Faça login na máquina virtual do Windows no Azure ou no Windows Server habilitado para Arc, usando a ID do Microsoft Entra e o Controle de Acesso Baseado em Funções do Azure.

As organizações podem melhorar a segurança de dispositivos Windows no Azure ou conectados usando o Azure Arc integrando-se à autenticação do Microsoft Entra. Agora você pode usar a ID do Microsoft Entra como uma plataforma de autenticação principal para RDP (Protocolo de Área de Trabalho Remota) em versões com suporte do Windows. Em seguida, você pode controlar e impor centralmente o RBAC (controle de acesso baseado em função) do Azure e as políticas de Acesso Condicional que permitem ou negam o acesso aos dispositivos.

Este artigo mostra como criar e configurar um computador Windows e entrar usando a autenticação baseada em ID do Microsoft Entra.

Há muitos benefícios de segurança de usar a autenticação baseada em ID do Microsoft Entra para entrar em dispositivos Windows no Azure ou conectados usando o Azure Arc. Eles incluem:

• Use a autenticação do Microsoft Entra, incluindo sem senha, para entrar em dispositivos Windows. Reduzir a dependência de contas de administrador local.
• Usar a complexidade de senha e as políticas de tempo de vida de senha configuradas para o Microsoft Entra ID também ajudam a proteger dispositivos Windows.
• Use o controle de acesso baseado em função do Azure:
  • Especifique quem pode entrar como um usuário regular ou com privilégios de administrador.
  • Quando os usuários ingressarem ou saírem da sua equipe, você poderá atualizar a política de controle de acesso baseada em função do Azure para conceder acesso conforme apropriado.
  • Quando os funcionários saem da organização e as respectivas contas de usuário são desabilitadas ou removidas do Microsoft Entra ID, eles deixam de ter acesso aos recursos.
• Use a política de acesso condicional "MFA resistente a phishing" e outros sinais, como o risco de entrada do usuário.
• Use o Azure Policy para implantar e auditar políticas para exigir que o Microsoft Entra entre em dispositivos Windows e sinalize o uso de contas locais não aprovadas nos dispositivos.
• Use o Intune para automatizar e escalar o ingresso no Microsoft Entra com o registro automático de MDM (gerenciamento de dispositivo móvel) de VMs do Windows no Azure que fazem parte das suas implantações de VDI (Virtual Desktop Infrastructure). O registro automático no MDM requer licenças do Microsoft Entra ID P1. As VMs do Windows Server não dão suporte ao registro de MDM.

O registro automático no MDM requer licenças do Microsoft Entra ID P1. As VMs do Windows Server não dão suporte ao registro de MDM.

Requisitos

Regiões do Azure e distribuições do Windows com suporte

Atualmente, esse recurso dá suporte às seguintes distribuições do Windows:

Esse recurso já está disponível nas seguintes nuvens do Azure:

• Azure Global
• Azure Governamental
• Microsoft Azure operado pela 21Vianet

Requisitos de rede

Para habilitar a autenticação do Microsoft Entra em máquinas virtuais no Azure ou em servidores Windows habilitados para Arc, você precisa garantir que sua configuração de rede permita o acesso de saída aos seguintes pontos de extremidade pela porta TCP 443.

Azure global:

• https://enterpriseregistration.windows.net: registro do dispositivo.

• https://login.microsoftonline.com: fluxos de autenticação.
• https://pas.windows.net: fluxos de controle de acesso do Azure baseados em funções.

Azure Governamental:

• https://enterpriseregistration.microsoftonline.us: registro do dispositivo.

• https://login.microsoftonline.us: fluxos de autenticação.
• https://pasff.usgovcloudapi.net: fluxos de controle de acesso do Azure baseados em funções.

Microsoft Azure operado pela 21Vianet:

• https://enterpriseregistration.partner.microsoftonline.cn: registro do dispositivo.

• https://login.chinacloudapi.cn: fluxos de autenticação.
• https://pas.chinacloudapi.cn: fluxos de controle de acesso do Azure baseados em funções.

Para os Windows Servers habilitados para Azure Arc, mais requisitos de rede são fornecidos na documentação do servidor conectado ao Arc.

