Delen via

Beleid voor voorwaardelijke toegang voor Windows 365 Link

  • Artikel

Als onderdeel van het instellen van de omgeving van uw organisatie ter ondersteuning van Windows 365 Link, moet u ervoor zorgen dat uw beleid voor voorwaardelijke toegang geschikt is voor zowel het aanmelden via als de verbinding vanaf Windows Cloud PC-apparaten. Als voorwaardelijke toegang wordt gebruikt om de resources te beveiligen die worden gebruikt voor toegang tot Windows 365 Cloud-pc's, zoals beschreven in Beleid voor voorwaardelijke toegang instellen voor Windows 365, moet een afzonderlijk, maar overeenkomend beleid voor voorwaardelijke toegang ook worden gebruikt om de gebruikersactie te beveiligen om apparaten te registreren of eraan toe te voegen.

  1. Wanneer de gebruiker zich aanmeldt op het Windows 365 Link interactieve aanmeldingsscherm, wordt het account geverifieerd bij de apparaatregistratieservice.
  2. Windows 365 Link wordt op de achtergrond geverifieerd met de andere vereiste cloudresources (zoals Microsoft Graph en de Windows 365-service met behulp van eenmalige aanmelding (SSO)).

Windows 365 Cloud-pc apparaten hebben twee verschillende verificatiefasen:

  • Interactieve aanmelding: wanneer de gebruiker zich aanmeldt op het Windows 365 Link aanmeldingsscherm, wordt de apparaatregistratieservice gebruikt om een verificatietoken op te halen.
  • Niet-interactieve verbindingen: het token dat is verkregen via de aanmelding van de gebruiker, wordt vervolgens gebruikt om niet-interactieve aanmeldingen uit te voeren bij het maken van verbinding met andere cloud-app-resources, zoals Windows 365-services.

Aanmeldingen vanaf Windows 365 Link-apparaten activeren geen beleid voor voorwaardelijke toegang dat is gericht op Alle resources (voorheen cloud-apps) of rechtstreeks op de device registration service-resource. Bovendien kan de niet-interactieve verbinding een gebruiker niet vragen om aan deze vereisten te voldoen.

Als een beleid voor voorwaardelijke toegang is toegewezen aan een van de Windows 365 resources, moet een ander beleid met dezelfde instellingen voor toegangsbeheer ook worden toegepast op de gebruikersacties om apparaten te registreren of eraan toe te voegen. Dit beleid kan een interactieve aanmelding activeren en de claims verkrijgen die nodig zijn voor de verbinding.

Zonder een overeenkomende set beleidsregels wordt de verbinding onderbroken en kunnen gebruikers geen verbinding maken met hun cloud-pc.

Deze activiteiten zijn te zien in de aanmeldingslogboeken voor voorwaardelijke toegang van Entra:

  1. Meld u aan bij deaanmeldingslogboekenvan Microsoft Entra-beheercentrum>Protection>Voor voorwaardelijke toegang>.
  2. Gebruik op het tabblad Gebruikersaanmelding (interactief) filters om gebeurtenissen te zoeken vanuit het aanmeldingsscherm.
  3. Gebruik op het tabblad Gebruikersaanmelding (niet-interactief) filters om gebeurtenissen van de verbindingen te zoeken.

Beleid voor voorwaardelijke toegang maken voor interactieve aanmelding

  1. Meld u aan bij het Microsoft Entra-beheercentrum>Beveiligingsbeleid>> voorvoorwaardelijke toegang>Wat als.
  2. Selecteer voor Identiteit van gebruiker of workload een gebruiker waarmee u wilt testen.
  3. Voor Cloud-apps, -acties of -verificatiecontext selecteert u Elke cloud-app.
  4. Laat Bij Doeltype selecterenCloud-app geselecteerd.
  5. Selecteer Apps selecteren en selecteer vervolgens de volgende resources, als deze beschikbaar zijn:
    • Windows 365 (app-id 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (app-id 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Microsoft Extern bureaublad (app-id a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Aanmelding bij Windows Cloud (app-id 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Selecteer Wat als.

Controleer elk van de beleidsregels die van toepassing zijn en bepaal de toegangsbeheeropties die worden gebruikt om toegang te verlenen tot deze resources en sessie-instellingen.

U kunt nu een nieuw beleid voor voorwaardelijke toegang maken voor MFA vereisen voor apparaatregistratie met behulp van dezelfde besturingselementen voor toegang.

  1. Meld u aan bij hetbeleid voor Microsoft Entra-beheercentrum>Beveiliging>voor voorwaardelijke toegang>> Nieuw beleid
  2. Geef uw beleid een naam. Overweeg het gebruik van een zinvolle standaard voor beleidsnamen.
  3. Selecteer onder Toewijzingen>gebruikers0 gebruikers en groepen geselecteerd.
  4. Selecteer onder Opnemende optie Alle gebruikers of selecteer een groep gebruikers die zich aanmeldt via Windows 365 Link apparaten.
  5. Selecteer onder Uitsluitende optie Gebruikers en groepen> de accounts voor noodtoegang of break-glass van uw organisatie.
  6. Selecteer onder Doelresources>Gebruikersactiesde optie Apparaten registreren of toevoegen.
  7. Gebruik onder Toegangsbeheer>verlenen dezelfde besturingselementen die u eerder hebt gevonden met het hulpprogramma What If.
  8. Gebruik onder Toegangsbeheersessie> dezelfde besturingselementen die u eerder hebt gevonden met het hulpprogramma What If.
  9. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  10. Selecteer Maken.
  11. Nadat u de instellingen in de modus Alleen rapporteren hebt bevestigd, wijzigt u de wisselknop Beleid inschakelen van Alleen rapporteren in Aan.

Zie Meervoudige verificatie vereisen voor apparaatregistratie voor meer informatie over het maken van beleid voor voorwaardelijke toegang voor apparaatregistratie, inclusief mogelijke conflicten.

Zie Gebruikersacties voor meer informatie over gebruikersacties met voorwaardelijke toegang.

Zie Beleid voor voorwaardelijke toegang instellen voor meer informatie over het maken van beleid voor voorwaardelijke toegang voor resources die worden gebruikt voor Windows 365.

Volgende stappen

Vraag om toestemming voor eenmalige aanmelding te onderdrukken.