Configurare l'accesso Single Sign-On per Windows 365 Business usando l'autenticazione Microsoft Entra

Questo articolo illustra il processo di configurazione dell'accesso Single Sign-On (SSO) per Windows 365 tramite l'autenticazione Microsoft Entra. Quando si abilita l'accesso SSO, gli utenti possono usare l'autenticazione senza password e i provider di identità di terze parti federati con Microsoft Entra ID per accedere al PC cloud. Se abilitata, questa funzionalità offre un'esperienza SSO sia durante l'autenticazione al CLOUD PC che all'interno della sessione quando si accede ad app e siti Web basati su Microsoft Entra ID.

Per abilitare l'accesso Single Sign-On tramite l'autenticazione Microsoft Entra ID, è necessario completare quattro attività:

1. Abilitare l'autenticazione Microsoft Entra per RDP (Remote Desktop Protocol).

2. Configurare i gruppi di dispositivi di destinazione.

3. Esaminare i criteri di accesso condizionale.

4. Configurare le impostazioni dell'organizzazione per abilitare l'accesso SSO.

Prima di abilitare l'accesso SSO

Prima di abilitare l'accesso SSO, esaminare le informazioni seguenti per usarlo nell'ambiente.

Disconnessione quando la sessione è bloccata

Quando l'accesso SSO è abilitato, gli utenti accedono a Windows usando un token di autenticazione Microsoft Entra ID, che fornisce il supporto per l'autenticazione senza password per Windows. La schermata di blocco di Windows nella sessione remota non supporta Microsoft Entra ID token di autenticazione o metodi di autenticazione senza password, ad esempio le chiavi FIDO. Invece del comportamento precedente di visualizzare la schermata di blocco remoto quando una sessione è bloccata, la sessione viene invece disconnessa e l'utente riceve una notifica. La disconnessione della sessione garantisce che:

• Gli utenti traggono vantaggio da un'esperienza di accesso Single Sign-On e possono riconnettersi senza richiesta di autenticazione quando consentito.
• Gli utenti possono accedere di nuovo alla sessione usando l'autenticazione senza password, ad esempio le chiavi FIDO.
• I criteri di accesso condizionale, tra cui l'autenticazione a più fattori e la frequenza di accesso, vengono rivalutati quando l'utente si riconnette alla sessione.

Prerequisiti

Prima di abilitare l'accesso SSO, è necessario soddisfare i prerequisiti seguenti:

• Per configurare il tenant Microsoft Entra, è necessario assegnare uno dei ruoli predefiniti Microsoft Entra seguenti:

  • Amministratore dell'applicazione
  • Amministratore applicazioni cloud

• I PC cloud devono eseguire uno dei sistemi operativi seguenti con l'aggiornamento cumulativo pertinente installato:

  • Windows 11 Enterprise con il Aggiornamenti cumulativo 2022-10 per Windows 11 (KB5018418) o versione successiva installato.
  • Windows 10 Enterprise con il Aggiornamenti cumulativo 2022-10 per Windows 10 (KB5018410) o versioni successive installate.

• Installare Microsoft Graph PowerShell SDK versione 2.9.0 o successiva nel dispositivo locale o in Azure Cloud Shell.

Abilitare l'autenticazione Microsoft Entra per RDP

È prima di tutto necessario consentire l'autenticazione Microsoft Entra per Windows nel tenant Microsoft Entra, che consente l'emissione di token di accesso RDP che consentono agli utenti di accedere ai PC cloud. Questa modifica deve essere eseguita sulle entità servizio per le applicazioni di Microsoft Entra seguenti:

Nome applicazione	ID applicazione
Desktop remoto Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Account di accesso cloud di Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Come parte di una modifica imminente, a partire dal 2024 si passa da Desktop remoto Microsoft a Windows Cloud Login. La configurazione di entrambe le applicazioni garantisce ora di essere pronti per la modifica.

Per consentire l'autenticazione Entra, è possibile usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto remoteDesktopSecurityConfiguration nell'entità servizio e impostare la proprietà isRemoteDesktopProtocolEnabledtruesu . È anche possibile usare microsoft API Graph con uno strumento come Graph Explorer.

