Entre em uma máquina virtual do Windows no Azure usando a ID do Microsoft Entra, incluindo sem senha

  • Artigo

As organizações podem melhorar a segurança das máquinas virtuais (VMs) do Windows no Azure integrando-se com a autenticação do Microsoft Entra. Agora você pode usar o Microsoft Entra ID como uma plataforma de autenticação principal para RDP (Remote Desktop Protocol) no Windows Server 2019 Datacenter edition e posterior, ou no Windows 10 1809 e posterior. Em seguida, você pode controlar centralmente e impor o RBAC (controle de acesso baseado em função) e as políticas de Acesso Condicional do Azure que permitem ou negam acesso às VMs.

Este artigo mostra como criar e configurar uma VM do Windows e fazer logon usando a autenticação baseada em ID do Microsoft Entra.

Há muitos benefícios de segurança em usar a autenticação baseada em ID do Microsoft Entra para entrar em VMs do Windows no Azure. Estas incluem:

  • Use a autenticação do Microsoft Entra, incluindo sem senha, para entrar em VMs do Windows no Azure.

  • Reduza a dependência de contas de administrador local.

  • A complexidade da senha e as políticas de tempo de vida da senha que você configura para o Microsoft Entra ID também ajudam a proteger as VMs do Windows.

  • Com o Azure RBAC:

    • Especifique quem pode entrar em uma VM como um usuário regular ou com privilégios de administrador.
    • Quando os usuários entram ou saem da sua equipe, você pode atualizar a política do RBAC do Azure para que a VM conceda acesso conforme apropriado.
    • Quando os funcionários deixam sua organização e suas contas de usuário são desabilitadas ou removidas do Microsoft Entra ID, eles não têm mais acesso aos seus recursos.

  • Configure as políticas de Acesso Condicional para "MFA resistente a phishing" usando exigir força de autenticação (visualização), conceder controle ou exigir autenticação multifator e outros sinais, como risco de entrada do usuário, antes de poder RDP em VMs do Windows.

  • Use a Política do Azure para implantar e auditar políticas para exigir o logon do Microsoft Entra para VMs do Windows e para sinalizar o uso de contas locais não aprovadas nas VMs.

  • Use o Intune para automatizar e dimensionar a associação do Microsoft Entra com o registro automático de gerenciamento de dispositivos móveis (MDM) de VMs do Windows do Azure que fazem parte de suas implantações de VDI (infraestrutura de área de trabalho virtual).

    O registro automático do MDM requer licenças do Microsoft Entra ID P1. As VMs do Windows Server não oferecem suporte ao registro de MDM.

Nota

Depois de habilitar esse recurso, suas VMs do Windows no Azure serão associadas ao Microsoft Entra. Não é possível associá-los a outro domínio, como o Ative Directory local ou os Serviços de Domínio Microsoft Entra. Se você precisar fazer isso, desconecte a VM da ID do Microsoft Entra desinstalando a extensão.

Requisitos

Regiões do Azure e distribuições do Windows suportadas

Este recurso atualmente suporta as seguintes distribuições do Windows:

  • Windows Server 2019 Datacenter e posterior
  • Windows 10 1809 e posterior
  • Windows 11 21H2 e posterior

Esse recurso agora está disponível nas seguintes nuvens do Azure:

  • Azure Global
  • Azure Government
  • Microsoft Azure operado pela 21Vianet

Requisitos de rede

Para habilitar a autenticação do Microsoft Entra para suas VMs do Windows no Azure, você precisa garantir que a configuração de rede da VM permita o acesso de saída aos seguintes pontos de extremidade pela porta TCP 443.

Azure Global:

  • https://enterpriseregistration.windows.net: Para registro de dispositivo.
  • http://169.254.169.254: Ponto de extremidade do Serviço de Metadados de Instância do Azure.
  • https://login.microsoftonline.com: Para fluxos de autenticação.
  • https://pas.windows.net: Para fluxos RBAC do Azure.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: Para registro de dispositivo.
  • http://169.254.169.254: Ponto de extremidade do Serviço de Metadados de Instância do Azure.
  • https://login.microsoftonline.us: Para fluxos de autenticação.
  • https://pasff.usgovcloudapi.net: Para fluxos RBAC do Azure.

