Windows 365 l'identità e l'autenticazione
L'identità di un utente di Cloud PC definisce quali servizi di gestione degli accessi gestiscono l'utente e il PC cloud. Questa identità definisce:
- Tipi di PC cloud a cui l'utente ha accesso.
- Tipi di risorse pc non cloud a cui l'utente ha accesso.
Un dispositivo può anche avere un'identità determinata dal tipo di join da Microsoft Entra ID. Per un dispositivo, il tipo di join definisce:
- Se il dispositivo richiede una linea di visualizzazione per un controller di dominio.
- Modalità di gestione del dispositivo.
- Modalità di autenticazione degli utenti nel dispositivo.
Tipi di identità
Esistono quattro tipi di identità:
- Identità ibrida: utenti o dispositivi creati in Active Directory locale Domain Services, quindi sincronizzati con Microsoft Entra ID.
- Identità solo cloud: utenti o dispositivi creati ed esistenti solo in Microsoft Entra ID.
- Identità federata: gli utenti creati in un provider di identità di terze parti, altro che Microsoft Entra ID o Active Directory Domain Services, quindi federati con Microsoft Entra ID.
- Identità esterna: gli utenti creati e gestiti all'esterno del tenant Microsoft Entra ma invitati nel tenant Microsoft Entra per accedere alle risorse dell'organizzazione.
Nota
- Windows 365 supporta le identità federate quando è abilitato l'accesso Single Sign-On.
- Windows 365 non supporta le identità esterne.
Tipi di join del dispositivo
Quando si effettua il provisioning di un PC cloud, è possibile selezionare due tipi di join:
- Microsoft Entra aggiunta ibrida: se si sceglie questo tipo di aggiunta, Windows 365 aggiunge il PC cloud al dominio Windows Server Active Directory specificato. Quindi, se l'organizzazione è configurata correttamente per Microsoft Entra join ibrido, il dispositivo viene sincronizzato con Microsoft Entra ID.
- Microsoft Entra Partecipa: se si sceglie questo tipo di join, Windows 365 aggiunge direttamente il PC cloud a Microsoft Entra ID.
La tabella seguente illustra le funzionalità o i requisiti chiave in base al tipo di join selezionato:
| Funzionalità o requisito | Aggiunta a Microsoft Entra ibrido | Aggiunta a Microsoft Entra |
|---|---|---|
| Abbonamento di Azure | Obbligatorio | Facoltativo |
| Rete virtuale di Azure con linea di visualizzazione per il controller di dominio | Obbligatorio | Facoltativo |
| Tipo di identità utente supportato per l'accesso | Solo utenti ibridi | Utenti ibridi o utenti solo cloud |
| Gestione dei criteri | oggetti Criteri di gruppo (GPO) o Intune MDM | Intune solo MDM |
| Windows Hello for Business l'accesso supportato | Sì, e il dispositivo di connessione deve avere una linea di vista verso il controller di dominio tramite la rete diretta o una VPN | Sì |
Autenticazione
Quando un utente accede a un PC cloud, esistono tre fasi di autenticazione separate:
- Autenticazione del servizio cloud: l'autenticazione al servizio Windows 365, che include la sottoscrizione alle risorse e l'autenticazione al gateway, è con Microsoft Entra ID.
- Autenticazione della sessione remota: autenticazione al PC cloud. Esistono diversi modi per eseguire l'autenticazione alla sessione remota, tra cui l'accesso Single Sign-On (SSO) consigliato.
- Autenticazione in sessione: autenticazione ad applicazioni e siti Web all'interno del CLOUD PC.
Per l'elenco delle credenziali disponibili nei diversi client per ogni fase di autenticazione, confrontare i client tra piattaforme.
Importante
Affinché l'autenticazione funzioni correttamente, il computer locale dell'utente deve anche essere in grado di accedere agli URL nella sezione Client Desktop remotodell'elenco degli URL necessari per Desktop virtuale Azure.
Windows 365 offre l'accesso Single Sign-On (definito come richiesta di autenticazione singola in grado di soddisfare sia l'autenticazione del servizio Windows 365 che l'autenticazione Cloud PC) come parte del servizio. Per altre informazioni, vedere Single Sign-On.
