Microsoft Entra anfitriões de sessão associados no Azure Virtual Desktop

Este artigo irá guiá-lo ao longo do processo de implementação e acesso Microsoft Entra máquinas virtuais associadas no Azure Virtual Desktop. Microsoft Entra VMs associadas removem a necessidade de ter uma linha de visão da VM para um Controlador de Domínio do Active Directory (DC) virtualizado ou no local ou para implementar Microsoft Entra Domain Services. Em alguns casos, pode remover totalmente a necessidade de um DC, simplificando a implementação e a gestão do ambiente. Estas VMs também podem ser automaticamente inscritas no Intune para facilitar a gestão.

Limitações conhecidas

As seguintes limitações conhecidas podem afetar o acesso aos seus recursos associados ao domínio do Active Directory ou no local e deve considerá-los ao decidir se Microsoft Entra VMs associadas são adequadas para o seu ambiente.

• Microsoft Entra acesso de VM associado a partilhas de Arquivos do Azure para utilizadores híbridos que utilizam Microsoft Entra kerberos para perfis de utilizador FSLogix é totalmente suportado.
• Microsoft Entra acesso associado à VM a partilhas de Arquivos do Azure apenas na cloud e identidades externas com Microsoft Entra kerberos para perfis de utilizador FSLogix está em pré-visualização.

Implementar Microsoft Entra VMs associadas

Pode implementar Microsoft Entra VMs associadas diretamente a partir do portal do Azure quando cria um novo conjunto de anfitriões ou expande um conjunto de anfitriões existente. Para implementar um Microsoft Entra VM associada, abra o separador Máquinas Virtuais e, em seguida, selecione se pretende associar a VM ao Active Directory ou Microsoft Entra ID. Selecionar Microsoft Entra ID dá-lhe a opção de inscrever VMs com Intune automaticamente, o que lhe permite gerir facilmente os anfitriões de sessão. Tenha em atenção que a opção Microsoft Entra ID apenas associará VMs ao mesmo inquilino Microsoft Entra que a subscrição em que se encontra.

Atribuir acesso de utilizador a conjuntos de anfitriões

Depois de criar o conjunto de anfitriões, tem de atribuir aos utilizadores acesso aos respetivos recursos. Para conceder acesso aos recursos, adicione cada utilizador ao grupo de aplicações. Siga as instruções em Gerir grupos de aplicações para atribuir acesso de utilizador a aplicações e ambientes de trabalho. Recomendamos que utilize grupos de utilizadores em vez de utilizadores individuais sempre que possível.

Para Microsoft Entra VMs associadas em conjuntos de anfitriões sem uma configuração de anfitrião de sessão, tem de realizar as seguintes tarefas adicionais para além dos requisitos para o Active Directory ou implementações baseadas em Microsoft Entra Domain Services. Para conjuntos de anfitriões que utilizem uma configuração de anfitrião de sessão, esta atribuição de função adicional não é necessária.

• Atribua aos seus utilizadores a função de Início de Sessão de Utilizador da Máquina Virtual para que possam iniciar sessão nas VMs.
• Atribua aos administradores que necessitem de privilégios administrativos locais a função de Início de Sessão de Administrador de Máquina Virtual .

Para conceder aos utilizadores acesso a Microsoft Entra VMs associadas, tem de configurar atribuições de funções para a VM. Pode atribuir a função de Início de Sessão de Utilizador da Máquina Virtual ou Início de Sessão de Administrador de Máquina Virtual nas VMs, no grupo de recursos que contém as VMs ou na subscrição. Recomendamos que atribua a função de Início de Sessão de Utilizador da Máquina Virtual ao mesmo grupo de utilizadores que utilizou para o grupo de aplicações ao nível do grupo de recursos para que se aplique a todas as VMs no conjunto de anfitriões.

Aceder Microsoft Entra VMs associadas

Esta secção explica como aceder a VMs associadas Microsoft Entra a partir de diferentes clientes do Azure Virtual Desktop.

