Selecionando uma estratégia de autenticação para a Área de Trabalho Virtual do Azure
Para usuários que se conectam a uma sessão remota, há três pontos de autenticação separados:
- Autenticação de serviço para a Área de Trabalho Virtual do Azure: recuperando uma lista de recursos aos quais o usuário tem acesso ao acessar o cliente. A experiência depende da configuração da conta Microsoft Entra. Por exemplo, se o usuário tiver a autenticação multifator habilitada, o usuário será solicitado para sua conta de usuário e uma segunda forma de autenticação, da mesma forma que acessar outros serviços.
- Host da sessão: ao iniciar uma sessão remota. Um nome de usuário e senha são necessários para um host de sessão, mas isso é perfeito para o usuário se o logon único (SSO) estiver habilitado.
- Autenticação na sessão: conectando-se a outros recursos dentro de uma sessão remota.
As seções a seguir explicam cada um desses pontos de autenticação em detalhes.
Autenticação de serviço
Para aceder aos recursos do Ambiente de Trabalho Virtual do Azure, tem primeiro de se autenticar no serviço iniciando sessão com uma conta do Microsoft Entra. A autenticação acontece sempre que você se inscreve em um espaço de trabalho para recuperar seus recursos e se conectar a aplicativos ou desktops. Você pode usar provedores de identidade de terceiros, desde que eles se federam com o Microsoft Entra ID.
Autenticação multifator
Siga as instruções em Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o Acesso Condicional para saber como impor a autenticação multifator do Microsoft Entra para sua implantação. Esse artigo também informará como configurar a frequência com que os usuários são solicitados a inserir suas credenciais. Ao implantar VMs ingressadas no Microsoft Entra, observe as etapas extras para VMs de host de sessão ingressadas no Microsoft Entra.
Autenticação sem palavra-passe
Você pode usar qualquer tipo de autenticação suportado pelo Microsoft Entra ID, como o Windows Hello for Business e outras opções de autenticação sem senha (por exemplo, chaves FIDO), para autenticar no serviço.
Autenticação de smart card
Para usar um cartão inteligente para autenticar na ID do Microsoft Entra, você deve primeiro configurar o AD FS para autenticação de certificado de usuário ou configurar a autenticação baseada em certificado do Microsoft Entra.
Autenticação do host da sessão
Se você ainda não habilitou o logon único ou salvou suas credenciais localmente, também precisará se autenticar no host da sessão ao iniciar uma conexão. A lista a seguir descreve quais tipos de autenticação cada cliente de Área de Trabalho Virtual do Azure oferece suporte atualmente. Alguns clientes podem exigir que uma versão específica seja usada, que você pode encontrar no link para cada tipo de autenticação.
| Cliente | Tipo(s) de autenticação suportado(s) |
|---|---|
| Cliente do Ambiente de Trabalho do Windows | Nome de utilizador e palavra-passe Smart card Confiança no certificado do Windows Hello for Business Confiança de chave do Windows Hello for Business com certificados Autenticação do Microsoft Entra |
| Aplicativo da Loja de Área de Trabalho Virtual do Azure | Nome de utilizador e palavra-passe Smart card Confiança no certificado do Windows Hello for Business Confiança de chave do Windows Hello for Business com certificados Autenticação do Microsoft Entra |
| Aplicação Ambiente de Trabalho Remoto | Nome de utilizador e palavra-passe |
| Cliente Web | Nome de utilizador e palavra-passe Autenticação do Microsoft Entra |
| Cliente Android | Nome de utilizador e palavra-passe Autenticação do Microsoft Entra |
| Cliente iOS | Nome de utilizador e palavra-passe Autenticação do Microsoft Entra |
| Cliente macOS | Nome de utilizador e palavra-passe Cartão inteligente: suporte para entrada baseada em cartão inteligente usando o redirecionamento de cartão inteligente no prompt Winlogon quando o NLA não é negociado. Autenticação do Microsoft Entra |
Importante
Para que a autenticação funcione corretamente, sua máquina local também deve ser capaz de acessar as URLs necessárias para clientes de Área de Trabalho Remota.
