Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Neste artigo, vamos dar-lhe uma breve descrição geral dos tipos de identidades e métodos de autenticação que pode utilizar no Área de Trabalho Virtual do Azure.
Identidades
Área de Trabalho Virtual do Azure suporta diferentes tipos de identidades consoante a configuração que escolher. Esta secção explica quais as identidades que pode utilizar para cada configuração.
Importante
Área de Trabalho Virtual do Azure não suporta o início de sessão no Microsoft Entra ID com uma conta de utilizador e, em seguida, iniciar sessão no Windows com uma conta de utilizador separada. Isto inclui a utilização de contas locais do Windows ou outras identidades que não estão representadas no Microsoft Entra ID para iniciar sessão em anfitriões de sessão. Iniciar sessão com identidades diferentes ao mesmo tempo pode fazer com que os utilizadores se voltem a ligar ao anfitrião de sessão errado, informações incorretas ou em falta no portal do Azure, mensagens de erro ao utilizar a Anexação da Aplicação e ignorar Microsoft Entra ID autenticação e imposição de Acesso Condicional. Área de Trabalho Virtual do Azure suporta cenários em que a mesma identidade de Microsoft Entra ID é utilizada para autenticar no serviço e para iniciar sessão no anfitrião da sessão. A Microsoft recomenda a utilização do início de sessão único (SSO) com a autenticação Microsoft Entra.
Identidade no local
Uma vez que os utilizadores têm de ser detetáveis através de Microsoft Entra ID para aceder ao Área de Trabalho Virtual do Azure, as identidades de utilizador que existem apenas no Active Directory Domain Services (AD DS) não são suportadas. Isto inclui implementações autónomas do Active Directory com Serviços de Federação do Active Directory (AD FS) (AD FS).
Identidade híbrida
Área de Trabalho Virtual do Azure suporta identidades híbridas através de Microsoft Entra ID, incluindo as federadas com o AD FS. Pode gerir estas identidades de utilizador no AD DS e sincronizá-las para Microsoft Entra ID com o Microsoft Entra Connect. Também pode utilizar Microsoft Entra ID para gerir estas identidades e sincronizá-las para Microsoft Entra Domain Services.
Ao aceder ao Área de Trabalho Virtual do Azure com identidades híbridas, por vezes, o Nome Principal de Utilizador (UPN) ou o Identificador de Segurança (SID) do utilizador no Active Directory (AD) e Microsoft Entra ID não correspondem. Por exemplo, a conta user@contoso.local do AD pode corresponder a user@contoso.com em Microsoft Entra ID. Área de Trabalho Virtual do Azure só suporta este tipo de configuração se o UPN ou o SID das suas contas do AD e Microsoft Entra ID corresponderem. SID refere-se à propriedade de objeto de utilizador "ObjectSID" no AD e "OnPremisesSecurityIdentifier" no Microsoft Entra ID.
Identidade somente na nuvem
Área de Trabalho Virtual do Azure suporta identidades apenas na cloud ao utilizar Microsoft Entra VMs associadas. Estes utilizadores são criados e geridos diretamente no Microsoft Entra ID.
Observação
Também pode atribuir identidades híbridas a Azure grupos de Aplicações de Ambiente de Trabalho Virtual que alojam anfitriões de sessões do tipo de associação Microsoft Entra associados.
Identidade federada
Se estiver a utilizar um Fornecedor de Identidade (IdP) de terceiros, que não Microsoft Entra ID ou Active Directory Domain Services, para gerir as suas contas de utilizador, tem de garantir que:
- O seu IdP está federado com Microsoft Entra ID.
- Os anfitriões de sessão estão Microsoft Entra associados ou Microsoft Entra associados híbridos.
- Ativa Microsoft Entra autenticação para o anfitrião da sessão.
