Partilhar via


Identidades suportadas e métodos de autenticação

Neste artigo, daremos uma breve visão geral dos tipos de identidades e métodos de autenticação que você pode usar na Área de Trabalho Virtual do Azure.

Identidades

A Área de Trabalho Virtual do Azure dá suporte a diferentes tipos de identidades, dependendo da configuração escolhida. Esta seção explica quais identidades você pode usar para cada configuração.

Importante

O Ambiente de Trabalho Virtual do Azure não suporta iniciar sessão no Microsoft Entra ID com uma conta de utilizador e, em seguida, iniciar sessão no Windows com uma conta de utilizador separada. Entrar com duas contas diferentes ao mesmo tempo pode fazer com que os usuários se reconectem ao host de sessão errado, informações incorretas ou ausentes no portal do Azure e mensagens de erro aparecendo ao usar anexar aplicativo ou anexar aplicativo MSIX.

Identidade local

Como os usuários devem ser detetáveis por meio da ID do Microsoft Entra para acessar a Área de Trabalho Virtual do Azure, as identidades de usuário que existem apenas nos Serviços de Domínio Ative Directory (AD DS) não são suportadas. Isso inclui implantações autônomas do Ative Directory com os Serviços de Federação do Ative Directory (AD FS).

Identidade híbrida

A Área de Trabalho Virtual do Azure dá suporte a identidades híbridas por meio da ID do Microsoft Entra, incluindo aquelas federadas usando o AD FS. Você pode gerenciar essas identidades de usuário no AD DS e sincronizá-las com a ID do Microsoft Entra usando o Microsoft Entra Connect. Você também pode usar a ID do Microsoft Entra para gerenciar essas identidades e sincronizá-las com os Serviços de Domínio do Microsoft Entra.

Ao acessar a Área de Trabalho Virtual do Azure usando identidades híbridas, às vezes o Nome Principal do Usuário (UPN) ou o Identificador de Segurança (SID) do usuário no Ative Directory (AD) e na ID do Microsoft Entra não coincidem. Por exemplo, a conta user@contoso.local do AD pode corresponder ao user@contoso.com Microsoft Entra ID. O Ambiente de Trabalho Virtual do Azure apenas suporta este tipo de configuração se o UPN ou o SID das suas contas AD e Microsoft Entra ID corresponderem. SID refere-se à propriedade de objeto de usuário "ObjectSID" no AD e "OnPremisesSecurityIdentifier" no ID do Microsoft Entra.

Identidade apenas na nuvem

O Ambiente de Trabalho Virtual do Azure suporta identidades apenas na nuvem quando utiliza VMs associadas ao Microsoft Entra. Esses usuários são criados e gerenciados diretamente no Microsoft Entra ID.

Nota

Você também pode atribuir identidades híbridas a grupos de aplicativos de área de trabalho virtual do Azure que hospedam hosts de sessão do tipo de associação Microsoft Entra junto.

Identidade federada

Se estiver a utilizar um Fornecedor de Identidade (IdP) de terceiros, que não seja o Microsoft Entra ID ou os Serviços de Domínio Ative Directory, para gerir as suas contas de utilizador, tem de garantir que:

Identidade externa

Atualmente, a Área de Trabalho Virtual do Azure não oferece suporte a identidades externas.

Métodos de autenticação

Ao acessar os recursos da Área de Trabalho Virtual do Azure, há três fases de autenticação separadas:

  • Autenticação do serviço de nuvem: a autenticação no serviço de Área de Trabalho Virtual do Azure, que inclui a assinatura de recursos e a autenticação no Gateway, é feita com a ID do Microsoft Entra.
  • Autenticação de sessão remota: autenticação na VM remota. Há várias maneiras de autenticar na sessão remota, incluindo o logon único (SSO) recomendado.
  • Autenticação na sessão: autenticação em aplicativos e sites dentro da sessão remota.

Para obter a lista de credenciais disponíveis nos diferentes clientes para cada fase de autenticação, compare os clientes entre plataformas.

Importante

Para que a autenticação funcione corretamente, sua máquina local também deve ser capaz de acessar as URLs necessárias para clientes de Área de Trabalho Remota.

As seções a seguir fornecem mais informações sobre essas fases de autenticação.

Autenticação do serviço na nuvem

Para aceder aos recursos do Ambiente de Trabalho Virtual do Azure, tem primeiro de se autenticar no serviço iniciando sessão com uma conta de ID do Microsoft Entra. A autenticação acontece sempre que você se inscreve para recuperar seus recursos, conectar-se ao gateway ao iniciar uma conexão ou ao enviar informações de diagnóstico para o serviço. O recurso de ID do Microsoft Entra usado para essa autenticação é a Área de Trabalho Virtual do Azure (ID do aplicativo 9cdead84-a844-4324-93f2-b2e6bb768d07).