Microsoft Azure operado pela 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: Para registro de dispositivo.
  • http://169.254.169.254: Ponto de extremidade do Serviço de Metadados de Instância do Azure.
  • https://login.chinacloudapi.cn: Para fluxos de autenticação.
  • https://pas.chinacloudapi.cn: Para fluxos RBAC do Azure.

Requisitos de autenticação

As contas de convidado do Microsoft Entra não podem se conectar a VMs do Azure ou VMs habilitadas para o Azure Bastion por meio da autenticação do Microsoft Entra.

Habilitar o logon do Microsoft Entra para uma VM do Windows no Azure

Para usar o logon do Microsoft Entra para uma VM do Windows no Azure, você deve:

  1. Habilite a opção de login do Microsoft Entra para a VM.
  2. Configure atribuições de função do Azure para usuários autorizados a entrar na VM.

Há duas maneiras de habilitar o login do Microsoft Entra para sua VM do Windows:

  • O portal do Azure, quando você está criando uma VM do Windows.
  • Azure Cloud Shell, quando você está criando uma VM do Windows ou usando uma VM do Windows existente.

Nota

Se existir um objeto de dispositivo com o mesmo displayName que o nome de host de uma VM onde uma extensão está instalada, a VM não conseguirá unir o ID do Microsoft Entra com um erro de duplicação de nome de host. Evite a duplicação modificando o nome do host.

Portal do Azure

Você pode habilitar o login do Microsoft Entra para imagens de VM no Windows Server 2019 Datacenter ou no Windows 10 1809 e posterior.

Para criar uma VM do Windows Server 2019 Datacenter no Azure com o login do Microsoft Entra:

  1. Entre no portal do Azure usando uma conta que tenha acesso para criar VMs e selecione + Criar um recurso.

  2. Na barra de pesquisa Pesquisar no Marketplace, digite Windows Server.

  3. Selecione Windows Server e, em seguida, escolha Windows Server 2019 Datacenter na lista suspensa Selecione um plano de software.

  4. Selecione Criar.

  5. Na guia Gerenciamento, marque a caixa deseleção Login com ID do Microsoft Entra na seção ID do Microsoft Entra.

    Captura de tela que mostra a guia Gerenciamento na página do portal do Azure para criar uma máquina virtual.

  6. Verifique se a identidade gerenciada atribuída ao sistema na seção Identidade está selecionada. Esta ação deve acontecer automaticamente depois de ativar o início de sessão com o Microsoft Entra ID.

  7. Percorra o resto da experiência de criação de uma máquina virtual. Você precisa criar um nome de usuário e senha de administrador para a VM.

Nota

Para entrar na VM usando suas credenciais do Microsoft Entra, primeiro você precisa configurar atribuições de função para a VM.

Azure Cloud Shell

O Azure Cloud Shell é um shell interativo gratuito que pode utilizar para executar os passos neste artigo. As ferramentas comuns do Azure estão pré-instaladas e configuradas no Cloud Shell para que possa utilizá-las com a sua conta. Basta selecionar o botão Copiar para copiar o código, colá-lo no Cloud Shell e, em seguida, selecionar a tecla Enter para executá-lo. Existem algumas formas de abrir o Cloud Shell:

  • Selecione Experimentar no canto superior direito de um bloco de código.
  • Abrir o Cloud Shell no seu browser.
  • Selecione o botão Cloud Shell no menu no canto superior direito do portal do Azure.

Este artigo requer que você execute a CLI do Azure versão 2.0.31 ou posterior. Executar az --version para localizar a versão. Se você precisar instalar ou atualizar, consulte o artigo Instalar a CLI do Azure.

  1. Crie um grupo de recursos executando az group create.
  2. Crie uma VM executando az vm create. Use uma distribuição suportada em uma região suportada.
  3. Instale a extensão VM de login do Microsoft Entra.

