Windows 365 identita a ověřování
Identita uživatele cloudového počítače definuje, které služby pro správu přístupu spravují daného uživatele a cloudový počítač. Tato identita definuje:
- Typy cloudových počítačů, ke které má uživatel přístup
- Typy jiných prostředků než cloudových počítačů, ke které má uživatel přístup.
Zařízení může mít také identitu určenou typem připojení, aby Microsoft Entra ID. U zařízení typ spojení definuje:
- Pokud zařízení vyžaduje, aby řadič domény viděl.
- Jak se zařízení spravuje.
- Jak se uživatelé ověřují v zařízení.
Typy identit
Existují čtyři typy identit:
- Hybridní identita: Uživatelé nebo zařízení, která jsou vytvořená v místní Active Directory Doménové služby a pak se synchronizují do Microsoft Entra ID.
- Výhradně cloudová identita: Uživatelé nebo zařízení, která jsou vytvořená a existují jenom v Microsoft Entra ID.
- Federovaná identita: Uživatelé, kteří jsou vytvořeni ve zprostředkovateli identity třetí strany, jiní uživatelé, kteří Microsoft Entra ID nebo Active Directory Domain Services, a pak federují pomocí Microsoft Entra ID.
- Externí identita: Uživatelé, kteří jsou vytvořeni a spravováni mimo vašeho tenanta Microsoft Entra, ale jsou pozvaní do tenanta Microsoft Entra, aby mohli přistupovat k prostředkům vaší organizace.
Poznámka
- Windows 365 podporuje federované identity, pokud je povolené jednotné přihlašování.
- Windows 365 nepodporuje externí identity.
Typy připojení zařízení
Při zřizování cloudového počítače si můžete vybrat ze dvou typů spojení:
- Microsoft Entra hybridní připojení: Pokud zvolíte tento typ připojení, připojí Windows 365 cloudový počítač k Windows Server Active Directory doméně, kterou zadáte. Pokud je pak vaše organizace správně nakonfigurovaná pro Microsoft Entra hybridní připojení, zařízení se synchronizuje s Microsoft Entra ID.
- Microsoft Entra Připojit: Pokud zvolíte tento typ připojení, připojí Windows 365 cloudový počítač přímo k Microsoft Entra ID.
Následující tabulka uvádí klíčové možnosti nebo požadavky na základě vybraného typu spojení:
| Schopnost nebo požadavek | Microsoft Entra hybridní připojení | Microsoft Entra připojit |
|---|---|---|
| Předplatné Azure | Povinný | Nepovinný |
| Virtuální síť Azure s dohledem řadiče domény | Povinný | Nepovinný |
| Typ identity uživatele podporovaný pro přihlášení | Pouze hybridní uživatelé | Hybridní uživatelé nebo výhradně cloudoví uživatelé |
| Správa zásad | objekty Zásady skupiny (GPO) nebo Intune MDM | pouze Intune MDM |
| Windows Hello pro firmy se podporuje přihlášení | Ano a připojující se zařízení musí být v dohledu řadiče domény prostřednictvím přímé sítě nebo sítě VPN. | Ano |
Ověřování
Když uživatel přistupuje ke cloudovému počítači, existují tři samostatné fáze ověřování:
- Ověřování cloudové služby: Ověřování ve službě Windows 365, které zahrnuje přihlášení k odběru prostředků a ověřování v bráně, je Microsoft Entra ID.
- Ověřování pomocí vzdálené relace: Ověřování na cloudovém počítači. Existuje několik způsobů, jak se ověřit ve vzdálené relaci, včetně doporučeného jednotného přihlašování (SSO).
- Ověřování v relaci: Ověřování v aplikacích a webech v rámci cloudového počítače.
Seznam přihlašovacích údajů dostupných v různých klientech pro každou fázi ověřování najdete v porovnání klientů napříč platformami.
Důležité
Aby ověřování fungovalo správně, musí mít místní počítač uživatele také přístup k adresám URL v části Klienti vzdálené plochyv seznamu požadovaných adres URL služby Azure Virtual Desktop.
Windows 365 jako součást služby nabízí jednotné přihlašování (definované jako jedna výzva k ověření, které může vyhovovat ověřování Windows 365 služby i ověřování cloudových počítačů). Další informace najdete v tématu Jednotné přihlašování.
Další informace o těchto fázích ověřování najdete v následujících částech.
