Configurar o logon único para o Área de Trabalho Virtual do Azure usando o Microsoft Entra ID
O SSO (logon único) para a Área de Trabalho Virtual do Azure usando a o Microsoft Entra ID fornece uma experiência de entrada perfeita para usuários que se conectam a hosts de sessão. Quando você habilita o logon único, os usuários se autenticam no Windows usando um token do Microsoft Entra ID. Esse token habilita o uso de autenticação sem senha e provedores de identidade de terceiros que federam com o Microsoft Entra ID ao se conectar a um host de sessão, tornando a experiência de entrada perfeita.
O logon único usando o Microsoft Entra ID também fornece uma experiência perfeita para recursos baseados no Microsoft Entra ID dentro da sessão. Para obter mais informações sobre como usar a autenticação sem senha em uma sessão, consulte Autenticação sem senha na sessão.
Para habilitar o logon único usando a autenticação do Microsoft Entra ID, há cinco tarefas que você deve concluir:
Habilite a autenticação do Microsoft Entra para RDP (Protocolo de Área de Trabalho Remota).
Ocultar a caixa de diálogo de solicitação de consentimento.
Crie um objeto de servidor Kerberos, se o Active Directory Domain Services fizer parte do seu ambiente. Mais informações sobre os critérios estão incluídas em sua seção.
Examine as políticas de acesso condicional.
Configure o pool de hosts para habilitar o logon único.
Antes de habilitar o logon único
Antes de habilitar o logon único, revise as informações a seguir para usá-lo em seu ambiente.
Comportamento de bloqueio de sessão
Quando o logon único usando o Microsoft Entra ID estiver habilitado e a sessão remota estiver bloqueada, pelo usuário ou pela política, você poderá escolher se a sessão está desconectada ou a tela de bloqueio remoto é mostrada. O comportamento padrão é desconectar a sessão quando ela é bloqueada.
Quando o comportamento de bloqueio de sessão é definido como desconectar, uma caixa de diálogo é exibida para informar aos usuários que eles foram desconectados. Os usuários podem escolher a opção Reconectar na caixa de diálogo quando estiverem prontos para se conectar novamente. Esse comportamento é feito por motivos de segurança e para garantir o suporte total à autenticação sem senha. Desconectar a sessão oferece os seguintes benefícios:
Uma experiência de logon consistente por meio do Microsoft Entra ID, quando necessário.
Uma experiência de logon único e reconexão sem prompt de autenticação, quando permitido pelas políticas de acesso condicional.
Dá suporte a autenticação sem senha, como chaves de acesso e dispositivos FIDO2, ao contrário da tela de bloqueio remota.
Políticas de acesso condicional, incluindo autenticação multifator e frequência de logon, são reavaliadas quando o usuário se reconecta à sessão.
Pode exigir autenticação multifator para retornar à sessão e impedir que os usuários desbloqueiem com um simples nome de usuário e senha.
Se você quiser configurar o comportamento de bloqueio de sessão para mostrar a tela de bloqueio remoto em vez de desconectar a sessão, confira Configurar o comportamento de bloqueio de sessão.
Contas de administrador de domínio do Active Directory com logon único
Em ambientes com um AD DS (Active Directory Domain Services) e contas de usuário híbrida, a Política de Replicação de Senha padrão em controladores de domínio somente leitura nega a replicação de senha para membros de grupos de segurança Administradores de domínio e Administradores. Essa política impede que essas contas de administrador entrem em hosts ingressados híbridos do Microsoft Entra e podem continuar solicitando que eles insiram suas credenciais. Isso também impedirá que as contas de administrador acessem recursos locais que usam a autenticação Kerberos de hosts ingressados no Microsoft Entra. Não recomendamos conectar-se a uma sessão remota usando uma conta que seja um administrador de domínio por motivos de segurança.
Se você precisar fazer alterações em um host de sessão como administrador, entre no host da sessão usando uma conta não administradora e use a opção Executar como administrador ou a ferramenta runas de um prompt de comando para alterar para um administrador.
Pré-requisitos
Antes de habilitar o logon único, você deve atender aos seguintes pré-requisitos:
Para configurar seu locatário do Microsoft Entra, você deve receber uma das seguintes funções internas do Microsoft Entra ou equivalente:
Os hosts de sessão devem estar executando um dos seguintes sistemas operacionais com a atualização cumulativa relevante instalada:
Windows 11 Enterprise de uma ou várias sessões com as atualizações cumulativas 2022-10 para Windows 11 (KB5018418) ou posterior instaladas.
Windows 10 Enterprise de uma ou várias sessões com as Atualizações cumulativas 2022-10 para Windows 10 (KB5018410) ou posteriores instaladas.
