Accedere alla macchina virtuale Windows in Azure usando Azure Active Directory autenticazione

Le organizzazioni possono ora migliorare la sicurezza delle macchine virtuali Windows (VM) in Azure grazie all'integrazione con l'autenticazione Azure Active Directory (AD). È ora possibile usare Azure AD come piattaforma di autenticazione di base per RDP in windows Server 2019 Datacenter Edition o Windows 10 1809 e versioni successive. Sarà anche possibile controllare e applicare centralmente il controllo degli accessi in base al ruolo di Azure e i criteri di accesso condizionale che consentono o negano l'accesso alle macchine virtuali. Questo articolo illustra come creare e configurare una macchina virtuale Windows ed eseguire l'accesso con Azure AD basata su autenticazione.

L'uso dell'autenticazione basata su Azure AD per l'accesso alle macchine virtuali Windows in Azure offre numerosi vantaggi in termini di sicurezza, tra cui:

  • Usare le credenziali di ACTIVE Directory aziendali per accedere alle macchine virtuali Windows in Azure.
  • Ridurre l'affidamento sugli account amministratore locale, non è necessario preoccuparsi della perdita/furto delle credenziali, degli utenti che configurano credenziali deboli e così via.
  • La complessità delle password e i criteri di durata delle password configurati per la directory Azure AD consentono di proteggere anche le macchine virtuali Windows.
  • Con il controllo degli accessi in base al ruolo di Azure, specificare chi può accedere a una macchina virtuale come utente normale o con privilegi di amministratore. Quando gli utenti si uniscono o lasciano il team, è possibile aggiornare i criteri di controllo degli accessi in base al ruolo di Azure per la macchina virtuale per concedere l'accesso in base alle esigenze. Quando i dipendenti lasciano l'organizzazione e l'account utente viene disabilitato o rimosso da Azure AD, non hanno più accesso alle risorse.
  • Con l'accesso condizionale, configurare i criteri in modo da richiedere l'autenticazione a più fattori e altri segnali, ad esempio un basso rischio di accesso e utente prima di poter usare RDP per le macchine virtuali Windows.
  • Usare i criteri di distribuzione e controllo di Azure per Azure AD di accesso per le macchine virtuali Windows e per contrassegnare l'uso di nessun account locale approvato nelle macchine virtuali.
  • L'accesso alle macchine virtuali Windows con Azure Active Directory funziona anche per i clienti che usano Federation Services.
  • Automatizzare e ridimensionare Azure AD con la registrazione automatica MDM con Intune di macchine virtuali Windows di Azure che fanno parte delle distribuzioni VDI. La registrazione AUTOMATICA MDM richiede Azure AD P1. Le macchine virtuali Windows Server 2019 non supportano la registrazione MDM.

Nota

Dopo aver abilitato questa funzionalità, le macchine virtuali Windows in Azure verranno Azure AD unite. Non è possibile aggiungerlo ad altri domini, ad esempio AD locale o Azure AD DS. Se è necessario, è necessario disconnettere la macchina virtuale dal tenant Azure AD disinstallando l'estensione.

Requisiti

Aree di Azure supportate e distribuzioni di Windows

Per questa funzionalità sono attualmente supportate le distribuzioni di Windows seguenti:

  • Windows Server 2019 Datacenter
  • Windows 10 1809 e versioni successive

Importante

La connessione remota alle macchine virtuali unite Azure AD è consentita solo da PC Windows 10 registrati Azure AD (a partire da Windows 10 20H1), Azure AD aggiunto o Azure AD ibrido aggiunto alla stessa directory della macchina virtuale.

Questa funzionalità è ora disponibile nei cloud di Azure seguenti:

  • Azure Global
  • Azure Government
  • Azure Cina

Requisiti di rete

Per abilitare Azure AD per le macchine virtuali Windows in Azure, è necessario assicurarsi che la configurazione di rete delle macchine virtuali consenta l'accesso in uscita agli endpoint seguenti sulla porta TCP 443:

Per Globale di Azure

  • https://enterpriseregistration.windows.net - Per la registrazione del dispositivo.
  • http://169.254.169.254 - Endpoint del servizio metadati dell'istanza di Azure.
  • https://login.microsoftonline.com - Per i flussi di autenticazione.
  • https://pas.windows.net - Per i flussi del controllo degli accessi in base al ruolo di Azure.

