Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As organizações que implantam tecnologia sem senha resistente a phishing normalmente têm a necessidade de que algumas das suas personas utilizem a tecnologia de ambiente de trabalho remoto para facilitar a produtividade, a segurança ou a administração. Os dois casos de uso básicos são:
- Inicializando e autenticando uma sessão de conexão de área de trabalho remota de um cliente local para uma máquina remota usando credenciais sem senha resistentes a phishing
- Utilizando credenciais sem senha resistentes a phishing dentro de uma sessão de conexão de área de trabalho remota estabelecida
Analise as considerações específicas para cada caso de uso.
- Início da Sessão de Ligação ao Ambiente de Trabalho Remoto sem Palavra-passe
- Autenticação sem senha na sessão
Componentes de ligação ao Ambiente de Trabalho Remoto
O protocolo de área de trabalho remota do Windows envolve três componentes principais, todos os quais precisam oferecer suporte adequado a credenciais sem senha resistentes a phishing para iniciar uma sessão de conexão de área de trabalho remota usando essas credenciais. Se algum desses componentes não for capaz de funcionar corretamente ou não tiver suporte para determinadas credenciais sem senha, um ou ambos os cenários descritos não funcionarão. Este guia concentra-se no suporte de chave de acesso/FIDO2 e no suporte de autenticação Cert-Based (CBA).
Percorra as seções a seguir para determinar se o suporte para sistemas sem senha resistente ao phishing é esperado em todos os três componentes que está a utilizar. Repita esse processo se tiver vários cenários que exijam avaliação.
Plataforma do cliente
Existem vários sistemas operacionais diferentes comumente usados para clientes locais que são usados para instanciar sessões de área de trabalho remota. As opções mais usadas incluem:
- Janelas 10+
- Servidor Windows
- macOS
- iOS
- Androide
- Aplicações Linux
O suporte para conexão de área de trabalho remota e sem senha resistente a phishing depende da plataforma cliente ter suporte para protocolos de chave de acesso, mais notavelmente Client To Authenticator Protocol (CTAP) e WebAuthn. CTAP é uma camada de comunicação entre autenticadores de roaming, como chaves de segurança FIDO2 ou chaves de acesso em um dispositivo móvel, e uma plataforma cliente. A maioria das plataformas de cliente suporta esses protocolos, mas há certas plataformas que não suportam. Em alguns casos, como em dispositivos thin client dedicados que executam sistemas operacionais especializados, você deve entrar em contato com o fornecedor para confirmar o suporte.
A autenticação baseada em certificado (CBA) do Microsoft Entra requer configuração no Microsoft Entra ID para que os usuários possam utilizar certificados da sua PKI (infraestrutura de chave pública) para autenticação. Este artigo não aborda apenas implementações de autenticação baseadas em certificados locais.
| Plataforma do Cliente | Suporte FIDO | Microsoft Entra CBA | Observações |
|---|---|---|---|
| Janelas 10+ | Sim | Sim | |
| Servidor Windows | Parcial | Sim | O Windows Server não é recomendado para dispositivos de computação cliente. Os servidores de salto do Windows Server podem impedir a ausência de senha resistente a phishing baseada em FIDO. Se você usar servidores de salto, então CBA é recomendado em vez de FIDO |
| macOS | Sim | Sim | Nem todas as estruturas web da Apple suportam FIDO |
| iOS | Sim | Sim | Nem todas as estruturas web da Apple suportam FIDO |
| Androide | Sim | Sim | |
| Aplicações Linux | Talvez | Sim | Confirme o suporte FIDO com o fornecedor da distribuição Linux |
Plataforma de destino
A plataforma de destino é fundamental para determinar se a autenticação sem senha resistente ao phishing é suportada para estabelecer a sessão de conexão de área de trabalho remota em si.
