Compartilhar via


Configurar o comportamento de bloqueio de sessão para o Área de Trabalho Virtual do Azure

Você pode escolher se a sessão será desconectada ou se a tela de bloqueio remoto será exibida quando uma sessão remota for bloqueada, seja pelo usuário ou por política. Quando o comportamento de bloqueio de sessão é definido como desconectar, uma caixa de diálogo é exibida para informar aos usuários que eles foram desconectados. Os usuários podem escolher a opção Reconectar na caixa de diálogo quando estiverem prontos para se conectar novamente.

Quando usado com logon único usando o Microsoft Entra ID, desconectar a sessão oferece os seguintes benefícios:

  • Uma experiência de login consistente por meio do Microsoft Entra ID quando necessário.

  • Uma experiência de logon único e reconexão sem prompt de autenticação, quando permitido pelas políticas de acesso condicional.

  • Suporte para autenticação sem senha, como chaves de acesso e dispositivos FIDO2, ao contrário da tela de bloqueio remota. Desconectar a sessão é necessário para garantir suporte total à autenticação sem senha.

  • Políticas de acesso condicional, incluindo autenticação multifator e frequência de login, são reavaliadas quando o usuário se reconecta à sessão.

  • Você pode exigir autenticação multifator para retornar à sessão e impedir que os usuários desbloqueiem com um simples nome de usuário e senha.

Para cenários que dependem da autenticação herdada, incluindo protocolos de autenticação básica NTLM, CredSSP, RDSTLS, TLS e RDP, os usuários são solicitados a inserir novamente suas credenciais ao se reconectar ou iniciar uma nova conexão.

O comportamento padrão de bloqueio de sessão é diferente dependendo se você está usando o logon único com o Microsoft Entra ID ou a autenticação legada. A tabela a seguir mostra a configuração padrão para cada cenário:

Cenário Configuração padrão
Logon único usando o Microsoft Entra ID Desconectar a sessão
Protocolos de autenticação herdados Mostrar a tela de bloqueio remoto

Esse artigo mostra como alterar o comportamento do bloqueio de sessão da configuração padrão usando o Microsoft Intune ou a Política de Grupo.

Pré-requisitos

Selecione a aba relevante para seu método de configuração.

Antes de poder configurar o comportamento de bloqueio de sessão, você precisa atender aos seguintes pré-requisitos:

Configurar o comportamento de bloqueio de sessão

Selecione a aba relevante para seu método de configuração.

Para configurar a experiência de bloqueio de sessão usando o Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.

  3. No seletor de configurações, navegue até Modelos administrativos>Componentes do Windows>Serviços de Área de Trabalho Remota>Host de Sessão de Área de Trabalho Remota>Segurança.

    Uma captura de tela mostrando as opções de segurança do Host de Sessão da Área de Trabalho Remota no portal do Microsoft Intune.

  4. Marque a caixa para uma das seguintes configurações, dependendo de suas necessidades:

    • Para logon único usando o Microsoft Entra ID:

      1. Marque a caixa Desconectar sessão remota no bloqueio para autenticação da plataforma de identidade da Microsoft e feche o seletor de configurações.

      2. Expanda a categoria Modelos administrativos e alterne a opção Desconectar sessão remota no bloqueio para autenticação da plataforma de identidade da Microsoft para Habilitado ou Desabilitado:

        • Para desconectar a sessão remota quando a sessão for bloqueada, alterne a chave para Habilitado e selecione OK.

        • Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, alterne a chave para Desabilitado e selecione OK.

    • Para protocolos de autenticação legados:

      1. Marque a caixa Desconectar sessão remota ao bloquear para autenticação legada e feche o seletor de configurações.

      2. Expanda a categoria Modelos administrativos e alterne a opção Desconectar sessão remota no bloqueio para autenticação herdada para Habilitado ou Desabilitado:

        • Para desconectar a sessão remota quando a sessão for bloqueada, alterne a chave para Habilitado e selecione OK.

        • Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, alterne a chave para Desabilitado e selecione OK.

  5. Selecione Avançar.

  6. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  7. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

  8. Na guia Revisar + criar, revise as configurações e selecione Criar.

  9. Depois que a política for aplicada aos hosts da sessão, reinicie-os para que as configurações entrem em vigor.

  10. Para testar a configuração, conecte-se a uma sessão remota e bloqueie-a. Verifique se a sessão é desconectada ou se a tela de bloqueio remoto é exibida, dependendo da sua configuração.