Identidades e métodos de autenticação com suporte
Neste artigo, apresentaremos uma breve visão geral de quais tipos de identidades e métodos de autenticação você pode usar na Área de Trabalho Virtual do Azure.
Identidades
A Área de Trabalho Virtual do Azure dá suporte a diferentes tipos de identidades, dependendo da configuração escolhida. Esta seção explica quais identidades você pode usar para cada configuração.
Importante
A Área de Trabalho Virtual do Azure não dá suporte à entrada no Microsoft Entra ID com uma conta de usuário e, em seguida, entrar no Windows com uma conta de usuário separada. Entrar com duas contas diferentes ao mesmo tempo pode levar os usuários a se reconectarem ao host de sessão incorreto, informações incorretas ou ausentes no portal do Azure e mensagens de erro que aparecem ao usar a anexação de aplicativo ou anexação de aplicativo MSIX.
Identidade local
Como os usuários precisam ser detectáveis pelo Microsoft Entra ID para acessar a Área de Trabalho Virtual do Azure, não há suporte para as identidades de usuário que existem somente no AD DS (Active Directory Domain Services). Isso inclui implantações do Active Directory autônomas com Serviços de Federação do Active Directory (AD FS).
Identidade híbrida
A Área de Trabalho Virtual do Azure dá suporte a identidades híbridas por meio do Microsoft Entra ID, incluindo as federadas usando o AD FS. Você pode gerenciar essas identidades de usuário no AD DS e sincronizá-las com o Microsoft Entra ID usando o Microsoft Entra Connect. Você também pode usar o Microsoft Entra ID para gerenciar essas identidades e sincronizá-las com o Microsoft Entra Domain Services.
Ao acessar a Área de Trabalho Virtual do Azure usando identidades híbridas, às vezes, o UPN (nome principal do usuário) ou o SID (Identificador de Segurança) para o usuário no Active Directory (AD) e no Microsoft Entra ID não correspondem. Por exemplo, a conta user@contoso.local do AD pode corresponder à user@contoso.com no Microsoft Entra ID. A Área de Trabalho Virtual do Azure dá suporte apenas a esse tipo de configuração se o UPN ou o SID para as contas do AD e do Microsoft Entra ID forem correspondentes. SID refere-se à propriedade de objeto de usuário "objectSid" no AD e "OnPremisesSecurityIdentifier" no Microsoft Entra ID.
Identidade somente em nuvem
A Área de Trabalho Virtual do Azure dá suporte a identidades somente em nuvem ao usar VMs ingressadas no Microsoft Entra. Esses usuários são criados e gerenciados diretamente no Microsoft Entra ID.
Observação
Você também pode atribuir identidades híbridas a grupos de Aplicativos da Área de Trabalho Virtual do Azure que hospedam hosts de sessão do tipo de junção ingressado no Microsoft Entra.
Identidade federada
Se você estiver usando um IdP (Provedor de identidade) de terceiros, diferente do Microsoft Entra ID ou do Active Directory Domain Services, para gerenciar suas contas de usuário, você deve garantir que:
- Seu IdP é federado com o Microsoft Entra ID.
- Os hosts de sessão são ingressados no Microsoft Entra ou no Microsoft Entra híbrido ingressado.
- Habilite a autenticação do Microsoft Entra para o host da sessão.
Identidade externa
A Área de Trabalho Virtual do Azure atualmente não dá suporte a identidades externas.
Métodos de autenticação
Ao acessar os recursos da Área de Trabalho Virtual do Azure, há três fases de autenticação separadas:
- Autenticação de serviço de nuvem: a autenticação no serviço da Área de Trabalho Virtual do Azure, que inclui a assinatura de recursos e a autenticação no Gateway, é feita com o Microsoft Entra ID.
- Autenticação de sessão remota: autenticação na VM remota. Há várias maneiras de se autenticar na sessão remota, incluindo o SSO (logon único) recomendado.
- Autenticação na sessão: autenticação em aplicativos e sites na sessão remota.
Para obter a lista de credenciais disponíveis nos diferentes clientes para cada uma das fases de autenticação, compare os clientes entre as plataformas.
Importante
Para que a autenticação funcione corretamente, o computador local também precisa acessar as URLs necessárias para clientes da Área de Trabalho Remota.
As seções a seguir fornecem mais informações sobre essas fases de autenticação.
Autenticação do serviço de nuvem
Para acessar os recursos da Área de Trabalho Virtual do Azure, primeiro você precisa se autenticar no serviço entrando em uma conta do Microsoft Entra ID. A autenticação acontece sempre que você se inscreve para recuperar seus recursos, se conecta ao gateway ao iniciar uma conexão ou ao enviar informações de diagnóstico ao serviço. O recurso do Microsoft Entra ID usado para essa autenticação é a Área de Trabalho Virtual do Azure (ID do aplicativo 9cdead84-a844-4324-93f2-b2e6bb768d07).
Autenticação multifator
Siga as instruções em Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o acesso condicional para aprender como impor a autenticação multifator do Microsoft Entra para sua implantação. Este artigo também explicará como configurar a frequência com que os usuários são solicitados a inserir suas credenciais. Ao implantar VMs ingressadas no Microsoft Entra, observe as etapas extras para VMs de host de sessão ingressadas no Microsoft Entra.
