Configurar o comportamento de bloqueio de sessão para a Área de Trabalho Virtual do Azure

Você pode escolher se a sessão será desconectada ou se a tela de bloqueio remoto será mostrada quando uma sessão remota for bloqueada, pelo usuário ou pela política. Quando o comportamento de bloqueio de sessão é definido como desconexão, uma caixa de diálogo é mostrada para informar aos usuários que eles foram desconectados. Os usuários podem escolher a opção Reconectar na caixa de diálogo quando estiverem prontos para se conectar novamente.

Quando usado com logon único usando o Microsoft Entra ID, desconectar a sessão oferece os seguintes benefícios:

• Uma experiência de início de sessão consistente através do Microsoft Entra ID quando necessário.

• Uma experiência de logon único e reconexão sem prompt de autenticação, quando permitido pelas políticas de acesso condicional.

• Suporte para autenticação sem senha, como chaves de acesso e dispositivos FIDO2, ao contrário da tela de bloqueio remoto. Desconectar a sessão é necessário para garantir o suporte total da autenticação sem senha.

• As políticas de acesso condicional, incluindo autenticação multifator e frequência de entrada, são reavaliadas quando o usuário se reconecta à sessão.

• Você pode exigir autenticação multifator para retornar à sessão e impedir que os usuários desbloqueiem com um nome de usuário e senha simples.

Para cenários que dependem de autenticação herdada, incluindo protocolos de autenticação básica NTLM, CredSSP, RDSTLS, TLS e RDP, os usuários são solicitados a reinserir suas credenciais quando se reconectam ou iniciam uma nova conexão.

O comportamento de bloqueio de sessão padrão é diferente dependendo se você está usando logon único com ID do Microsoft Entra ou autenticação herdada. A tabela a seguir mostra a configuração padrão para cada cenário:

Cenário	Configuração predefinida
Logon único usando o Microsoft Entra ID	Desligar a sessão
Protocolos de autenticação herdados	Mostrar o ecrã de bloqueio remoto

Este artigo mostra como alterar o comportamento de bloqueio de sessão a partir de sua configuração padrão usando o Microsoft Intune ou a Política de Grupo.

Pré-requisitos

Selecione a guia relevante para seu método de configuração.

Intune

Antes de configurar o comportamento de bloqueio de sessão, você precisa atender aos seguintes pré-requisitos:

• Um pool de hosts existente com hosts de sessão.

• Os hosts de sessão devem estar executando um dos seguintes sistemas operacionais com a atualização cumulativa relevante instalada:

  • Windows 11 de sessão única ou múltipla com as Atualizações Cumulativas 2024-05 para Windows 11 (KB5037770) ou posterior instaladas.
  • Windows 10 de sessão única ou múltipla, versões 21H2 ou posteriores com as Atualizações Cumulativas 2024-06 para Windows 10 (KB5039211) ou posterior instaladas.
  • Windows Server 2022 com a Atualização Cumulativa 2024-05 para o sistema operacional de servidor Microsoft (KB5037782) ou posterior instalada.

• Para configurar o Intune, você precisa:

  • Uma conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.
  • Um grupo que contém os dispositivos que você deseja configurar.

Política de Grupo

Antes de configurar o comportamento de bloqueio de sessão, você precisa atender aos seguintes pré-requisitos:

• Um pool de hosts existente com hosts de sessão.

• Os hosts de sessão devem estar executando um dos seguintes sistemas operacionais com a atualização cumulativa relevante instalada:

  • Windows 11 de sessão única ou múltipla com as Atualizações Cumulativas 2024-05 para Windows 11 (KB5037770) ou posterior instaladas.
  • Windows 10 de sessão única ou múltipla, versões 21H2 ou posteriores com as Atualizações Cumulativas 2024-06 para Windows 10 (KB5039211) ou posterior instaladas.
  • Windows Server 2022 com a Atualização Cumulativa 2024-05 para o sistema operacional de servidor Microsoft (KB5037782) ou posterior instalada.

• Para configurar a Diretiva de Grupo, você precisa:

  • Uma conta de domínio que tem permissão para criar ou editar objetos de Diretiva de Grupo.
  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que você deseja configurar.