Ad Azure per enti pubblici

  • https://enterpriseregistration.microsoftonline.us - Per la registrazione del dispositivo.
  • http://169.254.169.254 - Servizio metadati dell'istanza di Azure.
  • https://login.microsoftonline.us - Per i flussi di autenticazione.
  • https://pasff.usgovcloudapi.net - Per i flussi del controllo degli accessi in base al ruolo di Azure.

Ad Azure Cina

  • https://enterpriseregistration.partner.microsoftonline.cn - Per la registrazione del dispositivo.
  • http://169.254.169.254 - Endpoint del servizio metadati dell'istanza di Azure.
  • https://login.chinacloudapi.cn - Per i flussi di autenticazione.
  • https://pas.chinacloudapi.cn - Per i flussi del controllo degli accessi in base al ruolo di Azure.

Abilitazione Azure AD'accesso per una macchina virtuale Windows in Azure

Per usare Azure AD login in per una macchina virtuale Windows in Azure, è prima necessario abilitare l'opzione di accesso Azure AD per la macchina virtuale Windows e quindi configurare le assegnazioni di ruolo di Azure per gli utenti autorizzati ad accedere alla macchina virtuale. Esistono diversi modi per abilitare l'accesso Azure AD per la macchina virtuale Windows:

  • Uso dell'portale di Azure durante la creazione di una macchina virtuale Windows
  • Uso dell'Azure Cloud Shell quando si crea una macchina virtuale Windows o per una macchina virtuale Windows esistente

Uso portale di Azure'esperienza di creazione di macchine virtuali per abilitare Azure AD account di accesso

È possibile abilitare l Azure AD di accesso per Windows Server 2019 Datacenter o Windows 10 1809 e versioni successive.

Per creare una macchina virtuale Windows Server 2019 Datacenter in Azure con Azure AD accesso:

  1. Accedere al portale di Azure ,con un account che abbia accesso per creare macchine virtuali e selezionare + Crea una risorsa.
  2. Digitare Windows Server nella barra di ricerca del Marketplace.
    1. Fare clic su Windows Server e scegliere Windows Server 2019 Datacenter nell'elenco a discesa Selezionare un piano software.
    2. Fare clic su Crea.
  3. Nella scheda "Gestione" abilitare l'opzione Login with AAD credentials (Accesso con credenziali AAD) nella sezione Azure Active Directory da Off a On.
  4. Assicurarsi che l'identità gestita assegnata dal sistema nella sezione Identità sia impostata su Sì. Questa azione dovrebbe essere eseguita automaticamente dopo l'abilitazione dell'account di accesso Azure AD credenziali.
  5. Passare attraverso il resto dell'esperienza di creazione di una macchina virtuale. Sarà necessario creare un nome utente e una password amministratore per la macchina virtuale.

Accedere con credenziali Azure AD creare una macchina virtuale

Nota

Per accedere alla macchina virtuale usando le credenziali Azure AD, è prima necessario configurare le assegnazioni di ruolo per la macchina virtuale, come descritto in una delle sezioni seguenti.

Uso dell'Azure Cloud Shell per abilitare l'Azure AD di accesso

Azure Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Gli strumenti comuni di Azure sono preinstallati e configurati in Cloud Shell per l'uso con l'account. È sufficiente selezionare il pulsante Copia per copiare il codice, incollarlo in Cloud Shell e quindi premere Invio per eseguirlo. Esistono alcuni modi per aprire Cloud Shell:

  • Selezionare Prova nell'angolo superiore destro di un blocco di codice.
  • Aprire Cloud Shell nel browser.
  • Selezionare il Cloud Shell nel menu nell'angolo superiore destro del portale di Azure .