| Plataforma de destino | Inicialização da sessão de conexão de área de trabalho remota Suporte FIDO | Inicialização da Sessão de Ligação ao Ambiente de Trabalho Remoto Microsoft Entra CBA |
|---|---|---|
| Windows 10+ Microsoft Entra juntou-se | Sim | Sim |
| Windows Server Microsoft Entra juntou-se | Sim1 | Sim |
| Windows 10+ Microsoft Entra híbrido juntou-se | Sim | Sim |
| Windows Server Microsoft Entra híbrido juntou-se | Sim1 | Sim |
| Windows 10+ Microsoft Entra registrado | Não | Não |
| Somente ingresso no domínio local do Windows 10+ | Não | Não |
| Apenas domínio associado localmente ao Windows Server | Não | Não |
| Grupo de trabalho do Windows 10+ | Não | Não |
| Azure Arc-managed Windows Server autónomo/grupo de trabalho2 | Sim | Sim |
1. Aplica-se apenas a servidores Microsoft Entra ou Hybrid Joined que executam o Windows Server 2022 ou posterior
2. Aplica-se apenas a servidores associados ao Microsoft Entra que executam o Windows Server 2025 ou posterior
Cliente de ligação ao Ambiente de Trabalho Remoto
O suporte da plataforma cliente apenas para autenticação resistente a phishing não é suficiente para suportar autenticação resistente a phishing para sessões de conexão de área de trabalho remota. O cliente de conexão de área de trabalho remota usado também deve suportar os componentes necessários para que essas credenciais funcionem corretamente. Analise muitos dos clientes de conexão de área de trabalho remota comumente usados e suas várias opções suportadas:
| Cliente de Ligação ao Ambiente de Trabalho Remoto | Inicialização da sessão de conexão de área de trabalho remota Suporte FIDO | Inicialização da Sessão de Ligação ao Ambiente de Trabalho Remoto Microsoft Entra CBA |
|---|---|---|
| MSTSC.exe para Windows Client | Sim | Sim |
| MSTSC.exe para Windows Server 2022+ | Sim | Sim |
| MSTSC.exe para Windows Server 2019 ou anterior | Não | Não |
| Aplicação Windows para Windows | Sim | Sim |
| Aplicação Windows para macOS | Sim | Sim |
| Aplicação Windows para iOS | Sim | Sim |
| Aplicação Windows para Android | Sim | Sim |
| Aplicativo Web do Windows 365 | Não | Não |
| Cliente de Ligação ao Ambiente de Trabalho Remoto de Terceiros | Talvez | Talvez |
Importante
Os dispositivos cliente e de destino devem estar aderidos ao Microsoft Entra, Microsoft Entra híbrido ou registados no Microsoft Entra para o mesmo inquilino. A autenticação entre locatários não funcionará, o dispositivo cliente não poderá se autenticar no dispositivo de destino se eles forem associados a locatários diferentes.
Avalie o suporte para seus cenários
Se qualquer um dos três componentes descritos neste documento não oferecer suporte ao seu cenário, não se espera que ele funcione. Para avaliar, considere cada componente para a autenticação de sessão na ligação à área de trabalho remota e o uso de credenciais durante a sessão. Repita esse processo para cada cenário em seu ambiente para entender quais cenários devem funcionar e quais não funcionam.
Exemplo 1
Por exemplo, veja como você pode avaliar se seu cenário é "meus operadores de informações precisam usar seus dispositivos Windows para acessar a Área de Trabalho Virtual do Azure, precisam autenticar a sessão de conexão de área de trabalho remota usando uma chave de acesso do Microsoft Authenticator e usam a chave de acesso dentro da sessão de conexão de área de trabalho remota no navegador Microsoft Edge":
| Cenário | Plataforma do Cliente | Plataforma de destino | Cliente de Ligação ao Ambiente de Trabalho Remoto | Suportado? |
|---|---|---|---|---|
| Inicialização da sessão de conexão de área de trabalho remota usando a chave de acesso do aplicativo Auth | Windows 11 Microsoft Entra Associado/Híbrido Associado/Autónomo | Azure Virtual Desktop Microsoft Entra juntou-se | Aplicação Windows | Sim+Sim+Sim = Sim |
| Ligação ao Ambiente de Trabalho Remoto In-Session Autenticação utilizando a Chave de Acesso da Aplicação de Autenticação | Windows 11 Microsoft Entra Associado/Híbrido Associado/Autónomo | Azure Virtual Desktop Microsoft Entra juntou-se | Aplicação Windows | Sim+Sim+Sim = Sim |
Neste exemplo, tanto a própria sessão de conexão da área de trabalho remota quanto os aplicativos na sessão podem aproveitar a chave de acesso do usuário. Sistemas sem senhas resistentes ao phishing devem ter ampla funcionalidade.