Windows Server 2022 com a atualização cumulativa 2022-10 para o sistema operacional do servidor Microsoft (KB5018421) ou posterior instalada.
Os hosts de sessão devem ser ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido. Hosts de sessão ingressados somente no Microsoft Entra Domain Services ou no Active Directory Domain Services não têm suporte.
Se os hosts de sessão ingressados no Microsoft Entra híbrido estiverem em um domínio do Active Directory diferente das suas contas de usuário, deverá haver uma relação de confiança bidirecional entre os dois domínios. Sem a relação de confiança bidirecional, as conexões voltam aos protocolos de autenticação mais antigos.
Instalar o SDK do Microsoft Graph PowerShell versão 2.9.0 ou posterior em seu dispositivo local ou no Azure Cloud Shell.
Um cliente de Área de Trabalho Remota com suporte para se conectar a uma sessão remota. Há suporte para os seguintes clientes:
Cliente da Área de Trabalho do Windows em computadores locais executando o Windows 10 ou posterior. Não há nenhum requisito para que o computador local seja ingressado no Microsoft Entra ID ou em um domínio do Active Directory.
Cliente macOS, versão 10.8.2 ou posterior.
Cliente iOS, versão 10.5.1 ou posterior.
Cliente Android, versão 10.0.16 ou posterior.
Habilitar a autenticação do Microsoft Entra para RDP
Primeiro, você deve permitir a autenticação do Microsoft Entra para Windows em seu locatário do Microsoft Entra, o que permite a emissão de tokens de acesso RDP, permitindo que os usuários entrem em seus hosts de sessão da Área de Trabalho Virtual do Azure. Defina a propriedade isRemoteDesktopProtocolEnabled como true no objeto remoteDesktopSecurityConfiguration da entidade de serviço para os seguintes aplicativos do Microsoft Entra:
| Nome do Aplicativo | Application ID |
|---|---|
| Área de Trabalho Remota da Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
| Login na Nuvem do Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Importante
Como parte de uma alteração futura, estamos fazendo a transição da Área de Trabalho Remota da Microsoft para o Logon na Nuvem do Windows, a partir de 2024. A configuração de ambos os aplicativos agora garante que você esteja pronto para a alteração.
Para configurar a entidade de serviço, use o objeto SDK do Microsoft Graph PowerShell para criar um novo objeto remoteDesktopSecurityConfiguration na entidade de serviço e defina a propriedade isRemoteDesktopProtocolEnabled como true. Você também pode usar a API do Microsoft Graph com uma ferramenta como Graph Explorer.
Abra o Azure Cloud Shell no portal do Azure com o tipo de terminal PowerShell ou execute o PowerShell em seu dispositivo local.
Se estiver usando o Cloud Shell, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.
Se estiver usando o PowerShell localmente, primeiro conecte-se com o Azure PowerShell e, em seguida, certifique-se de que seu contexto do Azure está definido para a assinatura que você deseja usar.
Verifique se você instalou o SDK do Microsoft Graph PowerShell a partir dos pré-requisitos e, em seguida, importe os módulos Autenticação e Aplicativosdo Microsoft Graph e conecte-se ao Microsoft Graph com os escopos
Application.Read.AlleApplication-RemoteDesktopConfig.ReadWrite.Allexecutando os seguintes comandos:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"Obtenha a ID do objeto para cada entidade de serviço e armazene-as em variáveis executando os seguintes comandos:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").IdDefina a propriedade
isRemoteDesktopProtocolEnabledcomotrueexecutando os comandos a seguir. Não há saída desses comandos.If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled }Confirme se a propriedade
isRemoteDesktopProtocolEnabledestá definida comotrueexecutando os comandos a seguir:Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspIdA saída deverá ser como a seguinte:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Ocultar a caixa de diálogo de solicitação de consentimento
Por padrão, quando o logon único está habilitado, os usuários veem uma caixa de diálogo para permitir a conexão da Área de Trabalho Remota ao se conectar a um novo host de sessão. O Microsoft Entra se lembra de até 15 hosts durante 30 dias antes de fazer uma nova solicitação. Se os usuários virem uma caixa de diálogo para permitir a conexão da Área de Trabalho Remota, eles podem selecionar Sim para se conectar.
Você pode ocultar essa caixa de diálogo configurando uma lista de dispositivos confiáveis. Para configurar a lista de dispositivos, crie um ou mais grupos no Microsoft Entra ID que contém seus hosts de sessão e adicione as IDs de grupo a uma propriedade nas entidades de serviço de SSO, Área de Trabalho Remota da Microsoft e Logon na Nuvem do Windows.