Se si sceglie di installare e usare l'interfaccia della riga di comando in locale, questo articolo richiede che sia in esecuzione l'interfaccia della riga di comando di Azure versione 2.0.31 o successiva. Eseguire az --version per trovare la versione. Se è necessario installare o aggiornare, vedere l'articolo Installare l'interfaccia della riga di comando di Azure.

  1. Come prima cosa creare un gruppo di risorse con az group create.
  2. Creare una macchina virtuale con az vm create usando una distribuzione supportata in un'area supportata.
  3. Installare l'estensione Azure AD macchina virtuale di accesso.

L'esempio seguente distribuisce una macchina virtuale denominata myVM che usa Win2019Datacenter in un gruppo di risorse denominato myResourceGroup, nell'area southcentralus. Negli esempi seguenti è possibile specificare i nomi del proprio gruppo di risorse e della macchina virtuale in base alle esigenze.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Nota

È necessario abilitare l'identità gestita assegnata dal sistema nella macchina virtuale prima di installare l'estensione della macchina Azure AD di accesso.

La creazione della VM e delle risorse di supporto richiede alcuni minuti.

Infine, installare l'estensione Azure AD macchina virtuale di accesso per abilitare Azure AD per la macchina virtuale Windows. Le estensioni della macchina virtuale sono piccole applicazioni che eseguono attività di configurazione e automazione post-distribuzione nelle macchine virtuali di Azure. Usare az vm extension set per installare l'estensione AADLoginForWindows nella macchina virtuale denominata nel gruppo di myVM myResourceGroup risorse:

Nota

È possibile installare l'estensione AADLoginForWindows in una macchina virtuale esistente di Windows Server 2019 o Windows 10 1809 e versioni successive per abilitarla per l Azure AD authentication. Di seguito è riportato un esempio dell'interfaccia della riga di comando di AZ.

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Viene provisioningState visualizzato il valore di , dopo Succeeded l'installazione dell'estensione nella macchina virtuale.

Configurare le assegnazioni di ruolo per la macchina virtuale

Dopo aver creato la macchina virtuale, è necessario configurare i criteri di Controllo degli accessi in base al ruolo di Azure per determinare chi può accedere alla macchina virtuale. Per autorizzare l'accesso alla macchina virtuale vengono usati due ruoli di Azure:

  • Accesso amministratore macchina virtuale: gli utenti con questo ruolo assegnato possono accedere a una macchina virtuale di Azure con privilegi di amministratore.
  • Accesso utente alle macchine virtuali: gli utenti a cui è stato assegnato questo ruolo possono accedere a una macchina virtuale di Azure con i privilegi di utente normale.

Nota

Per consentire a un utente di accedere alla macchina virtuale tramite RDP, è necessario assegnare il ruolo Accesso amministratore macchina virtuale o Accesso utente macchina virtuale. Un utente di Azure con i ruoli Proprietario o Collaboratore assegnati per una macchina virtuale non dispone automaticamente dei privilegi per accedere alla macchina virtuale tramite RDP. In questo modo viene data la separazione controllata tra il set di persone che controllano le macchine virtuali e il set di persone che possono accedere alle macchine virtuali.

Esistono diversi modi per configurare le assegnazioni di ruolo per la macchina virtuale:

  • Uso dell'esperienza Azure AD portale
  • Uso dell'Azure Cloud Shell utente

Nota

I ruoli Accesso amministratore macchina virtuale e Accesso utente macchina virtuale usano dataActions e pertanto non possono essere assegnati nell'ambito del gruppo di gestione. Attualmente questi ruoli possono essere assegnati solo nell'ambito della sottoscrizione, del gruppo di risorse o della risorsa.

