Selección de una estrategia de identidad para Azure Virtual Desktop
En esta unidad, le proporcionaremos una breve descripción de los tipos de identidades y métodos de autenticación que puede usar en Azure Virtual Desktop.
Identidades
Azure Virtual Desktop admite diferentes tipos de identidades en función de la configuración que elija. En esta sección se explican las identidades que puede usar para cada configuración.
Importante
Azure Virtual Desktop no admite que se inicie sesión en Microsoft Entra ID con una cuenta de usuario y, a continuación, se inicie sesión en Windows con otra cuenta de usuario diferente. Iniciar sesión con dos cuentas diferentes al mismo tiempo puede provocar que los usuarios se vuelvan a conectar con el host de sesión incorrecto, que falte información en Azure Portal o que sea incorrecta, y que aparezcan mensajes de error al usar la conexión de aplicaciones o la conexión de aplicaciones MSIX.
Identidad local
Dado que los usuarios deben ser reconocibles en Microsoft Entra ID para acceder a Azure Virtual Desktop, no se admiten las identidades de usuario que solo existen en Active Directory Domain Services (AD DS). Esto incluye las implementaciones independientes de Active Directory con Servicios de federación de Active Directory (AD FS).
Identidad híbrida
Azure Virtual Desktop admite identidades híbridas a través de Microsoft Entra ID, incluidas las federadas mediante AD FS. Puede administrar estas identidades de usuario en AD DS y sincronizarlas con microsoft Entra ID mediante Microsoft Entra Connect. También puede usar microsoft Entra ID para administrar estas identidades y sincronizarlas con Microsoft Entra Domain Services.
Cuando se accede a Azure Virtual Desktop mediante identidades híbridas, a veces el nombre principal de usuario (UPN) o el identificador de seguridad (SID) del usuario en Active Directory (AD) y Microsoft Entra ID no coinciden. Por ejemplo, la cuenta de AD user@contoso.local puede corresponder a user@contoso.com en Microsoft Entra ID. Azure Virtual Desktop solo admite este tipo de configuración si el UPN o el SID de sus cuentas de AD y de Microsoft Entra ID coinciden. El SID hace referencia a la propiedad de objeto de usuario "ObjectSID" en AD y "OnPremisesSecurityIdentifier" en Microsoft Entra ID.
Identidad solo en la nube
Azure Virtual Desktop admite identidades solo en la nube cuando se usan máquinas virtuales unidas a Microsoft Entra. Estos usuarios se crean y administran directamente en Microsoft Entra ID.
Nota
También puede asignar identidades híbridas a grupos de aplicaciones de Azure Virtual Desktop que hospedan hosts de sesión del tipo unido a Microsoft Entra.
Proveedores de identidades de terceros
Si usa un proveedor de identidades (IdP) distinto de Microsoft Entra ID para administrar las cuentas de usuario, debe asegurarse de que:
- El IdP está federado con Microsoft Entra ID.
- Los hosts de sesión están unidos a Microsoft Entra o unidos a Microsoft Entra híbrido.
- Habilitará la autenticación de Microsoft Entra en el host de sesión.
Identidad externa
Actualmente, Azure Virtual Desktop no admite identidades externas.