Hosts de sessão ingressados no Microsoft Entra na Área de Trabalho Virtual do Azure
Este artigo vai orientar você pelo processo de implantação e acesso às máquinas virtuais conectadas ao Microsoft Entra na Área de Trabalho Virtual do Azure. As VMs conectadas ao Microsoft Entra acabam com a necessidade de ter uma linha de visão da VM a um DC (controlador de domínio) do Active Directory, local ou virtualizado, ou de implantar o Microsoft Entra Domain Services. Em alguns casos, isso pode remover totalmente a necessidade de um DC, simplificando a implantação e o gerenciamento do ambiente. Essas VMs também podem ser inscritas automaticamente no Intune para facilitar o gerenciamento.
Limitações conhecidas
As limitações conhecidas a seguir podem afetar o acesso aos seus recursos locais ou aos recursos conectados ao domínio do Active Directory, e você deve considerá-las ao decidir se as VMs conectadas ao Microsoft Entra são adequadas para o seu ambiente.
- Atualmente, as VMs ingressadas ao Microsoft Entra não dão suporte a identidades externas, como Microsoft Entra B2B (de empresas para empresas) e Microsoft Entra B2C (de empresas para clientes).
- As VMs ingressadas no Microsoft Entra só podem acessar os compartilhamentos de Arquivos do Azure para usuários híbridos usando o Microsoft Entra Kerberos para perfis de usuário do FSLogix.
- O aplicativo de Store da Área de Trabalho Remota não dá suporte a VMs conectadas ao Microsoft Entra.
Implantar VMs conectadas ao Microsoft Entra
Você pode implantar VMs conectadas ao Microsoft Entra no portal do Azure, ao criar um pool de host ou expandir um pool de host existente. Para implantar uma VM conectada ao Microsoft Entra, abra a guia Máquinas Virtuais e selecione se deseja conectar a VM ao Active Directory ou ao Microsoft Entra ID. Selecionar o Microsoft Entra ID oferece a você a opção de inscrever VMs no Intune automaticamente, o que permite que você gerencie os hosts da sessão com facilidade. Tenha em mente que a opção do Microsoft Entra ID ingressará apenas VMs ao mesmo locatário do Microsoft Entra da assinatura em que você está.
Observação
- Os pools de hosts só devem conter VMs do mesmo tipo de ingresso de domínio. Por exemplo, as VMs ingressadas ao Microsoft Entra devem ficar apenas com outras VMs ingressadas do Microsoft Entra e vice-versa.
- As VMs no pool de hosts devem ser Windows 11 ou Windows 10 de sessão única ou de várias sessões, versão 2004 ou posterior ou Windows Server 2022 ou Windows Server 2019.
Atribuir acesso de usuário a pools de host
Depois de criar seu pool de host, você deve atribuir acesso de usuários a esses recursos. Para conceder acesso a recursos, adicione cada usuário ao grupo de aplicativos. Siga as instruções em Gerenciar grupos de aplicativos para atribuir acesso de usuário aos aplicativos e áreas de trabalho. É recomendável que você use grupos de usuários em vez de usuários individuais sempre que possível.
Para VMs conectadas ao Microsoft Entra, você precisará fazer duas coisas além dos requisitos para o Active Directory ou implantações baseadas no Microsoft Entra Domain Services:
- Atribua seus usuários a função de Logon de Usuário da Máquina Virtual para que eles possam entrar nas VMs.
- Atribua aos administradores que precisam de privilégios administrativos locais a função de Logon de Administrador da Máquina Virtual.
Para conceder aos usuários acesso às VMs conectadas ao Microsoft Entra, você deve configurar atribuições de função para a VM. Você pode atribuir a função de logon de usuário da máquina virtual ou de logon de administrador da máquina virtual nas VMs, no grupo de recursos que contém as VMs ou na assinatura. Recomendamos atribuir a função de Logon de Usuário da Máquina Virtual ao mesmo grupo de usuários que você usou para o grupo de aplicativos no nível de grupo de recursos para que ele se aplique a todas as VMs no pool de host.
