Configurar o início de sessão único para o Windows 365 Empresas com a autenticação Microsoft Entra

  • Artigo

Este artigo explica o processo de configuração do início de sessão único (SSO) para o Windows 365 através da autenticação Microsoft Entra. Quando ativa o SSO, os utilizadores podem utilizar a autenticação sem palavra-passe e fornecedores de identidade de terceiros que federam com o Microsoft Entra ID para iniciar sessão no respetivo PC na Cloud. Quando ativada, esta funcionalidade fornece uma experiência de SSO ao autenticar no CLOUD PC e dentro da sessão ao aceder a sites e aplicações baseados no Microsoft Entra ID.

Para ativar o SSO com a autenticação microsoft Entra ID, existem quatro tarefas que tem de concluir:

  1. Ative a autenticação do Microsoft Entra para o Protocolo RDP (Remote Desktop Protocol).

  2. Configure os grupos de dispositivos de destino.

  3. Reveja as políticas de acesso condicional.

  4. Configure as definições organizacionais para ativar o SSO.

Antes de ativar o SSO

Antes de ativar o SSO, reveja as seguintes informações para utilizá-lo no seu ambiente.

Desligar quando a sessão está bloqueada

Quando o SSO está ativado, os utilizadores iniciam sessão no Windows através de um token de autenticação do Microsoft Entra ID, que fornece suporte para autenticação sem palavra-passe no Windows. O ecrã de bloqueio do Windows na sessão remota não suporta tokens de autenticação do Microsoft Entra ID nem métodos de autenticação sem palavra-passe, como chaves FIDO. Em vez do comportamento anterior de mostrar o ecrã de bloqueio remoto quando uma sessão está bloqueada, a sessão é desligada e o utilizador é notificado. Desligar a sessão garante que:

  • Os utilizadores beneficiam de uma experiência de início de sessão único e podem restabelecer ligação sem pedido de autenticação quando permitido.
  • Os utilizadores podem voltar a iniciar sessão com a autenticação sem palavra-passe, como chaves FIDO.
  • As políticas de acesso condicional, incluindo a autenticação multifator e a frequência de início de sessão, são reavaliadas quando o utilizador voltar a ligar à sessão.

Pré-requisitos

Antes de poder ativar o SSO, tem de cumprir os seguintes pré-requisitos:

Ativar a autenticação do Microsoft Entra para RDP

Primeiro, tem de permitir a autenticação do Microsoft Entra para Windows no seu inquilino do Microsoft Entra, o que permite emitir tokens de acesso RDP que permitem aos utilizadores iniciar sessão nos respetivos PCs na Cloud. Esta alteração tem de ser feita nos principais de serviço para as seguintes aplicações do Microsoft Entra:

Nome do Aplicativo ID do Aplicativo
Área de Trabalho Remota da Microsoft a4a365df-50f1-4397-bc59-1a1564b8bb9c
Início de Sessão no Windows Cloud 270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Como parte de uma alteração futura, estamos a transitar do Ambiente de Trabalho Remoto da Microsoft para o Início de Sessão na Nuvem do Windows, a partir de 2024. Configurar ambas as aplicações agora garante que está pronto para a alteração.

Para permitir a autenticação Entra, pode utilizar o SDK do PowerShell do Microsoft Graph para criar um novo objeto remoteDesktopSecurityConfiguration no principal de serviço e definir a propriedade isRemoteDesktopProtocolEnabled como true. Também pode utilizar a Microsoft Graph API com uma ferramenta como o Graph Explorer.

Siga os passos abaixo para fazer as alterações com o PowerShell:

  1. Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell ou execute o PowerShell no seu dispositivo local.

    1. Se estiver a utilizar o Cloud Shell, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.

    2. Se estiver a utilizar o PowerShell localmente, primeiro Inicie sessão com o Azure PowerShell e, em seguida, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.

  2. Certifique-se de que instalou o SDK do PowerShell do Microsoft Graph a partir dos pré-requisitos. Em seguida, importe os módulos Autenticação e Aplicações do Microsoft Graph e ligue-se ao Microsoft Graph com os Application.Read.All âmbitos e Application-RemoteDesktopConfig.ReadWrite.All ao executar os seguintes comandos:

    Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

  3. Obtenha o ID de objeto para cada principal de serviço e armazene-o em variáveis ao executar os seguintes comandos:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

  4. Defina a propriedade isRemoteDesktopProtocolEnabled como true ao executar os seguintes comandos. Estes comandos não têm saída.

