Host di sessione aggiunti a Microsoft Entra in Desktop virtuale Azure

Questo articolo illustra il processo di distribuzione e accesso alle macchine virtuali aggiunte a Microsoft Entra in Desktop virtuale Azure. Le macchine virtuali aggiunte a Microsoft Entra rimuovono la necessità di avere una linea di vista dalla macchina virtuale a un controller di Dominio di Active Directory locale o virtualizzato o per distribuire Microsoft Entra Domain Services. In alcuni casi, viene completamente eliminata la necessità di un controller di dominio, semplificando la distribuzione e la gestione dell'ambiente. Queste macchine virtuali possono anche essere registrate automaticamente in Intune per semplificare la gestione.

Limitazioni note

Le limitazioni note seguenti possono influire sull'accesso alle risorse locali o aggiunte a un dominio di Active Directory e è necessario valutarle quando si decide se le macchine virtuali aggiunte a Microsoft Entra sono appropriate per l'ambiente in uso.

  • Desktop virtuale Azure (versione classica) non supporta le macchine virtuali aggiunte a Microsoft Entra.
  • Le macchine virtuali aggiunte a Microsoft Entra non supportano attualmente identità esterne, ad esempio Microsoft Entra Business to Business (B2B) e Microsoft Entra Business to Consumer (B2C).
  • Le macchine virtuali aggiunte a Microsoft Entra possono accedere solo File di Azure condivisioni o condivisioni di Azure NetApp Files per gli utenti ibridi usando Microsoft Entra Kerberos per i profili utente FSLogix.
  • L'app Desktop Store remoto per Windows non supporta le macchine virtuali aggiunte a Microsoft Entra.

Distribuire macchine virtuali aggiunte a Microsoft Entra

È possibile distribuire macchine virtuali aggiunte a Microsoft Entra direttamente dal portale di Azure quando si crea un nuovo pool di host o si espande un pool di host esistente. Per distribuire una macchina virtuale aggiunta a Microsoft Entra, aprire la scheda Macchine virtuali, quindi selezionare se aggiungere la macchina virtuale ad Active Directory o all'ID Microsoft Entra. Selezionando Microsoft Entra ID è possibile registrare automaticamente le macchine virtuali con Intune, che consente di gestire facilmente gli host di sessione. Tenere presente che l'opzione Microsoft Entra ID aggiungerà solo le macchine virtuali allo stesso tenant di Microsoft Entra della sottoscrizione in uso.

Nota

  • I pool di host devono contenere solo macchine virtuali dello stesso tipo di aggiunta a un dominio. Ad esempio, le macchine virtuali aggiunte a Microsoft Entra devono essere solo con altre macchine virtuali aggiunte a Microsoft Entra e viceversa.
  • Le macchine virtuali nel pool di host devono essere Windows 11 o Windows 10 a sessione singola o multisessione, versione 2004 o successiva o Windows Server 2022 o Windows Server 2019.

Assegnare l'accesso utente ai pool di host

Dopo aver creato il pool di host, è necessario assegnare agli utenti l'accesso alle risorse. Per concedere l'accesso alle risorse, aggiungere ogni utente al gruppo di applicazioni. Seguire le istruzioni in Gestire i gruppi di applicazioni per assegnare l'accesso utente alle app e ai desktop. Quando possibile, è consigliabile usare gruppi di utenti anziché singoli utenti.

Per le macchine virtuali aggiunte a Microsoft Entra, è necessario eseguire due operazioni aggiuntive oltre ai requisiti per le distribuzioni basate su Active Directory o Microsoft Entra Domain Services:

  • Assegnare agli utenti il ruolo Accesso utente macchina virtuale in modo che possano accedere alle macchine virtuali.
  • Assegnare agli amministratori che necessitano di privilegi amministrativi locali per il ruolo di accesso amministratore macchina virtuale.

Per concedere agli utenti l'accesso alle macchine virtuali aggiunte a Microsoft Entra, è necessario configurare le assegnazioni di ruolo per la macchina virtuale. È possibile assegnare il ruolo Di accesso utente macchina virtuale o Amministratore macchina virtuale nelle macchine virtuali, nel gruppo di risorse contenente le macchine virtuali o nella sottoscrizione. È consigliabile assegnare il ruolo Di accesso utente macchina virtuale allo stesso gruppo di utenti usato per il gruppo di applicazioni a livello di gruppo di risorse per renderlo applicabile a tutte le macchine virtuali nel pool di host.

