Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo usar el control de acceso basado en rol (RBAC) de Azure para la administración de identidades y acceso en la infraestructura de escritorio virtual. La administración eficaz de identidades y acceso garantiza operaciones seguras y eficaces para Azure Virtual Desktop.
Diseño del control de acceso basado en rol (RBAC)
RBAC permite la separación de tareas entre los equipos y las personas que administran la implementación de Azure Virtual Desktop. Simplifica la administración de usuarios y mejora la seguridad mediante la asignación de roles en función de las responsabilidades. Para lograrlo, siga estos pasos:
Definir asignaciones de roles. Determine las asignaciones de roles y cree los grupos de seguridad correspondientes para cada rol. Este enfoque simplifica la administración de usuarios y garantiza una separación clara de las tareas. Use roles integrados de Azure junto con roles personalizados adaptados a Azure Virtual Desktop.
Combinar roles para permisos entre servicios. Combine roles específicos de Azure Virtual Desktop con otros roles de RBAC para conceder a los usuarios los permisos necesarios en servicios de Azure, como máquinas virtuales y redes. Para más información, consulte Roles integrados de Azure Virtual Desktop.
Autenticación única
El inicio de sesión único (SSO) para Azure Virtual Desktop con Microsoft Entra ID ofrece una experiencia de autenticación sin problemas para los usuarios que se conectan a hosts de sesión. El inicio de sesión único mejora la experiencia del usuario y la seguridad al habilitar la autenticación sin contraseña y admitir proveedores de identidades que no son de Microsoft federados con el identificador de Microsoft Entra. Para implementar el inicio de sesión único, siga estos pasos:
Active el inicio de sesión único para los hosts de sesión. Configure el inicio de sesión único para que los usuarios accedan a Windows mediante un token de Microsoft Entra ID. Esta configuración simplifica la autenticación y admite los recursos basados en identificadores de Microsoft Entra dentro de la sesión. Para más información sobre la configuración, consulte Configuración del inicio de sesión único para Azure Virtual Desktop mediante el identificador de Microsoft Entra.
Integrar proveedores de identidades que no son de Microsoft. Use proveedores de identidades federados que no son de Microsoft con el identificador de Entra de Microsoft para ampliar las funcionalidades de autenticación. Esta integración simplifica el acceso a los usuarios y mejora la seguridad.
Consideraciones de diseño de Azure Virtual Desktop
En esta sección se describen las consideraciones clave de diseño para implementar Azure Virtual Desktop. Estas consideraciones le ayudan a seleccionar las estrategias de identidad, autenticación y unión a un dominio adecuadas para garantizar el acceso seguro y confiable para los usuarios. Siga estas recomendaciones para lograr una configuración óptima:
Requerir autenticación de usuario con el identificador de Microsoft Entra. Los usuarios deben autenticarse con Microsoft Entra ID para acceder a los escritorios y aplicaciones desde hosts de sesión. Microsoft Entra ID proporciona administración centralizada de identidades en la nube para Azure Virtual Desktop.
Seleccione una opción de unión a un dominio compatible para los hosts de sesión. Unir anfitriones de sesión al mismo inquilino de Microsoft Entra, Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services. Azure Virtual Desktop no admite cuentas B2B o Microsoft para la unión a un dominio de host de sesión.
Use una cuenta no interactiva para las operaciones de unión a un dominio. La cuenta de unión a un dominio no debe requerir autenticación multifactor ni avisos interactivos. Para obtener más requisitos, consulte Detalles de la máquina virtual.
Elija la estrategia de hospedaje adecuada. Seleccione Active Directory Domain Services o Microsoft Entra Domain Services en función de sus requisitos organizativos.
Conozca las limitaciones de Microsoft Entra Domain Services.Microsoft Entra Domain Services es una opción compatible, pero debe habilitar la sincronización de hash de contraseñas. No se admite la unión híbrida para máquinas virtuales de Azure Virtual Desktop, lo que impide el inicio de sesión único sin problemas para los servicios de Microsoft 365. Para obtener más información, consulte Preguntas más frecuentes sobre Microsoft Entra Domain Services.
Asigne los permisos correctos para la unión a un dominio con Microsoft Entra Domain Services. La cuenta de unión a un dominio debe pertenecer al grupo de administradores del controlador de dominio de Microsoft Entra y la contraseña debe ser válida en Microsoft Entra Domain Services. Para obtener más información, consulte Detalles de la máquina virtual.
Especifique las unidades organizativas con el formato de nombre distintivo. Al definir una unidad organizativa, use el nombre distintivo sin comillas.
Aplique el principio de privilegios mínimos. Asigne solo los permisos mínimos necesarios para que los usuarios realicen tareas autorizadas.
Asegúrese de la alineación del nombre principal de usuario. El nombre principal de usuario que se usa para suscribirse a Azure Virtual Desktop debe existir en el dominio de Active Directory unido a la máquina virtual del host de sesión. Para conocer los requisitos del usuario, consulte Requisitos de Azure Virtual Desktop.