Autenticação multifator

Siga as instruções em Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o Acesso Condicional para saber como impor a autenticação multifator do Microsoft Entra para sua implantação. Esse artigo também informará como configurar a frequência com que os usuários são solicitados a inserir suas credenciais. Ao implantar VMs ingressadas no Microsoft Entra, observe as etapas extras para VMs de host de sessão ingressadas no Microsoft Entra.

Autenticação sem palavra-passe

Você pode usar qualquer tipo de autenticação suportado pelo Microsoft Entra ID, como o Windows Hello for Business e outras opções de autenticação sem senha (por exemplo, chaves FIDO), para autenticar no serviço.

Autenticação de smart card

Para usar um cartão inteligente para autenticar no Microsoft Entra ID, você deve primeiro configurar a autenticação baseada em certificado do Microsoft Entra ou configurar o AD FS para autenticação de certificado de usuário.

Provedores de identidade de terceiros

Você pode usar provedores de identidade de terceiros, desde que eles se federam com o Microsoft Entra ID.

Autenticação de sessão remota

Se você ainda não habilitou o logon único ou salvou suas credenciais localmente, também precisará se autenticar no host da sessão ao iniciar uma conexão.

Início de sessão único (SSO)

O SSO permite que a conexão ignore o prompt de credenciais do host da sessão e entre automaticamente o usuário no Windows por meio da autenticação do Microsoft Entra. Para hosts de sessão que ingressaram no Microsoft Entra ou no Microsoft Entra híbrido, é recomendável habilitar o SSO usando a autenticação do Microsoft Entra. A autenticação do Microsoft Entra fornece outros benefícios, incluindo autenticação sem senha e suporte para provedores de identidade de terceiros.

A Área de Trabalho Virtual do Azure também dá suporte ao SSO usando os Serviços de Federação do Ative Directory (AD FS) para a Área de Trabalho do Windows e clientes Web.

Sem SSO, o cliente solicita aos usuários suas credenciais de host de sessão para cada conexão. A única maneira de evitar ser solicitado é salvar as credenciais no cliente. Recomendamos que guarde apenas as credenciais em dispositivos seguros para impedir que outros utilizadores acedam aos seus recursos.

Cartão inteligente e Windows Hello para Empresas

A Área de Trabalho Virtual do Azure dá suporte ao NT LAN Manager (NTLM) e ao Kerberos para autenticação de host de sessão, no entanto, o cartão inteligente e o Windows Hello for Business só podem usar Kerberos para entrar. Para usar Kerberos, o cliente precisa obter tíquetes de segurança Kerberos de um serviço KDC (Centro de Distribuição de Chaves) em execução em um controlador de domínio. Para obter tíquetes, o cliente precisa de uma linha de visão de rede direta para o controlador de domínio. Você pode obter uma linha de visão conectando-se diretamente à sua rede corporativa, usando uma conexão VPN ou configurando um servidor KDC Proxy.

Autenticação na sessão

Depois de se conectar ao seu RemoteApp ou área de trabalho, você poderá ser solicitado a autenticação dentro da sessão. Esta seção explica como usar credenciais diferentes de nome de usuário e senha nesse cenário.

Autenticação sem senha na sessão

A Área de Trabalho Virtual do Azure dá suporte à autenticação sem senha na sessão usando o Windows Hello for Business ou dispositivos de segurança, como chaves FIDO, ao usar o cliente da Área de Trabalho do Windows. A autenticação sem senha é ativada automaticamente quando o host da sessão e o PC local estão usando os seguintes sistemas operacionais:

Para desabilitar a autenticação sem senha em seu pool de hosts, você deve personalizar uma propriedade RDP. Você pode encontrar a propriedade de redirecionamento WebAuthn na guia Redirecionamento de dispositivo no portal do Azure ou definir a propriedade redirectwebauthn como 0 usando o PowerShell.

Quando habilitado, todas as solicitações WebAuthn na sessão são redirecionadas para o PC local. Você pode usar o Windows Hello for Business ou dispositivos de segurança conectados localmente para concluir o processo de autenticação.

Para acessar os recursos do Microsoft Entra com o Windows Hello for Business ou dispositivos de segurança, você deve habilitar a Chave de Segurança FIDO2 como um método de autenticação para seus usuários. Para habilitar esse método, siga as etapas em Habilitar método de chave de segurança FIDO2.

Autenticação de cartão inteligente na sessão

Para utilizar um cartão inteligente na sua sessão, certifique-se de que instalou os controladores do cartão inteligente no anfitrião da sessão e ativou o redirecionamento do cartão inteligente. Reveja os gráficos de comparação da Aplicação Windows e da aplicação Ambiente de Trabalho Remoto para que possa utilizar o redirecionamento de cartão inteligente.

Próximos passos