Autenticação sem senha
Você pode usar qualquer tipo de autenticação compatível com o Microsoft Entra ID, como o Windows Hello para Empresas e outras opções de autenticação sem senha (por exemplo, chaves FIDO), para se autenticar no serviço.
Autenticação com cartão inteligente
Para usar um cartão inteligente para se autenticar no Microsoft Entra ID, primeiro você deve configurar a autenticação baseada em certificado do Microsoft Entra ou configurar o AD FS para autenticação de certificado de usuário.
Provedores de identidade terceirizados
Você pode usar provedores de identidade de terceiros, desde que sejam federados com o Microsoft Entra ID.
Autenticação de sessão remota
Se você ainda não ativou o logon único nem salvou as credenciais localmente, também precisará se autenticar no host da sessão ao iniciar uma conexão.
SSO (logon único)
O SSO permite que a conexão ignore a solicitação de credenciais do host da sessão e conecte automaticamente o usuário ao Windows por meio da autenticação do Microsoft Entra. Para hosts de sessão ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido, é recomendável habilitar o SSO usando a autenticação do Microsoft Entra. A autenticação do Microsoft Entra fornece outros benefícios, incluindo autenticação sem senha e suporte para provedores de identidade de terceiros.
A Área de Trabalho Virtual do Azure dá suporte para SSO usando o Serviços de Federação do Active Directory (AD FS) para os clientes Área de Trabalho do Windows e Web.
Sem o SSO, o cliente solicita aos usuários as credenciais do host da sessão a cada conexão. A única maneira de evitar essa solicitação é salvar as credenciais no cliente. Recomendamos o salvamento de credenciais apenas em dispositivos seguros para impedir que outros usuários acessem os recursos.
Cartão inteligente/Windows Hello para Empresas
A Área de Trabalho Virtual do Azure dá suporte a o NTLM (NT LAN Manager) e ao Kerberos para autenticação de host da sessão, no entanto, o cartão inteligente e o Windows Hello para Empresas só podem usar o Kerberos para entrar. Para usar o Kerberos, o cliente precisa obter tíquetes de segurança do Kerberos de um serviço de KDC (Centro de Distribuição de Chaves) em execução em um controlador de domínio. Para obter tíquetes, o cliente precisa de uma linha de visão de rede direta para o controlador de domínio. Você pode obter uma linha de visão conectando-se diretamente à rede corporativa, usando uma conexão VPN ou configurando um servidor proxy KDC.
Autenticação na sessão
Quando estiver conectado ao seu RemoteApp ou área de trabalho, você poderá ser solicitado a fornecer a autenticação dentro da sessão. Esta seção explica como usar credenciais diferentes de nome de usuário e senha neste cenário.
Autenticação sem senha na sessão
A Área de Trabalho Virtual do Azure dá suporte à autenticação sem senha na sessão usando o Windows Hello para Empresas ou dispositivos de segurança como chaves FIDO ao usar o cliente do Windows Desktop. A autenticação sem senha é habilitada automaticamente quando o host de sessão e o computador local estão usando os seguintes sistemas operacionais:
- Windows 11 de uma ou várias sessões com as Atualizações cumulativas 2022-10 para Windows 11 (KB5018418) ou posteriores instaladas.
- Windows 10 de uma ou várias sessões, versões 20H2 ou posteriores com as Atualizações cumulativas 2022-10 para Windows 10 (KB5018410) ou posteriores instaladas.
- Windows Server 2022 com a atualização cumulativa 2022-10 para o sistema operacional do servidor Microsoft (KB5018421) ou posterior instalada.
Para desabilitar a autenticação sem senha em seu pool de hosts, você deve personalizar uma propriedade RDP. Você pode encontrar a propriedade WebAuthn redirection na guia Device redirection no portal do Azure ou configurar a propriedade redirectwebauthn como 0 usando PowerShell.
Quando habilitada, todas as solicitações do WebAuthn na sessão são redirecionadas ao computador local. Você pode usar o Windows Hello para Empresas ou dispositivos de segurança anexados localmente para concluir o processo de autenticação.
Para acessar recursos do Microsoft Entra com o Windows Hello para Empresas ou dispositivos de segurança, você precisa habilitar a Chave de Segurança FIDO2 como um método de autenticação para os usuários. Para habilitar esse método, siga as etapas em Habilitar o método de chave de segurança FIDO2.
Autenticação de cartão inteligente na sessão
Para usar um cartão inteligente na sessão, verifique se os drivers do cartão inteligente foram instalados no host da sessão e habilite-o no redirecionamento de cartão inteligente. Examine os gráficos de comparação do aplicativo do Windows e do aplicativo de Área de Trabalho Remota para fazer com que você possa usar o redirecionamento de cartão inteligente.
Próximas etapas
- Quer conhecer outras maneiras de manter sua implantação segura? Confira Implementar melhores práticas de segurança.
- Problemas ao se conectar às VMs ingressadas no Microsoft Entra? Examine Solucionar problemas de conexões com VMs ingressadas no Microsoft Entra.
- Problemas com a autenticação sem senha na sessão? Confira Solucionar problemas de redirecionamento do WebAuthn.
- Quer usar os cartões inteligentes de fora de sua rede corporativa? Examine como configurar um servidor Proxy KDC.