Uso Azure AD portale

Per configurare le assegnazioni di ruolo per Azure AD macchine virtuali Windows Server 2019 Datacenter abilitate:

  1. Passare alla pagina di panoramica della macchina virtuale specifica
  2. Selezionare Controllo di accesso (IAM) dalle opzioni di menu
  3. Selezionare Aggiungi, Aggiungi assegnazione di ruolo per aprire il riquadro Aggiungi assegnazione di ruolo.
  4. Nell'elenco a discesa Ruolo selezionare un ruolo, ad esempio Account di accesso amministratore macchina virtuale o Accesso utente macchina virtuale.
  5. Nel campo Seleziona selezionare un utente, un gruppo, un'entità servizio o un'identità gestita. Se l'entità di sicurezza non è visualizzata nell'elenco, è possibile digitare nella casella Selezione per cercare nella directory i nomi visualizzati, gli indirizzi e-mail e gli identificatori di oggetto.
  6. Selezionare Salva per assegnare il ruolo.

Dopo qualche istante, all'entità di sicurezza verrà assegnato il ruolo per l'ambito selezionato.

Assegnare ruoli agli utenti che accederanno alla macchina virtuale

Uso dell'Azure Cloud Shell utente

L'esempio seguente usa az role assignment create per assegnare il ruolo Accesso amministratore alle macchine virtuali alla macchina virtuale per l'utente di Azure corrente. Il nome utente dell'account di Azure attivo si ottiene con az account show e viene impostato l'ambito per la macchina virtuale creata in un passaggio precedente con az vm show. L'ambito può anche essere assegnato a livello di gruppo di risorse o di sottoscrizione e si applicano le normali autorizzazioni di ereditarietà del controllo degli accessi in base al ruolo di Azure. Per altre informazioni, vedere Accedere a una macchina virtuale Linux in Azure usando Azure Active Directory autenticazione.

$username=$(az account show --query user.name --output tsv)
$vm=$(az vm show --resource-group myResourceGroup --name myVM --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $vm

Nota

Se il dominio AAD e il dominio del nome utente di accesso non corrispondono, è necessario specificare l'ID oggetto dell'account utente con , non solo il --assignee-object-id nome utente per --assignee . È possibile ottenere l'ID oggetto per l'account utente con az ad user list.

Per altre informazioni su come usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse della sottoscrizione di Azure, vedere gli articoli seguenti:

Uso dell'accesso condizionale

È possibile applicare criteri di accesso condizionale, ad esempio l'autenticazione a più fattori o il controllo dei rischi di accesso utente prima di autorizzare l'accesso alle macchine virtuali Windows in Azure abilitate con Azure AD accesso. Per applicare i criteri di accesso condizionale, è necessario selezionare l'app "Accesso alla macchina virtuale Windows di Azure" dall'opzione di assegnazione delle app cloud o delle azioni e quindi usare Rischio di accesso come condizione e/o richiedere l'autenticazione a più fattori come controllo di accesso per la concessione.

Nota

Se si usa "Richiedi autenticazione a più fattori" come controllo di accesso per la concessione del controllo di accesso per richiedere l'accesso all'app "Accesso alla macchina virtuale Windows di Azure", è necessario fornire l'attestazione di autenticazione a più fattori come parte del client che avvia la sessione RDP alla macchina virtuale Windows di destinazione in Azure. L'unico modo per ottenere questo risultato in un client Windows 10 è usare il PIN Windows Hello for Business o l'autenticazione biometrica con il client RDP. Il supporto per l'autenticazione biometrica è stato aggiunto al client RDP Windows 10 versione 1809. Desktop remoto che usa Windows Hello for Business'autenticazione basata su certificati è disponibile solo per le distribuzioni che usano il modello di attendibilità del certificato e attualmente non è disponibile per il modello di attendibilità delle chiavi.

Avviso

L'autenticazione a più fattori abilitata/Azure AD per utente non è supportata per l'accesso alle macchine virtuali.