O exemplo a seguir implanta uma VM chamada myVM (que usa Win2019Datacenter) em um grupo de recursos chamado myResourceGroup, na southcentralus região. Neste exemplo e no próximo, você pode fornecer seu próprio grupo de recursos e nomes de VM conforme necessário.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Nota

Você deve habilitar a identidade gerenciada atribuída ao sistema em sua máquina virtual antes de instalar a extensão de VM de login do Microsoft Entra. As Identidades Gerenciadas são armazenadas em um único locatário do Microsoft Entra e atualmente não oferecem suporte a cenários entre diretórios.

São necessários alguns minutos para criar a VM e os recursos de suporte.

Finalmente, instale a extensão de VM de login do Microsoft Entra para habilitar o login do Microsoft Entra para VMs do Windows. As extensões de VM são pequenos aplicativos que fornecem tarefas de configuração e automação pós-implantação em Máquinas Virtuais do Azure. Use az vm extension set para instalar a extensão AADLoginForWindows na VM nomeada myVM no myResourceGroup grupo de recursos.

Você pode instalar a extensão AADLoginForWindows em uma VM existente do Windows Server 2019 ou Windows 10 1809 e posterior para habilitá-la para autenticação do Microsoft Entra. O exemplo a seguir usa a CLI do Azure para instalar a extensão:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Depois que a extensão for instalada na VM, provisioningState mostra Succeeded.

Configurar atribuições de função para a VM

Agora que você criou a VM, precisa atribuir uma das seguintes funções do Azure para determinar quem pode entrar na VM. Para atribuir essas funções, você deve ter a função de Administrador de Acesso a Dados de Máquina Virtual ou qualquer função que inclua a Microsoft.Authorization/roleAssignments/write ação, como a função de Administrador de Controle de Acesso Baseado em Função . No entanto, se você usar uma função diferente de Administrador de Acesso a Dados de Máquina Virtual, recomendamos adicionar uma condição para reduzir a permissão para criar atribuições de função.

  • Login de Administrador de Máquina Virtual: os usuários que têm essa função atribuída podem entrar em uma máquina virtual do Azure com privilégios de administrador.
  • Login de Usuário da Máquina Virtual: os usuários que têm essa função atribuída podem entrar em uma máquina virtual do Azure com privilégios de usuário regulares.

Para permitir que um usuário entre na VM pelo RDP, você deve atribuir a função Login de Administrador de Máquina Virtual ou Login de Usuário de Máquina Virtual ao recurso de Máquina Virtual.

Nota

Não há suporte para elevar manualmente um usuário para se tornar um administrador local na VM adicionando o usuário a um membro do grupo de administradores locais ou executando net localgroup administrators /add "AzureAD\UserUpn" o comando. Você precisa usar as funções do Azure acima para autorizar o logon da VM.

Um usuário do Azure que tenha a função de Proprietário ou Colaborador atribuída a uma VM não tem automaticamente privilégios para entrar na VM pelo RDP. O motivo é fornecer separação auditada entre o conjunto de pessoas que controlam máquinas virtuais e o conjunto de pessoas que podem acessar máquinas virtuais.

Há duas maneiras de configurar atribuições de função para uma VM:

  • Experiência no centro de administração do Microsoft Entra
  • Experiência do Azure Cloud Shell

Nota

As funções Login de Administrador de Máquina Virtual e Login de Usuário de Máquina Virtual usam dataActions, portanto, não podem ser atribuídas no escopo do grupo de gerenciamento. Atualmente, você pode atribuir essas funções somente na assinatura, no grupo de recursos ou no escopo do recurso.

Centro de administração do Microsoft Entra

Para configurar atribuições de função para suas VMs de Datacenter do Windows Server 2019 habilitadas para ID do Microsoft Entra:

  1. Em Grupo de Recursos, selecione o grupo de recursos que contém a VM e sua rede virtual associada, interface de rede, endereço IP público ou recurso de balanceador de carga.