Início de sessão único (SSO)
O SSO permite que a conexão ignore o prompt de credenciais do host da sessão e entre automaticamente o usuário no Windows. Para hosts de sessão que ingressaram no Microsoft Entra ou no Microsoft Entra híbrido, é recomendável habilitar o SSO usando a autenticação do Microsoft Entra. A autenticação do Microsoft Entra fornece outros benefícios, incluindo autenticação sem senha e suporte para provedores de identidade de terceiros.
A Área de Trabalho Virtual do Azure também dá suporte ao SSO usando os Serviços de Federação do Ative Directory (AD FS) para a Área de Trabalho do Windows e clientes Web.
Sem SSO, o cliente solicitará aos usuários suas credenciais de host de sessão para cada conexão. A única maneira de evitar ser solicitado é salvar as credenciais no cliente. Recomendamos que guarde apenas as credenciais em dispositivos seguros para impedir que outros utilizadores acedam aos seus recursos.
Cartão inteligente e Windows Hello para Empresas
A Área de Trabalho Virtual do Azure dá suporte ao NT LAN Manager (NTLM) e ao Kerberos para autenticação de host de sessão, no entanto, o cartão inteligente e o Windows Hello for Business só podem usar Kerberos para entrar. Para usar Kerberos, o cliente precisa obter tíquetes de segurança Kerberos de um serviço KDC (Centro de Distribuição de Chaves) em execução em um controlador de domínio. Para obter tíquetes, o cliente precisa de uma linha de visão de rede direta para o controlador de domínio. Você pode obter uma linha de visão conectando-se diretamente à sua rede corporativa, usando uma conexão VPN ou configurando um servidor KDC Proxy.
Autenticação na sessão
Depois de se conectar ao seu RemoteApp ou área de trabalho, você poderá ser solicitado a autenticação dentro da sessão. Esta seção explica como usar credenciais diferentes de nome de usuário e senha nesse cenário.
Autenticação sem senha na sessão
A Área de Trabalho Virtual do Azure dá suporte à autenticação sem senha na sessão usando o Windows Hello for Business ou dispositivos de segurança, como chaves FIDO, ao usar o cliente da Área de Trabalho do Windows. A autenticação sem senha é ativada automaticamente quando o host da sessão e o PC local estão usando os seguintes sistemas operacionais:
- Windows 11 de sessão única ou múltipla com as Atualizações Cumulativas 2022-10 para Windows 11 (KB5018418) ou posterior instaladas.
- Windows 10 de sessão única ou múltipla, versões 20H2 ou posteriores com as Atualizações Cumulativas 2022-10 para Windows 10 (KB5018410) ou posterior instaladas.
- Windows Server 2022 com a Atualização Cumulativa 2022-10 para o sistema operacional de servidor Microsoft (KB5018421) ou posterior instalada.
Para desabilitar a autenticação sem senha em seu pool de hosts, você deve personalizar uma propriedade RDP. Você pode encontrar a propriedade de redirecionamento WebAuthn na guia Redirecionamento de dispositivo no portal do Azure ou definir a propriedade redirectwebauthn como 0 usando o PowerShell.
Quando habilitado, todas as solicitações WebAuthn na sessão são redirecionadas para o PC local. Você pode usar o Windows Hello for Business ou dispositivos de segurança conectados localmente para concluir o processo de autenticação.
Para acessar os recursos do Microsoft Entra com o Windows Hello for Business ou dispositivos de segurança, você deve habilitar a Chave de Segurança FIDO2 como um método de autenticação para seus usuários. Para habilitar esse método, siga as etapas em Habilitar método de chave de segurança FIDO2.
Autenticação de cartão inteligente na sessão
Para utilizar um cartão inteligente na sua sessão, certifique-se de que instalou os controladores do cartão inteligente no anfitrião da sessão e ativou o redirecionamento do cartão inteligente. Reveja o gráfico de comparação do cliente para se certificar de que o seu cliente suporta o redirecionamento de cartão inteligente.