Configurar o comportamento de bloqueio de sessão para o Área de Trabalho Virtual do Azure
Você pode escolher se a sessão será desconectada ou se a tela de bloqueio remoto será exibida quando uma sessão remota for bloqueada, seja pelo usuário ou por política. Quando o comportamento de bloqueio de sessão é definido como desconectar, uma caixa de diálogo é exibida para informar aos usuários que eles foram desconectados. Os usuários podem escolher a opção Reconectar na caixa de diálogo quando estiverem prontos para se conectar novamente.
Quando usado com logon único usando o Microsoft Entra ID, desconectar a sessão oferece os seguintes benefícios:
Uma experiência de login consistente por meio do Microsoft Entra ID quando necessário.
Uma experiência de logon único e reconexão sem prompt de autenticação, quando permitido pelas políticas de acesso condicional.
Suporte para autenticação sem senha, como chaves de acesso e dispositivos FIDO2, ao contrário da tela de bloqueio remota. Desconectar a sessão é necessário para garantir suporte total à autenticação sem senha.
Políticas de acesso condicional, incluindo autenticação multifator e frequência de login, são reavaliadas quando o usuário se reconecta à sessão.
Você pode exigir autenticação multifator para retornar à sessão e impedir que os usuários desbloqueiem com um simples nome de usuário e senha.
Para cenários que dependem da autenticação herdada, incluindo protocolos de autenticação básica NTLM, CredSSP, RDSTLS, TLS e RDP, os usuários são solicitados a inserir novamente suas credenciais ao se reconectar ou iniciar uma nova conexão.
O comportamento padrão de bloqueio de sessão é diferente dependendo se você está usando o logon único com o Microsoft Entra ID ou a autenticação legada. A tabela a seguir mostra a configuração padrão para cada cenário:
Cenário | Configuração padrão |
---|---|
Logon único usando o Microsoft Entra ID | Desconectar a sessão |
Protocolos de autenticação herdados | Mostrar a tela de bloqueio remoto |
Esse artigo mostra como alterar o comportamento do bloqueio de sessão da configuração padrão usando o Microsoft Intune ou a Política de Grupo.
Pré-requisitos
Selecione a aba relevante para seu método de configuração.
Antes de poder configurar o comportamento de bloqueio de sessão, você precisa atender aos seguintes pré-requisitos:
Um pool de hosts existente com os hosts da sessão.
Os hosts de sessão devem estar executando um dos seguintes sistemas operacionais com a atualização cumulativa relevante instalada:
- Windows 11 de sessão única ou múltipla com as atualizações cumulativas de 2024-05 para Windows 11 (KB5037770) ou posteriores instaladas.
- Windows 10 de sessão única ou múltipla, versões 21H2 ou posteriores com as atualizações cumulativas de 2024-06 para Windows 10 (KB5039211) ou posteriores instaladas.
- Windows Server 2022 com a atualização cumulativa 2024-05 para o sistema operacional de servidor Microsoft (KB5037782) ou posterior instalada.
Para configurar o Intune, você precisa:
- Uma conta Microsoft Entra ID que recebe a função RBAC integrada Gerenciador de políticas e perfis.
- Um grupo que contém os dispositivos que você deseja configurar.
Configurar o comportamento de bloqueio de sessão
Selecione a aba relevante para seu método de configuração.
Para configurar a experiência de bloqueio de sessão usando o Intune:
Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.
No seletor de configurações, navegue até Modelos administrativos>Componentes do Windows>Serviços de Área de Trabalho Remota>Host de Sessão de Área de Trabalho Remota>Segurança.
Marque a caixa para uma das seguintes configurações, dependendo de suas necessidades:
Para logon único usando o Microsoft Entra ID:
Marque a caixa Desconectar sessão remota no bloqueio para autenticação da plataforma de identidade da Microsoft e feche o seletor de configurações.
Expanda a categoria Modelos administrativos e alterne a opção Desconectar sessão remota no bloqueio para autenticação da plataforma de identidade da Microsoft para Habilitado ou Desabilitado:
Para desconectar a sessão remota quando a sessão for bloqueada, alterne a chave para Habilitado e selecione OK.
Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, alterne a chave para Desabilitado e selecione OK.
Para protocolos de autenticação legados:
Marque a caixa Desconectar sessão remota ao bloquear para autenticação legada e feche o seletor de configurações.
Expanda a categoria Modelos administrativos e alterne a opção Desconectar sessão remota no bloqueio para autenticação herdada para Habilitado ou Desabilitado:
Para desconectar a sessão remota quando a sessão for bloqueada, alterne a chave para Habilitado e selecione OK.
Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, alterne a chave para Desabilitado e selecione OK.
Selecione Avançar.
Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.
Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.
Na guia Revisar + criar, revise as configurações e selecione Criar.
Depois que a política for aplicada aos hosts da sessão, reinicie-os para que as configurações entrem em vigor.
Para testar a configuração, conecte-se a uma sessão remota e bloqueie-a. Verifique se a sessão é desconectada ou se a tela de bloqueio remoto é exibida, dependendo da sua configuração.