Microsoft Entra host di sessione aggiunti in Desktop virtuale Azure

Questo articolo illustra il processo di distribuzione e accesso a Microsoft Entra macchine virtuali aggiunte in Desktop virtuale Azure. Microsoft Entra macchine virtuali unite a un controller di dominio (DC) Dominio di Active Directory o per distribuire Microsoft Entra Domain Services. In alcuni casi, può rimuovere completamente la necessità di un controller di dominio, semplificando la distribuzione e la gestione dell'ambiente. Queste macchine virtuali possono anche essere registrate automaticamente in Intune per semplificare la gestione.

Limitazioni note

Le limitazioni note seguenti possono influire sull'accesso alle risorse locali o aggiunte a un dominio di Active Directory e devono essere considerate quando si decide se Microsoft Entra macchine virtuali aggiunte sono appropriate per l'ambiente.

• Microsoft Entra macchine virtuali aggiunte non supportano attualmente identità esterne, ad esempio Microsoft Entra business-to-business (B2B) e Microsoft Entra business-to-consumer (B2C).
• Microsoft Entra macchine virtuali aggiunte possono accedere solo alle condivisioni File di Azure per gli utenti ibridi usando Microsoft Entra profili utente Kerberos per FSLogix.
• L'app Desktop remoto Store per Windows non supporta Microsoft Entra macchine virtuali aggiunte.

Distribuire Microsoft Entra macchine virtuali unite

È possibile distribuire Microsoft Entra macchine virtuali aggiunte direttamente dal portale di Azure quando si crea un nuovo pool di host o si espande un pool di host esistente. Per distribuire una macchina virtuale aggiunta Microsoft Entra, aprire la scheda Macchine virtuali e quindi selezionare se aggiungere la macchina virtuale ad Active Directory o Microsoft Entra ID. Selezionando Microsoft Entra ID è possibile registrare automaticamente le macchine virtuali con Intune, che consente di gestire facilmente gli host sessione. Tenere presente che l'opzione Microsoft Entra ID aggiungerà solo le macchine virtuali allo stesso tenant Microsoft Entra della sottoscrizione in uso.

Assegnare l'accesso utente ai pool host

Dopo aver creato il pool di host, è necessario assegnare agli utenti l'accesso alle risorse. Per concedere l'accesso alle risorse, aggiungere ogni utente al gruppo di applicazioni. Seguire le istruzioni in Gestire i gruppi di applicazioni per assegnare l'accesso utente ad app e desktop. È consigliabile usare i gruppi di utenti anziché i singoli utenti, laddove possibile.

Per Microsoft Entra macchine virtuali aggiunte nei pool di host senza una configurazione host sessione, è necessario eseguire le attività aggiuntive seguenti in aggiunta ai requisiti per le distribuzioni basate su Active Directory o Microsoft Entra Domain Services. Per i pool di host che usano una configurazione host sessione, questa assegnazione di ruolo aggiuntiva non è necessaria.

• Assegnare agli utenti il ruolo Accesso utente macchina virtuale in modo che possano accedere alle macchine virtuali.
• Assegnare agli amministratori che necessitano di privilegi amministrativi locali il ruolo di accesso amministratore macchina virtuale .

Per concedere agli utenti l'accesso a Microsoft Entra macchine virtuali aggiunte, è necessario configurare le assegnazioni di ruolo per la macchina virtuale. È possibile assegnare il ruolo Account di accesso utente macchina virtuale o Account di accesso amministratore macchina virtuale nelle macchine virtuali, nel gruppo di risorse contenente le macchine virtuali o nella sottoscrizione. È consigliabile assegnare il ruolo Accesso utente macchina virtuale allo stesso gruppo di utenti usato per il gruppo di applicazioni a livello di gruppo di risorse per applicarlo a tutte le macchine virtuali nel pool di host.

Accedere Microsoft Entra macchine virtuali aggiunte

Questa sezione illustra come accedere a Microsoft Entra macchine virtuali aggiunte da diversi client di Desktop virtuale Azure.