Dica
Recomendamos que você use um grupo dinâmico e configure as regras de associação dinâmica para incluir todos os hosts de sessão da Área de Trabalho Virtual do Azure. Você pode usar os nomes de dispositivo neste grupo, mas para uma opção mais segura, você pode definir e usar atributos de extensão de dispositivo usando a API do Microsoft Graph. Embora os grupos dinâmicos normalmente atualizem dentro de 5 a 10 minutos, grandes locatários podem levar até 24 horas.
Grupos dinâmicos exigem a licença do Microsoft Entra ID P1 ou a licença do Intune para Educação. Para obter mais informações, consulte Regras de associação dinâmica para grupos.
Para configurar a entidade de serviço, use o SDK do Microsoft Graph PowerShell para criar um novo objeto targetDeviceGroup na entidade de serviço com a ID do objeto e o nome de exibição do grupo dinâmico. Você também pode usar a API do Microsoft Graph com uma ferramenta como Graph Explorer.
Crie um grupo dinâmico no Microsoft Entra ID contendo os hosts de sessão para os quais você deseja ocultar a caixa de diálogo. Anote a ID do objeto do grupo para a próxima etapa.
Na mesma sessão do PowerShell, crie um objeto
targetDeviceGroupexecutando os seguintes comandos, substituindo o<placeholders>por seus próprios valores:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"Adicione o grupo ao objeto
targetDeviceGroupexecutando os seguintes comandos:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdgA saída deve ser semelhante ao seguinte exemplo:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-session-hostsRepita as etapas 2 e 3 para cada grupo que você deseja adicionar ao objeto
targetDeviceGroup, até um máximo de 10 grupos.Se mais tarde você precisar remover um grupo de dispositivos do objeto
targetDeviceGroup, execute os seguintes comandos, substituindo o<placeholders>por seus próprios valores:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Crie um objeto de servidor Kerberos
Se os hosts de sessão atenderem aos seguintes critérios, você deverá criar um objeto de servidor Kerberos. Para obter mais informações, consulte Habilitar a entrada de chave de segurança sem senha em recursos locais usando o Microsoft Entra ID, especificamente a seção para Criar um objeto de Kerberos Server:
O host da sessão é ingressado no Microsoft Entra Híbrido. É necessário ter um objeto de servidor Kerberos para concluir a autenticação no controlador de domínio.
Seu host da sessão está ingressado no Microsoft Entra e seu ambiente contém controladores de domínio do Active Directory. É necessário ter um objeto de servidor Kerberos para que os usuários acessem recursos locais, como compartilhamentos SMB e autenticação integrada ao Windows para sites.
Importante
Se você habilitar o logon único em hosts de sessão ingressados híbridos do Microsoft Entra sem criar um objeto de servidor Kerberos, uma das seguintes coisas poderá acontecer ao tentar se conectar a uma sessão remota:
- Você recebe uma mensagem de erro informando que a sessão específica não existe.
- O logon único será ignorado e você verá uma caixa de diálogo de autenticação padrão para o host da sessão.
Para resolver esses problemas, crie o objeto de servidor Kerberos e conecte-se novamente.
Examine suas políticas de acesso condicional
Quando o logon único está habilitado, um novo aplicativo da ID do Microsoft Entra é introduzido para autenticar usuários no host da sessão. Se você tiver políticas de acesso condicional que se aplicam ao acessar a Área de Trabalho Virtual do Azure, examine as recomendações sobre como configurar a autenticação multifator para garantir que os usuários tenham a experiência desejada.
Configure o pool de hosts para habilitar o logon único.
Para habilitar o logon único no pool de hosts, você deve configurar a propriedade RDP a seguir, o que pode ser feito usando o portal do Microsoft Azure ou o PowerShell. Você pode encontrar as etapas para configurar as propriedades RDP em Personalizar as propriedades RDP (Remote Desktop Protocol) para um pool de hosts.
No portal do Azure, defina o logon único do Microsoft Entra como As conexões usarão a autenticação do Microsoft Entra para fornecer logon único.
No PowerShell, defina a propriedade enablerdsaadauth como 1.
Próximas etapas
Confira Autenticação sem senha na sessão para saber como habilitar a autenticação sem senha.
Saiba como Configurar o comportamento de bloqueio de sessão para a Área de Trabalho Virtual do Azure.
Para obter mais informações sobre o Kerberos do Microsoft Entra, confira Aprofundamento: como o Kerberos do Microsoft Entra funciona.
Se você encontrar problemas, acesse Solucionar problemas de conexões com VMs ingressadas no Microsoft Entra.