Selezionare una strategia di autenticazione per Desktop virtuale Azure
Per gli utenti che si connettono a una sessione remota, sono disponibili tre punti di autenticazione distinti:
- Autenticazione del servizio a Desktop virtuale Azure: recupero di un elenco di risorse accessibili all'utente quando accede al client. L'esperienza dipende dalla configurazione dell'account di Microsoft Entra. Ad esempio, se l'utente ha abilitato l'autenticazione a più fattori, gli viene richiesto di specificare il proprio account utente e una seconda forma di autenticazione, come per l'accesso ad altri servizi.
- Host di sessione: disponibile quando si avvia una sessione remota. Per un host di sessione sono necessari un nome utente e una password, che tuttavia non vengono richiesti se è abilitato l'accesso Single Sign-On (SSO).
- Autenticazione in sessione: connessione ad altre risorse all'interno di una sessione remota.
Le sezioni seguenti illustrano in dettaglio ognuno di questi punti di autenticazione.
Autenticazione servizio
Per accedere alle risorse di Desktop virtuale Azure, è prima necessario eseguire l'autenticazione al servizio eseguendo l'accesso con un account di Microsoft Entra. L'autenticazione è necessaria ogni volta che si sottoscrive un'area di lavoro per recuperare le risorse e connettersi alle app o ai desktop. È possibile usare provider di identità di terze parti purché siano associati esterni di Microsoft Entra ID.
Autenticazione a più fattori
Seguire le istruzioni in Applicare l'autenticazione a più fattori di Microsoft Entra per Desktop virtuale Azure usando l'accesso condizionale per informazioni su come applicare l'autenticazione a più fattori di Microsoft Entra per la distribuzione. Questo articolo illustra anche come configurare la frequenza con cui agli utenti viene richiesto di immettere le credenziali. Quando si implementano macchine virtuali aggiunte a Microsoft Entra, prendere nota dei passaggi aggiuntivi per le macchine virtuali host di sessione aggiunte a Microsoft Entra.
Autenticazione senza password
È possibile usare qualsiasi tipo di autenticazione supportato da Microsoft Entra ID, ad esempio Windows Hello for Business e altre opzioni di autenticazione senza password (ad esempio, chiavi FIDO), per eseguire l'autenticazione al servizio.
Autenticazione con smart card
Per usare una smart card per eseguire l'autenticazione in Microsoft Entra ID, è prima necessario configurare AD FS per l'autenticazione del certificato utente o configurare l'autenticazione basata su certificato di Microsoft Entra.
Autenticazione dell’host di sessione
Se non è già stato abilitato Single Sign-On o le credenziali non sono state salvate in locale, sarà necessario eseguire l'autenticazione anche all'host della sessione quando si avvia una connessione. L'elenco seguente descrive i tipi di autenticazione attualmente supportati da ogni client di Desktop virtuale Azure. Alcuni client potrebbero richiedere l'uso di una versione specifica, disponibile nel collegamento relativo a ogni tipo di autenticazione.
| Client | Tipi di autenticazione supportati |
|---|---|
| Client desktop di Windows | Nome utente e password Smart card Windows Hello for Business con modello di attendibilità del certificato Attendibilità della chiave di Windows Hello for Business con i certificati Autenticazione Microsoft Entra |
| App dello store Desktop virtuale Azure | Nome utente e password Smart card Windows Hello for Business con modello di attendibilità del certificato Attendibilità della chiave di Windows Hello for Business con i certificati Autenticazione Microsoft Entra |
| App Desktop remoto | Nome utente e password |
| Client Web | Nome utente e password Autenticazione Microsoft Entra |
| Client Android | Nome utente e password Autenticazione Microsoft Entra |
| Client iOS | Nome utente e password Autenticazione Microsoft Entra |
| Client macOS | Nome utente e password Smart card: supporto per l'accesso basato su smart card tramite reindirizzamento di smart card al prompt di Winlogon quando l'autenticazione a livello di rete (NLA) non viene negoziata. Autenticazione Microsoft Entra |
Importante
Affinché l'autenticazione funzioni correttamente, il computer locale deve anche essere in grado di accedere agli URL necessari per i client Desktop remoto.
