Identidades suportadas e métodos de autenticação

Neste artigo, daremos uma breve visão geral dos tipos de identidades e métodos de autenticação que você pode usar na Área de Trabalho Virtual do Azure.

Identidades

A Área de Trabalho Virtual do Azure dá suporte a diferentes tipos de identidades, dependendo da configuração escolhida. Esta seção explica quais identidades você pode usar para cada configuração.

Importante

O Ambiente de Trabalho Virtual do Azure não suporta iniciar sessão no Microsoft Entra ID com uma conta de utilizador e, em seguida, iniciar sessão no Windows com uma conta de utilizador separada. Entrar com duas contas diferentes ao mesmo tempo pode fazer com que os usuários se reconectem ao host de sessão errado, informações incorretas ou ausentes no portal do Azure e mensagens de erro aparecendo ao usar o anexo do aplicativo MSIX.

Identidade local

Como os usuários devem ser detetáveis por meio da ID do Microsoft Entra para acessar a Área de Trabalho Virtual do Azure, as identidades de usuário que existem apenas nos Serviços de Domínio Ative Directory (AD DS) não são suportadas. Isso inclui implantações autônomas do Ative Directory com os Serviços de Federação do Ative Directory (AD FS).

Identidade híbrida

A Área de Trabalho Virtual do Azure dá suporte a identidades híbridas por meio da ID do Microsoft Entra, incluindo aquelas federadas usando o AD FS. Você pode gerenciar essas identidades de usuário no AD DS e sincronizá-las com a ID do Microsoft Entra usando o Microsoft Entra Connect. Você também pode usar a ID do Microsoft Entra para gerenciar essas identidades e sincronizá-las com os Serviços de Domínio do Microsoft Entra.

Ao acessar a Área de Trabalho Virtual do Azure usando identidades híbridas, às vezes o Nome Principal do Usuário (UPN) ou o Identificador de Segurança (SID) do usuário no Ative Directory (AD) e na ID do Microsoft Entra não coincidem. Por exemplo, a conta user@contoso.local do AD pode corresponder ao user@contoso.com Microsoft Entra ID. O Ambiente de Trabalho Virtual do Azure apenas suporta este tipo de configuração se o UPN ou o SID das suas contas AD e Microsoft Entra ID corresponderem. SID refere-se à propriedade de objeto de usuário "ObjectSID" no AD e "OnPremisesSecurityIdentifier" no ID do Microsoft Entra.

Identidade apenas na nuvem

O Ambiente de Trabalho Virtual do Azure suporta identidades apenas na nuvem quando utiliza VMs associadas ao Microsoft Entra. Esses usuários são criados e gerenciados diretamente no Microsoft Entra ID.

Nota

Você também pode atribuir identidades híbridas a grupos de aplicativos de área de trabalho virtual do Azure que hospedam hosts de sessão do tipo de associação Microsoft Entra junto.

Provedores de identidade de terceiros

Se você estiver usando um Provedor de Identidade (IdP) diferente do Microsoft Entra ID para gerenciar suas contas de usuário, deverá garantir que:

Identidade externa

Atualmente, a Área de Trabalho Virtual do Azure não oferece suporte a identidades externas.

Métodos de autenticação

Para usuários que se conectam a uma sessão remota, há três pontos de autenticação separados:

  • Autenticação de serviço para a Área de Trabalho Virtual do Azure: recuperando uma lista de recursos aos quais o usuário tem acesso ao acessar o cliente. A experiência depende da configuração da conta Microsoft Entra. Por exemplo, se o usuário tiver a autenticação multifator habilitada, o usuário será solicitado para sua conta de usuário e uma segunda forma de autenticação, da mesma forma que acessar outros serviços.

  • Host da sessão: ao iniciar uma sessão remota. Um nome de usuário e senha são necessários para um host de sessão, mas isso é perfeito para o usuário se o logon único (SSO) estiver habilitado.

  • Autenticação na sessão: conectando-se a outros recursos dentro de uma sessão remota.

As seções a seguir explicam cada um desses pontos de autenticação com mais detalhes.

Autenticação de serviço

Para aceder aos recursos do Ambiente de Trabalho Virtual do Azure, tem primeiro de se autenticar no serviço iniciando sessão com uma conta do Microsoft Entra. A autenticação acontece sempre que você se inscreve em um espaço de trabalho para recuperar seus recursos e se conectar a aplicativos ou desktops. Você pode usar provedores de identidade de terceiros, desde que eles se federam com o Microsoft Entra ID.

Autenticação multifator

Siga as instruções em Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o Acesso Condicional para saber como impor a autenticação multifator do Microsoft Entra para sua implantação. Esse artigo também informará como configurar a frequência com que os usuários são solicitados a inserir suas credenciais. Ao implantar VMs ingressadas no Microsoft Entra, observe as etapas extras para VMs de host de sessão ingressadas no Microsoft Entra.

Autenticação sem palavra-passe

Você pode usar qualquer tipo de autenticação suportado pelo Microsoft Entra ID, como o Windows Hello for Business e outras opções de autenticação sem senha (por exemplo, chaves FIDO), para autenticar no serviço.

Autenticação de smart card

Para usar um cartão inteligente para autenticar na ID do Microsoft Entra, você deve primeiro configurar o AD FS para autenticação de certificado de usuário ou configurar a autenticação baseada em certificado do Microsoft Entra.

