Konfigurace jednotného přihlašování pro Windows 365 Business pomocí ověřování Microsoft Entra
Tento článek vysvětluje proces konfigurace jednotného přihlašování pro Windows 365 pomocí ověřování Microsoft Entra. Když povolíte jednotné přihlašování, můžou uživatelé používat ověřování bez hesla a zprostředkovatele identity třetích stran, kteří federují Microsoft Entra ID, a přihlásit se ke svému cloudovému počítači. Pokud je tato funkce povolená, poskytuje jednotné přihlašování jak při ověřování v cloudovém počítači, tak v rámci relace při přístupu k aplikacím a webům založeným na Microsoft Entra ID.
Pokud chcete povolit jednotné přihlašování pomocí ověřování Microsoft Entra ID, musíte provést čtyři úlohy:
Povolte ověřování Microsoft Entra pro protokol RDP (Remote Desktop Protocol).
Nakonfigurujte cílové skupiny zařízení.
Zkontrolujte zásady podmíněného přístupu.
Nakonfigurujte nastavení organizace tak, aby povolte jednotné přihlašování.
Před povolením jednotného přihlašování
Než povolíte jednotné přihlašování, projděte si následující informace o jeho použití ve vašem prostředí.
Odpojení při uzamčení relace
Když je jednotné přihlašování povolené, uživatelé se k Windows přihlašují pomocí ověřovacího tokenu Microsoft Entra ID, který poskytuje podporu ověřování bez hesla ve Windows. Zamykací obrazovka Windows ve vzdálené relaci nepodporuje Microsoft Entra ID ověřovací tokeny ani metody ověřování bez hesla, jako jsou klíče FIDO. Místo předchozího chování zobrazení vzdálené zamykací obrazovky při uzamčení relace je relace odpojena a uživatel bude upozorněn. Odpojení relace zajistí, že:
- Uživatelé těží z prostředí jednotného přihlašování, a pokud je to povoleno, můžou se znovu připojit bez výzvy k ověření.
- Uživatelé se můžou ke své relaci znovu přihlásit pomocí ověřování bez hesla, jako jsou klíče FIDO.
- Zásady podmíněného přístupu, včetně vícefaktorového ověřování a frekvence přihlašování, se znovu vyhodnotí, když se uživatel znovu připojí ke své relaci.
Požadavky
Abyste mohli povolit jednotné přihlašování, musíte splnit následující požadavky:
Pokud chcete nakonfigurovat tenanta Microsoft Entra, musíte mít přiřazenou jednu z následujících Microsoft Entra předdefinovaných rolí:
Na cloudových počítačích musí běžet jeden z následujících operačních systémů s nainstalovanou příslušnou kumulativní aktualizací:
- Windows 11 Enterprise s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 11 (KB5018418) nebo novější.
- Windows 10 Enterprise s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 10 (KB5018410) nebo novější.
Nainstalujte sadu Microsoft Graph PowerShell SDK verze 2.9.0 nebo novější na místní zařízení nebo v Azure Cloud Shell.
Povolení ověřování Microsoft Entra pro protokol RDP
Nejprve musíte povolit ověřování Microsoft Entra pro Windows ve vašem Microsoft Entra tenantovi, které umožňuje vydávání přístupových tokenů RDP, které uživatelům umožní přihlásit se ke cloudovým počítačům. Tuto změnu je nutné provést u instančních objektů pro následující Microsoft Entra aplikace:
| Název aplikace | ID aplikace |
|---|---|
| Vzdálená plocha Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
| Přihlášení ke cloudu Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 |
Důležité
V rámci chystané změny přecházíme ze Vzdálené plochy Microsoftu na Přihlášení ke cloudu Windows, a to od roku 2024. Konfigurace obou aplikací teď zajistí, že budete na změnu připraveni.
Pokud chcete povolit ověřování Entra, můžete pomocí sady Microsoft Graph PowerShell SDK vytvořit nový objekt remoteDesktopSecurityConfiguration v instančním objektu a nastavit vlastnost isRemoteDesktopProtocolEnabled na true. Můžete také použít Microsoft Graph API s nástrojem, jako je Graph Explorer.
Pokud chcete provést změny pomocí PowerShellu, postupujte následovně:
Spusťte azure Cloud Shell v Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.
Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.
Pokud používáte PowerShell místně, nejdřív se přihlaste pomocí Azure PowerShell a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.