Single sign-on (SSO)
SSO consente alla connessione di ignorare il prompt delle credenziali dell'host di sessione e di accedere automaticamente all'utente in Windows. Per gli host di sessione aggiunti a Microsoft Entra o aggiunti in modo ibrido a Microsoft Entra, è consigliabile abilitare l'accesso SSO tramite l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra offre altri vantaggi, tra cui l'autenticazione senza password e il supporto per i provider di identità di terze parti.
Desktop virtuale Azure supporta anche l'accesso SSO usando Active Directory Federation Services (AD FS) per i client Desktop e Web di Windows.
Senza SSO, il client richiederà agli utenti le credenziali dell'host di sessione per ogni connessione. L'unico modo per evitare tale richiesta è salvare le credenziali nel client. È consigliabile salvare le credenziali solo su dispositivi sicuri per impedire ad altri utenti di accedere alle risorse.
Smart card e Windows Hello for Business
Desktop virtuale Azure supporta sia l’autenticazione integrata di Windows (NTLM) che autenticazione Kerberos per l'autenticazione host sessione, ma Smart card e Windows Hello for Business possono usare solo Kerberos per accedere. Per usare Kerberos, il client deve ottenere ticket di sicurezza Kerberos da un servizio di Centro distribuzione chiavi (KDC) in esecuzione in un controller di dominio. Per ottenere i ticket, il client necessita di una linea di rete diretta per il controller di dominio. È possibile ottenere una linea di vista connettendosi direttamente all'interno della rete aziendale, usando una connessione VPN o configurando un server proxy KDC.
Autenticazione in sessione
Dopo aver eseguito la connessione a RemoteApp o desktop, potrebbe essere richiesta l'autenticazione all'interno della sessione. Questa sezione illustra come usare credenziali diverse da nome utente e password in questo scenario.
Autenticazione senza password nella sessione
Desktop virtuale Azure supporta l'autenticazione senza password nella sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO quando si usa il client Desktop Windows. L'autenticazione senza password viene abilitata automaticamente quando l'host della sessione e il PC locale usano i sistemi operativi seguenti:
- Windows 11 singolo o multisessione con gli aggiornamenti cumulativi 2022-10 per Windows 11 (KB5018418) o versioni successive installate.
- Windows 10 versione singola o multisessione, versioni 20H2 o successive con gli aggiornamenti cumulativi 2022-10 per Windows 10 (KB5018410) o versioni successive installate.
- Windows Server 2022 con l'aggiornamento cumulativo 2022-10 per il sistema operativo server Microsoft (KB5018421) o versioni successive installate.
Per disabilitare l'autenticazione senza password nel pool di host, è necessario personalizzare una proprietà RDP. È possibile trovare la proprietà di reindirizzamento WebAuthn nella scheda Reindirizzamento del dispositivo nel portale di Azure o impostare la proprietà redirectwebauthn su 0 usando PowerShell.
Se abilitata, tutte le richieste WebAuthn nella sessione vengono reindirizzate al PC locale. È possibile usare Windows Hello for Business o i dispositivi di sicurezza collegati localmente per completare il processo di autenticazione.
Per accedere alle risorse di Microsoft Entra con Windows Hello for Business o dispositivi di sicurezza, è necessario abilitare la chiave di sicurezza FIDO2 come metodo di autenticazione per gli utenti. Per abilitare questo metodo, seguire la procedura descritta in Abilitare il metodo della chiave di sicurezza FIDO2.
Autenticazione smart card nella sessione
Per usare una smart card nella sessione, assicurarsi di aver installato i driver di smart card nell'host sessione e di aver abilitato il reindirizzamento delle smart card. Esaminare il grafico di confronto client per assicurarsi che il client supporti il reindirizzamento delle smart card.