Logon único

Para obter a melhor experiência em todas as plataformas, deve ativar uma experiência de início de sessão único com a autenticação Microsoft Entra ao aceder a VMs associadas Microsoft Entra. Siga os passos para Configurar o início de sessão único para proporcionar uma experiência de ligação totalmente integrada.

Ligar através de protocolos de autenticação legados

Se preferir não ativar o início de sessão único, pode utilizar a seguinte configuração para permitir o acesso a VMs associadas Microsoft Entra.

Ligar com o cliente de Ambiente de Trabalho do Windows

A configuração predefinida suporta ligações de Windows 11 ou Windows 10 através do cliente de Ambiente de Trabalho do Windows. Pode utilizar as suas credenciais, card inteligentes, Windows Hello para Empresas fidedignidade do certificado ou Windows Hello para Empresas fidedignidade de chave com certificados para iniciar sessão no anfitrião da sessão. No entanto, para aceder ao anfitrião da sessão, o PC local tem de cumprir uma das seguintes condições:

• O PC local está Microsoft Entra associado ao mesmo inquilino Microsoft Entra que o anfitrião da sessão
• O PC local está Microsoft Entra associado híbrido ao mesmo inquilino Microsoft Entra que o anfitrião da sessão
• O PC local está a executar Windows 11 ou Windows 10, versão 2004 ou posterior, e está Microsoft Entra registado no mesmo inquilino Microsoft Entra que o anfitrião da sessão

Se o seu PC local não cumprir uma destas condições, adicione targetisaadjoined:i:1 como uma propriedade RDP personalizada ao conjunto de anfitriões. Estas ligações estão restritas à introdução de credenciais de nome de utilizador e palavra-passe ao iniciar sessão no anfitrião da sessão.

Ligar com os outros clientes

Para aceder Microsoft Entra VMs associadas através da Web, android, macOS e clientes iOS, tem de adicionar targetisaadjoined:i:1 como uma propriedade RDP personalizada ao conjunto de anfitriões. Estas ligações estão restritas à introdução de credenciais de nome de utilizador e palavra-passe ao iniciar sessão no anfitrião da sessão.

Impor Microsoft Entra autenticação multifator para Microsoft Entra VMs de sessão associadas

Pode utilizar Microsoft Entra autenticação multifator com Microsoft Entra VMs associadas. Siga os passos para Impor Microsoft Entra autenticação multifator para Azure Virtual Desktop com o Acesso Condicional e anote os passos adicionais para Microsoft Entra VMs de anfitrião de sessão associadas.

Se estiver a utilizar Microsoft Entra autenticação multifator e não quiser restringir o início de sessão a métodos de autenticação fortes, como Windows Hello para Empresas, terá de excluir a aplicação Azure VM do Windows Sign-In da política de Acesso Condicional.

Perfis de usuário

Pode utilizar contentores de perfil do FSLogix com Microsoft Entra VMs associadas quando os armazena no Arquivos do Azure ao utilizar contas de utilizador híbridas. Para obter mais informações, veja Criar um contentor de perfil com Arquivos do Azure e Microsoft Entra ID.

Aceder a recursos no local

Embora não precise de um Active Directory para implementar ou aceder às suas VMs associadas Microsoft Entra, é necessário um Active Directory e uma linha de visão para o mesmo para aceder aos recursos no local a partir dessas VMs.

Próximas etapas

Agora que implementou algumas Microsoft Entra VMs associadas, recomendamos que ative o início de sessão único antes de se ligar a um cliente do Azure Virtual Desktop suportado para testá-lo como parte de uma sessão de utilizador. Para saber mais, marcar estes artigos:

• Configurar logon único
• Criar um contentor de perfil com Arquivos do Azure e Microsoft Entra ID
• Conectar com o cliente de Área de Trabalho do Windows
• Conectar com o cliente Web
• Resolver problemas de ligações a VMs associadas Microsoft Entra