Condividi tramite

Criteri di accesso condizionale per Windows 365 Link

  • Articolo

Come parte della configurazione dell'ambiente dell'organizzazione per supportare Windows 365 Link, è necessario assicurarsi che i criteri di accesso condizionale siano adatti sia all'accesso tramite che alla connessione dai dispositivi Windows Cloud PC. Se l'accesso condizionale viene usato per proteggere le risorse usate per accedere a Windows 365 PC cloud come descritto in Impostare i criteri di accesso condizionale per Windows 365, è necessario usare anche criteri di accesso condizionale separati ma corrispondenti per proteggere l'azione dell'utente per registrare o aggiungere dispositivi.

  1. Quando l'utente accede alla schermata di accesso interattiva Windows 365 Link, l'account viene autenticato nel servizio di registrazione del dispositivo.
  2. Windows 365 Link esegue l'autenticazione invisibile all'utente rispetto alle altre risorse cloud necessarie, ad esempio Microsoft Graph e il servizio Windows 365 usando l'accesso Single Sign-On (SSO).

Windows 365 Cloud PC dispositivi hanno due fasi distinte di autenticazione:

  • Accesso interattivo: quando l'utente accede alla schermata di accesso Windows 365 Link, il servizio di registrazione del dispositivo viene usato per ottenere un token di autenticazione.
  • Connessioni non interattive: il token ottenuto dall'accesso utente viene quindi usato per eseguire accessi non interattivi durante la connessione ad altre risorse dell'app cloud, ad esempio Windows 365 servizi.

Gli accessi dai dispositivi Windows 365 Link non attivano criteri di accesso condizionale destinati a Tutte le risorse (in precedenza app cloud) o direttamente alla risorsa Servizio registrazione dispositivi. Inoltre, la connessione non interattiva non può richiedere a un utente di soddisfare tali requisiti.

Se a una delle risorse Windows 365 viene assegnato un criterio di accesso condizionale, è necessario applicare anche un altro criterio con le stesse impostazioni di controllo di accesso alle azioni utente per registrare o aggiungere dispositivi. Questo criterio può attivare un accesso interattivo e ottenere le attestazioni necessarie per la connessione.

Senza un set di criteri corrispondente, la connessione viene interrotta e gli utenti non possono connettersi al PC cloud.

Queste attività possono essere visualizzate nei log di accesso condizionale di Entra:

  1. Accedere ailog diaccesso> condizionale Interfaccia di amministrazione di Microsoft Entra>Protection>.
  2. Nella scheda Accessi utente (interattivo) usare i filtri per trovare gli eventi dalla schermata di accesso.
  3. Nella scheda Accessi utente (non interattivo) usare i filtri per trovare gli eventi dalle connessioni.

Creare criteri di accesso condizionale per l'accesso interattivo

  1. Accedere alInterfaccia di amministrazione di Microsoft Entra>Protezione> Criteri diaccesso>> condizionaleCosa succede se.
  2. Per Identità utente o carico di lavoro selezionare un utente con cui eseguire il test.
  3. Per App cloud, azioni o contesto di autenticazione selezionare Qualsiasi app cloud.
  4. Per Seleziona tipo di destinazione lasciare selezionata l'app cloud .
  5. Selezionare Seleziona app e quindi selezionare le risorse seguenti, se disponibili:
    • Windows 365 (ID app 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Desktop virtuale Azure (ID app 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Desktop remoto Microsoft (ID app a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Windows Cloud Login (ID app 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Selezionare What If.Select What If.

Esaminare ognuno dei criteri che verranno applicati e determinare i controlli di accesso usati per concedere l'accesso a tali risorse e impostazioni di sessione.

È ora possibile creare un nuovo criterio di accesso condizionale per Richiedere l'autenticazione a più fattori per la registrazione del dispositivo usando gli stessi controlli di accesso.

  1. Accedere ai nuovicriteriInterfaccia di amministrazione di Microsoft Entra>Protection>Conditional Access>Polices>
  2. Assegnare un nome ai criteri. Prendere in considerazione l'uso di uno standard significativo per i nomi dei criteri.
  3. In Utenti assegnazioni> selezionare 0 utenti e gruppi selezionati.
  4. In Includi selezionare Tutti gli utenti o selezionare un gruppo di utenti che accederanno tramite Windows 365 Link dispositivi.
  5. In Escludi selezionare Utenti e gruppi> selezionare gli account di accesso di emergenza o di interruzione dell'organizzazione.
  6. In Risorse> di destinazioneAzioni utente selezionare Registra o aggiungi dispositivi.
  7. In Concedi controlli> di accesso usare gli stessi controlli trovati in precedenza usando lo strumento What If.
  8. In Sessione controlli> di accesso usare gli stessi controlli trovati in precedenza usando lo strumento What If.
  9. Confermare le impostazioni e impostare Abilita criterisu Solo report.
  10. Selezionare Crea.
  11. Dopo aver confermato le impostazioni usando la modalità solo report, modificare l'interruttore Abilita criteri da Solo report a Attivato.

Per altre informazioni sulla creazione di criteri di accesso condizionale per la registrazione del dispositivo, inclusi potenziali conflitti, vedere Richiedere l'autenticazione a più fattori per la registrazione del dispositivo.

Per altre informazioni sulle azioni utente con l'accesso condizionale, vedere Azioni utente.

Per altre informazioni sulla creazione di criteri di accesso condizionale per le risorse usate per Windows 365, vedere Impostare i criteri di accesso condizionale.

Passaggi successivi

Eliminare la richiesta di consenso per l'accesso Single Sign-On.