários acesso aos seus recursos. Para conceder acesso aos recursos, adicione cada usuário ao grupo de aplicativos. Siga as instruções em Gerenciar grupos de aplicativos para atribuir acesso de usuário a aplicativos e desktops. Recomendamos que você use grupos de usuários em vez de usuários individuais sempre que possível.
Para VMs ingressadas no Microsoft Entra, você precisará fazer duas coisas extras além dos requisitos para implantações baseadas no Ative Directory ou nos Serviços de Domínio Microsoft Entra:
- Atribua aos usuários a função Login de Usuário da Máquina Virtual para que eles possam entrar nas VMs.
- Atribua aos administradores que precisam de privilégios administrativos locais a função de Login de Administrador de Máquina Virtual .
Para conceder aos usuários acesso a VMs ingressadas no Microsoft Entra, você deve configurar atribuições de função para a VM. Você pode atribuir a função Login de Usuário de Máquina Virtual ou Login de Administrador de Máquina Virtual nas VMs, no grupo de recursos que contém as VMs ou na assinatura. Recomendamos atribuir a função Login de Usuário da Máquina Virtual ao mesmo grupo de usuários usado para o grupo de aplicativos no nível do grupo de recursos para que ela se aplique a todas as VMs no pool de hosts.
Acessar VMs ingressadas do Microsoft Entra
Esta seção explica como acessar VMs associadas ao Microsoft Entra de diferentes clientes de Área de Trabalho Virtual do Azure.
Início de sessão único
Para obter a melhor experiência em todas as plataformas, você deve habilitar uma experiência de logon único usando a autenticação do Microsoft Entra ao acessar VMs ingressadas no Microsoft Entra. Siga as etapas para Configurar o logon único para fornecer uma experiência de conexão perfeita.
Conectar-se usando protocolos de autenticação herdados
Se preferir não habilitar o logon único, você pode usar a seguinte configuração para habilitar o acesso a VMs associadas ao Microsoft Entra.
Conectar-se usando o cliente de área de trabalho do Windows
A configuração padrão suporta conexões do Windows 11 ou Windows 10 usando o cliente de área de trabalho do Windows. Você pode usar suas credenciais, cartão inteligente, confiança de certificado do Windows Hello for Business ou confiança de chave do Windows Hello for Business com certificados para entrar no host da sessão. Todavia, para aceder ao anfitrião da sessão, o PC local tem de cumprir uma das seguintes condições:
- O PC local é o Microsoft Entra associado ao mesmo inquilino do Microsoft Entra que o anfitrião da sessão
- O PC local é o Microsoft Entra híbrido associado ao mesmo inquilino do Microsoft Entra que o anfitrião da sessão
- O PC local está executando o Windows 11 ou Windows 10, versão 2004 ou posterior, e é o Microsoft Entra registrado para o mesmo locatário do Microsoft Entra como host da sessão
Se o seu PC local não atender a uma dessas condições, adicione targetisaadjoined:i:1 como uma propriedade RDP personalizada ao pool de hosts. Essas conexões são restritas a inserir credenciais de nome de usuário e senha ao entrar no host da sessão.
Conecte-se usando os outros clientes
Para acessar VMs ingressadas do Microsoft Entra usando os clientes web, Android, macOS e iOS, você deve adicionar targetisaadjoined:i:1 como uma propriedade RDP personalizada ao pool de hosts. Essas conexões são restritas a inserir credenciais de nome de usuário e senha ao entrar no host da sessão.
Impondo a autenticação multifator do Microsoft Entra para VMs de sessão ingressadas do Microsoft Entra
Você pode usar a autenticação multifator do Microsoft Entra com VMs associadas ao Microsoft Entra. Siga as etapas para Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o Acesso Condicional e observe as etapas extras para VMs de host de sessão ingressadas no Microsoft Entra.
Se estiver a utilizar a autenticação multifator do Microsoft Entra e não quiser restringir o início de sessão a métodos de autenticação forte, como o Windows Hello para Empresas, terá de excluir a aplicação de Início de Sessão de VM do Azure da sua política de Acesso Condicional.
Perfis de utilizador
Você pode usar contêineres de perfil FSLogix com VMs associadas ao Microsoft Entra ao armazená-los em Arquivos do Azure ou Arquivos NetApp do Azure ao usar contas de usuário híbridas. Para obter mais informações, consulte Criar um contêiner de perfil com Arquivos do Azure e ID do Microsoft Entra.
Accessing on-premises resources (Aceder a recursos no local)
Embora você não precise de um Ative Directory para implantar ou acessar suas VMs ingressadas no Microsoft Entra, um Ative Directory e uma linha de visão para ele são necessários para acessar recursos locais dessas VMs. Para saber mais sobre como acessar recursos locais, consulte Como funciona o SSO para recursos locais em dispositivos associados ao Microsoft Entra.
Próximos passos
Agora que você implantou algumas VMs ingressadas no Microsoft Entra, recomendamos habilitar o logon único antes de se conectar a um cliente de Área de Trabalho Virtual do Azure com suporte para testá-lo como parte de uma sessão de usuário. Para saber mais, confira estes artigos:
- Configurar o início de sessão único
- Criar um contêiner de perfil com Arquivos do Azure e ID do Microsoft Entra
- Conecte-se com o cliente de área de trabalho do Windows
- Conecte-se com o web client
- Resolução de problemas de ligações a VMs associadas ao Microsoft Entra
- Criar um contêiner de perfil com Arquivos NetApp do Azure