  2. Selecione Controlo de acesso (IAM) .

  3. Selecione Adicionar>atribuição de função para abrir a página Adicionar atribuição de função.

  4. Atribua a seguinte função. Para obter etapas detalhadas, consulte Atribuir funções do Azure usando o portal do Azure.

    Definição Value
    Role Login de Administrador de Máquina Virtual ou Login de Usuário de Máquina Virtual
    Atribuir acesso a Usuário, grupo, entidade de serviço ou identidade gerenciada

    Captura de tela que mostra a página para adicionar uma atribuição de função.

Azure Cloud Shell

O exemplo a seguir usa az role assignment create para atribuir a função de Logon de Administrador de Máquina Virtual à VM para seu usuário atual do Azure. Você obtém o nome de usuário da sua conta atual do Azure usando az account show e define o escopo para a VM criada em uma etapa anterior usando az vm show.

Você também pode atribuir o escopo em um grupo de recursos ou nível de assinatura. Aplicam-se permissões normais de herança do RBAC do Azure.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Nota

Se o domínio do Microsoft Entra e o domínio do nome de usuário de login não corresponderem, especifique a ID do objeto da sua conta de usuário usando --assignee-object-id, e não apenas o nome de usuário do --assignee. Você pode obter o ID do objeto para sua conta de usuário usando az ad user list.

Para obter mais informações sobre como usar o RBAC do Azure para gerenciar o acesso aos recursos de assinatura do Azure, consulte os seguintes artigos:

Iniciar sessão utilizando credenciais do Microsoft Entra para uma VM do Windows

Você pode entrar pelo RDP usando um dos dois métodos:

  1. Sem senha usando qualquer uma das credenciais do Microsoft Entra suportadas (recomendado)
  2. Sem senha/senha limitada usando o Windows Hello for Business implantado usando o modelo de confiança de certificado

Inicie sessão utilizando autenticação sem palavra-passe com o Microsoft Entra ID

Para usar a autenticação sem senha para suas VMs do Windows no Azure, você precisa da máquina cliente Windows e do host de sessão (VM) nos seguintes sistemas operacionais:

Importante

A máquina cliente Windows deve estar registrada no Microsoft Entra ou no Microsoft Entra ingressado ou no Microsoft Entra híbrido ingressado no mesmo diretório que a VM. Além disso, para RDP usando credenciais do Microsoft Entra, os usuários devem pertencer a uma das duas funções do Azure, Logon de Administrador de Máquina Virtual ou Logon de Usuário de Máquina Virtual. Este requisito não existe para o início de sessão sem palavra-passe.

Para se conectar ao computador remoto:

  • Inicie a Ligação ao Ambiente de Trabalho Remoto a partir do Windows Search ou executando mstsc.exeo .
  • Selecione Usar uma conta da Web para entrar no computador remoto na guia Avançado . Esta opção é equivalente à enablerdsaadauth propriedade RDP. Para obter mais informações, consulte Propriedades RDP suportadas com os Serviços de Área de Trabalho Remota.
  • Especifique o nome do computador remoto e selecione Conectar.

Nota

O endereço IP não pode ser usado quando a opção Usar uma conta da Web para entrar no computador remoto é usada. O nome deve corresponder ao nome do host do dispositivo remoto no Microsoft Entra ID e ser endereçável à rede, resolvendo para o endereço IP do dispositivo remoto.

  • Quando as credenciais forem solicitadas, especifique seu nome de usuário no user@domain.com formato.
  • Em seguida, ser-lhe-á pedido para permitir a ligação ao ambiente de trabalho remoto quando ligar a um novo PC. O Microsoft Entra lembra até 15 hosts por 30 dias antes de solicitar novamente. Se vir esta caixa de diálogo, selecione Sim para ligar.

Importante

Se sua organização configurou e está usando o Acesso Condicional do Microsoft Entra, seu dispositivo deve atender aos requisitos de Acesso Condicional para permitir a conexão com o computador remoto. As políticas de acesso condicional podem ser aplicadas ao aplicativo Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para acesso controlado.

