Configurar o logon único para a Área de Trabalho Virtual do Azure usando a autenticação de ID do Microsoft Entra

  • Artigo

Este artigo orienta você pelo processo de configuração do logon único (SSO) para a Área de Trabalho Virtual do Azure usando a autenticação de ID do Microsoft Entra. Quando você habilita o logon único, os usuários se autenticam no Windows usando um token de ID do Microsoft Entra. Esse token permite o uso de autenticação sem senha e provedores de identidade de terceiros que se federam com o Microsoft Entra ID ao se conectar a um host de sessão, tornando a experiência de entrada perfeita.

O logon único usando a autenticação do Microsoft Entra ID também fornece uma experiência perfeita para os recursos baseados no Microsoft Entra ID dentro da sessão. Para obter mais informações sobre como usar a autenticação sem senha em uma sessão, consulte Autenticação sem senha na sessão.

Para habilitar o logon único usando a autenticação do Microsoft Entra ID, há cinco tarefas que você deve concluir:

  1. Habilite a autenticação do Microsoft Entra para RDP (Remote Desktop Protocol).

  2. Configure os grupos de dispositivos de destino.

  3. Crie um objeto do Servidor Kerberos, se os Serviços de Domínio Ative Directory fizerem parte do seu ambiente. Mais informações sobre os critérios estão incluídas na sua secção.

  4. Reveja as suas políticas de acesso condicional.

  5. Configure seu pool de hosts para habilitar o logon único.

Antes de ativar o início de sessão único

Antes de habilitar o logon único, revise as informações a seguir para usá-lo em seu ambiente.

Desconexão quando a sessão está bloqueada

Quando o logon único está habilitado, você entra no Windows usando um token de autenticação do Microsoft Entra ID, que fornece suporte para autenticação sem senha para o Windows. A tela de bloqueio do Windows na sessão remota não suporta tokens de autenticação do Microsoft Entra ID ou métodos de autenticação sem senha, como chaves FIDO. A falta de suporte para esses métodos de autenticação significa que os usuários não podem desbloquear suas telas em uma sessão remota. Quando você tenta bloquear uma sessão remota, seja por meio de ação do usuário ou diretiva do sistema, a sessão é desconectada e o serviço envia uma mensagem ao usuário explicando que eles foram desconectados.

Desconectar a sessão também garante que, quando a conexão for reiniciada após um período de inatividade, a ID do Microsoft Entra reavaliará todas as políticas de acesso condicional aplicáveis.

Usando uma conta de administrador de domínio do Ative Directory com logon único

Em ambientes com os Serviços de Domínio Ative Directory (AD DS) e contas de usuário híbridas, a Política de Replicação de Senha padrão em controladores de domínio somente leitura nega a replicação de senha para membros de grupos de segurança Administradores e Administradores de Domínio. Esta política impede que essas contas de administrador entrem em hosts híbridos do Microsoft Entra e pode continuar solicitando que eles insiram suas credenciais. Ele também impede que contas de administrador acessem recursos locais que usam autenticação Kerberos de hosts ingressados no Microsoft Entra.

Para permitir que essas contas de administrador se conectem quando o logon único está habilitado, consulte Permitir que contas de administrador de domínio do Ative Directory se conectem.

Pré-requisitos

Antes de habilitar o logon único, você deve atender aos seguintes pré-requisitos:

  • Para configurar seu locatário do Microsoft Entra, você deve receber uma das seguintes funções internas do Microsoft Entra:

  • Os hosts de sessão devem estar executando um dos seguintes sistemas operacionais com a atualização cumulativa relevante instalada:

  • Seus hosts de sessão devem ser Microsoft Entra ingressado ou Microsoft Entra híbrido ingressado. Não há suporte para hosts de sessão associados aos Serviços de Domínio Microsoft Entra ou apenas aos Serviços de Domínio Ative Directory.

    Se seus hosts de sessão híbridos ingressados no Microsoft Entra estiverem em um domínio do Ative Directory diferente de suas contas de usuário, deve haver uma confiança bidirecional entre os dois domínios. Sem a confiança bidirecional, as conexões retornarão a protocolos de autenticação mais antigos.

  • Instale o SDK do Microsoft Graph PowerShell versão 2.9.0 ou posterior em seu dispositivo local ou no Azure Cloud Shell.