Accedere alle macchine virtuali aggiunte a Microsoft Entra

Questa sezione illustra come accedere alle macchine virtuali aggiunte a Microsoft Entra da diversi client di Desktop virtuale Azure.

Single Sign-On

Per un'esperienza ottimale in tutte le piattaforme, è consigliabile abilitare un'esperienza single sign-on usando l'autenticazione di Microsoft Entra quando si accede alle macchine virtuali aggiunte a Microsoft Entra. Seguire la procedura per configurare l'accesso Single Sign-On per offrire un'esperienza di connessione senza problemi.

Connettersi usando protocolli di autenticazione legacy

Se si preferisce non abilitare l'accesso Single Sign-On, è possibile usare la configurazione seguente per abilitare l'accesso alle macchine virtuali aggiunte a Microsoft Entra.

Connettersi con il client Desktop di Windows

La configurazione predefinita supporta le connessioni da Windows 11 o Windows 10 usando il client Desktop di Windows. È possibile usare le credenziali, la smart card, l'attendibilità del certificato di Windows Hello for Business o l'attendibilità della chiave di Windows Hello for Business con i certificati per accedere all'host sessione. Tuttavia, per accedere all'host sessione, il PC locale deve soddisfare una delle condizioni seguenti:

  • Il PC locale è aggiunto a Microsoft Entra allo stesso tenant di Microsoft Entra come host di sessione
  • Il PC locale è aggiunto a Microsoft Entra ibrido allo stesso tenant di Microsoft Entra come host di sessione
  • Il PC locale esegue Windows 11 o Windows 10 versione 2004 o successiva ed è Registrato da Microsoft Entra nello stesso tenant di Microsoft Entra dell'host di sessione

Se il PC locale non soddisfa una di queste condizioni, aggiungere targetisaadjoined:i:1 come proprietà RDP personalizzata al pool di host. Queste connessioni sono limitate all'immissione delle credenziali nome utente e password durante l'accesso all'host di sessione.

Connettersi usando gli altri client

Per accedere alle macchine virtuali aggiunte a Microsoft Entra usando i client Web, Android, macOS e iOS, è necessario aggiungere targetisaadjoined:i:1 come proprietà RDP personalizzata al pool di host. Queste connessioni sono limitate all'immissione delle credenziali nome utente e password durante l'accesso all'host di sessione.

Applicazione dell'autenticazione a più fattori Microsoft Entra per le macchine virtuali di sessione aggiunte a Microsoft Entra

È possibile usare l'autenticazione a più fattori Microsoft Entra con le macchine virtuali aggiunte a Microsoft Entra. Seguire la procedura per applicare l'autenticazione a più fattori Di Microsoft Entra per Desktop virtuale Azure usando l'accesso condizionale e prendere nota dei passaggi aggiuntivi per le macchine virtuali host sessione aggiunte a Microsoft Entra.

Se si usa l'autenticazione a più fattori Microsoft Entra e non si vuole limitare l'accesso a metodi di autenticazione avanzata come Windows Hello for Business, è necessario escludere l'app di accesso alle macchine virtuali Windows di Azure dai criteri di accesso condizionale.

Profili utente

È possibile usare i contenitori di profili FSLogix con macchine virtuali aggiunte a Microsoft Entra quando vengono archiviate in File di Azure o Azure NetApp Files usando account utente ibridi. Per altre informazioni, vedere Creare un contenitore di profili con File di Azure e ID Microsoft Entra.

Accesso alle risorse locali

Anche se non è necessario un'istanza di Active Directory per distribuire o accedere alle macchine virtuali aggiunte a Microsoft Entra, è necessario un'istanza di Active Directory e line-of-sight per accedere alle risorse locali da tali macchine virtuali. Per altre informazioni sull'accesso alle risorse locali, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.

Passaggi successivi

Dopo aver distribuito alcune macchine virtuali aggiunte a Microsoft Entra, è consigliabile abilitare l'accesso Single Sign-On prima di connettersi con un client di Desktop virtuale Azure supportato per testarlo come parte di una sessione utente. Per altre informazioni, vedere questi articoli: