Configurare l'accesso Single Sign-On per Desktop virtuale Azure usando l'autenticazione di Microsoft Entra ID
Questo articolo illustra il processo di configurazione dell'accesso Single Sign-On (SSO) per Desktop virtuale Azure usando l'autenticazione di Microsoft Entra ID. Quando si abilita l'accesso Single Sign-On, gli utenti eseguono l'autenticazione a Windows usando un token ID Microsoft Entra. Questo token consente l'uso dell'autenticazione senza password e dei provider di identità di terze parti federati con Microsoft Entra ID durante la connessione a un host di sessione, rendendo l'esperienza di accesso senza problemi.
L'accesso Single Sign-On tramite l'autenticazione microsoft Entra ID offre anche un'esperienza semplice per le risorse basate su ID di Microsoft Entra all'interno della sessione. Per altre informazioni sull'uso dell'autenticazione senza password all'interno di una sessione, vedere Autenticazione senza password nella sessione.
Per abilitare l'accesso Single Sign-On usando l'autenticazione di Microsoft Entra ID, è necessario completare cinque attività:
Abilitare l'autenticazione Di Microsoft Entra per Remote Desktop Protocol (RDP).
Configurare i gruppi di dispositivi di destinazione.
Creare un oggetto Server Kerberos, se Dominio di Active Directory Services fa parte dell'ambiente. Altre informazioni sui criteri sono incluse nella relativa sezione.
Esaminare i criteri di accesso condizionale.
Configurare il pool di host per abilitare l'accesso Single Sign-On.
Prima di abilitare l'accesso Single Sign-On
Prima di abilitare l'accesso Single Sign-On, esaminare le informazioni seguenti per usarlo nell'ambiente in uso.
Disconnessione quando la sessione è bloccata
Quando l'accesso Single Sign-On è abilitato, si accede a Windows usando un token di autenticazione di Microsoft Entra ID, che fornisce il supporto per l'autenticazione senza password a Windows. La schermata di blocco di Windows nella sessione remota non supporta i token di autenticazione di Microsoft Entra ID o i metodi di autenticazione senza password, ad esempio le chiavi FIDO. La mancanza di supporto per questi metodi di autenticazione significa che gli utenti non possono sbloccare le schermate in una sessione remota. Quando si tenta di bloccare una sessione remota, tramite l'azione dell'utente o i criteri di sistema, la sessione viene invece disconnessa e il servizio invia un messaggio all'utente che spiega che sono stati disconnessi.
La disconnessione della sessione garantisce anche che quando la connessione viene riavviata dopo un periodo di inattività, Microsoft Entra ID rivaluta eventuali criteri di accesso condizionale applicabili.
Account amministratore di dominio Active Directory con Single Sign-On
Negli ambienti con un Dominio di Active Directory Services (AD DS) e gli account utente ibridi, i criteri di replica delle password predefiniti nei controller di dominio di sola lettura negano la replica delle password per i membri dei gruppi di sicurezza Domain Admins e Administrators. Questo criterio impedisce a questi account amministratore di accedere agli host aggiunti all'ambiente ibrido di Microsoft Entra e potrebbe continuare a chiedere loro di immettere le credenziali. Impedisce inoltre agli account amministratore di accedere alle risorse locali che usano l'autenticazione Kerberos dagli host aggiunti a Microsoft Entra. Non è consigliabile connettersi a una sessione remota usando un account amministratore di dominio.
Se è necessario apportare modifiche a un host di sessione come amministratore, accedere all'host di sessione usando un account non amministratore, quindi usare l'opzione Esegui come amministratore o lo strumento runas da un prompt dei comandi per passare a un amministratore.
Prerequisiti
Prima di abilitare l'accesso Single Sign-On, è necessario soddisfare i prerequisiti seguenti:
Per configurare il tenant di Microsoft Entra, è necessario assegnare uno dei ruoli predefiniti di Microsoft Entra seguenti:
Gli host di sessione devono eseguire uno dei sistemi operativi seguenti con l'aggiornamento cumulativo pertinente installato:
- Windows 11 Enterprise singola o multisessione con gli aggiornamenti cumulativi 2022-10 per Windows 11 (KB5018418) o versioni successive installate.
- Windows 10 Enterprise singolo o multisessione con gli aggiornamenti cumulativi 2022-10 per Windows 10 (KB5018410) o versioni successive installate.
- Windows Server 2022 con l'aggiornamento cumulativo 2022-10 per il sistema operativo server Microsoft (KB5018421) o versioni successive installate.
Gli host di sessione devono essere aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. Gli host di sessione aggiunti a Microsoft Entra Domain Services o ai servizi di Dominio di Active Directory non sono supportati.
Se gli host di sessione aggiunti a Microsoft Entra ibrido si trovano in un dominio di Active Directory diverso rispetto agli account utente, deve esistere un trust bidirezionale tra i due domini. Senza l'attendibilità bidirezionale, le connessioni eseguiranno il fallback ai protocolli di autenticazione meno recenti.
Installare Microsoft Graph PowerShell SDK versione 2.9.0 o successiva nel dispositivo locale o in Azure Cloud Shell.
Un client Desktop remoto supportato per connettersi a una sessione remota. Sono supportati i client seguenti:
- Client Desktop di Windows nei PC locali che eseguono Windows 10 o versione successiva. Non è necessario che il PC locale venga aggiunto a Microsoft Entra ID o a un dominio di Active Directory.
- Client Web.
- client macOS versione 10.8.2 o successiva.
- Client iOS, versione 10.5.1 o successiva.
- Client Android, versione 10.0.16 o successiva.
Per configurare la connessione dell'account amministratore di dominio Active Directory quando è abilitato l'accesso Single Sign-On, è necessario un account membro del gruppo di sicurezza Domain Admins .
Abilitare l'autenticazione di Microsoft Entra per RDP
È innanzitutto necessario consentire l'autenticazione di Microsoft Entra per Windows nel tenant di Microsoft Entra, che consente di emettere token di accesso RDP che consentono agli utenti di accedere agli host di sessione di Desktop virtuale Azure. Impostare la isRemoteDesktopProtocolEnabled
proprietà su true nell'oggetto dell'entità remoteDesktopSecurityConfiguration
servizio per le applicazioni Microsoft Entra seguenti:
Nome dell'applicazione | ID applicazione |
---|---|
Desktop remoto Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
Windows Cloud Login | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Importante
Come parte di un cambiamento imminente, stiamo passando da Desktop remoto Microsoft a Windows Cloud Login, a partire dal 2024. La configurazione di entrambe le applicazioni assicura ora di essere pronti per la modifica.
Per configurare l'entità servizio, usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto remoteDesktopSecurityConfiguration nell'entità servizio e impostare la proprietà isRemoteDesktopProtocolEnabled
su true
. È anche possibile usare l'API Microsoft Graph con uno strumento come Graph Explorer.
Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.
Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.
Se si usa PowerShell in locale, accedere prima con Azure PowerShell e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.
Assicurarsi di aver installato Microsoft Graph PowerShell SDK dai prerequisiti, quindi importare i moduli Authentication and Applications Microsoft Graph e connettersi a Microsoft Graph con gli
Application.Read.All
ambiti eApplication-RemoteDesktopConfig.ReadWrite.All
eseguendo i comandi seguenti:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
Ottenere l'ID oggetto per ogni entità servizio e archiviarli in variabili eseguendo i comandi seguenti:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
Impostare la proprietà
isRemoteDesktopProtocolEnabled
sutrue
eseguendo i comandi seguenti. Non è disponibile alcun output da questi comandi.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }
Verificare che la proprietà
isRemoteDesktopProtocolEnabled
sia impostata sutrue
eseguendo i comandi seguenti:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
L'output dovrebbe essere simile al seguente:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Configurare i gruppi di dispositivi di destinazione
Dopo aver abilitato l'autenticazione di Microsoft Entra per RDP, è necessario configurare i gruppi di dispositivi di destinazione. Per impostazione predefinita, quando si abilita l'accesso Single Sign-On, agli utenti viene richiesto di eseguire l'autenticazione all'ID Microsoft Entra e di consentire la connessione Desktop remoto all'avvio di una connessione a un nuovo host di sessione. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di richiedere di nuovo. Se viene visualizzata una finestra di dialogo per consentire la connessione Desktop remoto, selezionare Sì per connettersi.
È possibile nascondere questa finestra di dialogo e fornire l'accesso Single Sign-On per le connessioni a tutti gli host di sessione configurando un elenco di dispositivi attendibili. È necessario creare uno o più gruppi in Microsoft Entra ID che contiene gli host di sessione, quindi impostare una proprietà sulle entità servizio per le stesse applicazioni di accesso Desktop remoto Microsoft e Windows Cloud Login, come usato nella sezione precedente, per il gruppo.