Accedere usando Azure AD credenziali a una macchina virtuale Windows

Importante

La connessione remota alle macchine virtuali unite a Azure AD è consentita solo da PC Windows 10 registrati Azure AD (la build minima richiesta è 20H1) o da un Azure AD aggiunto Azure AD o ibrido alla stessa directory della macchina virtuale. Inoltre, per usare RDP usando Azure AD credenziali utente, l'utente deve appartenere a uno dei due ruoli di Azure: Accesso amministratore macchina virtuale o Accesso utente macchina virtuale. Se si usa Azure AD pc Windows 10, è necessario immettere le credenziali nel AzureAD\UPN formato ( ad esempio, AzureAD\john@contoso.com ). Al momento, non Azure Bastion possibile usare per accedere usando l'autenticazione Azure Active Directory con l'estensione AADLoginForWindows. è supportato solo RDP diretto.

Per accedere alla macchina virtuale Windows Server 2019 usando Azure AD:

  1. Passare alla pagina di panoramica della macchina virtuale abilitata con Azure AD accesso.
  2. Selezionare Connetti per aprire il pannello Connetti alla macchina virtuale.
  3. Selezionare Scarica file RDP.
  4. Selezionare Apri per avviare il client Connessione Desktop remoto client.
  5. Selezionare Connetti per avviare la finestra di dialogo di accesso di Windows.
  6. Accedere usando le credenziali Azure AD utente.

A questo punto si è connessi alla macchina virtuale windows server 2019 di Azure con le autorizzazioni del ruolo assegnate, ad esempio Utente macchina virtuale o Amministratore vm.

Nota

È possibile salvare . File RDP locale nel computer per avviare future connessioni Desktop remoto alla macchina virtuale invece di passare alla pagina di panoramica della macchina virtuale nel portale di Azure e usando l'opzione di connessione.

Uso Criteri di Azure per garantire gli standard e valutare la conformità

Usare Criteri di Azure per assicurarsi Azure AD'accesso sia abilitato per le macchine virtuali Windows nuove ed esistenti e valutare la conformità dell'ambiente su larga scala nel dashboard di conformità dei criteri di Azure. Con questa funzionalità, è possibile usare molti livelli di imposizione: è possibile contrassegnare le macchine virtuali Windows nuove ed esistenti all'interno dell'ambiente in cui non è abilitato Azure AD account di accesso. È anche possibile usare Criteri di Azure per distribuire l'estensione Azure AD in nuove macchine virtuali Windows in cui non è abilitato l'accesso Azure AD, nonché correggere le macchine virtuali Windows esistenti allo stesso standard. Oltre a queste funzionalità, è anche possibile usare i criteri per rilevare e contrassegnare le macchine virtuali Windows con account locali non approvati creati nei computer. Per altre informazioni, vedere Criteri di Azure.

Risolvere problemi

Risolvere i problemi relativi alla distribuzione

L'estensione AADLoginForWindows deve essere installata correttamente per consentire alla macchina virtuale di completare il Azure AD join. Se l'estensione della macchina virtuale non viene installata correttamente, seguire questa procedura.

  1. Eseguire RDP sulla macchina virtuale usando l'account amministratore locale ed esaminare il CommandExecution.log file in:

    C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\0.3.1.0.

    Nota

    Se l'estensione viene riavviata dopo l'errore iniziale, il log con l'errore di distribuzione verrà salvato come CommandExecution_YYYYMMDDHHMMSSSSS.log . "

  2. Aprire una finestra di PowerShell nella macchina virtuale e verificare che queste query sull'endpoint del servizio metadati dell'istanza in esecuzione nell'host di Azure restituisca:

    Comando da eseguire Output previsto
    curl -H @{"Metadata"="true"} "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Correggere le informazioni sulla macchina virtuale di Azure
    curl -H @{"Metadata"="true"} "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" ID tenant valido associato alla sottoscrizione di Azure
    curl -H @{"Metadata"="true"} "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Token di accesso valido emesso Azure Active Directory per l'identità gestita assegnata a questa macchina virtuale

    Nota

    Il token di accesso può essere decodificato usando uno strumento come calebb.net. Verificare che appid nel token di accesso corrisponda all'identità gestita assegnata alla macchina virtuale.