Acessar VMs conectadas ao Microsoft Entra
Esta seção explica como acessar VMs conectadas ao Microsoft Entra de diferentes clientes da Área de Trabalho Virtual do Azure.
Logon único
Para obter a melhor experiência em todas as plataformas, você deve habilitar uma experiência de logon único usando a autenticação do Microsoft Entra ao acessar VMs ingressadas no Microsoft Entra. Siga as etapas para configurar o logon único a fim de fornecer uma experiência de conexão perfeita.
Conectar usando protocolos de autenticação herdados
Se preferir não habilitar o logon único, você poderá usar a configuração a seguir para habilitar o acesso às VMs ingressadas do Microsoft Entra.
Conectar usando o cliente do Windows Desktop
A configuração padrão dá suporte a conexões de Windows 11 ou 10 usando o cliente de área de trabalho Windows. Você pode usar suas credencial, cartão inteligente, certificado confiável Windows Hello para Empresas ou a confiança de chave Windows Hello para Empresas com certificados para fazer logon no host da sessão. No entanto, para acessar o host de sessão, seu computador local deve atender a uma das seguintes condições:
- O PC local é o Microsoft Entra ingressado no mesmo locatário do Microsoft Entra que o host da sessão
- O PC local é a identidade híbrida do Microsoft Entra ingressado no mesmo locatário do Microsoft Entra que o host da sessão
- O computador local está executando o Windows 11 ou Windows 10, versão 2004 ou posterior, e o Microsoft Entra está registrado no mesmo locatário do Microsoft Entra que o host da sessão
Se seu PC local não atender a uma destas condições, adicione targetisaadjoined:i:1 como uma propriedade RDP personalizada ao pool de host. Essas conexões são restritas à inserção de credenciais de nome de usuário e senha ao entrar no host de sessão.
Conectar usando os outros clientes
Para acessar as VMs conectadas ao Microsoft Entra usando clientes Web, Android, macOS ou iOS, você deve adicionar targetisMicrosoft Entra IDjoined:i:1 como uma propriedade de RDP personalizada ao pool de host. Essas conexões são restritas à inserção de credenciais de nome de usuário e senha ao entrar no host de sessão.
Impor a autenticação multifator do Microsoft Entra para VMs de sessão conectadas ao Microsoft Entra
Você pode usar a autenticação multifator do Microsoft Entra com VMs conectadas ao Microsoft Entra. Siga as etapas para Impor autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o Acesso Condicional e observe as etapas adicionais para VMs de host da sessão conectadas ao Microsoft Entra.
Se você estiver usando a autenticação multifator do Microsoft Entra e não quiser restringir a entrada de métodos de autenticação fortes como Windows Hello para Empresas, você precisará excluir o aplicativo de entrada de VM do Azure do Windows da sua Política de acesso condicional.
Perfis do usuário
Você pode usar contêineres de perfil FSLogix com VMs ingressadas no Microsoft Entra quando armazená-los no Arquivos do Azure enquanto usa contas de usuário híbridas. Para obter mais informações, confira Criar um contêiner de perfil com os Arquivos do Azure e o Microsoft Entra ID.
Acessando recursos locais
Embora você não precise de um Active Directory para implantar ou acessar suas VMs conectadas ao Microsoft Entra, um Active Directory e uma linha de visão para elas são necessárias para acessar recursos locais dessas VMs. Para saber mais sobre como acessar recursos locais, confira Como funciona o SSO para recursos locais em dispositivos conectados ao Microsoft Entra.
Próximas etapas
Agora que você implantou algumas VMs conectadas ao Microsoft Entra, habilite o logon único antes de se conectar a um cliente da Área de Trabalho Virtual do Azure com suporte para testá-lo em uma sessão de usuário. Para saber mais, confira estes artigos: