Configurare il comportamento di blocco della sessione per Desktop virtuale Azure

È possibile scegliere se la sessione viene disconnessa o la schermata di blocco remota viene visualizzata quando una sessione remota è bloccata, dall'utente o dai criteri. Quando il comportamento di blocco della sessione è impostato su disconnessione, viene visualizzata una finestra di dialogo per informare gli utenti che sono stati disconnessi. Gli utenti possono scegliere l'opzione Riconnetti dalla finestra di dialogo quando sono pronti a connettersi di nuovo.

Se viene usata con l'accesso Single Sign-On con Microsoft Entra ID, la disconnessione della sessione offre i vantaggi seguenti:

• Esperienza di accesso coerente tramite Microsoft Entra ID quando necessario.

• Esperienza di Single Sign-On e riconnessione senza richiesta di autenticazione quando consentita dai criteri di accesso condizionale.

• Supporto per l'autenticazione senza password, ad esempio passkey e dispositivi FIDO2, contrariamente alla schermata di blocco remota. La disconnessione della sessione è necessaria per garantire il supporto completo dell'autenticazione senza password.

• I criteri di accesso condizionale, inclusa l'autenticazione a più fattori e la frequenza di accesso, vengono rivalutati quando l'utente si riconnette alla sessione.

• È possibile richiedere l'autenticazione a più fattori per tornare alla sessione e impedire agli utenti di sbloccarla con un nome utente e una password semplici.

Per gli scenari che si basano sull'autenticazione legacy, tra cui NTLM, CredSSP, RDSTLS, TLS e protocolli di autenticazione di base RDP, agli utenti viene richiesto di immettere nuovamente le credenziali quando si riconnettono o stabiliscono una nuova connessione.

Il comportamento predefinito del blocco della sessione è diverso a seconda che si usi l'accesso Single Sign-On con Microsoft Entra ID o l'autenticazione legacy. La tabella seguente illustra la configurazione predefinita per ogni scenario:

Scenario	Configurazione predefinita
Accesso Single Sign-On con Microsoft Entra ID	Disconnettere la sessione
Protocolli di autenticazione legacy	Visualizzazione della schermata di blocco remota

Questo articolo illustra come modificare il comportamento di blocco della sessione dalla configurazione predefinita usando Microsoft Intune o Criteri di gruppo.

Prerequisiti

Selezionare la scheda pertinente per il metodo di configurazione.

Intune

Prima di poter configurare il comportamento di blocco della sessione, è necessario soddisfare i prerequisiti seguenti:

• Un pool di host esistente con host di sessione.

• Gli host di sessione devono eseguire uno dei sistemi operativi seguenti con l'aggiornamento cumulativo pertinente installato:

  • Windows 11 singolo o multisessione con gli aggiornamenti cumulativi 2024-05 per Windows 11 (KB5037770) o versioni successive installate.
  • Windows 10 versione singola o multisessione, versioni 21H2 o successive con gli aggiornamenti cumulativi 2024-06 per Windows 10 (KB5039211) o versioni successive installate.
  • Windows Server 2022 con l'aggiornamento cumulativo 2024-05 per il sistema operativo server Microsoft (KB5037782) o versioni successive installate.

• Per configurare Intune, è necessario quanto segue:

  • Un account di Microsoft Entra ID assegnato al ruolo Controllo degli accessi in base al ruolo Gestione criteri e profili predefinito.
  • Gruppo contenente i dispositivi da configurare.

Criteri di gruppo

Prima di poter configurare il comportamento di blocco della sessione, è necessario soddisfare i prerequisiti seguenti:

• Un pool di host esistente con host di sessione.

• Gli host di sessione devono eseguire uno dei sistemi operativi seguenti con l'aggiornamento cumulativo pertinente installato:

  • Windows 11 singolo o multisessione con gli aggiornamenti cumulativi 2024-05 per Windows 11 (KB5037770) o versioni successive installate.
  • Windows 10 versione singola o multisessione, versioni 21H2 o successive con gli aggiornamenti cumulativi 2024-06 per Windows 10 (KB5039211) o versioni successive installate.
  • Windows Server 2022 con l'aggiornamento cumulativo 2024-05 per il sistema operativo server Microsoft (KB5037782) o versioni successive installate.

• Per configurare Criteri di gruppo, è necessario quanto segue:

  • Un account di dominio autorizzato a creare o modificare oggetti Criteri di gruppo.
  • Un gruppo di sicurezza o un'unità organizzativa contenente i dispositivi da configurare.

Configurare il comportamento di blocco della sessione

Selezionare la scheda pertinente per il metodo di configurazione.

Intune

Per configurare l'esperienza di blocco della sessione con Intune:

1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

2. Creare o modificare un profilo di configurazione per dispositivi Windows 10 e versioni successive, con il tipo di profilo Catalogo impostazioni.