Requisitos de autenticação

As contas do Microsoft Entra Guest não podem se conectar a VMs do Azure, VMs habilitadas para Azure Bastion ou Windows Servers habilitadas para Arc por meio da autenticação do Microsoft Entra.

Habilitar o login do Microsoft Entra para uma máquina virtual do Windows no Azure ou no Windows Server habilitado para Arc

Para fazer login com o Microsoft Entra em uma máquina virtual do Windows no Azure ou em um Windows Server habilitado para Arc, você deve:

1. Habilite a extensão de entrada do Microsoft Entra para o dispositivo.
2. Configurar atribuições de função do Azure para usuários.

Habilitar a extensão de login do Microsoft Entra

Siga o link apropriado para seu dispositivo para obter instruções e exemplos de implantação detalhados.

• Máquina virtual do Azure executando o Windows
• Windows Server habilitado para Arc

Você deve habilitar a identidade gerenciada atribuída pelo sistema na sua VM do Azure ou no servidor Windows habilitado para Arc antes de instalar a extensão de login do Microsoft Entra na máquina virtual. As Identidades Gerenciadas são armazenadas em um único locatário do Microsoft Entra e atualmente não dão suporte a cenários entre diretórios.

Os exemplos a seguir demonstram modelos do Azure para extensões da Máquina Virtual do Azure e para extensões do Windows Server habilitado para Arc.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "___location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "___location": "[parameters('___location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "___location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.HybridCompute/machines/extensions",
      "___location": "[parameters('___location')]",
      "apiVersion": "2024-07-10",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "2.1.0.0",
        "autoUpgradeMinorVersion": true,
        "settings": {
            "mdmId": ""
        }
      }
    }
  ]
}

Depois que a extensão é instalada no dispositivo, provisioningState mostra Succeeded.

Configurar atribuições de função

Uma conta de usuário no Microsoft Entra deve ser adicionada a uma atribuição de função no Azure antes que o usuário tenha permissão para entrar em máquinas virtuais do Azure ou no Windows Server conectado ao Arc. As mesmas funções são usadas para máquinas virtuais do Azure e para o Windows Server habilitado para Arc.

Para atribuir funções de usuário, você deve ter a função Administrador de Acesso a Dados da Máquina Virtual ou qualquer função que inclua a ação Microsoft.Authorization/roleAssignments/write , como a função Administrador de Controle de Acesso Baseado em Função . No entanto, se você usar uma função diferente de Administrador de acesso a dados da máquina virtual, recomendamos adicionar uma condição para reduzir a permissão para criar atribuições de função.

• Logon de Administrador da Máquina Virtual: os usuários que têm essa função atribuída podem entrar em uma máquina virtual do Azure com privilégios de administrador.
• Logon de Usuário da Máquina Virtual: os usuários que têm essa função atribuída podem entrar em uma máquina virtual do Azure com privilégios de usuário regulares.

A documentação a seguir fornece detalhes passo a passo para adicionar contas de usuário a atribuições de função no Azure:

• Atribuir funções do Azure usando o portal do Azure
• Atribuir funções do Azure usando a CLI do Azure
• Atribuir funções do Azure usando o Azure PowerShell

Entre usando as credenciais do Microsoft Entra em uma VM do Windows

Você pode entrar com RDP usando um dos dois seguintes métodos:

• Sem senha, usando qualquer uma das credenciais compatíveis com o Microsoft Entra (recomendado)
• Autenticação por senha/sem senha limitada usando o Windows Hello para Empresas implantado com o modelo de relação de confiança do certificado

Entrar usando autenticação sem senha com o Microsoft Entra ID

Para usar a autenticação sem senha para suas VMs Windows no Azure, você precisa do computador cliente Windows e do host de sessão (VM) nos seguintes sistemas operacionais:

• Windows 11 com Atualizações Cumulativas 2022-10 para Windows 11 (KB5018418) ou posterior instalado.
• Windows 10, versão 20H2 ou posterior com Atualizações Cumulativas 2022-10 para Windows 10 (KB5018410) ou posterior instalado.
• Windows Server 2022 com Atualização Cumulativa 2022-10 para o sistema operacional do servidor Microsoft (KB5018421) ou instalado posteriormente.