  3. Verificare che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -

    Nota

    Sostituire <TenantID> con l Azure AD ID tenant associato alla sottoscrizione di Azure.

    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -
  4. Lo stato del dispositivo può essere visualizzato eseguendo dsregcmd /status . L'obiettivo è che lo stato del dispositivo sia visualizzato come AzureAdJoined : YES .

    Nota

    Azure AD'attività di join viene acquisita nel Visualizzatore eventi nel User Device Registration\Admin log.

Se l'estensione AADLoginForWindows ha esito negativo con un determinato codice di errore, è possibile seguire questa procedura:

Problema 1: l'estensione AADLoginForWindows non viene installata con codice di errore terminale "1007" e codice di uscita: -2145648574.

Questo codice di uscita viene tradotto in DSREG_E_MSI_TENANTID_UNAVAILABLE perché l'estensione non è in grado di eseguire query Azure AD informazioni sul tenant.

  1. Verificare che la macchina virtuale di Azure sia in grado di recuperare il TenantID dal servizio metadati dell'istanza.

    • Eseguire RDP sulla macchina virtuale come amministratore locale e verificare che l'endpoint restituisca un ID tenant valido eseguendo questo comando da una finestra di PowerShell con privilegi elevati nella macchina virtuale:

      • curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01
  2. L'amministratore della macchina virtuale tenta di installare l'estensione AADLoginForWindows, ma un'identità gestita assegnata dal sistema non ha abilitato prima la macchina virtuale. Passare al pannello Identità della macchina virtuale. Nella scheda Assegnata dal sistema verificare che Stato sia attivato.

Problema 2: L'estensione AADLoginForWindows non viene installata con codice di uscita: -2145648607

Questo codice di uscita viene tradotto in DSREG_AUTOJOIN_DISC_FAILED perché l'estensione non è in grado di raggiungere https://enterpriseregistration.windows.net l'endpoint.

  1. Verificare che gli endpoint necessari siano accessibili dalla macchina virtuale tramite PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -

    Nota

    Sostituire <TenantID> con l Azure AD ID tenant associato alla sottoscrizione di Azure. Se è necessario trovare l'ID tenant, è possibile passare il puntatore del mouse sul nome dell'account per ottenere la directory o l'ID tenant oppure selezionare proprietà Azure Active Directory > > ID directory nel portale di Azure.

    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -
  2. Se uno dei comandi ha esito negativo con il messaggio "Impossibile risolvere l'host", provare a eseguire questo comando per determinare il server DNS usato <URL> dalla macchina virtuale.

    nslookup <URL>

    Nota

    Sostituire <URL> con i nomi di dominio completi usati dagli endpoint, ad esempio login.microsoftonline.com .

  3. Verificare quindi se la specifica di un server DNS pubblico consente l'esito positivo del comando:

    nslookup <URL> 208.67.222.222

  4. Se necessario, modificare il server DNS assegnato al gruppo di sicurezza di rete a cui appartiene la macchina virtuale di Azure.

Problema 3: L'estensione AADLoginForWindows non viene installata con codice di uscita: 51

Il codice di uscita 51 viene tradotto in "Questa estensione non è supportata nel sistema operativo della macchina virtuale".

L'estensione AADLoginForWindows deve essere installata solo in Windows Server 2019 o Windows 10 (build 1809 o successiva). Verificare che la versione di Windows sia supportata. Se la build di Windows non è supportata, disinstallare l'estensione della macchina virtuale.

Risolvere i problemi di accesso

Alcuni errori comuni che si verificano quando si tenta di eseguire RDP con credenziali Azure AD includono l'assenza di ruoli di Azure assegnati, client non autorizzati o metodo di accesso 2FA obbligatorio. Usare le informazioni seguenti per risolvere questi problemi.

Il dispositivo e lo stato SSO possono essere visualizzati eseguendo dsregcmd /status . L'obiettivo è che lo stato del dispositivo sia AzureAdJoined : YES visualizzato come e che mostri SSO State AzureAdPrt : YES .

