Laboratorio 10: Autenticación de Microsoft Entra para máquinas virtuales de Windows y Linux

Tipo de inicio de sesión = Inicio de sesión de recurso de Azure

Escenario del laboratorio

La empresa ha decidido que Microsoft Entra ID debe usarse para iniciar sesión en máquinas virtuales para el acceso remoto. En este laboratorio se muestra cómo se puede configurar para máquinas virtuales de Windows y Linux.

Tiempo estimado: 30 minutos

Ejercicio 1: Inicio de sesión en Windows Virtual Machines en Azure con Microsoft Entra ID

Tarea 1: Creación de una máquina virtual Windows con el inicio de sesión de Microsoft Entra ID habilitado

  1. Ve a https://portal.azure.com

  2. Seleccione + Crear un recurso.

  3. Escribe Windows 11 en la barra de búsqueda Buscar en Marketplace y, después, Entrar.

  4. En el cuadro Windows 11, selecciona Crear v y elige Windows 11 Empresas, versión 22H2 en el menú que se abre.

  5. Crea la VM con los valores siguientes en la pestaña Aspectos básicos:

Campo Valor que se usará
Suscripción Acepta el valor predeterminado
Grupo de recursos Crear nuevo: rgEntraLogin
Nombre de la máquina virtual vmEntraLogin
Region default
Opciones de disponibilidad No se requiere redundancia de la infraestructura
Tipo de seguridad Estándar
Tamaño vCPU DC1s_v3 - 1 estándar, 8 GiB de memoria
Nombre de usuario administrador vmEntraAdmin
Contraseña del administrador Usa la proporcionada por el entorno de laboratorio o crea una contraseña segura que puedas recordar
Licencias Confirma que tienes licencia

  1. No necesitarás cambiar nada en las pestañas Discos o Redes, pero puedes revisar los valores.

  2. En la pestaña Administración, active la casilla Iniciar sesión con Microsoft Entra ID en la sección Microsoft Entra ID.

     NOTE: You will notice that the **System assigned managed identity** under the Identity section is automatically checked and turned grey. This action should happen automatically once you enable Login with Microsoft Entra ID.

  3. Pase por el resto de la experiencia de creación de una máquina virtual.

  4. Selecciona Revisar + crear y después elige Crear.

Tarea 2: Inicio de sesión de Microsoft Entra ID para Azure Virtual Machines existente

  1. Ve a Virtual Machines en https://portal.azure.com.

  2. Selecciona la máquina virtual recién creada en la Tarea 1.

  3. Seleccione Access Control (IAM) .

  4. Selecciona + Agregar y después Agregar asignación de roles para abrir la página Agregar asignación de roles.

  5. Asigna la siguiente configuración:
    • Rol de función de trabajo
    • Rol: inicio de sesión de administrador de Virtual Machine
    • Miembros: elige usuario, grupo o entidad de servicio. Después usa + Seleccionar miembros para agregar a User2 como usuario específico de la máquina virtual.
  6. Selecciona Revisar + asignar para completar el proceso.

Tarea 3: Actualización de la máquina virtual para permitir el inicio de sesión de Microsoft Entra ID

  1. Selecciona el elemento del menú Conectar.

  2. En la pestaña RDP, selecciona Descargar archivo RDP. Si se te solicita, elige la opción Mantener para el archivo. Se guardará en la carpeta Descargas.

  3. Abre la carpeta Descargas en el Administrador de archivos.

  4. Abre el RDP.

  5. Elige iniciar sesión como usuario alternativo.

  6. Usa el nombre de usuario y la contraseña de administrador (vmEntraAdmin) que has creado al configurar la máquina virtual.
    • Si se te solicita, di que sí para permitir el acceso a la máquina virtual o a la sesión RDP.

  7. Espera a que se abra la máquina virtual y se cargue todo el software.

  8. Selecciona el botón Inicio de la máquina virtual.

  9. Escribe Panel de control e inicia la aplicación del panel de control.

  10. Selecciona Sistema y seguridad en la lista de valores.

  11. En la configuración del Sistema, selecciona la opción Permitir acceso remoto.

  12. En la parte inferior del cuadro de diálogo que se abre verás un Escritorio remoto.

  13. Desactiva la casilla denominadaPermitir conexiones solo de equipos que ejecuten Escritorio remoto con Autenticación a nivel de red.

