Configurar o logon único para a Área de Trabalho Virtual do Azure usando a ID do Microsoft Entra

O logon único (SSO) para a Área de Trabalho Virtual do Azure usando a ID do Microsoft Entra fornece uma experiência de entrada perfeita para usuários que se conectam a hosts de sessão. Quando você habilita o logon único, os usuários se autenticam no Windows usando um token de ID do Microsoft Entra. Esse token permite o uso de autenticação sem senha e provedores de identidade de terceiros que se federam com o Microsoft Entra ID ao se conectar a um host de sessão, tornando a experiência de entrada perfeita.

O logon único usando o Microsoft Entra ID também fornece uma experiência perfeita para recursos baseados no Microsoft Entra ID dentro da sessão. Para obter mais informações sobre como usar a autenticação sem senha em uma sessão, consulte Autenticação sem senha na sessão.

Para habilitar o logon único usando a autenticação do Microsoft Entra ID, há cinco tarefas que você deve concluir:

1. Habilite a autenticação do Microsoft Entra para RDP (Remote Desktop Protocol).

2. Oculte a caixa de diálogo do prompt de consentimento.

3. Crie um objeto do Servidor Kerberos, se os Serviços de Domínio Ative Directory fizerem parte do seu ambiente. Mais informações sobre os critérios estão incluídas na sua secção.

4. Reveja as suas políticas de acesso condicional.

5. Configure seu pool de hosts para habilitar o logon único.

Antes de ativar o início de sessão único

Antes de habilitar o logon único, revise as informações a seguir para usá-lo em seu ambiente.

Comportamento de bloqueio de sessão

Quando o logon único usando a ID do Microsoft Entra está habilitado e a sessão remota é bloqueada, seja pelo usuário ou pela política, você pode escolher se a sessão será desconectada ou a tela de bloqueio remoto será exibida. O comportamento padrão é desconectar a sessão quando ela é bloqueada.

Quando o comportamento de bloqueio de sessão é definido como desconexão, uma caixa de diálogo é mostrada para informar aos usuários que eles foram desconectados. Os usuários podem escolher a opção Reconectar na caixa de diálogo quando estiverem prontos para se conectar novamente. Esse comportamento é feito por motivos de segurança e para garantir o suporte total da autenticação sem senha. Desconectar a sessão oferece os seguintes benefícios:

• Experiência de início de sessão consistente através do Microsoft Entra ID quando necessário.

• Experiência de logon único e reconexão sem prompt de autenticação quando permitido pelas políticas de acesso condicional.

• Suporta autenticação sem senha, como chaves de acesso e dispositivos FIDO2, ao contrário da tela de bloqueio remoto.

• As políticas de acesso condicional, incluindo autenticação multifator e frequência de entrada, são reavaliadas quando o usuário se reconecta à sessão.

• Pode exigir autenticação multifator para retornar à sessão e impedir que os usuários desbloqueiem com um nome de usuário e senha simples.

Se desejar configurar o comportamento de bloqueio de sessão para mostrar a tela de bloqueio remoto em vez de desconectar a sessão, consulte Configurar o comportamento de bloqueio de sessão.

Contas de administrador de domínio do Ative Directory com logon único

Em ambientes com os Serviços de Domínio Ative Directory (AD DS) e contas de usuário híbridas, a Política de Replicação de Senha padrão em controladores de domínio somente leitura nega a replicação de senha para membros de grupos de segurança Administradores e Administradores de Domínio. Esta política impede que essas contas de administrador entrem em hosts híbridos do Microsoft Entra e pode continuar solicitando que eles insiram suas credenciais. Ele também impede que contas de administrador acessem recursos locais que usam autenticação Kerberos de hosts ingressados no Microsoft Entra. Não recomendamos conectar-se a uma sessão remota usando uma conta que seja um administrador de domínio por motivos de segurança.

Se você precisar fazer alterações em um host de sessão como administrador, entre no host da sessão usando uma conta que não seja de administrador e, em seguida, use a opção Executar como administrador ou a ferramenta runas de um prompt de comando para mudar para um administrador.

Pré-requisitos

Antes de habilitar o logon único, você deve atender aos seguintes pré-requisitos:

• Para configurar seu locatário do Microsoft Entra, você deve receber uma das seguintes funções internas do Microsoft Entra ou equivalente:

  • Administrador de Aplicações

  • Administrador de Aplicações na Cloud

• Os hosts de sessão devem estar executando um dos seguintes sistemas operacionais com a atualização cumulativa relevante instalada:

  • Windows 11 Enterprise de sessão única ou múltipla com as Atualizações Cumulativas 2022-10 para Windows 11 (KB5018418) ou posterior instaladas.