Configurar o comportamento de bloqueio de sessão

Selecione a guia relevante para seu método de configuração.

Intune

Para configurar a experiência de bloqueio de sessão usando o Intune:

1. Entre no centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.

3. No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Segurança do Host da>Sessão da Área de Trabalho Remota.

   

4. Marque a caixa para uma das seguintes configurações, dependendo de suas necessidades:

   • Para logon único usando o Microsoft Entra ID:

     1. Marque a caixa Desconectar sessão remota no bloqueio para autenticação da plataforma de identidade da Microsoft e feche o seletor de configurações.

     2. Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Desconectar sessão remota no bloqueio para autenticação da plataforma de identidade da Microsoft para Habilitado ou Desabilitado:

        • Para desconectar a sessão remota quando a sessão for bloqueada, alterne a opção para Habilitado e selecione OK.

        • Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, alterne a opção para Desativado e selecione OK.

   • Para protocolos de autenticação herdados:

     1. Marque a caixa Desconectar sessão remota no bloqueio para autenticação herdada e feche o seletor de configurações.

     2. Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Desconectar sessão remota no bloqueio para autenticação herdada para Habilitado ou Desabilitado:

        • Para desconectar a sessão remota quando a sessão for bloqueada, alterne a opção para Habilitado e selecione OK.

        • Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, alterne a opção para Desativado e selecione OK.

5. Selecione Seguinte.

6. Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.

7. No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

8. No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.

9. Quando a política se aplicar aos hosts de sessão, reinicie-os para que as configurações entrem em vigor.

10. Para testar a configuração, conecte-se a uma sessão remota e bloqueie a sessão remota. Verifique se a sessão se desconecta ou se a tela de bloqueio remoto é mostrada, dependendo da sua configuração.

Política de Grupo

Para configurar a experiência de bloqueio de sessão usando a Diretiva de Grupo, siga estas etapas.

1. As configurações de Diretiva de Grupo só estão disponíveis nos sistemas operacionais listados em Pré-requisitos. Para disponibilizá-los em outras versões do Windows Server, você precisa copiar os arquivos C:\Windows\PolicyDefinitions\terminalserver.admx de modelo administrativo e C:\Windows\PolicyDefinitions\en-US\terminalserver.adml de um host de sessão para o mesmo local em seus controladores de domínio ou no Repositório Central de Diretiva de Grupo, dependendo do seu ambiente. No caminho do arquivo para terminalserver.adml substituir en-US pelo código de idioma apropriado se você estiver usando um idioma diferente.

2. Abra o console de Gerenciamento de Diretiva de Grupo no dispositivo que você usa para gerenciar o domínio do Ative Directory.

3. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

4. Navegue até Diretivas>de Configuração>do Computador, Modelos Administrativos, Componentes>do Windows,>Serviços>de Área de Trabalho Remota, Segurança do Host>da Sessão da Área de Trabalho Remota.

   

5. Clique duas vezes em uma das seguintes configurações de política, dependendo de suas necessidades:

   • Para logon único usando o Microsoft Entra ID:

     1. Clique duas vezes em Desconectar sessão remota no bloqueio para autenticação da plataforma de identidade da Microsoft para abri-la.

        • Para desconectar a sessão remota quando a sessão for bloqueada, selecione Habilitado ou Não configurado.

        • Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, selecione Desativado.

     2. Selecione OK.

   • Para protocolos de autenticação herdados:

     1. Clique duas vezes em Desconectar sessão remota no bloqueio para autenticação herdada para abri-la.

        • Para desconectar a sessão remota quando a sessão for bloqueada, selecione Habilitado.

        • Para mostrar a tela de bloqueio remoto quando a sessão for bloqueada, selecione Desabilitado ou Não configurado.

     2. Selecione OK.

6. Verifique se a política está aplicada aos hosts de sessão e reinicie-os para que as configurações entrem em vigor.

7. Para testar a configuração, conecte-se a uma sessão remota e bloqueie a sessão remota. Verifique se a sessão se desconecta ou se a tela de bloqueio remoto é mostrada, dependendo da sua configuração.

Conteúdos relacionados

• Saiba como Configurar o logon único para a Área de Trabalho Virtual do Azure usando a ID do Microsoft Entra.