Nota

A tela de bloqueio do Windows na sessão remota não suporta tokens de autenticação do Microsoft Entra ou métodos de autenticação sem senha, como chaves FIDO. A falta de suporte para esses métodos de autenticação significa que os usuários não podem desbloquear suas telas em uma sessão remota. Quando você tenta bloquear uma sessão remota, seja por meio de ação do usuário ou diretiva do sistema, a sessão é desconectada e o serviço envia uma mensagem ao usuário explicando que ele foi desconectado. Desconectar a sessão também garante que, quando a conexão for reiniciada após um período de inatividade, o Microsoft Entra ID reavaliará as políticas de Acesso Condicional aplicáveis.

Faça login usando autenticação sem senha/senha limitada com o Microsoft Entra ID

Importante

A conexão remota com VMs que ingressaram na ID do Microsoft Entra é permitida somente a partir de PCs com Windows 10 ou posteriores que estejam registrados no Microsoft Entra (a compilação mínima necessária é 20H1) ou Microsoft Entra ingressado ou híbrido do Microsoft Entra ingressado no mesmo diretório que a VM. Além disso, para RDP usando credenciais do Microsoft Entra, os usuários devem pertencer a uma das duas funções do Azure, Logon de Administrador de Máquina Virtual ou Logon de Usuário de Máquina Virtual.

Se estiver a utilizar um PC registado com o Microsoft Entra com Windows 10 ou posterior, tem de introduzir credenciais no AzureAD\UPN formato (por exemplo, AzureAD\john@contoso.com). Neste momento, pode utilizar o Azure Bastion para iniciar sessão com a autenticação do Microsoft Entra através da CLI do Azure e do cliente RDP nativo mstsc.

Para entrar na máquina virtual do Windows Server 2019 usando a ID do Microsoft Entra:

  1. Vá para a página de visão geral da máquina virtual que foi habilitada com o login do Microsoft Entra.
  2. Selecione Conectar para abrir o painel Conectar à máquina virtual.
  3. Selecione Transferir Ficheiro RDP.
  4. Selecione Abrir para abrir o cliente de Ligação ao Ambiente de Trabalho Remoto.
  5. Selecione Conectar para abrir a caixa de diálogo de login do Windows.
  6. Faça logon usando suas credenciais do Microsoft Entra.

Agora você está conectado à máquina virtual do Azure do Windows Server 2019 com as permissões de função atribuídas, como Usuário de VM ou Administrador de VM.

Nota

Você pode salvar o arquivo . RDP localmente no seu computador para iniciar futuras ligações de ambiente de trabalho remoto à sua máquina virtual, em vez de ir para a página de descrição geral da máquina virtual no portal do Azure e utilizar a opção de ligação.

Impor políticas de Acesso Condicional

Você pode impor políticas de Acesso Condicional, como "MFA resistente a phishing" usando exigir força de autenticação (visualização) controle de concessão ou autenticação multifator ou verificação de risco de entrada do usuário, antes de autorizar o acesso a VMs do Windows no Azure habilitadas com o logon do Microsoft Entra. Para aplicar uma política de Acesso Condicional, tem de selecionar a aplicação de Início de Sessão da Máquina Virtual do Windows Azure a partir da opção de atribuição de aplicações ou ações na nuvem. Em seguida, use o risco de entrada como uma condição ou "MFA resistente a phishing" usando exigir força de autenticação (visualização) conceder controle ou exigir MFA como um controle para conceder acesso.

Nota

Se você precisar de MFA como um controle para conceder acesso ao aplicativo Microsoft Azure Windows Virtual Machine Sign-in, deverá fornecer uma declaração de MFA como parte do cliente que inicia a sessão RDP para a VM do Windows de destino no Azure. Isso pode ser conseguido usando o método de autenticação sem senha para RDP que satisfaça as políticas de Acesso Condicional, no entanto, se você estiver usando um método sem senha limitado para RDP, a única maneira de conseguir isso em um cliente Windows 10 ou posterior é usar um PIN do Windows Hello for Business ou autenticação biométrica com o cliente RDP. Suporte para autenticação biométrica foi adicionado ao cliente RDP no Windows 10 versão 1809. A área de trabalho remota usando a autenticação do Windows Hello for Business está disponível apenas para implantações que usam um modelo de confiança de certificado. No momento, não está disponível para um modelo de confiança de chave.