Habilite la autenticación de tarjeta inteligente con conectividad directa del controlador de dominio. La autenticación con tarjeta inteligente requiere una conexión directa a un controlador de dominio de Active Directory para la autenticación Kerberos. Para obtener instrucciones de configuración, consulte Configuración de un proxy del Centro de distribución de claves Kerberos.
Implemente Windows Hello para empresas con confianza de certificado híbrido. Use el modelo de confianza de certificados híbridos para admitir Windows Hello para empresas con Azure Virtual Desktop. Para conocer los pasos de implementación, consulte Implementación del soporte de confianza de certificados híbridos de Microsoft Entra.
Admite el inicio de sesión basado en Kerberos para la autenticación avanzada. Para la autenticación de tarjeta inteligente o Windows Hello para empresas, asegúrese de que el cliente puede comunicarse con el controlador de dominio. Para conocer los métodos admitidos, consulte Métodos de autenticación admitidos.
Configure el inicio de sesión único con Servicios de federación de Active Directory. Habilite el inicio de sesión único mediante Servicios de federación de Active Directory (AD FS) para mejorar la experiencia del usuario. Esta configuración solo se admite con AD FS. Para obtener instrucciones de configuración, consulte Configuración del inicio de sesión único de Active Directory Federation Service para Azure Virtual Desktop.
Escenarios de identidad compatibles
En la tabla siguiente se resumen los escenarios de identidad admitidos por Azure Virtual Desktop:
| Escenario de identidad | Hosts de sesión | Cuentas de usuario |
|---|---|---|
| Microsoft Entra ID + AD DS | Unidos a AD DS | En Microsoft Entra ID y AD DS, sincronizado |
| Microsoft Entra ID + AD DS | Unido a Microsoft Entra ID | En Microsoft Entra ID y AD DS, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services | Unido a Microsoft Entra Domain Services | En Microsoft Entra ID y Microsoft Entra Domain Services, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Unido a Microsoft Entra Domain Services | En Microsoft Entra ID y AD DS, sincronizado |
| Microsoft Entra ID + Microsoft Entra Domain Services | Unido a Microsoft Entra ID | En Microsoft Entra ID y Microsoft Entra Domain Services, sincronizado |
| Solo Microsoft Entra | Unido a Microsoft Entra ID | En Microsoft Entra ID |
Recomendaciones de diseño
Siga estas recomendaciones de diseño para optimizar la administración de identidades y acceso para Azure Virtual Desktop:
Sincronizar identidades. Use Microsoft Entra Connect para sincronizar todas las identidades con un único inquilino de Microsoft Entra. Para obtener más información, consulte ¿Qué es Microsoft Entra Connect?.
Asegúrese de la conectividad de directorios. Asegúrese de que los hosts de sesión de Azure Virtual Desktop pueden comunicarse con Microsoft Entra Domain Services o Active Directory Domain Services.
Habilite la compatibilidad con tarjetas inteligentes. Utilice la solución de proxy del Centro de Distribución de Claves Kerberos para gestionar el tráfico de autenticación de tarjetas inteligentes y haga posible el inicio de sesión remoto. Para obtener más información, consulte Configuración de un proxy del Centro de distribución de claves de Kerberos.
Organiza los anfitriones de la sesión. Separar las máquinas virtuales de host de sesión en unidades organizativas de Active Directory para cada grupo de hosts para simplificar la gestión de políticas y el manejo de objetos huérfanos. Para obtener más información, consulte Detalles de la máquina virtual.
Proteger cuentas de administrador local. Use una solución como la solución de contraseñas de administrador local (LAPS) para rotar con frecuencia las contraseñas de administrador local en los hosts de sesión de Azure Virtual Desktop. Para obtener más información, consulte Evaluación de la seguridad: uso de Microsoft LAPS.
Asignar acceso con Control de Acceso Basado en Roles (RBAC). Conceda acceso de usuario a los grupos de aplicaciones de Azure Virtual Desktop mediante la asignación del rol integrado De usuario de virtualización de escritorio a los grupos de seguridad adecuados. Para más información, consulte Acceso delegado en Azure Virtual Desktop.
Implementar el acceso condicional. Cree directivas de acceso condicional para Azure Virtual Desktop para aplicar la autenticación multifactor en función de condiciones como inicios de sesión de riesgo. Para más información, consulte Habilitación de la autenticación multifactor de Microsoft Entra para Azure Virtual Desktop.
Habilite el inicio de sesión único con AD FS. Configure los Servicios de Federación de Active Directory (AD FS) para habilitar el inicio de sesión único para los usuarios en la red corporativa.
Pasos siguientes
Obtenga información sobre la topología de red y la conectividad para un escenario de escala empresarial de Azure Virtual Desktop.