Identidade externa
O suporte de identidade externa permite-lhe convidar utilizadores para o seu inquilino de ID de Entra e disponibilizá-los Azure recursos do Virtual Desktop. Existem vários requisitos e limitações ao fornecer recursos a identidades externas:
- Requisitos
-
Sistema operativo anfitrião da sessão: o anfitrião da sessão tem de estar a executar um dos seguintes sistemas operativos:
- Windows 11 Enterprise, versões 24H2 ou posterior com a Atualizações Cumulativa 2025-09 para Windows 11 (KB5065789) ou posterior instalada.
- Windows Server 2025 com a Atualizações Cumulativa 2026-01 para Windows Server 2025 (KB5073379) ou posterior instalada.
- Tipo de associação ao anfitrião da sessão: o anfitrião da sessão tem de estar Entra associado.
- Início de sessão único: o início de sessão único tem de ser configurado para o conjunto de anfitriões.
- aplicativo do Windows cliente: o suporte de identidade externa está geralmente disponível no aplicativo do Windows no Windows ou num browser. O suporte de identidade externa está em pré-visualização no aplicativo do Windows no macOS e no aplicativo do Windows no Android. Veja a secção Identidade do aplicativo do Windows documentação para obter detalhes adicionais.
-
Sistema operativo anfitrião da sessão: o anfitrião da sessão tem de estar a executar um dos seguintes sistemas operativos:
- Limitações
FSLogix: o suporte do FSLogix está em pré-visualização para identidades externas. Saiba mais sobre como Armazenar contentores de perfis FSLogix em Arquivos do Azure com Microsoft Entra ID.
Intune políticas de configuração de dispositivos: as políticas de configuração do dispositivo atribuídas à identidade externa não serão aplicadas ao utilizador no anfitrião da sessão. Em vez disso, atribua políticas de configuração de dispositivos ao dispositivo.
Disponibilidade da cloud: esta funcionalidade está disponível na cloud pública Azure e Azure para o Governo dos EUA, mas não no Azure operado pela 21Vianet. A ligação como uma identidade externa a um inquilino no Azure para o Governo dos EUA é suportada no cliente de Ambiente de Trabalho Remoto e com o aplicativo do Windows no Windows, utilizando a versão 2.0.1069.0 ou posterior, ao definir uma chave de registo (EnableGovernmentNationalCloudSignInOption). Saiba mais sobre a chave de registo necessária.
Convites entre clouds: os utilizadores entre clouds não são suportados. Só pode fornecer Azure acesso a recursos do Virtual Desktop aos utilizadores que convida a partir de fornecedores de identidade social, Microsoft Entra utilizadores da mesma cloud do Microsoft Azure que o ambiente do Área de Trabalho Virtual do Azure ou outros fornecedores de identidade registados no seu inquilino da força de trabalho. Não pode atribuir Azure recursos do Virtual Desktop aos utilizadores que convidar a partir do Microsoft Azure operado pela 21Vianet.
Proteção de tokens: Microsoft Entra tem determinadas limitações para a proteção de tokens para identidades externas. Saiba mais sobre aplicativo do Windows suporte para proteção de tokens por plataforma.
Autenticação Kerberos: as identidades externas não podem autenticar-se em recursos no local com protocolos Kerberos ou NTLM.
Aplicações do Microsoft 365: só pode iniciar sessão na versão de ambiente de trabalho do Windows das aplicações do Microsoft 365 se:
- O utilizador convidado é uma conta baseada em Entra ou uma Conta Microsoft licenciada para Microsoft 365 Apps.
- O utilizador convidado não está impedido de aceder às aplicações do Microsoft 365 através de uma política de acesso condicional da organização doméstica.
Independentemente da conta convidada, pode aceder aos ficheiros do Microsoft 365 partilhados consigo através da aplicação microsoft 365 adequada no browser do anfitrião da sessão.
Fornecedores de identidade: pode iniciar sessão como uma identidade externa com qualquer um dos fornecedores de identidade listados, exceto para o início de sessão de código de acesso único. Os seguintes clientes aplicativo do Windows têm limitações adicionais:
- Android: o único fornecedor de identidade social suportado com o qual pode iniciar sessão é uma conta Microsoft configurada como uma conta Ligada na aplicação Microsoft Authenticator em execução no mesmo dispositivo que o cliente. Não pode iniciar sessão com o Facebook ou o Google.