Single Sign-On

Per un'esperienza ottimale in tutte le piattaforme, è consigliabile abilitare un'esperienza di accesso Single Sign-On usando l'autenticazione Microsoft Entra quando si accede a Microsoft Entra macchine virtuali aggiunte. Seguire la procedura per configurare l'accesso Single Sign-On per offrire un'esperienza di connessione senza problemi.

Connettersi usando protocolli di autenticazione legacy

Se si preferisce non abilitare l'accesso Single Sign-On, è possibile usare la configurazione seguente per abilitare l'accesso a Microsoft Entra macchine virtuali unite.

Connettersi usando il client Desktop di Windows

La configurazione predefinita supporta le connessioni da Windows 11 o Windows 10 tramite il client Desktop Windows. È possibile usare le credenziali, la smart card, Windows Hello for Business l'attendibilità del certificato o Windows Hello for Business l'attendibilità della chiave con i certificati per accedere all'host della sessione. Tuttavia, per accedere all'host della sessione, il PC locale deve soddisfare una delle condizioni seguenti:

• Il PC locale viene Microsoft Entra aggiunto allo stesso tenant Microsoft Entra dell'host della sessione
• Il PC locale viene Microsoft Entra aggiunto ibrido allo stesso tenant Microsoft Entra dell'host della sessione
• Il PC locale esegue Windows 11 o Windows 10 versione 2004 o successiva e viene Microsoft Entra registrato nello stesso tenant Microsoft Entra dell'host della sessione

Se il PC locale non soddisfa una di queste condizioni, aggiungere targetisaadjoined:i:1 come proprietà RDP personalizzata al pool di host. Queste connessioni sono limitate all'immissione delle credenziali del nome utente e della password quando si accede all'host della sessione.

Connettersi usando gli altri client

Per accedere Microsoft Entra macchine virtuali aggiunte tramite i client Web, Android, macOS e iOS, è necessario aggiungere targetisaadjoined:i:1 come proprietà RDP personalizzata al pool di host. Queste connessioni sono limitate all'immissione delle credenziali del nome utente e della password quando si accede all'host della sessione.

Applicazione di Microsoft Entra autenticazione a più fattori per le macchine virtuali di sessione Microsoft Entra aggiunte

È possibile usare Microsoft Entra autenticazione a più fattori con Microsoft Entra macchine virtuali unite. Seguire la procedura per applicare l'autenticazione a più fattori Microsoft Entra per Desktop virtuale Azure usando l'accesso condizionale e prendere nota dei passaggi aggiuntivi per Microsoft Entra macchine virtuali dell'host di sessione aggiunto.

Se si usa Microsoft Entra'autenticazione a più fattori e non si vuole limitare l'accesso a metodi di autenticazione avanzata come Windows Hello for Business, è necessario escludere la macchina virtuale Windows di Azure Sign-In'app dai criteri di accesso condizionale.

Profili utente

È possibile usare contenitori di profili FSLogix con Microsoft Entra macchine virtuali unite quando vengono archiviate in File di Azure durante l'uso di account utente ibridi. Per altre informazioni, vedere Creare un contenitore di profili con File di Azure e Microsoft Entra ID.

Accesso alle risorse locali

Anche se non è necessario un'istanza di Active Directory per distribuire o accedere alle macchine virtuali Microsoft Entra aggiunte, per accedere alle risorse locali da tali macchine virtuali sono necessari active directory e line-of-sight.

Passaggi successivi

Dopo aver distribuito alcune macchine virtuali Microsoft Entra aggiunte, è consigliabile abilitare l'accesso Single Sign-On prima di connettersi a un client Desktop virtuale Azure supportato per testarlo come parte di una sessione utente. Per altre informazioni, vedere questi articoli:

• Configurare il servizio Single Sign-On
• Creare un contenitore di profili con File di Azure e Microsoft Entra ID
• Connettersi con il client di Desktop virtuale Windows
• Connettersi con il client web
• Risolvere i problemi relativi alle connessioni alle macchine virtuali Microsoft Entra unite