Seguire la procedura seguente per apportare le modifiche usando PowerShell:

1. Avviare il Cloud Shell di Azure nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

   1. Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   2. Se si usa PowerShell in locale, accedere prima con Azure PowerShell, quindi verificare che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

2. Assicurarsi di aver installato Microsoft Graph PowerShell SDK dai prerequisiti. Importare quindi i moduli di Autenticazione e applicazioni di Microsoft Graph e connettersi a Microsoft Graph con gli Application.Read.All ambiti e Application-RemoteDesktopConfig.ReadWrite.All eseguendo i comandi seguenti:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Ottenere l'ID oggetto per ogni entità servizio e archiviarli in variabili eseguendo i comandi seguenti:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Impostare la proprietà isRemoteDesktopProtocolEnabled su true eseguendo i comandi seguenti. Non è disponibile alcun output da questi comandi.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Verificare che la proprietà isRemoteDesktopProtocolEnabled sia impostata su true eseguendo i comandi seguenti:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   L'output deve essere:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Configurare i gruppi di dispositivi di destinazione

Dopo aver abilitato l'autenticazione Microsoft Entra per RDP, è necessario configurare i gruppi di dispositivi di destinazione. Per impostazione predefinita, quando si abilita l'accesso Single Sign-On, agli utenti viene richiesto di eseguire l'autenticazione a Microsoft Entra ID e di consentire la connessione Desktop remoto all'avvio di una connessione a un nuovo PC cloud. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di riprovare. Se un utente visualizza una finestra di dialogo per consentire la connessione desktop remoto, deve selezionare Sì per connettersi.

Per nascondere questa finestra di dialogo è necessario creare uno o più gruppi in Microsoft Entra ID che contiene i PC cloud, quindi impostare una proprietà sulle entità servizio per le stesse applicazioni Desktop remoto Microsoft e Accesso cloud di Windows, usate nella sezione precedente, per il gruppo.

Consiglio

È consigliabile usare un gruppo dinamico e configurare le regole di appartenenza dinamica per includere tutti i PC cloud. È possibile usare i nomi dei dispositivi in questo gruppo, ma per un'opzione più sicura è possibile impostare e usare gli attributi dell'estensione del dispositivo usando Microsoft API Graph. Mentre i gruppi dinamici vengono in genere aggiornati entro 5-10 minuti, i tenant di grandi dimensioni possono richiedere fino a 24 ore.

I gruppi dinamici richiedono la licenza P1 Microsoft Entra ID o la licenza Intune per Education. Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi.

Per configurare l'entità servizio, usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto targetDeviceGroup nell'entità servizio con l'ID oggetto e il nome visualizzato del gruppo dinamico. È anche possibile usare microsoft API Graph con uno strumento come Graph Explorer.

1. Creare un gruppo dinamico in Microsoft Entra ID contenente i PC cloud per cui si vuole nascondere la finestra di dialogo. Prendere nota dell'ID oggetto del gruppo per il passaggio successivo.

2. Nella stessa sessione di PowerShell creare un targetDeviceGroup oggetto eseguendo i comandi seguenti, sostituendo <placeholders> con i propri valori:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Aggiungere il gruppo all'oggetto targetDeviceGroup eseguendo i comandi seguenti:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   L'output deve essere simile:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Ripetere i passaggi 2 e 3 per ogni gruppo da aggiungere all'oggetto targetDeviceGroup , fino a un massimo di 10 gruppi.

4. Se in un secondo momento è necessario rimuovere un gruppo di dispositivi dall'oggetto targetDeviceGroup , eseguire i comandi seguenti, sostituendo <placeholders> con i propri valori:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Esaminare i criteri di accesso condizionale

Quando l'accesso Single Sign-On è attivato, viene introdotta una nuova app Microsoft Entra ID per autenticare gli utenti nel CLOUD PC. Se sono presenti criteri di accesso condizionale che si applicano quando si accede a Windows 365, esaminare le raccomandazioni per impostare i criteri di accesso condizionale per Windows 365 per assicurarsi che gli utenti abbiano l'esperienza desiderata e per proteggere l'ambiente.

Attivare l'accesso SSO per tutti i PC cloud nell'account

1. Accedere a windows365.microsoft.com con un account con il ruolo di amministratore Windows 365.
2. Selezionare I PC cloud dell'organizzazione e quindi selezionare Aggiorna impostazioni dell'organizzazione.
3. Selezionare l'opzione Single Sign-On in Impostazioni Cloud PC.