Veja Microsoft Entra melhores práticas B2B para obter recomendações sobre como configurar o seu ambiente para identidades externas e Licenciamento para obter orientações de licenciamento.
Métodos de autenticação
Ao aceder Azure recursos do Virtual Desktop, existem três fases de autenticação separadas:
- Autenticação do serviço cloud: a autenticação no serviço Área de Trabalho Virtual do Azure, que inclui a subscrição de recursos e a autenticação no Gateway, é Microsoft Entra ID.
- Autenticação de sessão remota: autenticação na VM remota. Existem várias formas de autenticar na sessão remota, incluindo o início de sessão único (SSO) recomendado.
- Autenticação na sessão: autenticação em aplicações e sites na sessão remota.
Para obter a lista de credenciais disponíveis nos diferentes clientes para cada uma das fases de autenticação, compare os clientes entre plataformas.
Importante
Para que a autenticação funcione corretamente, o seu computador local também tem de conseguir aceder aos URLs necessários para clientes de Ambiente de Trabalho Remoto.
As secções seguintes fornecem mais informações sobre estas fases de autenticação.
Autenticação do serviço cloud
Para aceder Azure recursos do Virtual Desktop, primeiro tem de se autenticar no serviço ao iniciar sessão com uma conta Microsoft Entra ID. A autenticação ocorre sempre que subscrever para obter os seus recursos, ligar ao gateway ao iniciar uma ligação ou ao enviar informações de diagnóstico para o serviço. O recurso Microsoft Entra ID utilizado para esta autenticação é Área de Trabalho Virtual do Azure (ID da aplicação 9cdead84-a844-4324-93f2-b2e6bb768d07).
Autenticação de vários fatores
Siga as instruções em Impor Microsoft Entra autenticação multifator para Área de Trabalho Virtual do Azure com o Acesso Condicional para saber como impor Microsoft Entra autenticação multifator para a sua implementação. Este artigo também lhe indicará como configurar a frequência com que os seus utilizadores são solicitados a introduzir as respetivas credenciais. Ao implementar Microsoft Entra VMs associadas, tenha em atenção os passos adicionais para Microsoft Entra VMs de anfitrião de sessões associadas.
Autenticação sem palavra-passe
Pode utilizar qualquer tipo de autenticação suportado por Microsoft Entra ID, como Windows Hello para Empresas e outras opções de autenticação sem palavra-passe (por exemplo, chaves FIDO), para se autenticar no serviço.
Autenticação de card inteligente
Para utilizar uma card inteligente para se autenticar no Microsoft Entra ID, primeiro tem de configurar Microsoft Entra autenticação baseada em certificados ou configurar o AD FS para autenticação de certificados de utilizador.
Fornecedores de identidade de terceiros
Pode utilizar fornecedores de identidade de terceiros desde que federam com Microsoft Entra ID.
Autenticação de sessão remota
Se ainda não ativou o início de sessão único ou guardou as suas credenciais localmente, também terá de se autenticar no anfitrião da sessão ao iniciar uma ligação.
SSO (logon único)
O SSO permite que a ligação ignore o pedido de credenciais do anfitrião da sessão e inicie sessão automaticamente no Windows através Microsoft Entra autenticação. Para anfitriões de sessão Microsoft Entra associados ou Microsoft Entra associados híbridos, é recomendado ativar o SSO através da autenticação Microsoft Entra. Microsoft Entra autenticação fornece outras vantagens, incluindo a autenticação sem palavra-passe e o suporte para fornecedores de identidade de terceiros.
O Área de Trabalho Virtual do Azure também suporta o SSO através de Serviços de Federação do Active Directory (AD FS) (AD FS) para o Ambiente de Trabalho do Windows e clientes Web.