  • Windows 10 Enterprise de sessão única ou múltipla com as Atualizações Cumulativas 2022-10 para Windows 10 (KB5018410) ou posterior instaladas.

  • Windows Server 2022 com a Atualização Cumulativa 2022-10 para o sistema operacional de servidor Microsoft (KB5018421) ou posterior instalada.

• Seus hosts de sessão devem ser Microsoft Entra ingressado ou Microsoft Entra híbrido ingressado. Não há suporte para hosts de sessão associados aos Serviços de Domínio Microsoft Entra ou apenas aos Serviços de Domínio Ative Directory.

  Se seus hosts de sessão híbridos ingressados no Microsoft Entra estiverem em um domínio do Ative Directory diferente de suas contas de usuário, deve haver uma confiança bidirecional entre os dois domínios. Sem a confiança bidirecional, as conexões retornam a protocolos de autenticação mais antigos.

• Instale o SDK do Microsoft Graph PowerShell versão 2.9.0 ou posterior em seu dispositivo local ou no Azure Cloud Shell.

• Um cliente de Área de Trabalho Remota suportado para se conectar a uma sessão remota. Os seguintes clientes são suportados:

  • Cliente de Ambiente de Trabalho Windows em PCs locais com o Windows 10 ou posterior. Não há nenhum requisito para que o PC local seja associado ao ID do Microsoft Entra ou a um domínio do Ative Directory.

  • Cliente Web.

  • Cliente macOS, versão 10.8.2 ou posterior.

  • Cliente iOS, versão 10.5.1 ou posterior.

  • Cliente Android, versão 10.0.16 ou posterior.

Habilitar a autenticação do Microsoft Entra para RDP

Primeiro, você deve permitir a autenticação do Microsoft Entra para Windows em seu locatário do Microsoft Entra, o que permite a emissão de tokens de acesso RDP permitindo que os usuários entrem em seus hosts de sessão da Área de Trabalho Virtual do Azure. Você define a isRemoteDesktopProtocolEnabled propriedade como true no objeto da entidade de remoteDesktopSecurityConfiguration serviço para os seguintes aplicativos do Microsoft Entra:

Nome da Aplicação	Application ID
Área de Trabalho Remota da Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud Login	270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Como parte de uma próxima mudança, estamos fazendo a transição da Área de Trabalho Remota da Microsoft para o Windows Cloud Login, a partir de 2024. Configurar ambos os aplicativos agora garante que você esteja pronto para a mudança.

Para configurar a entidade de serviço, use o SDK do Microsoft Graph PowerShell para criar um novo objeto remoteDesktopSecurityConfiguration na entidade de serviço e defina a propriedade isRemoteDesktopProtocolEnabled como true. Você também pode usar a API do Microsoft Graph com uma ferramenta como o Graph Explorer.

1. Abra o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell ou execute o PowerShell no seu dispositivo local.

   • Se estiver a utilizar o Cloud Shell, certifique-se de que o seu contexto do Azure está definido para a subscrição que pretende utilizar.

   • Se estiver a utilizar o PowerShell localmente, inicie sessão primeiro com o Azure PowerShell e, em seguida, certifique-se de que o seu contexto do Azure está definido para a subscrição que pretende utilizar.

2. Certifique-se de instalar o SDK do Microsoft Graph PowerShell a partir dos pré-requisitos, importe os módulos Autenticação e Aplicativos do Microsoft Graph e conecte-se ao Microsoft Graph com os escopos Application.Read.All e Application-RemoteDesktopConfig.ReadWrite.All executando os seguintes comandos:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Obtenha o ID do objeto para cada entidade de serviço e armazene-os em variáveis executando os seguintes comandos:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Defina a propriedade isRemoteDesktopProtocolEnabled como true executando os seguintes comandos. Não há saída desses comandos.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Confirme se a propriedade isRemoteDesktopProtocolEnabled está definida executando true os seguintes comandos:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   A saída deve ser:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Ocultar a caixa de diálogo de prompt de consentimento

Por padrão, quando o logon único está habilitado, os usuários veem uma caixa de diálogo para permitir a conexão da Área de Trabalho Remota ao se conectar a um novo host de sessão. O Microsoft Entra lembra até 15 hosts por 30 dias antes de solicitar novamente. Se os utilizadores virem esta caixa de diálogo para permitir a ligação ao Ambiente de Trabalho Remoto, podem selecionar Sim para ligar.

Você pode ocultar essa caixa de diálogo configurando uma lista de dispositivos confiáveis. Para configurar a lista de dispositivos, crie um ou mais grupos no Microsoft Entra ID que contenha seus hosts de sessão e, em seguida, adicione os IDs de grupo a uma propriedade nas entidades de serviço SSO, Área de Trabalho Remota da Microsoft e Login na Nuvem do Windows.