  • Um cliente de Área de Trabalho Remota suportado para se conectar a uma sessão remota. Os seguintes clientes são suportados:

    • Cliente de Ambiente de Trabalho Windows em PCs locais com o Windows 10 ou posterior. Não há nenhum requisito para que o PC local seja associado ao ID do Microsoft Entra ou a um domínio do Ative Directory.
    • Cliente Web.
    • Cliente macOS, versão 10.8.2 ou posterior.
    • Cliente iOS, versão 10.5.1 ou posterior.
    • Cliente Android, versão 10.0.16 ou posterior.

  • Para configurar a permissão para que a conta de administrador de domínio do Ative Directory se conecte quando o logon único estiver habilitado, você precisa de uma conta que seja membro do grupo de segurança Administradores do Domínio.

Habilitar a autenticação do Microsoft Entra para RDP

Primeiro, você deve permitir a autenticação do Microsoft Entra para Windows em seu locatário do Microsoft Entra, o que permite a emissão de tokens de acesso RDP permitindo que os usuários entrem em seus hosts de sessão da Área de Trabalho Virtual do Azure. Você define a isRemoteDesktopProtocolEnabled propriedade como true no objeto da entidade de remoteDesktopSecurityConfiguration serviço para os seguintes aplicativos do Microsoft Entra:

Nome da Aplicação Application ID
Área de Trabalho Remota da Microsoft a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login 270efc09-CD0D-444B-A71F-39AF4910EC45

Importante

Como parte de uma próxima mudança, estamos fazendo a transição da Área de Trabalho Remota da Microsoft para o Windows Cloud Login, a partir de 2024. Configurar ambos os aplicativos agora garante que você esteja pronto para a mudança.

Para configurar a entidade de serviço, use o SDK do Microsoft Graph PowerShell para criar um novo objeto remoteDesktopSecurityConfiguration na entidade de serviço e defina a propriedade isRemoteDesktopProtocolEnabled como true. Você também pode usar a API do Microsoft Graph com uma ferramenta como o Graph Explorer.

  1. Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell ou execute o PowerShell no seu dispositivo local.

    1. Se estiver a utilizar o Cloud Shell, certifique-se de que o seu contexto do Azure está definido para a subscrição que pretende utilizar.

    2. Se você estiver usando o PowerShell localmente, primeiro entre com o Azure PowerShell e, em seguida, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.

  1. Certifique-se de instalar o SDK do Microsoft Graph PowerShell a partir dos pré-requisitos, importe os módulos Autenticação e Aplicativos do Microsoft Graph e conecte-se ao Microsoft Graph com os escopos Application.Read.All e Application-RemoteDesktopConfig.ReadWrite.All executando os seguintes comandos:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  2. Obtenha o ID do objeto para cada entidade de serviço e armazene-os em variáveis executando os seguintes comandos:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  3. Defina a propriedade isRemoteDesktopProtocolEnabled como true executando os seguintes comandos. Não há saída desses comandos.

    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

  4. Confirme se a propriedade isRemoteDesktopProtocolEnabled está definida executando true os seguintes comandos:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    A saída deve ser:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Configurar os grupos de dispositivos de destino

Depois de habilitar a autenticação do Microsoft Entra para RDP, você precisa configurar os grupos de dispositivos de destino. Por padrão, ao habilitar o logon único, os usuários são solicitados a se autenticar na ID do Microsoft Entra e permitir a conexão de Área de Trabalho Remota ao iniciar uma conexão com um novo host de sessão. O Microsoft Entra lembra até 15 hosts por 30 dias antes de solicitar novamente. Se vir uma caixa de diálogo para permitir a ligação ao Ambiente de Trabalho Remoto, selecione Sim para ligar.

Você pode ocultar essa caixa de diálogo e fornecer logon único para conexões com todos os hosts de sessão configurando uma lista de dispositivos confiáveis. Você precisa criar um ou mais grupos no Microsoft Entra ID que contenham seus hosts de sessão e, em seguida, definir uma propriedade nas entidades de serviço para os mesmos aplicativos de Área de Trabalho Remota da Microsoft e Login do Windows Cloud, conforme usado na seção anterior, para o grupo.

Gorjeta

Recomendamos que você use um grupo dinâmico e configure as regras de associação dinâmica para incluir todos os seus hosts de sessão da Área de Trabalho Virtual do Azure. Você pode usar os nomes de dispositivo nesse grupo, mas para uma opção mais segura, você pode definir e usar atributos de extensão de dispositivo usando a API do Microsoft Graph. Enquanto os grupos dinâmicos normalmente são atualizados dentro de 5 a 10 minutos, os locatários grandes podem levar até 24 horas.