Sem o SSO, o cliente pede aos utilizadores as respetivas credenciais de anfitrião de sessão para cada ligação. A única forma de evitar que lhe seja pedido é guardar as credenciais no cliente. Recomendamos que guarde apenas as credenciais em dispositivos seguros para impedir que outros utilizadores acedam aos seus recursos.
Smart card e Windows Hello para Empresas
Área de Trabalho Virtual do Azure suporta o NT LAN Manager (NTLM) e o Kerberos para autenticação de anfitrião de sessão, no entanto, o Smart card e Windows Hello para Empresas só podem utilizar o Kerberos para iniciar sessão. Para utilizar o Kerberos, o cliente tem de obter permissões de segurança Kerberos a partir de um serviço do Centro de Distribuição de Chaves (KDC) em execução num controlador de domínio. Para obter pedidos de suporte, o cliente precisa de uma linha de visão de rede direta para o controlador de domínio. Pode obter uma linha de visão ao ligar diretamente na sua rede empresarial, através de uma ligação VPN ou ao configurar um servidor Proxy KDC.
Autenticação na sessão
Assim que estiver ligado ao remoteApp ou ao ambiente de trabalho, poderá ser-lhe pedida autenticação dentro da sessão. Esta secção explica como utilizar credenciais que não o nome de utilizador e a palavra-passe neste cenário.
Autenticação sem palavra-passe na sessão
Área de Trabalho Virtual do Azure suporta a autenticação sem palavra-passe na sessão através de dispositivos Windows Hello para Empresas ou de segurança, como chaves FIDO, ao utilizar o cliente de Ambiente de Trabalho do Windows. A autenticação sem palavra-passe é ativada automaticamente quando o anfitrião da sessão e o PC local estão a utilizar os seguintes sistemas operativos:
- Windows 11 única ou múltipla sessão com a Atualizações Cumulativa 2022-10 para Windows 11 (KB5018418) ou posterior instalada.
- Windows 10 única ou múltipla sessão, versões 20H2 ou posterior com a Atualizações Cumulativa 2022-10 para Windows 10 (KB5018410) ou posterior instalada.
- Windows Server 2022 com a Atualização Cumulativa 2022-10 para o sistema operativo do servidor Microsoft (KB5018421) ou posterior instalada.
Para desativar a autenticação sem palavra-passe no conjunto de anfitriões, tem de personalizar uma propriedade RDP. Pode encontrar a propriedade de redirecionamento WebAuthn no separador Redirecionamento de dispositivos no portal do Azure ou definir a propriedade redirectwebauthn como 0 com o PowerShell.
Quando ativado, todos os pedidos WebAuthn na sessão são redirecionados para o PC local. Pode utilizar Windows Hello para Empresas ou dispositivos de segurança ligados localmente para concluir o processo de autenticação.
Para aceder Microsoft Entra recursos com Windows Hello para Empresas ou dispositivos de segurança, tem de ativar a Chave de Segurança FIDO2 como um método de autenticação para os seus utilizadores. Para ativar este método, siga os passos em Ativar o método de chave de segurança FIDO2.
Autenticação de card inteligente na sessão
Para utilizar uma card inteligente na sua sessão, certifique-se de que instalou os controladores de card inteligentes no anfitrião da sessão e ativou o redirecionamento de card inteligente. Reveja os gráficos de comparação para aplicativo do Windows e a aplicação Ambiente de Trabalho Remoto para que possa utilizar o redirecionamento de card inteligente.
Próximas etapas
- Está curioso sobre outras formas de manter a sua implementação segura? Consulte Melhores práticas de segurança.
- Está a ter problemas ao ligar a VMs associadas Microsoft Entra? Veja Resolver problemas de ligações a VMs associadas Microsoft Entra.
- Está a ter problemas com a autenticação sem palavra-passe na sessão? Veja Resolver problemas de redirecionamento de WebAuthn.
- Quer utilizar smart cards de fora da sua rede empresarial? Reveja como configurar um servidor Proxy KDC.