Windows authentification et identité 365
L’identité d’un utilisateur PC Cloud définit les services de gestion d’accès qui gèrent cet utilisateur et le PC cloud Cette identité définit :
- Types de PC Cloud accessibles par l’utilisateur.
- Types de ressources PC non cloud auxquelles l’utilisateur a accès.
Un appareil peut également avoir une identité déterminée par son type de jointure pour Microsoft Entra ID. Pour un appareil, le type de jointage définit :
- Si l’appareil nécessite une ligne de vision pour un contrôleur de domaine
- Gestion de l’appareil
- Comment les utilisateurs s’authentifient-ils sur l’appareil ?
Types d’identité
Il existe quatre types d’identité :
- Identité hybride : utilisateurs ou appareils créés dans Active Directory local Domain Services, puis synchronisés avec Microsoft Entra ID.
- Identité cloud uniquement : utilisateurs ou appareils créés et n’existent que dans Microsoft Entra ID.
- Identité fédérée : utilisateurs créés dans un fournisseur d’identité tiers, autres qui Microsoft Entra ID ou services de domaine Active Directory, puis fédérés avec Microsoft Entra ID.
- Identité externe : les utilisateurs qui sont créés et gérés en dehors de votre locataire Microsoft Entra, mais qui sont invités à accéder à votre locataire Microsoft Entra pour accéder aux ressources de votre organization.
Remarque
- Windows 365 prend en charge les identités fédérées lorsque l’authentification unique est activée.
- Windows 365 ne prend pas en charge les identités externes.
Types de jointage d’appareil
Vous pouvez choisir parmi deux types de jointage lors de la mise en service d’un PC Cloud :
- jointure hybride Microsoft Entra : si vous choisissez ce type de jointure, Windows 365 joint votre PC cloud au domaine Windows Server Active Directory que vous fournissez. Ensuite, si votre organization est correctement configuré pour Microsoft Entra jointure hybride, l’appareil est synchronisé avec Microsoft Entra ID.
- jointure Microsoft Entra : si vous choisissez ce type de jointure, Windows 365 joint directement votre PC cloud à Microsoft Entra ID.
Le tableau suivant présente les principales fonctionnalités ou exigences en fonction du type de jointure sélectionné :
| Capacité ou exigence | Jonction Microsoft Entra hybride | Jonction Microsoft Entra |
|---|---|---|
| Abonnement Azure | Obligatoire | Facultatif |
| Réseau virtuel Azure avec une ligne de vision pour le contrôleur de domaine | Obligatoire | Facultatif |
| Type d’identité utilisateur pris en charge pour la connexion | Utilisateurs hybrides uniquement | Utilisateurs hybrides ou utilisateurs cloud uniquement |
| Gestion des stratégies | Objets de stratégie de groupe (GPO) ou GM Intune | Intune MDM uniquement |
| Connexion Windows Hello entreprise prise en charge | Oui, et l’appareil de connexion doit être en ligne de vue du contrôleur de domaine via le réseau direct ou un VPN. | Oui |
Authentification
Lorsqu’un utilisateur accède à un PC cloud, il existe trois phases d’authentification distinctes :
- Authentification du service cloud : l’authentification auprès du service Windows 365, qui inclut l’abonnement aux ressources et l’authentification auprès de la passerelle, s’effectue avec Microsoft Entra ID.
- Authentification de session à distance : Authentification auprès du PC cloud. Il existe plusieurs façons de s’authentifier auprès de la session à distance, notamment l’authentification unique (SSO) recommandée.
- Authentification en session : Authentification auprès des applications et des sites web dans le PC cloud.
Pour obtenir la liste des informations d’identification disponibles sur les différents clients pour chaque phase d’authentification, comparez les clients entre les plateformes.
Importante
Pour que l’authentification fonctionne correctement, l’ordinateur local de l’utilisateur doit également être en mesure d’accéder aux URL dans la section Clients du bureau à distance de la liste d’URL requise d’Azure Virtual Desktop.
Windows 365 offre l’authentification unique (définie comme une invite d’authentification unique qui peut satisfaire à la fois l’authentification du service Windows 365 et l’authentification du PC cloud) dans le cadre du service. Pour plus d’informations, consultez Authentification unique.
Les sections suivantes fournissent plus d’informations sur ces phases d’authentification.
Authentification du service cloud
Les utilisateurs doivent s’authentifier auprès Windows service 365 lorsque :
- Ils accèdent à windows365.microsoft.com.
- Ils naviguent jusqu’à l’URL qui est muée directement sur leur PC Cloud.
- Ils utilisent un client pris en charge pour répertorier leurs PC cloud.
Pour accéder au service Windows 365, les utilisateurs doivent d’abord s’authentifier auprès du service en se connectant avec un compte Microsoft Entra ID.
Authentification multifacteur
Suivez les instructions fournies dans Définir des stratégies d’accès conditionnel pour savoir comment appliquer Microsoft Entra’authentification multifacteur pour vos PC cloud. Cet article vous explique également comment configurer la fréquence à laquelle vos utilisateurs sont invités à entrer leurs informations d’identification.
Authentification sans mot de passe
Les utilisateurs peuvent utiliser n’importe quel type d’authentification pris en charge par Microsoft Entra ID, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, les clés FIDO), pour s’authentifier auprès du service.
Authentification carte intelligente
Pour utiliser une carte intelligente pour vous authentifier auprès de Microsoft Entra ID, vous devez d’abord configurer Microsoft Entra’authentification basée sur les certificats ou configurer AD FS pour l’authentification par certificat utilisateur.
Fournisseurs d’identité tiers
Vous pouvez utiliser des fournisseurs d’identité tiers tant qu’ils se fédèrent avec Microsoft Entra ID.
Authentification de session à distance
Si vous n’avez pas encore activé l’authentification unique et que les utilisateurs n’ont pas enregistré leurs informations d’identification localement, ils doivent également s’authentifier sur le PC cloud lors du lancement d’une connexion.
Authentification unique (SSO)
L’authentification unique (SSO) permet à la connexion d’ignorer l’invite d’informations d’identification du PC cloud et de connecter automatiquement l’utilisateur à Windows via l’authentification Microsoft Entra. l’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers. Pour commencer, passez en revue les étapes de configuration de l’authentification unique.
Sans authentification unique, le client invite les utilisateurs à entrer leurs informations d’identification de PC cloud pour chaque connexion. La seule façon d’éviter d’être invité consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer uniquement les informations d’identification sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Authentification en session
Une fois que vous vous êtes connecté à votre PC cloud, vous pouvez être invité à fournir l’authentification dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Windows 365 prend en charge l’authentification sans mot de passe dans la session à l’aide de Windows Hello Entreprise ou d’appareils de sécurité tels que les clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement lorsque le PC cloud et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 Entreprise la Mises à jour cumulative 2022-2010 pour Windows 11 (KB5018418) ou ultérieure installée.
- Windows 10 Entreprise, versions 20H2 ou ultérieures avec la Mises à jour cumulative 2022-2010 pour Windows 10 (KB5018410) ou ultérieure installée.
Quand cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour terminer le processus d’authentification.
Pour accéder à Microsoft Entra ressources avec des Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes décrites dans Activer la méthode de clé de sécurité FIDO2.
Authentification carte intelligente dans la session
Pour utiliser une carte intelligente dans votre session, veillez à installer les pilotes smart carte sur le PC cloud et à autoriser la redirection carte intelligente dans le cadre de la gestion des redirections d’appareils RDP pour les PC cloud. Passez en revue le graphique de comparaison des clients pour vous assurer que votre client prend en charge la redirection carte intelligente.