identiteit en verificatie Windows 365
De identiteit van een cloud-pc-gebruiker definieert welke services voor toegangsbeheer die gebruiker en cloud-pc beheren. Deze identiteit definieert:
- De typen cloud-pc's waar de gebruiker toegang toe heeft.
- De typen niet-cloud-pc-resources waar de gebruiker toegang toe heeft.
Een apparaat kan ook een identiteit hebben die wordt bepaald door het jointype om te Microsoft Entra ID. Voor een apparaat definieert het jointype:
- Als het apparaat een gezichtslijn naar een domeincontroller vereist.
- Hoe het apparaat wordt beheerd.
- Hoe gebruikers zich verifiëren bij het apparaat.
Identiteitstypen
Er zijn vier identiteitstypen:
- Hybride identiteit: gebruikers of apparaten die zijn gemaakt in on-premises Active Directory Domeinservices en vervolgens worden gesynchroniseerd met Microsoft Entra ID.
- Cloudidentiteit: gebruikers of apparaten die zijn gemaakt en alleen bestaan in Microsoft Entra ID.
- Federatieve identiteit: gebruikers die zijn gemaakt in een externe id-provider, andere die Microsoft Entra ID of Active Directory Domain Services en die vervolgens worden gefedereerd met Microsoft Entra ID.
- Externe identiteit: gebruikers die buiten uw Microsoft Entra tenant worden gemaakt en beheerd, maar worden uitgenodigd voor uw Microsoft Entra tenant om toegang te krijgen tot de resources van uw organisatie.
Opmerking
- Windows 365 ondersteunt federatieve identiteiten wanneer eenmalige aanmelding is ingeschakeld.
- Windows 365 biedt geen ondersteuning voor externe identiteiten.
Typen apparaatdeelname
Er zijn twee jointypen waaruit u kunt kiezen bij het inrichten van een cloud-pc:
- Microsoft Entra Hybrid Join: als u dit type join kiest, voegt Windows 365 uw cloud-pc toe aan het Windows Server Active Directory domein dat u opgeeft. Als uw organisatie vervolgens juist is geconfigureerd voor Microsoft Entra hybrid join, wordt het apparaat gesynchroniseerd met Microsoft Entra ID.
- Microsoft Entra Deelnemen: als u dit type join kiest, Windows 365 uw Cloud-pc rechtstreeks aan Microsoft Entra ID.
In de volgende tabel ziet u de belangrijkste mogelijkheden of vereisten op basis van het geselecteerde jointype:
| Mogelijkheid of vereiste | hybride koppeling Microsoft Entra | Microsoft Entra deelnemen |
|---|---|---|
| Azure-abonnement | Vereist | Optioneel |
| Virtueel Azure-netwerk met zichtlijn naar de domeincontroller | Vereist | Optioneel |
| Gebruikersidentiteitstype ondersteund voor aanmelding | Alleen hybride gebruikers | Hybride gebruikers of cloudgebruikers |
| Beleidsbeheer | groepsbeleid Objects (GPO) of Intune MDM | alleen MDM Intune |
| Windows Hello voor Bedrijven aanmelding wordt ondersteund | Ja, en het verbindingsapparaat moet zicht hebben op de domeincontroller via het directe netwerk of een VPN | Ja |
Verificatie
Wanneer een gebruiker toegang heeft tot een cloud-pc, zijn er drie afzonderlijke verificatiefasen:
- Verificatie van cloudservices: verificatie bij de Windows 365-service, waaronder het abonneren op resources en verificatie bij de gateway, is met Microsoft Entra ID.
- Externe sessieverificatie: verificatie bij de cloud-pc. Er zijn meerdere manieren om te verifiëren bij de externe sessie, waaronder de aanbevolen eenmalige aanmelding (SSO).
- Verificatie in sessie: verificatie bij toepassingen en websites in de cloud-pc.
Voor de lijst met referenties die beschikbaar zijn op de verschillende clients voor elk van de verificatiefase, vergelijkt u de clients op verschillende platforms.
Belangrijk
Verificatie werkt alleen goed als de lokale computer van de gebruiker ook toegang heeft tot de URL's in de sectie Extern bureaublad-clients van de lijst met vereiste URL's van Azure Virtual Desktop.
Windows 365 biedt eenmalige aanmelding (gedefinieerd als één verificatieprompt die kan voldoen aan zowel de Windows 365-serviceverificatie als cloud-pc-verificatie) als onderdeel van de service. Zie Eenmalige aanmelding voor meer informatie.
De volgende secties bevatten meer informatie over deze verificatiefasen.
