Sdílet prostřednictvím

Zásady podmíněného přístupu pro Windows 365 Link

  • Článek

V rámci nastavení prostředí vaší organizace tak, aby podporovalo Windows 365 Link, musíte zajistit, aby zásady podmíněného přístupu vyhovovaly přihlášení prostřednictvím a připojení ze zařízení s Windows Cloud PC. Pokud se k ochraně prostředků používaných pro přístup ke cloudovým počítačům Windows 365 používá podmíněný přístup, jak je popsáno v tématu Nastavení zásad podmíněného přístupu pro Windows 365, musí se k ochraně akce uživatele pro registraci nebo připojení zařízení použít také samostatné, ale odpovídající zásady podmíněného přístupu.

  1. Když se uživatel přihlásí na interaktivní přihlašovací obrazovce Windows 365 Link, jeho účet se ověří ve službě registrace zařízení.
  2. Windows 365 Link se bezobslužně ověřuje vůči ostatním požadovaným cloudovým prostředkům (jako je Microsoft Graph a služba Windows 365 pomocí jednotného přihlašování).

Windows 365 Cloud PC zařízení mají dvě různé fáze ověřování:

  • Interaktivní přihlašování: Když se uživatel přihlásí na přihlašovací obrazovce Windows 365 Link, použije se k získání ověřovacího tokenu služba registrace zařízení.
  • Neinteraktivní připojení: Token získaný z přihlášení uživatele se pak použije k provádění neinteraktivních přihlášení při připojování k jiným prostředkům cloudové aplikace, jako jsou Windows 365 služby.

Přihlášení z Windows 365 Link zařízení neaktivují žádné zásady podmíněného přístupu, které cílí na Všechny prostředky (dříve cloudové aplikace) nebo přímo na prostředek Služby registrace zařízení. Neinteraktivní připojení také nemůže uživatele vyzvat, aby tyto požadavky splnil.

Pokud je k některému z prostředků Windows 365 přiřazená zásada podmíněného přístupu, musí se na akce uživatele k registraci nebo připojení zařízení použít jiná zásada se stejným nastavením řízení přístupu. Tato zásada může aktivovat interaktivní přihlášení a získat deklarace identity, které jsou pro připojení nezbytné.

Bez odpovídající sady zásad se připojení přeruší a uživatelé se nemůžou připojit ke svému cloudovému počítači.

Tyto aktivity najdete v protokolech přihlašování podmíněného přístupu Entra:

  1. Přihlaste se kprotokolům přihlášenípodmíněného přístupu>Centrum pro správu Microsoft Entra>Protection>.
  2. Na kartě Přihlášení uživatelů (interaktivní) použijte filtry k vyhledání událostí z přihlašovací obrazovky.
  3. Na kartě Přihlášení uživatelů (neinteraktivní) použijte filtry k vyhledání událostí z připojení.

Vytvoření zásad podmíněného přístupu pro interaktivní přihlašování

  1. Přihlaste se k Centrum pro správu Microsoft Entra>Protection>Zásady>podmíněného přístupu>What if (Co kdyby).
  2. V části Identita uživatele nebo úlohy vyberte uživatele, se kterým chcete testovat.
  3. V části Cloudové aplikace, akce nebo kontext ověřování vyberte Libovolná cloudová aplikace.
  4. U možnosti Vybrat typ cíle ponechte vybranou možnost Cloudová aplikace .
  5. Vyberte Vybrat aplikace a pak vyberte následující prostředky, pokud jsou dostupné:
    • Windows 365 (ID aplikace 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (ID aplikace 9cdead84-a844-4324-93f2-b2e6bb768d07)
    • Vzdálená plocha Microsoft (ID aplikace a4a365df-50f1-4397-bc59-1a1564b8bb9c)
    • Přihlášení ke cloudu windows (ID aplikace 270efc09-cd0d-444b-a71f-39af4910ec45)
  6. Vyberte What If (What If).

Zkontrolujte všechny zásady, které se použijí, a určete řízení přístupu, které se použije k udělení přístupu k těmto prostředkům a nastavením relace.

Teď můžete vytvořit nové zásady podmíněného přístupu, které budou vyžadovat vícefaktorové ověřování pro registraci zařízení , a to pomocí stejných ovládacích prvků přístupu.

  1. Přihlaste se k Centrum pro správu Microsoft Entra>Protection>Zásady>podmíněného přístupu>Nové zásady
  2. Pojmenujte zásady. Zvažte použití smysluplného standardu pro názvy zásad.
  3. V části Přiřazení>Uživatelé vyberte 0 vybraných uživatelů a skupin.
  4. V části Zahrnout vyberte Všichni uživatelé nebo vyberte skupinu uživatelů, kteří se budou přihlašovat přes Windows 365 Link zařízení.
  5. V části Vyloučit vyberte Uživatelé a skupiny> a vyberte účty tísňového volání nebo účty tísňového volání vaší organizace.
  6. V části Cílové prostředky>Akce uživatele vyberte Zaregistrovat nebo připojit zařízení.
  7. V části Udělení ovládacích prvků> přístupu použijte stejné ovládací prvky, které jste našli dříve pomocí nástroje What If.
  8. V částiRelaceřízení> přístupu použijte stejné ovládací prvky, které jste našli dříve pomocí nástroje What If.
  9. Potvrďte nastavení a nastavte Povolit zásadu na Pouze sestavy.
  10. Vyberte Vytvořit.
  11. Po potvrzení nastavení v režimu pouze sestavy změňte přepínač Povolit zásadu z pouze sestav na Zapnuto.

Další informace o vytváření zásad podmíněného přístupu pro registraci zařízení, včetně potenciálních konfliktů, najdete v tématu Vyžadování vícefaktorového ověřování pro registraci zařízení.

Další informace o akcích uživatelů s podmíněným přístupem najdete v tématu Akce uživatelů.

Další informace o vytváření zásad podmíněného přístupu pro prostředky používané pro Windows 365 najdete v tématu Nastavení zásad podmíněného přístupu.

Další kroky

Potlačit výzvu k vyjádření souhlasu s jednotným přihlašováním