Le sezioni seguenti forniscono altre informazioni su queste fasi di autenticazione.
Autenticazione del servizio cloud
Gli utenti devono eseguire l'autenticazione con il servizio Windows 365 quando:
- Accedono windows365.microsoft.com.
- Si spostano all'URL mappato direttamente al pc cloud.
- Usano un client supportato per elencare i PC cloud.
Per accedere al servizio Windows 365, gli utenti devono prima eseguire l'autenticazione al servizio accedendo con un account Microsoft Entra ID.
Autenticazione a più fattori
Seguire le istruzioni in Impostare i criteri di accesso condizionale per informazioni su come applicare Microsoft Entra'autenticazione a più fattori per i PC cloud. Questo articolo illustra anche come configurare la frequenza con cui agli utenti viene richiesto di immettere le credenziali.
Autenticazione senza password
Gli utenti possono usare qualsiasi tipo di autenticazione supportato da Microsoft Entra ID, ad esempio Windows Hello for Business e altre opzioni di autenticazione senza password (ad esempio, chiavi FIDO), per eseguire l'autenticazione al servizio.
Autenticazione con smart card
Per usare una smart card per l'autenticazione in Microsoft Entra ID, è necessario innanzitutto configurare Microsoft Entra autenticazione basata su certificato o configurare AD FS per l'autenticazione del certificato utente.
Provider di identità di terze parti
È possibile usare provider di identità di terze parti purché siano federati con Microsoft Entra ID.
Autenticazione della sessione remota
Se non è già stato abilitato l'accesso Single Sign-On e gli utenti non hanno salvato le credenziali in locale, devono anche eseguire l'autenticazione nel CLOUD PC all'avvio di una connessione.
Single Sign-On
Single Sign-On (SSO) consente alla connessione di ignorare il prompt delle credenziali di Cloud PC e di accedere automaticamente all'utente a Windows tramite l'autenticazione Microsoft Entra. Microsoft Entra l'autenticazione offre altri vantaggi, tra cui l'autenticazione senza password e il supporto per i provider di identità di terze parti. Per iniziare, esaminare i passaggi per configurare l'accesso Single Sign-On.
Senza SSO, il client richiede agli utenti le credenziali del PC cloud per ogni connessione. L'unico modo per evitare di essere richiesto è salvare le credenziali nel client. È consigliabile salvare le credenziali solo nei dispositivi sicuri per impedire ad altri utenti di accedere alle risorse.
Autenticazione in sessione
Dopo la connessione al PC cloud, potrebbe essere richiesta l'autenticazione all'interno della sessione. In questa sezione viene illustrato come usare credenziali diverse da nome utente e password in questo scenario.
Autenticazione senza password in sessione
Windows 365 supporta l'autenticazione senza password in sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO quando si usa il client Desktop Windows. L'autenticazione senza password viene abilitata automaticamente quando il PC cloud e il PC locale usano i sistemi operativi seguenti:
- Windows 11 Enterprise con il Aggiornamenti cumulativo 2022-10 per Windows 11 (KB5018418) o versione successiva installato.
- Windows 10 Enterprise, versioni 20H2 o successive con il Aggiornamenti cumulativo 2022-10 per Windows 10 (KB5018410) o versioni successive installate.
Se abilitata, tutte le richieste WebAuthn nella sessione vengono reindirizzate al PC locale. È possibile usare Windows Hello for Business o dispositivi di sicurezza collegati in locale per completare il processo di autenticazione.
Per accedere Microsoft Entra risorse con Windows Hello for Business o dispositivi di sicurezza, è necessario abilitare la chiave di sicurezza FIDO2 come metodo di autenticazione per gli utenti. Per abilitare questo metodo, seguire la procedura descritta in Abilitare il metodo della chiave di sicurezza FIDO2.
Autenticazione della smart card in sessione
Per usare una smart card nella sessione, assicurarsi di installare i driver delle smart card nel PC cloud e di consentire il reindirizzamento delle smart card come parte della gestione dei reindirizzamenti dei dispositivi RDP per i PC cloud. Esaminare il grafico di confronto client per verificare che il client supporti il reindirizzamento delle smart card.