Usar a Política do Azure para atender aos padrões e avaliar a conformidade

Utilizar o Azure Policy para:

  • Certifique-se de que o login do Microsoft Entra esteja habilitado para suas máquinas virtuais do Windows novas e existentes.
  • Avalie a conformidade do seu ambiente em escala em um painel de conformidade.

Com esse recurso, você pode usar vários níveis de aplicação. Você pode sinalizar VMs do Windows novas e existentes em seu ambiente que não têm o login do Microsoft Entra habilitado. Você também pode usar a Política do Azure para implantar a extensão Microsoft Entra em novas VMs do Windows que não têm o logon do Microsoft Entra habilitado e corrigir VMs do Windows existentes para o mesmo padrão.

Além desses recursos, você pode usar a Política do Azure para detetar e sinalizar VMs do Windows que tenham contas locais não aprovadas criadas em suas máquinas. Para saber mais, consulte a Política do Azure.

Solucionar problemas de implantação

A extensão AADLoginForWindows deve ser instalada com êxito para que a VM conclua o processo de associação do Microsoft Entra. Se a extensão da VM não for instalada corretamente, execute as seguintes etapas:

  1. RDP para a VM usando a conta de administrador local e examine o arquivo de CommandExecution.log em C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Nota

    Se a extensão for reiniciada após a falha inicial, o log com o erro de implantação será salvo como CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Abra uma janela do PowerShell na VM. Verifique se as seguintes consultas no ponto de extremidade do Serviço de Metadados de Instância do Azure em execução no host do Azure retornam a saída esperada:

    Comando a executar Resultado esperado
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Informações corretas sobre a VM do Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" ID de locatário válido associado à assinatura do Azure
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Token de acesso válido emitido pelo Microsoft Entra ID para a identidade gerenciada atribuída a esta VM

    Nota

    Você pode decodificar o token de acesso usando uma ferramenta como https://jwt.ms/. Verifique se o oid valor no token de acesso corresponde à identidade gerenciada atribuída à VM.

  3. Certifique-se de que os pontos de extremidade necessários estejam acessíveis a partir da VM por meio do PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Nota

    Substitua <TenantID> pela ID de locatário do Microsoft Entra associada à assinatura do Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.nete pas.windows.net deve retornar 404 Não Encontrado, que é o comportamento esperado.

  4. Exiba o estado do dispositivo executando dsregcmd /status. O objetivo é que o estado do dispositivo seja exibido como AzureAdJoined : YES.

    Nota

    A atividade de ingresso do Microsoft Entra é capturada no Visualizador de Eventos no log Registro de Dispositivo do Usuário\Admin em Visualizador de Eventos (local)\Logs de Aplicativos e Serviços\Microsoft\Windows\Registro de Dispositivo do Usuário\Admin.

Se a extensão AADLoginForWindows falhar com um código de erro, você pode executar as etapas a seguir.

Código de erro terminal 1007 e código de saída -2145648574.

O código de erro terminal 1007 e o código de saída -2145648574 traduzir para DSREG_E_MSI_TENANTID_UNAVAILABLE. A extensão não pode consultar as informações do locatário do Microsoft Entra.

Conecte-se à VM como administrador local e verifique se o ponto de extremidade retorna uma ID de locatário válida do Serviço de Metadados de Instância do Azure. Execute o seguinte comando a partir de uma janela elevada do PowerShell na VM:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Esse problema também pode acontecer quando o administrador da VM tenta instalar a extensão AADLoginForWindows, mas uma identidade gerenciada atribuída ao sistema não habilitou a VM primeiro. Nesse caso, vá para o painel Identidade da VM. Na guia Sistema atribuído, verifique se a alternância Status está definida como Ativado.