Inoltre, l'accesso RDP con Azure AD viene acquisito nel Visualizzatore eventi nei AAD\Operational registri eventi.

Ruolo di Azure non assegnato

Se viene visualizzato il messaggio di errore seguente quando si avvia una connessione Desktop remoto alla macchina virtuale:

  • L'account è configurato per impedire l'uso di questo dispositivo. Per altre informazioni, contattare l'amministratore di sistema.

L'account è configurato per impedire l'uso di questo dispositivo.

Verificare di aver configurato i criteri di controllo degli accessi in base al ruolo di Azure per la macchina virtuale che concedono all'utente il ruolo Accesso amministratore macchina virtuale o Accesso utente macchina virtuale:

Nota

Se si verificano problemi con le assegnazioni di ruolo di Azure, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure.

Client non autorizzato

Se viene visualizzato il messaggio di errore seguente quando si avvia una connessione Desktop remoto alla macchina virtuale:

  • le credenziali non funzionavano.

Le credenziali non funzionano

Verificare che il PC Windows 10 in uso per avviare la connessione Desktop remoto sia un pc aggiunto Azure AD o un Azure AD ibrido aggiunto alla stessa directory Azure AD a cui è stata unita la macchina virtuale. Per altre informazioni sull'identità del dispositivo, vedere l'articolo Informazioni sull'identità del dispositivo.

Nota

Windows 10 build 20H1 è stato aggiunto il supporto per Azure AD PC registrato per avviare la connessione RDP alla macchina virtuale. Quando si usa un PC registrato Azure AD (non aggiunto Azure AD o aggiunto Azure AD ibrido) come client RDP per avviare le connessioni alla macchina virtuale, è necessario immettere le credenziali nel formato AzureAD\UPN (ad esempio, AzureAD\john@contoso.com ).

Verificare che l'estensione AADLoginForWindows non sia stata disinstallata al termine dell Azure AD join.

Assicurarsi inoltre che il criterio di sicurezza "Sicurezza di rete: Consenti alle richieste di autenticazione PKU2U al computer di usare le identità online" sia abilitato sia nel server che nel client.

Metodo di accesso MFA obbligatorio

Se viene visualizzato il messaggio di errore seguente quando si avvia una connessione Desktop remoto alla macchina virtuale:

  • Il metodo di accesso che si sta tentando di usare non è consentito. Provare un metodo di accesso diverso o contattare l'amministratore di sistema.

Il metodo di accesso che si sta tentando di usare non è consentito.

Se sono stati configurati criteri di accesso condizionale che richiedono l'autenticazione a più fattori (MFA) prima di poter accedere alla risorsa, è necessario assicurarsi che il PC Windows 10 che avvia la connessione Desktop remoto alla macchina virtuale acceda usando un metodo di autenticazione sicuro, ad esempio Windows Hello. Se non si usa un metodo di autenticazione avanzata per la connessione Desktop remoto, verrà visualizzato l'errore precedente.

Se non è stata distribuita Windows Hello for Business e questa non è un'opzione per il momento, è possibile escludere il requisito MFA configurando criteri di accesso condizionale che escludono l'app "Accesso alle macchine virtuali Windows di Azure" dall'elenco di app cloud che richiedono l'autenticazione a più fattori. Per altre informazioni sui Windows Hello for Business, vedere Windows Hello for Business Panoramica.

Nota

Windows Hello for Business'autenticazione DEL PIN con RDP è stata supportata da Windows 10 per diverse versioni, ma il supporto per l'autenticazione biometrica con RDP è stato aggiunto Windows 10 versione 1809. L'Windows Hello for Business durante RDP è disponibile solo per le distribuzioni che usano il modello di attendibilità del certificato e attualmente non per il modello di attendibilità delle chiavi.

Condividere i commenti e suggerimenti su questa funzionalità o segnalare i problemi usandola nel forum Azure AD feedback.

Passaggi successivi

Per altre informazioni sui Azure Active Directory, vedere Informazioni Azure Active Directory.