Partager via

Stratégies d’accès conditionnel pour Windows 365 Link

  • Article

Dans le cadre de la configuration de l’environnement de votre organization pour prendre en charge Windows 365 Link, vous devez vous assurer que vos stratégies d’accès conditionnel prennent en charge la connexion via et la connexion à partir d’appareils PC cloud Windows. Si l’accès conditionnel est utilisé pour protéger les ressources utilisées pour accéder à Windows 365 PC cloud, comme décrit dans Définir des stratégies d’accès conditionnel pour Windows 365, une stratégie d’accès conditionnel distincte mais correspondante doit également être utilisée pour protéger l’action de l’utilisateur pour inscrire ou joindre des appareils.

  1. Lorsque l’utilisateur se connecte sur l’écran de connexion interactif Windows 365 Link, son compte est authentifié auprès du service d’inscription de l’appareil.
  2. Windows 365 Link s’authentifie en mode silencieux auprès des autres ressources cloud requises (comme Microsoft Graph et le service Windows 365 à l’aide de l’authentification unique (SSO)).

Windows 365 PC Cloud appareils ont deux étapes distinctes d’authentification :

  • Connexion interactive : lorsque l’utilisateur se connecte sur l’écran de connexion Windows 365 Link, le service d’inscription de l’appareil est utilisé pour obtenir un jeton d’authentification.
  • Connexions non interactives : le jeton obtenu à partir de la connexion utilisateur est ensuite utilisé pour effectuer des connexions non interactives lors de la connexion à d’autres ressources d’application cloud telles que Windows 365 services.

Les connexions à partir d’appareils Windows 365 Link ne déclenchent aucune stratégie d’accès conditionnel ciblant Toutes les ressources (anciennement applications cloud) ou directement vers la ressource du service d’inscription des appareils. En outre, la connexion non interactive ne peut pas inviter un utilisateur à répondre à ces exigences.

Si une stratégie d’accès conditionnel est affectée à l’une des ressources Windows 365, une autre stratégie avec les mêmes paramètres de contrôle d’accès doit également être appliquée aux actions utilisateur pour inscrire ou joindre des appareils. Cette stratégie peut déclencher une connexion interactive et obtenir les revendications nécessaires à la connexion.

Sans ensemble de stratégies correspondant, la connexion est interrompue et les utilisateurs ne peuvent pas se connecter à leur PC cloud.

Ces activités sont visibles dans les journaux de connexion à l’accès conditionnel Entra :

  1. Connectez-vous aux journaux de connexiond’accès> conditionnel centre d’administration Microsoft Entra>Protection>.
  2. Sous l’onglet Connexions utilisateur (interactives), utilisez des filtres pour rechercher des événements à partir de l’écran de connexion.
  3. Sous l’onglet Connexions utilisateur (non interactives), utilisez des filtres pour rechercher des événements à partir des connexions.

Créer une stratégie d’accès conditionnel pour la connexion interactive

  1. Connectez-vous à la centre d’administration Microsoft Entra>Protection>Stratégies d’accès> conditionnelWhat>if.
  2. Pour Identité de l’utilisateur ou de la charge de travail , sélectionnez un utilisateur avec lequel effectuer le test.
  3. Pour Applications cloud, actions ou contexte d’authentification, sélectionnez N’importe quelle application cloud.
  4. Pour Sélectionner le type de cible , laissez Application cloud sélectionnée.
  5. Sélectionnez Sélectionner des applications , puis sélectionnez les ressources suivantes, si elles sont disponibles :
    • Windows 365 (ID d’application 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (ID d’application 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Bureau à distance Microsoft (ID d’application a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Connexion cloud Windows (ID d’application 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Sélectionnez What If.

Passez en revue chacune des stratégies qui s’appliqueront et déterminez les contrôles d’accès utilisés pour accorder l’accès à ces ressources et paramètres de session.

Vous pouvez maintenant créer une stratégie d’accès conditionnel pour exiger l’authentification multifacteur pour l’inscription des appareils à l’aide des mêmes contrôles d’accès.

  1. Connectez-vousà lanouvelle stratégied’accès>> conditionnel centre d’administration Microsoft Entra>Protection>
  2. Donnez un nom à votre stratégie. Envisagez d’utiliser une norme explicite pour les noms de stratégie.
  3. Sous Affectations>Utilisateurs, sélectionnez 0 utilisateurs et groupes sélectionnés.
  4. Sous Inclure, sélectionnez Tous les utilisateurs ou sélectionnez un groupe d’utilisateurs qui se connecteront via Windows 365 Link appareils.
  5. Sous Exclure, sélectionnez Utilisateurs et groupes> pour sélectionner les comptes d’accès d’urgence ou de secours de votre organization.
  6. Sous Ressources> ciblesActions utilisateur, sélectionnez Inscrire ou joindre des appareils.
  7. Sous Contrôles d’accès>Accorder, utilisez les mêmes contrôles que précédemment à l’aide de l’outil What If.
  8. Sous Contrôles> d’accèsSession, utilisez les mêmes contrôles que précédemment à l’aide de l’outil What If.
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport uniquement.
  10. Sélectionnez Créer.
  11. Après avoir confirmé les paramètres à l’aide du mode rapport uniquement, définissez le bouton bascule Activer la stratégie de Rapport uniquement sur Activé.

Pour plus d’informations sur la création de stratégies d’accès conditionnel pour l’inscription des appareils, y compris les conflits potentiels, consultez Exiger l’authentification multifacteur pour l’inscription des appareils.

Pour plus d’informations sur les actions de l’utilisateur avec l’accès conditionnel, consultez Actions utilisateur.

Pour plus d’informations sur la création de stratégies d’accès conditionnel pour les ressources utilisées pour Windows 365, consultez Définir des stratégies d’accès conditionnel.

Étapes suivantes

Supprimer l’invite de consentement de l’authentification unique.