3. Nella selezione delle impostazioni passare a Modelli amministrativi>Componenti di Windows>Servizi Desktop remoto>Host Sessione Desktop remoto>Sicurezza.

   

4. Selezionare la casella per una delle impostazioni seguenti, a seconda dei requisiti:

   • Per l'accesso Single Sign-On con Microsoft Entra ID:

     1. Selezionare la casella Disconnetti sessione remota al blocco per l'autenticazione di Microsoft Identity Platform, quindi chiudere la selezione impostazioni.

     2. Espandere la categoria Modelli amministrativi, quindi impostare l'opzione per Disconnetti sessione remota al blocco per l'autenticazione di Microsoft Identity Platform su Abilitato o Disabilitato:

        • Per disconnettere la sessione remota quando la sessione viene bloccata, impostare l'opzione su Abilitato, quindi selezionare OK.

        • Per visualizzare la schermata di blocco remota quando la sessione viene bloccata, impostare l'opzione su Disabilitato, quindi selezionare OK.

   • Per i protocolli di autenticazione legacy:

     1. Selezionare la casella Disconnetti sessione remota al blocco per l'autenticazione legacy, quindi chiudere la selezione impostazioni.

     2. Espandere la categoria Modelli amministrativi, quindi impostare l'opzione per Disconnetti sessione remota al blocco per l'autenticazione legacy su Abilitato o Disabilitato:

        • Per disconnettere la sessione remota quando la sessione viene bloccata, impostare l'opzione su Abilitato, quindi selezionare OK.

        • Per visualizzare la schermata di blocco remota quando la sessione viene bloccata, impostare l'opzione su Disabilitato, quindi selezionare OK.

5. Selezionare Avanti.

6. Facoltativo: nella scheda Tag di ambito selezionare un tag di ambito per filtrare il profilo. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'IT distribuito.

7. Nella scheda Assegnazioni selezionare il gruppo contenente i computer che forniscono una sessione remota da configurare, quindi selezionare Avanti.

8. Nella scheda Rivedi + crea rivedere le impostazioni e selezionare Crea.

9. Dopo aver applicato i criteri agli host di sessione, riavviarli per rendere effettive le impostazioni.

10. Per testare la configurazione, connettersi a una sessione remota e quindi bloccare la sessione remota. Verificare che la sessione si disconnetta o che venga visualizzata la schermata di blocco remota, a seconda della configurazione.

Criteri di gruppo

Per configurare l'esperienza di blocco della sessione tramite Criteri di gruppo, seguire questa procedura.

1. Le impostazioni di Criteri di gruppo sono disponibili solo nei sistemi operativi elencati in Prerequisiti. Per renderle disponibili in altre versioni di Windows Server, è necessario copiare i file del modello amministrativo C:\Windows\PolicyDefinitions\terminalserver.admx e C:\Windows\PolicyDefinitions\en-US\terminalserver.adml da un host di sessione alla stessa posizione nei controller di dominio o nell'Archivio centrale di Criteri di gruppo, a seconda dell'ambiente. Nel percorso del file per terminalserver.adml sostituire en-US con il codice di lingua appropriato se si usa una lingua diversa.

2. Aprire la console Gestione Criteri di gruppo nel dispositivo usato per gestire il dominio di Active Directory.

3. Creare o modificare un criterio destinato ai computer che forniscono una sessione remota da configurare.

4. Passare a Configurazione computer>Criteri>Modelli amministrativi> Componenti di Windows>Servizi Desktop remoto>Host sessione Desktop remoto>Sicurezza.

   

5. Fare doppio clic su una delle impostazioni dei criteri seguenti, a seconda dei requisiti:

   • Per l'accesso Single Sign-On con Microsoft Entra ID:

     1. Fare doppio clic su Disconnetti sessione remota al blocco per l'autenticazione di Microsoft Identity Platform per aprirla.

        • Per disconnettere la sessione remota quando la sessione viene bloccata, selezionare Abilitato o Non configurato.

        • Per visualizzare la schermata di blocco remota quando la sessione viene bloccata, selezionare Disabilitato.

     2. Seleziona OK.

   • Per i protocolli di autenticazione legacy:

     1. Fare doppio clic su Disconnetti sessione remota al blocco per l'autenticazione legacy per aprirla.

        • Per disconnettere la sessione remota quando la sessione viene bloccata, selezionare Abilitato.

        • Per visualizzare la schermata di blocco remota quando la sessione viene bloccata, selezionare Disabilitato o Non configurato.

     2. Seleziona OK.

6. Assicurarsi che i criteri vengano applicati agli host di sessione, quindi riavviare per rendere effettive le impostazioni.

7. Per testare la configurazione, connettersi a una sessione remota e quindi bloccare la sessione remota. Verificare che la sessione si disconnetta o che venga visualizzata la schermata di blocco remota, a seconda della configurazione.

Contenuto correlato

• Informazioni su come Configurare l'accesso Single Sign-On per Desktop virtuale Azure con Microsoft Entra ID.