Suggerimento
È consigliabile usare un gruppo dinamico e configurare le regole di appartenenza dinamica per includere tutti gli host di sessione di Desktop virtuale Azure. È possibile usare i nomi dei dispositivi in questo gruppo, ma per un'opzione più sicura è possibile impostare e usare gli attributi di estensione del dispositivo usando l'API Microsoft Graph. Anche se i gruppi dinamici vengono normalmente aggiornati entro 5-10 minuti, i tenant di grandi dimensioni possono richiedere fino a 24 ore.
I gruppi dinamici richiedono la licenza Microsoft Entra ID P1 o la licenza di Intune per Education. Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi.
Per configurare l'entità servizio, usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto targetDeviceGroup nell'entità servizio con l'ID oggetto del gruppo dinamico e il nome visualizzato. È anche possibile usare l'API Microsoft Graph con uno strumento come Graph Explorer.
Creare un gruppo dinamico in Microsoft Entra ID contenente gli host di sessione per i quali si vuole nascondere la finestra di dialogo. Prendere nota dell'ID oggetto del gruppo per il passaggio successivo.
Nella stessa sessione di PowerShell creare un
targetDeviceGroup
oggetto eseguendo i comandi seguenti, sostituendo con<placeholders>
i propri valori:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"
Aggiungere il gruppo all'oggetto
targetDeviceGroup
eseguendo i comandi seguenti:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
L'output deve essere simile all'esempio seguente:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
Ripetere i passaggi 2 e 3 per ogni gruppo da aggiungere all'oggetto
targetDeviceGroup
, fino a un massimo di 10 gruppi.Se in un secondo momento è necessario rimuovere un gruppo di dispositivi dall'oggetto
targetDeviceGroup
, eseguire i comandi seguenti, sostituendo con<placeholders>
i propri valori:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Creare un oggetto Server Kerberos
Se gli host di sessione soddisfano i criteri seguenti, è necessario creare un oggetto Server Kerberos:
- L'host di sessione è aggiunto a Microsoft Entra ibrido. Per completare l'autenticazione a un controller di dominio, è necessario disporre di un oggetto Server Kerberos.
- L'host di sessione è aggiunto a Microsoft Entra e l'ambiente contiene controller di dominio Active Directory. È necessario disporre di un oggetto Server Kerberos per consentire agli utenti di accedere alle risorse locali, ad esempio condivisioni SMB e l'autenticazione integrata di Windows nei siti Web.
Importante
Se si abilita l'accesso Single Sign-On negli host sessione aggiunti all'ambiente ibrido di Microsoft Entra prima di creare un oggetto server Kerberos, può verificarsi una delle operazioni seguenti:
- Viene visualizzato un messaggio di errore che indica che la sessione specifica non esiste.
- L'accesso Single Sign-On verrà ignorato e verrà visualizzata una finestra di dialogo di autenticazione standard per l'host sessione.
Per risolvere questi problemi, creare l'oggetto Server Kerberos e quindi connettersi di nuovo.
Esaminare i criteri di accesso condizionale
Quando l'accesso Single Sign-On è abilitato, viene introdotta una nuova app Microsoft Entra ID per autenticare gli utenti nell'host sessione. Se sono presenti criteri di accesso condizionale che si applicano quando si accede a Desktop virtuale Azure, esaminare le raccomandazioni per configurare l'autenticazione a più fattori per assicurarsi che gli utenti abbiano l'esperienza desiderata.
Configurare il pool di host per abilitare l'accesso Single Sign-On
Per abilitare l'accesso Single Sign-On nel pool di host, è necessario configurare la proprietà RDP seguente, che è possibile eseguire usando il portale di Azure o PowerShell. È possibile trovare la procedura per configurare le proprietà RDP in Personalizzare le proprietà RDP (Remote Desktop Protocol) per un pool di host.
- Nell'portale di Azure impostare l'accesso Single Sign-On di Microsoft Entra su Connections userà l'autenticazione di Microsoft Entra per fornire l'accesso Single Sign-On.
- Per PowerShell impostare la proprietà enablerdsaadauth su 1.
Passaggi successivi
- Vedere Autenticazione senza password nella sessione per informazioni su come abilitare l'autenticazione senza password.
- Per altre informazioni su Microsoft Entra Kerberos, vedere Approfondimenti sul funzionamento di Microsoft Entra Kerberos
- Se si accede a Desktop virtuale Azure dal client Desktop Di Windows, vedere Connettersi al client Desktop di Windows.
- Se si accede a Desktop virtuale Azure dal client Web, vedere Connettersi al client Web.
- Se si verificano problemi, passare a Risolvere i problemi relativi alle connessioni alle macchine virtuali aggiunte a Microsoft Entra.