Os grupos dinâmicos requerem a licença Microsoft Entra ID P1 ou a licença do Intune para Educação. Para obter mais informações, consulte Regras de associação dinâmica para grupos.

Para configurar a entidade de serviço, use o SDK do Microsoft Graph PowerShell para criar um novo objeto targetDeviceGroup na entidade de serviço com a ID do objeto e o nome de exibição do grupo dinâmico. Você também pode usar a API do Microsoft Graph com uma ferramenta como o Graph Explorer.

  1. Crie um grupo dinâmico no Microsoft Entra ID contendo os hosts de sessão para os quais você deseja ocultar a caixa de diálogo. Anote a ID do objeto do grupo para a próxima etapa.

  2. Na mesma sessão do PowerShell, crie um targetDeviceGroup objeto executando os seguintes comandos, substituindo o <placeholders> por seus próprios valores:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Adicione o grupo ao targetDeviceGroup objeto executando os seguintes comandos:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    A saída deve ser semelhante:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts

    Repita as etapas 2 e 3 para cada grupo que você deseja adicionar ao targetDeviceGroup objeto, até um máximo de 10 grupos.

  4. Se, posteriormente, você precisar remover um grupo de dispositivos do targetDeviceGroup objeto, execute os seguintes comandos, substituindo o <placeholders> por seus próprios valores:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Criar um objeto Kerberos Server

Se os hosts de sessão atenderem aos seguintes critérios, você deverá Criar um objeto do Servidor Kerberos:

  • Seu host de sessão é o Microsoft Entra híbrido junto. Você deve ter um objeto Kerberos Server para concluir a autenticação em um controlador de domínio.
  • Seu host de sessão é o Microsoft Entra ingressado e seu ambiente contém controladores de domínio do Ative Directory. Você deve ter um objeto Kerberos Server para que os usuários acessem recursos locais, como compartilhamentos SMB e autenticação integrada ao Windows em sites.

Importante

Se você habilitar o logon único em hosts de sessão híbridos ingressados no Microsoft Entra antes de criar um objeto de servidor Kerberos, uma das seguintes coisas pode acontecer:

  • Você recebe uma mensagem de erro informando que a sessão específica não existe.
  • O logon único será ignorado e você verá uma caixa de diálogo de autenticação padrão para o host da sessão.

Para resolver esses problemas, crie o objeto Kerberos Server e conecte-se novamente.

Rever as suas políticas de acesso condicional

Quando o logon único está habilitado, um novo aplicativo Microsoft Entra ID é introduzido para autenticar usuários no host da sessão. Se você tiver políticas de acesso condicional que se aplicam ao acessar a Área de Trabalho Virtual do Azure, revise as recomendações sobre como configurar a autenticação multifator para garantir que os usuários tenham a experiência desejada.

Configure seu pool de hosts para habilitar o logon único

Para habilitar o logon único em seu pool de hosts, você deve configurar a seguinte propriedade RDP, o que pode ser feito usando o portal do Azure ou o PowerShell. Você pode encontrar as etapas para configurar as propriedades RDP em Personalizar propriedades RDP (Remote Desktop Protocol) para um pool de hosts.

  • No portal do Azure, defina o logon único do Microsoft Entra como Connections usará a autenticação do Microsoft Entra para fornecer logon único.
  • Para PowerShell, defina a propriedade enablerdsaadauth como 1.

Permitir que contas de administrador de domínio do Ative Directory se conectem

Para permitir que as contas de administrador de domínio do Ative Directory se conectem quando o logon único estiver habilitado:

  1. Em um dispositivo que você usa para gerenciar seu domínio do Ative Directory, abra o console Usuários e Computadores do Ative Directory usando uma conta que seja membro do grupo de segurança Administradores do Domínio.

  2. Abra a unidade organizacional Controladores de Domínio do seu domínio.

  3. Localize o objeto AzureADKerberos, clique com o botão direito do mouse nele e selecione Propriedades.

  4. Selecione a guia Política de replicação de senha.

  5. Altere a política para administradores de domínio de Negar para Permitir.

  6. Exclua a política para Administradores. O grupo Administradores do Domínio é membro do grupo Administradores, portanto, negar a replicação para administradores também nega isso para administradores de domínio.

  7. Selecione OK para salvar as alterações.

Próximos passos