Exemplo 2
Veja como você pode avaliar se seu cenário é "meus operadores de informações precisam usar seus dispositivos macOS para acessar a Área de Trabalho Virtual do Azure, precisam autenticar a sessão de conexão de área de trabalho remota usando uma chave de acesso do Microsoft Authenticator e usar a chave de acesso dentro da sessão de conexão de área de trabalho remota":
| Cenário | Plataforma do Cliente | Plataforma de destino | Cliente de Ligação ao Ambiente de Trabalho Remoto | Suportado? |
|---|---|---|---|---|
| Inicialização da sessão de conexão de área de trabalho remota usando a chave de acesso do aplicativo Auth | macOS 15 | Azure Virtual Desktop Microsoft Entra juntou-se | Aplicação Windows | Sim+Sim+Sim = Sim |
| Ligação ao Ambiente de Trabalho Remoto In-Session Autenticação utilizando a Chave de Acesso da Aplicação de Autenticação | macOS 15 | Azure Virtual Desktop Microsoft Entra juntou-se | Aplicação Windows | Sim+Sim+Não = Não |
Neste exemplo, os usuários podem usar sua chave de acesso para estabelecer a sessão de conexão de área de trabalho remota, mas não podem usá-la dentro da sessão de conexão de área de trabalho remota porque o aplicativo do Windows no macOS ainda não suporta essa funcionalidade. Você pode aguardar por um melhor suporte de senha no cliente de conexão de área de trabalho remota ou pode alternar para outra credencial, como certificados com CBA.
Exemplo 3
Veja como você pode avaliar se o cenário é "meus administradores precisam usar seus dispositivos Windows para acessar servidores Windows locais, precisam autenticar a sessão de conexão de área de trabalho remota usando um certificado e usar o certificado dentro da sessão de conexão de área de trabalho remota":
| Cenário | Plataforma do Cliente | Plataforma de destino | Cliente de Ligação ao Ambiente de Trabalho Remoto | Suportado? |
|---|---|---|---|---|
| Inicialização da sessão de conexão de área de trabalho remota usando certificado | Janelas 11 | Domain-Joined Windows Server | MSTSC.exe | Sim+Sim+Sim = Sim |
| Ligação ao Ambiente de Trabalho Remoto In-Session Autenticação utilizando Certificado | Janelas 11 | Domain-Joined Windows Server | MSTSC.exe | Sim+Sim+Sim = Sim |
Neste exemplo, os usuários podem usar seu certificado para estabelecer a sessão de conexão de área de trabalho remota e também usar o certificado dentro da sessão de conexão de área de trabalho remota. No entanto, esse cenário não funcionará com uma chave de acesso, uma vez que o servidor Windows adicionado ao domínio não pode usar uma chave de acesso para configurar uma sessão de conexão de área de trabalho remota ou dentro da sessão.
Exemplo 4
Veja como pode avaliar se o seu cenário é "os seus trabalhadores da linha de frente precisam usar um thin client baseado em Linux para aceder a clientes VDI (Windows Virtual Desktop Infrastructure) unidos ao domínio no local que NÃO estão unidos de forma híbrida ao Microsoft Entra, precisam autenticar a sessão de conexão de área de trabalho remota utilizando uma chave de segurança FIDO2 e utilizá-la dentro da sessão de conexão de área de trabalho remota".
| Cenário | Plataforma do Cliente | Plataforma de destino | Cliente de Ligação ao Ambiente de Trabalho Remoto | Suportado? |
|---|---|---|---|---|
| Inicialização da sessão de conexão de área de trabalho remota usando a chave de segurança FIDO2 | Distro Linux Integrado | Domain-Joined Windows 11 | Cliente fornecido pelo fornecedor | Talvez+Não+Não = Não |
| Ligação ao Ambiente de Trabalho Remoto In-Session Autenticação utilizando a Chave de Segurança FIDO2 | Distro Linux Integrado | Domain-Joined Windows 11 | Cliente fornecido pelo fornecedor | Talvez+Sim+Talvez = Talvez |
Neste exemplo, os usuários provavelmente não podem usar suas chaves de segurança FIDO2 para conexão de área de trabalho remota porque o sistema operacional thin client e o cliente de conexão de área de trabalho remota não suportam FIDO2/passkeys em todos os cenários necessários. Trabalhe com seu fornecedor de thin client para entender seu roteiro de suporte. Além disso, prevê a hibridização ou a integração do Microsoft Entra nas máquinas virtuais da plataforma de destino para um melhor suporte às chaves de acesso.
Próximos passos
Implantar uma implantação de autenticação sem senha resistente a phishing no Microsoft Entra ID