    $params = @{
    "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
    isRemoteDesktopProtocolEnabled = $true
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
}

  5. Confirme que a propriedade isRemoteDesktopProtocolEnabled está definida como true ao executar os seguintes comandos:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

    O resultado deve ser:

    Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Configurar os grupos de dispositivos de destino

Depois de ativar a autenticação do Microsoft Entra para RDP, tem de configurar os grupos de dispositivos de destino. Por predefinição, ao ativar o SSO, é pedido aos utilizadores que se autentiquem no Microsoft Entra ID e permitam a ligação ao Ambiente de Trabalho Remoto ao iniciar uma ligação a um novo PC na Cloud. O Microsoft Entra lembra-se de até 15 anfitriões durante 30 dias antes de voltar a pedir. Se um utilizador vir um diálogo para permitir a ligação ao Ambiente de Trabalho Remoto, deve selecionar Sim para ligar.

Para ocultar esta caixa de diálogo, tem de criar um ou mais grupos no Microsoft Entra ID que contenham os seus PCs na Cloud e, em seguida, definir uma propriedade nos principais de serviço para as mesmas aplicações de Início de Sessão na Cloud do Microsoft Remote Desktop e Windows , conforme utilizado na secção anterior, para o grupo.

Dica

Recomendamos que utilize um grupo dinâmico e configure as regras de associação dinâmicas para incluir todos os seus PCs na Cloud. Pode utilizar os nomes dos dispositivos neste grupo, mas, para uma opção mais segura, pode definir e utilizar atributos de extensão de dispositivo com a Microsoft Graph API. Embora os grupos dinâmicos atualizem normalmente dentro de 5 a 10 minutos, os inquilinos grandes podem demorar até 24 horas.

Os grupos dinâmicos necessitam da licença do Microsoft Entra ID P1 ou da licença do Intune for Education. Para obter mais informações, veja Regras de associação dinâmica para grupos.

Para configurar o principal de serviço, utilize o SDK do PowerShell do Microsoft Graph para criar um novo objeto targetDeviceGroup no principal de serviço com o ID de objeto e o nome a apresentar do grupo dinâmico. Também pode utilizar a Microsoft Graph API com uma ferramenta como o Graph Explorer.

  1. Crie um grupo dinâmico no Microsoft Entra ID que contenha os PCs na Cloud para os quais pretende ocultar a caixa de diálogo. Anote o ID de objeto do grupo para o próximo passo.

  2. Na mesma sessão do PowerShell, crie um targetDeviceGroup objeto ao executar os seguintes comandos, substituindo os <placeholders> pelos seus próprios valores:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

  3. Adicione o grupo ao targetDeviceGroup objeto ao executar os seguintes comandos:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

    O resultado deve ser semelhante:

    Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC

    Repita os passos 2 e 3 para cada grupo que pretende adicionar ao targetDeviceGroup objeto, até um máximo de 10 grupos.

  4. Se mais tarde precisar de remover um grupo de dispositivos do targetDeviceGroup objeto, execute os seguintes comandos, substituindo os <placeholders> pelos seus próprios valores:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Rever as políticas de acesso condicional

Quando o SSO está ativado, é introduzida uma nova aplicação Microsoft Entra ID para autenticar os utilizadores no PC na Cloud. Se tiver políticas de acesso condicional que se aplicam ao aceder ao Windows 365, reveja as recomendações para definir políticas de acesso condicional para o Windows 365 para garantir que os utilizadores têm a experiência desejada e para proteger o seu ambiente.

Ativar o SSO para todos os PCs na Cloud na sua conta

  1. Inicie sessão no windows365.microsoft.com com uma conta que tenha a função de Administrador do Windows 365.
  2. Selecione Os PCs na Cloud da sua organização e, em seguida, selecione Atualizar definições da organização.
  3. Selecione a opção Início de sessão único emDefinições do CLOUD PC.