Freigeben über

Windows 365-Identität und -Authentifizierung

  • Artikel

Die Identität eines Cloud-PCs definiert, welche Zugriffsverwaltungsdienste diesen Benutzer und cloudbasierten PC verwalten. Diese Identität definiert:

  • Die Typen von Cloud-PCs, auf die der Benutzer zugreifen kann.
  • Die Typen der Nicht-Cloud-PC-Ressourcen, auf die der Benutzer zugreifen kann.

Ein Gerät kann auch über eine Identität verfügen, die durch seinen Verknüpfungstyp zur Microsoft Entra-ID bestimmt wird. Für ein Gerät definiert der Verknüpfungstyp Folgendes:

  • Ob für das Gerät eine Sichtlinie auf einen Domänencontroller erforderlich ist.
  • Wie das Gerät verwaltet wird.
  • Wie sich Benutzer beim Gerät authentifizieren.

Identitätstypen

Es gibt vier Identitätstypen:

  • Hybrididentität: Benutzer oder Geräte, die in lokalen Active Directory Domain Services erstellt und dann mit microsoft Entra ID synchronisiert werden.
  • Reine Cloudidentität: Benutzer oder Geräte, die erstellt wurden und nur in Microsoft Entra ID vorhanden sind.
  • Verbundidentität: Benutzer, die in einem Identitätsanbieter eines Drittanbieters erstellt werden, d. h. microsoft Entra ID oder Active Directory Domain Services, und dann mit Microsoft Entra ID verbunden sind.
  • Externe Identität: Benutzer, die außerhalb Ihres Microsoft Entra-Mandanten erstellt und verwaltet werden, aber in Ihren Microsoft Entra-Mandanten eingeladen werden, um auf die Ressourcen Ihrer Organisation zuzugreifen.

Hinweis

  • Windows 365 unterstützt Verbundidentitäten, wenn einmaliges Anmelden aktiviert ist.
  • Windows 365 unterstützt keine externen Identitäten.

Geräteverbindungstypen

Es gibt zwei Verbindungstypen, zwischen denen Sie bei der Bereitstellung eines Cloud-PCs auswählen können:

In der folgenden Tabelle sind die wichtigsten Funktionen oder Anforderungen basierend auf dem ausgewählten Jointyp aufgeführt:

Funktion oder Anforderung Hybride Einbindung in Microsoft Entra Einbindung von Microsoft Entra
Azure-Abonnement Erforderlich Optional
Virtuelles Azure-Netzwerk mit Sichtlinie auf den Domänencontroller Erforderlich Optional
Für die Anmeldung unterstützter Benutzeridentitätstyp Nur Hybridbenutzer Hybridbenutzer oder reine Cloudbenutzer
Richtlinienverwaltung Gruppenrichtlinienobjekte (Group Policy Objects, GPO) oder Intune MDM Nur Intune MDM
Windows Hello for Business-Anmeldung wird unterstützt Ja, und das Verbindungsgerät muss über eine Sichtlinie über das direkte Netzwerk oder ein VPN auf den Domänencontroller verfügen Ja

Authentifizierung

Wenn ein Benutzer auf einen Cloud-PC zugreift, gibt es drei separate Authentifizierungsphasen:

  • Clouddienstauthentifizierung: Die Authentifizierung beim Windows 365-Dienst, einschließlich des Abonnierens von Ressourcen und der Authentifizierung beim Gateway, erfolgt mit microsoft Entra ID.
  • Remotesitzungsauthentifizierung: Authentifizieren auf dem Cloud-PC. Es gibt mehrere Möglichkeiten, sich bei der Remotesitzung zu authentifizieren, einschließlich des empfohlenen einmaligen Anmeldens (Single Sign-On, SSO).
  • In-Session-Authentifizierung: Authentifizieren bei Anwendungen und Websites auf dem Cloud-PC.

Um die Liste der Anmeldeinformationen anzuzeigen, die auf den verschiedenen Clients für jede Authentifizierungsphase verfügbar sind, vergleichen Sie die Clients plattformübergreifend.

Wichtig

Damit die Authentifizierung richtig funktioniert, muss der lokale Computer des Benutzers auch auf die URLs im Abschnitt Remotedesktopclients der erforderlichen URL-Liste von Azure Virtual Desktop zugreifen können.

Windows 365 bietet einmaliges Anmelden (definiert als eine einzelne Authentifizierungsaufforderung, die sowohl die Windows 365-Dienstauthentifizierung als auch die Cloud-PC-Authentifizierung erfüllen kann) als Teil des Diensts. Weitere Informationen finden Sie unter Einmaliges Anmelden.

Die folgenden Abschnitte enthalten weitere Informationen zu diesen Authentifizierungsphasen.