Para conectar-se ao computador remoto:

• Inicie aConexão de Área de Trabalho Remota a partir do Windows Search ou executando mstsc.exe.
• Selecione a opção Usar uma conta da Web para entrar no computador remoto na guia Avançado. Essa opção é equivalente à propriedade RDP enablerdsaadauth. Para obter mais informações, consulte Propriedades RDP suportadas com Serviços de Área de Trabalho Remota.
• Especifique o nome do computador remoto e selecione Conectar.

• Quando solicitado por credenciais, especifique seu nome de usuário no formato user@___domain.com.
• Você é então solicitado a permitir a conexão de área de trabalho remota ao se conectar a um novo PC. O Microsoft Entra se lembra de até 15 hosts durante 30 dias antes de fazer uma nova solicitação. Se esse diálogo aparecer, selecione Sim para se conectar.

Entre usando autenticação sem senha ou com senha limitada com a Identidade Microsoft Entra

Para entrar na máquina virtual do Windows Server 2019 usando o Microsoft Entra ID:

1. Vá para a página de visão geral da máquina virtual habilitada com o login do Microsoft Entra.
2. Selecione Conectar para abrir o painel Conectar-se à máquina virtual.
3. Selecione Baixar Arquivo RDP.
4. Escolha Abrir para abrir o cliente de Conexão de Área de Trabalho Remota.
5. Selecione Conectar para abrir a caixa de diálogo de entrada do Windows.
6. Entre usando suas credenciais do Microsoft Entra.

Agora você está conectado à máquina virtual do Windows Server 2019 no Azure com as permissões de função atribuídas, como Usuário da VM ou Administrador da VM.

Impor políticas de acesso condicional

Você pode impor políticas de Acesso Condicional, como "MFA resistente a phishing" ou verificação de risco de entrada do usuário, antes que os usuários possam acessar dispositivos Windows no Windows Server habilitado para Azure ou Arc. Para aplicar uma política de acesso condicional, selecione o aplicativo Entrada na Máquina Virtual do Windows no Microsoft Azure nos aplicativos de nuvem ou na opção de atribuições de ações.

Não há suporte para políticas de acesso condicional que restringem a entrada usando regras de configuração de dispositivo ao se conectar em um dispositivo Windows Server.

Usar o Azure Policy para atender aos padrões e avaliar a conformidade

Use o Azure Policy para:

• Verifique se o login do Microsoft Entra está habilitado para seus dispositivos Windows novos e existentes.
• Avaliar a conformidade do seu ambiente em escala em um painel de conformidade.

Com essa funcionalidade, você pode usar vários níveis de imposição. Você pode sinalizar dispositivos Windows novos e existentes em seu ambiente que não têm o login do Microsoft Entra habilitado. Você também pode usar a Política do Azure para implantar a extensão Microsoft Entra em máquinas virtuais do Windows no Azure ou no Windows Server habilitado para Arc.

Além desses recursos, você pode usar o Azure Policy para detectar e sinalizar computadores Windows que têm contas locais não aprovadas criadas em seus dispositivos. Para saber mais, confira o Azure Policy.

Solucionar problemas de implantação

A extensão AADLoginForWindows deve ser instalada com êxito para que o dispositivo conclua o processo de junção do Microsoft Entra. Se a extensão não estiver instalada corretamente, execute as seguintes etapas:

1. Conecte-se ao dispositivo e examine o arquivo CommandExecution.log em C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Se a extensão for reiniciada após a falha inicial, o log com o erro de implantação será salvo como CommandExecution_YYYYMMDDHHMMSSSSS.log.

2. Abra uma janela do PowerShell no dispositivo. Verifique se as seguintes consultas no ponto de extremidade do Serviço de Metadados de Instância do Azure em execução no host retornam a saída esperada:

   Para máquinas virtuais do Azure:

   Comando para execução	Saída esperada
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Informações corretas sobre a máquina virtual do Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	ID de locatário válida associada à assinatura do Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Token de acesso válido emitido pelo Microsoft Entra ID para a identidade gerenciada atribuída para esta máquina virtual

   Para servidores Windows habilitados para Arc:

   Comando para execução	Saída esperada
   curl.exe -H Metadata:true "http://localhost:40342/metadata/instance?api-version=2017-08-01"	Informações corretas sobre o Azure Arc habilitado para Windows Server
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/info?api-version=2018-02-01"	ID de locatário válida associada à assinatura do Azure
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Token de acesso válido emitido pelo Microsoft Entra ID para a identidade gerenciada atribuída a este Windows Server com Azure Arc habilitado.