  14. Selecciona Aplicar y, después, Aceptar.

  15. Sal de la sesión RDP de la máquina virtual.

Tarea 4: Modificación del archivo RDP para admitir el inicio de sesión de Microsoft Entra ID

  1. Abre la carpeta Descargas en el administrador de archivos.

  2. Haz una copia del archivo RDP y agrega -EntraID al final del nombre de archivo.

  3. Edita la nueva versión del archivo RDP que acabas de copiar con Bloc de notas. Agrega estas dos líneas de texto a la parte inferior del archivo: 
         enablecredsspsupport:i:0
     authentication level:i:2
  4. Guarda el archivo RDP. Ahora deberías tener dos versiones del archivo:
    • «virtual machine name».RDP
    • «virtual machine name»-EntraID.RDP

Tarea 5: Conexión a la máquina virtual Windows mediante el inicio de sesión de Microsoft Entra ID

  1. Abre **«virtual machine name»-EntraID.RDP

  2. Selecciona Conectar cuando se abra el diálogo.

  3. En lugar de ver una pregunta sobre la cuenta de usuario para iniciar sesión, deberías recibir un mensaje para conectarte al equipo remoto.

  4. Selecciona en la parte inferior de la página.

  5. La sesión de Escritorio remoto debería abrirse y mostrar la pantalla de inicio de sesión de Windows Server. Se debería mostrar Otro usuario con el botón Aceptar.

  6. Selecciona Aceptar.

  7. En el cuadro de diálogo de inicio de sesión, escribe la siguiente información:
    • Nombre de usuario = AzureAD\User2@ tu nombre de dominio
    • Contraseña = Introduce la contraseña proporcionada por tu proveedor de laboratorios

    NOTA: User2 es el usuario al que concedemos acceso para iniciar sesión como administrador durante la Tarea 1.

  8. Windows debe confirmar el inicio de sesión y abrirlo en el escritorio normal.

Tarea 6: Pruebas opcionales para explorar el inicio de sesión de Microsoft Entra ID

  1. Comprueba que User2 era el único usuario agregado al grupo de administradores.

  2. Haz clic con el botón secundario del ratón en el botón INICIAR y, a continuación, selecciona Administración de equipos en el menú emergente.

  3. Abre Usuarios y grupos locales y después ve a Grupos, Administradores.

  4. Deberías ver Azure\User2…. en la lista.

  5. Comprueba si otros miembros de Microsoft Entra ID pueden iniciar sesión.

  6. Sal de la sesión de escritorio remoto.

  7. Vuelve a iniciar el archivo «server name»-EntraID.RDP.

  8. Intenta iniciar sesión como otros miembros de Microsoft Entra ID.

  9. Deberías observar que a cada uno de estos usuarios se le deniega el acceso.

Ejercicio opcional 2: Inicio de sesión en Máquinas virtuales Linux en Azure con Microsoft Entra ID

Tarea 1: Creación de una máquina virtual de Linux con la identidad administrada asignada por el sistema

  1. Ve a https://portal.azure.com

  2. Selecciona + Crear un recurso.

  3. Busca Ubuntu.

  4. Selecciona Crear en Ubuntu Server 22.04 LTS. Puedes usar otros servidores Linux para este laboratorio de pruebas.

  5. En la pestañaAdministración, activa la casilla para habilitar Inicio de sesión con Microsoft Entra ID.

  6. Asegúrate de que la opción Identidad administrada asignada por el sistema se haya marcado.

  7. Pasa por el resto de la experiencia de creación de una máquina virtual. Durante esta versión preliminar, tendrás que crear una cuenta de administrador con nombre de usuario y contraseña o clave pública SSH.

Tarea 2: Inicio de sesión de Microsoft Entra ID para Azure Virtual Machines existente

  1. Ve a Virtual Machines en https://portal.azure.com.

  2. Selecciona Access Control (IAM).

  3. Selecciona Agregar > Agregar asignación de funciones para abrir la página Agregar asignación de funciones.

  4. Asigna el siguiente rol.
    • Rol: iniciar sesión de administrador de máquina virtual o iniciar sesión de usuario de máquina virtual
    • Asignar acceso a: usuario, grupo, entidad de servicio o identidad administrada
  5. Para asignar roles, consulta Asignación de roles de Azure mediante Azure Portal.