Clouddienstauthentifizierung

Benutzer müssen sich beim Windows 365-Dienst authentifizieren, wenn:

Für den Zugriff auf den Windows 365-Dienst müssen sich Benutzer zuerst beim Dienst authentifizieren, indem sie sich mit einem Microsoft Entra ID-Konto anmelden.

Mehrstufige Authentifizierung

Befolgen Sie die Anweisungen unter Festlegen von Richtlinien für bedingten Zugriff , um zu erfahren, wie Sie die mehrstufige Microsoft Entra-Authentifizierung für Ihre Cloud-PCs erzwingen. In diesem Artikel erfahren Sie auch, wie Sie konfigurieren, wie oft Ihre Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden.

Kennwortlose Authentifizierung

Benutzer können jeden von Microsoft Entra ID unterstützten Authentifizierungstyp verwenden, z. B. Windows Hello for Business und andere kennwortlose Authentifizierungsoptionen (z. B. FIDO-Schlüssel), um sich beim Dienst zu authentifizieren.

Smartcardauthentifizierung

Um eine Smartcard für die Authentifizierung bei Microsoft Entra ID zu verwenden, müssen Sie zuerst die zertifikatbasierte Microsoft Entra-Authentifizierung oder AD FS für die Benutzerzertifikatauthentifizierung konfigurieren.

Identitätsanbieter von Drittanbietern

Sie können Identitätsanbieter von Drittanbietern verwenden, solange sie mit der Microsoft Entra-ID verbunden sind.

Remotesitzungsauthentifizierung

Wenn Sie das einmalige Anmelden noch nicht aktiviert haben und Benutzer ihre Anmeldeinformationen nicht lokal gespeichert haben, müssen sie sich beim Starten einer Verbindung auch beim Cloud-PC authentifizieren.

Einmaliges Anmelden (Single Sign-On, SSO)

Das einmalige Anmelden (Single Sign-On, SSO) ermöglicht es der Verbindung, die Eingabeaufforderung für Cloud PC-Anmeldeinformationen zu überspringen und den Benutzer automatisch über die Microsoft Entra-Authentifizierung bei Windows anzumelden. Die Microsoft Entra-Authentifizierung bietet weitere Vorteile, einschließlich kennwortloser Authentifizierung und Unterstützung für Identitätsanbieter von Drittanbietern. Lesen Sie zunächst die Schritte zum Konfigurieren des einmaligen Anmeldens.

Ohne SSO fordert der Client Benutzer zur Eingabe ihrer Cloud-PC-Anmeldeinformationen für jede Verbindung auf. Die einzige Möglichkeit, die Aufforderung zu vermeiden, besteht darin, die Anmeldeinformationen auf dem Client zu speichern. Es wird empfohlen, Anmeldeinformationen nur auf sicheren Geräten zu speichern, um zu verhindern, dass andere Benutzer auf Ihre Ressourcen zugreifen.

In-Session-Authentifizierung

Nachdem Sie eine Verbindung mit Ihrem Cloud-PC hergestellt haben, werden Sie möglicherweise innerhalb der Sitzung zur Authentifizierung aufgefordert. In diesem Abschnitt wird erläutert, wie Andere Anmeldeinformationen als Benutzername und Kennwort in diesem Szenario verwendet werden.

Kennwortlose Authentifizierung ohne Sitzung

Windows 365 unterstützt die kennwortlose In-Session-Authentifizierung mit Windows Hello for Business oder Sicherheitsgeräten wie FIDO-Schlüsseln bei Verwendung des Windows Desktop-Clients. Die kennwortlose Authentifizierung wird automatisch aktiviert, wenn der Cloud-PC und der lokale PC die folgenden Betriebssysteme verwenden:

Wenn diese Option aktiviert ist, werden alle WebAuthn-Anforderungen in der Sitzung an den lokalen PC umgeleitet. Sie können Windows Hello for Business oder lokal angefügte Sicherheitsgeräte verwenden, um den Authentifizierungsprozess abzuschließen.

Um mit Windows Hello for Business oder Sicherheitsgeräten auf Microsoft Entra-Ressourcen zuzugreifen, müssen Sie den FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode für Ihre Benutzer aktivieren. Führen Sie zum Aktivieren dieser Methode die Schritte unter Aktivieren der FIDO2-Sicherheitsschlüsselmethode aus.

In-Session-Smartcard-Authentifizierung

Um eine Smartcard in Ihrer Sitzung zu verwenden, müssen Sie die Smartcardtreiber auf dem Cloud-PC installieren und die Smartcardumleitung im Rahmen der Verwaltung von RDP-Geräteumleitungen für Cloud-PCs zulassen. Überprüfen Sie das Clientvergleichsdiagramm , um sicherzustellen, dass Ihr Client die Smartcardumleitung unterstützt.

Nächste Schritte

Informationen zum Cloud-PC-Lebenszyklus