Autenticação do host da sessão

Se você ainda não habilitou o logon único ou salvou suas credenciais localmente, também precisará se autenticar no host da sessão ao iniciar uma conexão. A lista a seguir descreve quais tipos de autenticação cada cliente de Área de Trabalho Virtual do Azure oferece suporte atualmente. Alguns clientes podem exigir que uma versão específica seja usada, que você pode encontrar no link para cada tipo de autenticação.

Cliente Tipo(s) de autenticação suportado(s)
Cliente do Ambiente de Trabalho do Windows Nome de utilizador e palavra-passe
Cartão inteligente
Confiança no certificado do Windows Hello for Business
Confiança de chave do Windows Hello for Business com certificados
Autenticação do Microsoft Entra
Aplicativo da Loja de Área de Trabalho Virtual do Azure Nome de utilizador e palavra-passe
Cartão inteligente
Confiança no certificado do Windows Hello for Business
Confiança de chave do Windows Hello for Business com certificados
Autenticação do Microsoft Entra
Aplicação Ambiente de Trabalho Remoto Nome de utilizador e palavra-passe
Cliente Web Nome de utilizador e palavra-passe
Autenticação do Microsoft Entra
Cliente Android Nome de utilizador e palavra-passe
Autenticação do Microsoft Entra
Cliente iOS Nome de utilizador e palavra-passe
Autenticação do Microsoft Entra
Cliente macOS Nome de utilizador e palavra-passe
Cartão inteligente: suporte para entrada baseada em cartão inteligente usando o redirecionamento de cartão inteligente no prompt Winlogon quando o NLA não é negociado.
Autenticação do Microsoft Entra

Importante

Para que a autenticação funcione corretamente, sua máquina local também deve ser capaz de acessar as URLs necessárias para clientes de Área de Trabalho Remota.

Início de sessão único (SSO)

O SSO permite que a conexão ignore o prompt de credenciais do host da sessão e entre automaticamente o usuário no Windows. Para hosts de sessão que ingressaram no Microsoft Entra ou no Microsoft Entra híbrido, é recomendável habilitar o SSO usando a autenticação do Microsoft Entra. A autenticação do Microsoft Entra fornece outros benefícios, incluindo autenticação sem senha e suporte para provedores de identidade de terceiros.

A Área de Trabalho Virtual do Azure também dá suporte ao SSO usando os Serviços de Federação do Ative Directory (AD FS) para a Área de Trabalho do Windows e clientes Web.

Sem SSO, o cliente solicitará aos usuários suas credenciais de host de sessão para cada conexão. A única maneira de evitar ser solicitado é salvar as credenciais no cliente. Recomendamos que guarde apenas as credenciais em dispositivos seguros para impedir que outros utilizadores acedam aos seus recursos.

Cartão inteligente e Windows Hello para Empresas

A Área de Trabalho Virtual do Azure dá suporte ao NT LAN Manager (NTLM) e ao Kerberos para autenticação de host de sessão, no entanto, o cartão inteligente e o Windows Hello for Business só podem usar Kerberos para entrar. Para usar Kerberos, o cliente precisa obter tíquetes de segurança Kerberos de um serviço KDC (Centro de Distribuição de Chaves) em execução em um controlador de domínio. Para obter tíquetes, o cliente precisa de uma linha de visão de rede direta para o controlador de domínio. Você pode obter uma linha de visão conectando-se diretamente à sua rede corporativa, usando uma conexão VPN ou configurando um servidor KDC Proxy.

Autenticação na sessão

Depois de se conectar ao seu RemoteApp ou área de trabalho, você poderá ser solicitado a autenticação dentro da sessão. Esta seção explica como usar credenciais diferentes de nome de usuário e senha nesse cenário.

Autenticação sem senha na sessão

A Área de Trabalho Virtual do Azure dá suporte à autenticação sem senha na sessão usando o Windows Hello for Business ou dispositivos de segurança, como chaves FIDO, ao usar o cliente da Área de Trabalho do Windows. A autenticação sem senha é ativada automaticamente quando o host da sessão e o PC local estão usando os seguintes sistemas operacionais:

Para desabilitar a autenticação sem senha em seu pool de hosts, você deve personalizar uma propriedade RDP. Você pode encontrar a propriedade de redirecionamento WebAuthn na guia Redirecionamento de dispositivo no portal do Azure ou definir a propriedade redirectwebauthn como 0 usando o PowerShell.

Quando habilitado, todas as solicitações WebAuthn na sessão são redirecionadas para o PC local. Você pode usar o Windows Hello for Business ou dispositivos de segurança conectados localmente para concluir o processo de autenticação.

Para acessar os recursos do Microsoft Entra com o Windows Hello for Business ou dispositivos de segurança, você deve habilitar a Chave de Segurança FIDO2 como um método de autenticação para seus usuários. Para habilitar esse método, siga as etapas em Habilitar método de chave de segurança FIDO2.

Autenticação de cartão inteligente na sessão

Para utilizar um cartão inteligente na sua sessão, certifique-se de que instalou os controladores do cartão inteligente no anfitrião da sessão e ativou o redirecionamento do cartão inteligente. Reveja o gráfico de comparação do cliente para se certificar de que o seu cliente suporta o redirecionamento de cartão inteligente.

Próximos passos