Código de saída -2145648607

O código de saída -2145648607 se traduz em DSREG_AUTOJOIN_DISC_FAILED. A extensão não pode atingir o https://enterpriseregistration.windows.net ponto de extremidade.

  1. Verifique se os pontos de extremidade necessários estão acessíveis a partir da VM via PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Nota

    Substitua <TenantID> pela ID de locatário do Microsoft Entra associada à assinatura do Azure. Se precisar de encontrar o ID do inquilino, pode passar o rato sobre o nome da sua conta ou selecionar Descrição Geral da>Identidade>Propriedades>ID do Inquilino.

    As tentativas de conexão podem enterpriseregistration.windows.net retornar 404 Não encontrado, que é o comportamento esperado. As tentativas de conexão podem pas.windows.net solicitar credenciais de PIN ou podem retornar 404 Não encontrado. (Não é necessário introduzir o PIN.) Qualquer um deles é suficiente para verificar se o URL está acessível.

  2. Se algum dos comandos falhar com "Não foi possível resolver o host <URL>", tente executar este comando para determinar qual servidor DNS a VM está usando:

    nslookup <URL>

    Nota

    Substitua <URL> pelos nomes de domínio totalmente qualificados que os pontos de extremidade usam, como login.microsoftonline.com.

  3. Veja se a especificação de um servidor DNS público permite que o comando seja bem-sucedido:

    nslookup <URL> 208.67.222.222

  4. Se necessário, altere o servidor DNS atribuído ao grupo de segurança de rede ao qual a VM do Azure pertence.

Código de saída 51

O código de saída 51 se traduz em "Esta extensão não é suportada no sistema operacional da VM".

A extensão AADLoginForWindows destina-se a ser instalada apenas no Windows Server 2019 ou Windows 10 (Build 1809 ou posterior). Certifique-se de que a sua versão ou compilação do Windows é suportada. Se não for suportado, desinstale a extensão.

Resolver problemas de início de sessão

Utilize as seguintes informações para corrigir problemas de início de sessão.

Você pode exibir o dispositivo e o estado de logon único (SSO) executando dsregcmd /status. O objetivo é que o estado do dispositivo seja exibido como AzureAdJoined : YES e que o estado SSO seja exibido AzureAdPrt : YES.

A entrada RDP por meio de contas do Microsoft Entra é capturada no Visualizador de Eventos nos logs de eventos de Aplicativos e Serviços\Windows\AAD\Operational event logs.

Função do Azure não atribuída

Poderá receber a seguinte mensagem de erro quando inicia uma ligação ao ambiente de trabalho remoto para a sua VM: "A sua conta está configurada para o impedir de utilizar este dispositivo. Para obter mais informações, entre em contato com o administrador do sistema."

Captura de ecrã da mensagem que indica que a sua conta está configurada para o impedir de utilizar este dispositivo.

Verifique se você configurou as políticas do RBAC do Azure para a VM que concedem ao usuário a função Logon de Administrador de Máquina Virtual ou Logon de Usuário de Máquina Virtual.

Nota

Se você estiver tendo problemas com atribuições de função do Azure, consulte Solucionar problemas do RBAC do Azure.

Alteração não autorizada de cliente ou senha necessária

Poderá receber a seguinte mensagem de erro quando iniciar uma ligação de ambiente de trabalho remoto à sua VM: "As suas credenciais não funcionaram."

Captura de ecrã da mensagem que diz que as suas credenciais não funcionaram.

Experimente estas soluções:

  • O PC Windows 10 ou posterior que está a utilizar para iniciar a ligação ao ambiente de trabalho remoto tem de ser associado ao Microsoft Entra ou híbrido do Microsoft Entra associado ao mesmo diretório do Microsoft Entra. Para obter mais informações sobre a identidade do dispositivo, consulte o artigo O que é uma identidade do dispositivo?.

    Nota

    O Windows 10 Build 20H1 adicionou suporte para um PC registado Microsoft Entra para iniciar uma ligação RDP à sua VM. Quando estiver a utilizar um PC registado no Microsoft Entra (não no Microsoft Entra ou no Microsoft Entra híbrido) como cliente RDP para iniciar ligações à sua VM, tem de introduzir credenciais no formato AzureAD\UPN (por exemplo, AzureAD\john@contoso.com).