   Decodifique o token de acesso usando uma ferramenta como o https://jwt.ms/. Verifique se o valor oid no token de acesso corresponde à identidade gerenciada do dispositivo.

3. Verifique se os endpoints necessários estão acessíveis do dispositivo por meio do PowerShell.

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Substitua <TenantID> pela ID de locatário do Microsoft Entra associada à assinatura do Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net e pas.windows.net deve retornar 404 Não encontrado, que é o comportamento esperado.

4. Veja o estado do dispositivo executando dsregcmd /status. A meta é que o estado do dispositivo seja mostrado como AzureAdJoined : YES.

   A atividade de ingresso no Microsoft Entra é capturada no Visualizador de Eventos no log User Device Registration\Admin em Event Viewer (local)\Applications e Services Logs\Microsoft\Windows\User Device Registration\Admin.

Em caso de falha da extensão AADLoginForWindows com um código de erro, execute as etapas a seguir.

O nome do dispositivo já existe

Se existir um objeto de dispositivo com o mesmo displayName que o nome de host da máquina virtual do Azure, o dispositivo não conseguirá ingressar no Microsoft Entra com um erro de duplicação de nome de host. Evite a duplicação modificando o nome do host.

Código de erro de terminal 1007 e código de saída -2145648574

Código de erro de terminal 1007 e código de saída -2145648574 convertido em DSREG_E_MSI_TENANTID_UNAVAILABLE. A extensão não pode consultar as informações de locatário do Microsoft Entra.

Conecte-se ao dispositivo como administrador local e verifique se o ponto de extremidade retorna um ID de locatário válido do Serviço de Metadados de Instância do Azure. Execute o seguinte comando em uma janela elevada do PowerShell no dispositivo:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Esse problema também pode acontecer quando o administrador tenta instalar a extensão AADLoginForWindows, mas o dispositivo não tem uma identidade gerenciada atribuída pelo sistema. Nesse caso, vá para o painel Identidade do dispositivo. Na página Atribuído pelo sistema, verifique se a alternância Status está definida como Ativada.

Código de saída -2145648607

Código de saída -2145648607 convertido em DSREG_AUTOJOIN_DISC_FAILED. A extensão não pode acessar o ponto de extremidade https://enterpriseregistration.windows.net.

1. Verifique se os endpoints necessários estão acessíveis do dispositivo usando o PowerShell:

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Substitua <TenantID> pelo Tenant ID do Microsoft Entra da assinatura do Azure. Se precisar encontrar a ID do locatário, você poderá passar o mouse sobre o nome da conta ou selecionar Entra ID>Visão Geral>Propriedades>ID do Locatário.

   As tentativas de conexão a enterpriseregistration.windows.net poderão retornar o erro 404 Não Encontrado, que é o comportamento esperado. As tentativas de conexão a pas.windows.net poderão solicitar credenciais de PIN ou retornar o erro 404 Não Encontrado. (Você não precisa inserir o PIN). Qualquer um deles é suficiente para verificar se a URL está acessível.

2. Se algum dos comandos falhar com "Não foi possível resolver o host <URL>", tente executar este comando para determinar qual servidor DNS o Windows está usando:

   nslookup <URL>

   Substitua <URL> pelos nomes de domínio totalmente qualificados usados pelos pontos de extremidade, como login.microsoftonline.com.

3. Veja se a especificação de um servidor DNS público permite que o comando seja executado com sucesso:

   nslookup <URL> 208.67.222.222

4. Se necessário, altere o servidor DNS atribuído ao grupo de segurança de rede ao qual o dispositivo pertence.

Código de saída 51

O código de saída 51 se traduz em "Esta extensão não tem suporte neste sistema operacional".