Ujistěte se, že jste sadu Microsoft Graph PowerShell SDK nainstalovali podle požadavků. Potom importujte moduly Microsoft Graphu Ověřování a aplikace a připojte se k Microsoft Graphu
Application.Read.Allpomocí oborů aApplication-RemoteDesktopConfig.ReadWrite.Allspuštěním následujících příkazů:Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"Spuštěním následujících příkazů získejte ID objektu pro každý instanční objekt a uložte je do proměnných:
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").IdNastavte vlastnost
isRemoteDesktopProtocolEnabledna hodnotutruespuštěním následujících příkazů. Z těchto příkazů není žádný výstup.$params = @{ "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration" isRemoteDesktopProtocolEnabled = $true } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params }Spuštěním následujících příkazů ověřte, že je vlastnost
isRemoteDesktopProtocolEnablednastavená natruehodnotu :Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspIdVýstup by měl být:
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
Konfigurace cílových skupin zařízení
Po povolení ověřování Microsoft Entra pro protokol RDP musíte nakonfigurovat cílové skupiny zařízení. Ve výchozím nastavení se při povolení jednotného přihlašování uživatelům při spuštění připojení k novému cloudovému počítači zobrazí výzva k ověření Microsoft Entra ID a povolení připojení ke vzdálené ploše. Microsoft Entra si po dobu 30 dnů pamatuje až 15 hostitelů, než se znovu zobrazí výzva. Pokud se uživateli zobrazí dialogové okno pro povolení připojení ke vzdálené ploše, měl by vybrat Ano a připojit se.
Pokud chcete toto dialogové okno skrýt, musíte vytvořit jednu nebo více skupin v Microsoft Entra ID, která obsahuje vaše cloudové počítače, a pak nastavit vlastnost instančních objektů pro stejnou aplikaci Vzdálená plocha Microsoftu a přihlášení do cloudu windows, jak je použito v předchozí části pro skupinu.
Tip
Doporučujeme použít dynamickou skupinu a nakonfigurovat pravidla dynamického členství tak, aby zahrnovala všechny vaše cloudové počítače. Názvy zařízení v této skupině můžete použít, ale pro bezpečnější možnost můžete nastavit a používat atributy rozšíření zařízení pomocí Microsoft Graph API. Zatímco dynamické skupiny se obvykle aktualizují během 5 až 10 minut, velkým tenantům může trvat až 24 hodin.
Dynamické skupiny vyžadují licenci Microsoft Entra ID P1 nebo licenci Intune for Education. Další informace najdete v tématu Pravidla dynamického členství pro skupiny.
Ke konfiguraci instančního objektu použijte sadu Microsoft Graph PowerShell SDK k vytvoření nového objektu targetDeviceGroup v instančním objektu s ID objektu dynamické skupiny a zobrazovaným názvem. Můžete také použít Microsoft Graph API s nástrojem, jako je Graph Explorer.
Vytvořte dynamickou skupinu v Microsoft Entra ID obsahující cloudové počítače, pro které chcete skrýt dialogové okno. Poznamenejte si ID objektu skupiny pro další krok.
Ve stejné relaci PowerShellu
targetDeviceGroupvytvořte objekt spuštěním následujících příkazů a nahraďte<placeholders>je vlastními hodnotami:$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"Přidejte skupinu do objektu
targetDeviceGroupspuštěním následujících příkazů:New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdgVýstup by měl být podobný:
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PCOpakujte kroky 2 a 3 pro každou skupinu, kterou chcete přidat do objektu
targetDeviceGroup, až do maximálně 10 skupin.Pokud později budete potřebovat odebrat skupinu zařízení z objektu
targetDeviceGroup, spusťte následující příkazy a nahraďte<placeholders>je vlastními hodnotami:Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
Kontrola zásad podmíněného přístupu
Když je jednotné přihlašování zapnuté, zavádí se nová aplikace Microsoft Entra ID, která bude ověřovat uživatele v cloudovém počítači. Pokud máte zásady podmíněného přístupu, které platí při přístupu k Windows 365, projděte si doporučení k nastavení zásad podmíněného přístupu pro Windows 365 a ujistěte se, že uživatelé mají požadované prostředí a zabezpečí vaše prostředí.
Zapnutí jednotného přihlašování pro všechny cloudové počítače ve vašem účtu
- Přihlaste se k windows365.microsoft.com pomocí účtu, který má roli správce Windows 365.
- Vyberte Cloudové počítače vaší organizace a pak vyberte Aktualizovat nastavení organizace.
- V části Nastavení cloudových počítačů vyberte možnost Jednotné přihlašování.