Cloudserviceverificatie
Gebruikers moeten zich verifiëren bij de Windows 365-service wanneer:
- Ze hebben toegang tot windows365.microsoft.com.
- Ze navigeren naar de URL die rechtstreeks aan hun cloud-pc wordt toegewezen.
- Ze gebruiken een ondersteunde client om hun cloud-pc's weer te geven.
Voor toegang tot de Windows 365-service moeten gebruikers zich eerst verifiëren bij de service door zich aan te melden met een Microsoft Entra ID-account.
Meervoudige verificatie
Volg de instructies in Beleid voor voorwaardelijke toegang instellen voor meer informatie over het afdwingen van Microsoft Entra meervoudige verificatie voor uw cloud-pc's. In dit artikel wordt ook uitgelegd hoe u kunt configureren hoe vaak uw gebruikers worden gevraagd hun referenties in te voeren.
Verificatie zonder wachtwoord
Gebruikers kunnen elk verificatietype gebruiken dat wordt ondersteund door Microsoft Entra ID, zoals Windows Hello voor Bedrijven en andere verificatieopties zonder wachtwoord (bijvoorbeeld FIDO-sleutels), om zich bij de service te verifiëren.
Smartcardverificatie
Als u een smartcard wilt gebruiken om te verifiëren bij Microsoft Entra ID, moet u eerst Microsoft Entra verificatie op basis van certificaten configureren of AD FS configureren voor verificatie van gebruikerscertificaten.
Id-providers van derden
U kunt id-providers van derden gebruiken zolang ze federatief zijn met Microsoft Entra ID.
Externe sessieverificatie
Als u eenmalige aanmelding nog niet hebt ingeschakeld en gebruikers hun referenties nog niet lokaal hebben opgeslagen, moeten ze zich ook verifiëren bij de cloud-pc bij het starten van een verbinding.
Eenmalige aanmelding (SSO)
Met eenmalige aanmelding (SSO) kan de verbinding de referentieprompt voor cloud-pc's overslaan en de gebruiker automatisch aanmelden bij Windows via Microsoft Entra-verificatie. Microsoft Entra verificatie biedt andere voordelen, waaronder verificatie zonder wachtwoord en ondersteuning voor id-providers van derden. Bekijk de stappen voor het configureren van eenmalige aanmelding om aan de slag te gaan.
Zonder eenmalige aanmelding vraagt de client gebruikers om hun cloud-pc-referenties voor elke verbinding. De enige manier om te voorkomen dat u wordt gevraagd, is door de referenties op te slaan in de client. U wordt aangeraden alleen referenties op te slaan op beveiligde apparaten om te voorkomen dat andere gebruikers toegang hebben tot uw resources.
Verificatie in sessie
Nadat u verbinding hebt gemaakt met uw cloud-pc, wordt u mogelijk gevraagd om verificatie binnen de sessie. In deze sectie wordt uitgelegd hoe u in dit scenario andere referenties dan gebruikersnaam en wachtwoord gebruikt.
Verificatie zonder wachtwoord in sessie
Windows 365 ondersteunt verificatie zonder wachtwoord in de sessie met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels bij gebruik van de Windows Desktop-client. Verificatie zonder wachtwoord wordt automatisch ingeschakeld wanneer de cloud-pc en lokale pc de volgende besturingssystemen gebruiken:
- Windows 11 Enterprise met de cumulatieve Updates 2022-10 voor Windows 11 (KB5018418) of hoger geïnstalleerd.
- Windows 10 Enterprise versie 20H2 of hoger met de cumulatieve Updates 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.
Wanneer deze optie is ingeschakeld, worden alle WebAuthn-aanvragen in de sessie omgeleid naar de lokale pc. U kunt Windows Hello voor Bedrijven of lokaal gekoppelde beveiligingsapparaten gebruiken om het verificatieproces te voltooien.
Voor toegang tot Microsoft Entra resources met Windows Hello voor Bedrijven- of beveiligingsapparaten moet u de FIDO2-beveiligingssleutel inschakelen als verificatiemethode voor uw gebruikers. Volg de stappen in FIDO2-beveiligingssleutelmethode inschakelen om deze methode in te schakelen.
Smartcardverificatie in sessie
Als u een smartcard in uw sessie wilt gebruiken, moet u de stuurprogramma's voor smartcards installeren op de cloud-pc en smartcardomleiding toestaan als onderdeel van het beheren van RDP-apparaatomleidingen voor cloud-pc's. Bekijk het clientvergelijkingsdiagram om te controleren of uw client smartcardomleiding ondersteunt.