A extensão AADLoginForWindows deve ser instalada apenas em máquinas virtuais do Azure com sistemas operacionais Windows Server 2019 ou Windows 10 1809 ou posterior, e em servidores Windows habilitados para Arc com sistemas operacionais Windows Server 2025 ou Windows 11 24H2 em servidores Windows habilitados para Arc. Verifique se há suporte para sua versão ou o build do Windows. Se não houver suporte, desinstale a extensão.

Solucionar problemas de entrada

Use as informações a seguir para solucionar problemas de entrada.

Veja o estado do dispositivo e do SSO (logon único) executando dsregcmd /status. A meta é que o estado do dispositivo seja mostrado como AzureAdJoined : YES e que o estado do SSO mostre AzureAdPrt : YES.

A entrada por RDP por meio de contas do Microsoft Entra é capturada no Visualizador de Eventos nos logs de eventos Applications and Services Logs\Microsoft\Windows\AAD\Operational.

Função do Azure não atribuída

Você pode receber a seguinte mensagem de erro ao iniciar uma conexão de área de trabalho remota com seu dispositivo: "Sua conta está configurada para impedir que você use este dispositivo. Para obter mais informações, entre em contato com o administrador do sistema".

Verifique as políticas de controle de acesso baseadas em função do Azure que concedem ao usuário a função Logon do Administrador de Máquina Virtual ou Logon do Usuário da Máquina Virtual.

Se você estiver tendo problemas com atribuições de função do Azure, confira Solucionar problemas de controle de acesso baseado em função do Azure.

Alteração não autorizada de cliente ou de senha necessária

Você pode receber a seguinte mensagem de erro ao iniciar uma conexão de área de trabalho remota com seu dispositivo: "Suas credenciais não funcionaram".

Experimente estas soluções:

• O computador Windows 10 ou posterior que você está usando para iniciar a conexão de área de trabalho remota precisa estar ingressado no Microsoft Entra ou no Microsoft Entra híbrido no mesmo diretório do Microsoft Entra. Para obter mais informações sobre a identidade do dispositivo, confira o artigo O que é uma identidade do dispositivo?.

  O Windows 10 Build 20H1 adicionou suporte para um computador registrado do Microsoft Entra para iniciar uma conexão RDP com seu dispositivo. Quando você estiver usando um computador registrado pelo Microsoft Entra (não associado ao Microsoft Entra ou associado ao Microsoft Entra híbrido) como o cliente RDP para iniciar conexões com seu dispositivo, você deve inserir credenciais no formato AzureAD\UPN (por exemplo, AzureAD\john@contoso.com).

  Verifique se a extensão AADLoginForWindows não foi desinstalada após a conclusão do ingresso no Microsoft Entra.

  Além disso, verifique se a política de segurança Segurança de rede: permitir que as solicitações de autenticação PKU2U para este computador usem identidades online está habilitada no servidor e no cliente.

• Verifique se o usuário não tem uma senha temporária. As senhas temporárias não podem ser usadas para entrar em uma conexão de área de trabalho remota.

  Conecte-se com a conta de usuário em um navegador da Web. Por exemplo, entre no portal do Azure em uma janela de navegação privada. Caso precise alterar a senha, defina uma nova. Em seguida, tente se conectar novamente.

AADSTS293004: O identificador de dispositivo de destino na solicitação xxx não foi encontrado no locatário xxx

Causa:

O nome do computador inserido no mstsc não corresponde a nenhum dos atributos "hostnames" para o dispositivo AADJ de destino. Por exemplo, o nome do host do dispositivo AADJ é o nome curto como device_1, mas o nome do computador inserido no mstsc é o FQDN como device_1.contoso.com.

Experimente estas soluções:

Há várias maneiras de resolver o problema:

1. Modifique a entrada HOSTS no computador cliente e adicione um tipo de registro DNS A que associe o nome correto do dispositivo (verifique no registro de dispositivos do Azure Active Directory - AAD) ao IP do computador de destino. Use esse nome de dispositivo no mstsc.
2. Verifique se o computador de destino é gerenciado e se o nome do anfitrião está configurado por meio da Política de Grupo ou MDM através do valor PrimaryDnsSuffix do Cliente DNS Política ADMX_DnsClient CSP | Microsoft Learn. Se isso estiver definido e estiver incorreto, ele precisará ser removido ou definido corretamente.
3. Quando o cliente precisar usar um Nome de Domínio Totalmente Qualificado (FQDN) para se conectar, mas o nome do dispositivo do AAD for um nome curto, faça login no computador de destino como administrador local e adicione um "Sufixo DNS Primário" ao sufixo de domínio. Instruções detalhadas:

• Navegue até a guia Configurações Avançadas do Sistema/Propriedades do Sistema ->** Nome do Computador** –> selecione o botão "Alterar" para renomear o computador –> selecione "Mais..." sob o nome do computador existente –> Digite o nome de domínio e selecione OK –> Salvar e reinicializar.
• Depois de concluído, podemos usar RDP com o FQDN diretamente e não é necessário modificar a entrada HOSTS.

Método de entrada MFA necessário

Você pode ver a seguinte mensagem de erro ao iniciar uma conexão de área de trabalho remota com seu dispositivo: "O método de entrada que você está tentando usar não é permitido. Tente usar outro método de entrada ou entre em contato com o administrador do sistema".

Se você configurar uma política de Acesso Condicional que exija MFA, precisará garantir que o dispositivo que inicia a conexão use autenticação forte, como o Windows Hello.

Outra mensagem de erro relacionada à MFA é a descrita anteriormente: "Suas credenciais não funcionaram".

Se você definir uma configuração herdada de autenticação multifator Microsoft Entra habilitada/informada por usuário e vir o erro, poderá resolver o problema removendo a configuração de MFA por usuário. Para obter mais informações, consulte o artigo Habilitar autenticação multifator do Microsoft Entra por usuário para eventos de início de sessão seguro.

Se o Windows Hello para Empresas não for uma opção, configure uma política de Acesso Condicional que exclua o aplicativo de entrada da Máquina Virtual do Windows no Microsoft Azure. Para saber mais sobre o Windows Hello para Empresas, confira Visão geral do Windows Hello para Empresas.

O suporte para autenticação biométrica com o RDP foi adicionado ao Windows 10 versão 1809. O uso da autenticação do Windows Hello para Empresas durante o RDP está disponível para as implantações que usam um modelo de relação de confiança de certificado ou modelo de confiança de chave.

Compartilhe seus comentários sobre esse recurso ou relate problemas com o uso dele no fórum de comentários do Microsoft Entra.

Aplicativo ausente

Se o aplicativo Entrada na Máquina Virtual do Windows no Microsoft Azure estiver ausente do acesso condicional, verifique se o aplicativo não está no locatário:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue para Entra ID>Aplicativos corporativos.
3. Remova os filtros para ver todos os aplicativos e pesquise VM. Se você não vir a Entrada na Máquina Virtual do Windows no Microsoft Azure como resultado, a entidade de serviço estará ausente do locatário.

Outra maneira de verificar isso é por meio do Graph PowerShell:

1. Instale o SDK do PowerShell do Graph.
2. Executar Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", seguido por "Application.ReadWrite.All".
3. Entre com uma conta de Administrador Global.
4. Dar consentimento ao aviso de permissão.
5. Execute Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

   • Se esse comando não resultar em nenhuma saída e direcionar você para o prompt do PowerShell, crie a entidade de serviço com o seguinte comando do PowerShell do Graph:

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • A saída bem-sucedida mostra que o aplicativo Entrada na Máquina Virtual do Windows no Microsoft Azure e a respectiva ID foram criados.

6. Saia do Graph PowerShell usando o Disconnect-MgGraph comando.

Alguns locatários podem ver o aplicativo chamado Entrada na VM do Windows no Azure em vez de Entrada na Máquina Virtual do Windows no Microsoft Azure. O aplicativo tem a mesma ID do aplicativo 372140e0-b3b7-4226-8ef9-d57986796201.

Não é possível usar essa funcionalidade quando a política de Acesso Condicional de dispositivos compatíveis é imposta no recurso de login da VM do Windows no Azure, e você está se conectando a partir de um dispositivo Windows Server.

Não há suporte para a configuração de conformidade de dispositivo do Windows Server na política de Acesso Condicional.

Próximas etapas

Para obter mais informações sobre o Microsoft Entra ID, confira O que é o Microsoft Entra ID?.