Gorjeta

Recomendamos que você use um grupo dinâmico e configure as regras de associação dinâmica para incluir todos os seus hosts de sessão da Área de Trabalho Virtual do Azure. Você pode usar os nomes de dispositivo nesse grupo, mas para uma opção mais segura, você pode definir e usar atributos de extensão de dispositivo usando a API do Microsoft Graph. Enquanto os grupos dinâmicos normalmente são atualizados dentro de 5 a 10 minutos, os locatários grandes podem levar até 24 horas.

Os grupos dinâmicos requerem a licença Microsoft Entra ID P1 ou a licença do Intune para Educação. Para obter mais informações, consulte Regras de associação dinâmica para grupos.

Para configurar a entidade de serviço, use o SDK do Microsoft Graph PowerShell para criar um novo objeto targetDeviceGroup na entidade de serviço com a ID do objeto e o nome de exibição do grupo dinâmico. Você também pode usar a API do Microsoft Graph com uma ferramenta como o Graph Explorer.

1. Crie um grupo dinâmico no Microsoft Entra ID contendo os hosts de sessão para os quais você deseja ocultar a caixa de diálogo. Anote a ID do objeto do grupo para a próxima etapa.

2. Na mesma sessão do PowerShell, crie um targetDeviceGroup objeto executando os seguintes comandos, substituindo o <placeholders> por seus próprios valores:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Adicione o grupo ao targetDeviceGroup objeto executando os seguintes comandos:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   A saída deve ser semelhante ao exemplo a seguir:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Repita as etapas 2 e 3 para cada grupo que você deseja adicionar ao targetDeviceGroup objeto, até um máximo de 10 grupos.

4. Se, posteriormente, você precisar remover um grupo de dispositivos do targetDeviceGroup objeto, execute os seguintes comandos, substituindo o <placeholders> por seus próprios valores:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Criar um objeto de servidor Kerberos

Se seus hosts de sessão atenderem aos seguintes critérios, você deverá criar um objeto de servidor Kerberos. Para obter mais informações, consulte Habilitar entrada de chave de segurança sem senha em recursos locais usando a ID do Microsoft Entra, especificamente a seção Criar um objeto do Servidor Kerberos:

• Seu host de sessão é o Microsoft Entra híbrido junto. Você deve ter um objeto de servidor Kerberos para concluir a autenticação em um controlador de domínio.

• Seu host de sessão é o Microsoft Entra ingressado e seu ambiente contém controladores de domínio do Ative Directory. Você deve ter um objeto de servidor Kerberos para que os usuários acessem recursos locais, como compartilhamentos SMB e autenticação integrada ao Windows para sites.

Importante

Se você habilitar o logon único em hosts de sessão híbridos ingressados no Microsoft Entra sem criar um objeto de servidor Kerberos, uma das seguintes coisas pode acontecer quando você tenta se conectar a uma sessão remota:

• Você recebe uma mensagem de erro informando que a sessão específica não existe.
• O logon único será ignorado e você verá uma caixa de diálogo de autenticação padrão para o host da sessão.

Para resolver esses problemas, crie o objeto de servidor Kerberos e conecte-se novamente.

Rever as suas políticas de acesso condicional

Quando o logon único está habilitado, um novo aplicativo Microsoft Entra ID é introduzido para autenticar usuários no host da sessão. Se você tiver políticas de acesso condicional que se aplicam ao acessar a Área de Trabalho Virtual do Azure, revise as recomendações sobre como configurar a autenticação multifator para garantir que os usuários tenham a experiência desejada.

Configure seu pool de hosts para habilitar o logon único

Para habilitar o logon único em seu pool de hosts, você deve configurar a seguinte propriedade RDP, o que pode ser feito usando o portal do Azure ou o PowerShell. Você pode encontrar as etapas para configurar as propriedades RDP em Personalizar propriedades RDP (Remote Desktop Protocol) para um pool de hosts.

• No portal do Azure, defina o logon único do Microsoft Entra como Connections usará a autenticação do Microsoft Entra para fornecer logon único.

• Para PowerShell, defina a propriedade enablerdsaadauth como 1.

Próximos passos

• Confira a autenticação sem senha na sessão para saber como habilitar a autenticação sem senha.

• Saiba como Configurar o comportamento de bloqueio de sessão para a Área de Trabalho Virtual do Azure.

• Para obter mais informações sobre o Microsoft Entra Kerberos, consulte Deep dive: How Microsoft Entra Kerberos works.

• Se você encontrar algum problema, vá para Solucionar problemas de conexões com VMs ingressadas no Microsoft Entra.