Ověřování cloudové služby
Uživatelé se musí pomocí služby Windows 365 ověřit v následujících případech:
- Přistupují k windows365.microsoft.com.
- Přejdou na adresu URL, která se mapuje přímo na cloudový počítač.
- K výpisu svých cloudových počítačů používají podporovaného klienta .
Pokud chtějí uživatelé získat přístup ke službě Windows 365, musí se nejprve ověřit ve službě přihlášením pomocí účtu Microsoft Entra ID.
Vícefaktorové ověřování
Postupujte podle pokynů v tématu Nastavení zásad podmíněného přístupu a zjistěte, jak u cloudových počítačů vynutit Microsoft Entra vícefaktorové ověřování. V tomto článku se také dozvíte, jak nakonfigurovat, jak často se uživatelům zobrazuje výzva k zadání přihlašovacích údajů.
Ověřování bez hesla
Uživatelé můžou k ověření ve službě použít jakýkoli typ ověřování podporovaný Microsoft Entra ID, například Windows Hello pro firmy a další možnosti ověřování bez hesla (například klíče FIDO).
Ověřování pomocí čipové karty
Pokud chcete k ověření Microsoft Entra ID použít čipovou kartu, musíte nejprve nakonfigurovat Microsoft Entra ověřování na základě certifikátu nebo nakonfigurovat službu AD FS pro ověřování uživatelských certifikátů.
Zprostředkovatelé identit třetích stran
Můžete použít zprostředkovatele identity třetích stran, pokud se federují s Microsoft Entra ID.
Ověřování vzdálené relace
Pokud jste ještě nepovolili jednotné přihlašování a uživatelé si svoje přihlašovací údaje neuložili místně, musí se při spuštění připojení také ověřit v Cloud PC.
Jednotné přihlašování
Jednotné přihlašování (SSO) umožňuje připojení přeskočit výzvu k zadání přihlašovacích údajů cloudového počítače a automaticky přihlásit uživatele k Windows prostřednictvím ověřování Microsoft Entra. Microsoft Entra ověřování poskytuje další výhody, včetně ověřování bez hesla a podpory zprostředkovatelů identit třetích stran. Začněte tím, že si projdete postup konfigurace jednotného přihlašování.
Bez jednotného přihlašování klient vyzve uživatele k zadání přihlašovacích údajů ke cloudovým počítačům pro každé připojení. Jediným způsobem, jak se vyhnout zobrazení výzvy, je uložit přihlašovací údaje v klientovi. Doporučujeme ukládat přihlašovací údaje jenom na zabezpečených zařízeních, abyste ostatním uživatelům zabránili v přístupu k vašim prostředkům.
Ověřování v relaci
Po připojení ke cloudovému počítači se může zobrazit výzva k ověření v rámci relace. Tato část vysvětluje, jak v tomto scénáři použít jiné přihlašovací údaje než uživatelské jméno a heslo.
Ověřování bez hesla v relaci
Windows 365 podporuje ověřování bez hesla v relaci pomocí Windows Hello pro firmy nebo bezpečnostních zařízení, jako jsou klíče FIDO, při použití desktopového klienta Windows. Ověřování bez hesla se povolí automaticky, když cloudový počítač a místní počítač používají následující operační systémy:
- Windows 11 Enterprise s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 11 (KB5018418) nebo novější.
- Windows 10 Enterprise verze 20H2 nebo novější s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 10 (KB5018410) nebo novější.
Pokud je tato možnost povolená, všechny požadavky WebAuthn v relaci se přesměrují na místní počítač. K dokončení procesu ověřování můžete použít Windows Hello pro firmy nebo místně připojená zabezpečovací zařízení.
Pokud chcete získat přístup k Microsoft Entra prostředkům pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, musíte pro uživatele povolit klíč zabezpečení FIDO2 jako metodu ověřování. Pokud chcete tuto metodu povolit, postupujte podle kroků v tématu Povolení metody klíče zabezpečení FIDO2.
Ověřování čipovými kartami v relaci
Pokud chcete v relaci používat čipovou kartu, nezapomeňte nainstalovat ovladače čipových karet na cloudový počítač a povolit přesměrování čipových karet jako součást správy přesměrování zařízení RDP pro cloudové počítače. Zkontrolujte graf porovnání klientů a ujistěte se, že váš klient podporuje přesměrování čipových karet.