    Verifique se a extensão AADLoginForWindows não foi desinstalada após a conclusão da associação do Microsoft Entra.

    Além disso, certifique-se de que a política de segurança Segurança de rede: Permitir que solicitações de autenticação PKU2U para este computador usem identidades online está habilitada no servidor e no cliente.

  • Verifique se o usuário não tem uma senha temporária. As palavras-passe temporárias não podem ser utilizadas para iniciar sessão numa ligação ao ambiente de trabalho remoto.

    Entre com a conta de usuário em um navegador da Web. Por exemplo, entre no portal do Azure em uma janela de navegação privada. Se lhe for pedido para alterar a palavra-passe, defina uma nova palavra-passe. Em seguida, tente ligar novamente.

Método de entrada MFA necessário

Poderá ver a seguinte mensagem de erro quando inicia uma ligação ao ambiente de trabalho remoto para a sua VM: "O método de início de sessão que está a tentar utilizar não é permitido. Experimente um método de início de sessão diferente ou contacte o administrador do sistema."

Captura de ecrã da mensagem que indica que o método de início de sessão que está a tentar utilizar não é permitido.

Se você configurou uma política de Acesso Condicional que requer MFA ou autenticação multifator Enabled/Enforced Microsoft Entra herdada por usuário antes de poder acessar o recurso, você precisa garantir que o PC com Windows 10 ou posterior que está iniciando a conexão da área de trabalho remota com sua VM entre usando um método de autenticação forte, como o Windows Hello. Se não utilizar um método de autenticação forte para a ligação ao ambiente de trabalho remoto, verá o erro.

Outra mensagem de erro relacionada ao MFA é a descrita anteriormente: "Suas credenciais não funcionaram".

Captura de ecrã da mensagem que indica que as suas credenciais não funcionaram.

Se você configurou uma configuração de autenticação multifator Enabled/Enforced Microsoft Entra herdada por usuário e vê o erro acima, pode resolver o problema removendo a configuração MFA por usuário. Para obter mais informações, consulte o artigo Habilitar a autenticação multifator do Microsoft Entra por usuário para proteger eventos de entrada.

Se você não implantou o Windows Hello for Business e se isso não for uma opção por enquanto, poderá configurar uma política de Acesso Condicional que exclua o aplicativo de Entrada de Máquina Virtual do Windows do Microsoft Azure da lista de aplicativos na nuvem que exigem MFA. Para saber mais sobre o Windows Hello for Business, consulte Visão geral do Windows Hello for Business.

Nota

A autenticação de PIN do Windows Hello for Business com RDP tem sido suportada para várias versões do Windows 10. Suporte para autenticação biométrica com RDP foi adicionado no Windows 10 versão 1809. O uso da autenticação do Windows Hello for Business durante o RDP está disponível para implantações que usam um modelo de confiança de certificado ou um modelo de confiança de chave.

Partilhe os seus comentários sobre esta funcionalidade ou comunique problemas com a sua utilização no fórum de comentários do Microsoft Entra.

Aplicação em falta

Se o aplicativo de entrada da Máquina Virtual do Windows Azure estiver ausente do Acesso Condicional, verifique se o aplicativo está no locatário:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.
  3. Remova os filtros para ver todos os aplicativos e procure por VM. Se você não vir o Logon de Máquina Virtual do Windows do Microsoft Azure como resultado, a entidade de serviço está ausente do locatário.

Gorjeta

Alguns locatários podem ver o aplicativo chamado Azure Windows VM Sign-in em vez de Microsoft Azure Windows Virtual Machine Sign-in. O aplicativo terá o mesmo ID de aplicativo de 372140e0-b3b7-4226-8ef9-d57986796201.

Próximos passos

Para obter mais informações sobre o Microsoft Entra ID, consulte O que é o Microsoft Entra ID?.