Konfigurowanie logowania jednokrotnego dla Windows 365 Business przy użyciu uwierzytelniania Microsoft Entra

W tym artykule opisano proces konfigurowania logowania jednokrotnego dla Windows 365 przy użyciu uwierzytelniania Microsoft Entra. Po włączeniu logowania jednokrotnego użytkownicy mogą używać uwierzytelniania bez hasła i dostawców tożsamości innych firm, którzy federują się z Tożsamość Microsoft Entra, aby zalogować się na komputerze w chmurze. Po włączeniu tej funkcji funkcja zapewnia środowisko logowania jednokrotnego zarówno podczas uwierzytelniania na komputerze w chmurze, jak i wewnątrz sesji podczas uzyskiwania dostępu do aplikacji i witryn internetowych opartych na Tożsamość Microsoft Entra.

Aby włączyć logowanie jednokrotne przy użyciu uwierzytelniania Tożsamość Microsoft Entra, należy wykonać cztery zadania:

1. Włącz uwierzytelnianie Microsoft Entra dla protokołu RDP (Remote Desktop Protocol).

2. Skonfiguruj docelowe grupy urządzeń.

3. Przejrzyj zasady dostępu warunkowego.

4. Skonfiguruj ustawienia organizacyjne, aby włączyć logowanie jednokrotne.

Przed włączeniem logowania jednokrotnego

Przed włączeniem logowania jednokrotnego zapoznaj się z następującymi informacjami dotyczącymi korzystania z niego w środowisku.

Rozłączanie, gdy sesja jest zablokowana

Po włączeniu logowania jednokrotnego użytkownicy logują się do systemu Windows przy użyciu tokenu uwierzytelniania Tożsamość Microsoft Entra, który zapewnia obsługę uwierzytelniania bez hasła w systemie Windows. Ekran blokady systemu Windows w sesji zdalnej nie obsługuje Tożsamość Microsoft Entra tokenów uwierzytelniania ani metod uwierzytelniania bez hasła, takich jak klucze FIDO. Zamiast poprzedniego zachowania wyświetlania ekranu zdalnego blokady, gdy sesja jest zablokowana, sesja jest rozłączona i użytkownik jest powiadamiany. Odłączenie sesji gwarantuje, że:

• Użytkownicy korzystają z funkcji logowania jednokrotnego i mogą ponownie nawiązać połączenie bez monitu o uwierzytelnienie, jeśli jest to dozwolone.
• Użytkownicy mogą zalogować się z powrotem do sesji przy użyciu uwierzytelniania bez hasła, takiego jak klucze FIDO.
• Zasady dostępu warunkowego, w tym uwierzytelnianie wieloskładnikowe i częstotliwość logowania, są ponownie oceniane, gdy użytkownik ponownie nawiązuje połączenie z sesją.

Wymagania wstępne

Przed włączeniem logowania jednokrotnego należy spełnić następujące wymagania wstępne:

• Aby skonfigurować dzierżawę Microsoft Entra, musisz mieć przypisaną jedną z następujących Microsoft Entra wbudowanych ról:

  • Administrator aplikacji
  • Administrator aplikacji w chmurze

• Na komputerach w chmurze musi działać jeden z następujących systemów operacyjnych z zainstalowaną odpowiednią aktualizacją zbiorczą:

  • Windows 11 Enterprise z zainstalowanym Aktualizacje zbiorczym 2022-10 dla Windows 11 (KB5018418) lub nowszym.
  • Windows 10 Enterprise z zainstalowanym Aktualizacje zbiorczym 2022-10 dla Windows 10 (KB5018410) lub nowszym.

• Zainstaluj zestaw Microsoft Graph PowerShell SDK w wersji 2.9.0 lub nowszej na urządzeniu lokalnym lub w usłudze Azure Cloud Shell.

Włączanie uwierzytelniania Microsoft Entra dla protokołu RDP

Najpierw należy zezwolić na uwierzytelnianie Microsoft Entra dla systemu Windows w dzierżawie Microsoft Entra, co umożliwia wystawianie tokenów dostępu RDP umożliwiających użytkownikom logowanie się do komputerów w chmurze. Tę zmianę należy wykonać w jednostkach usługi dla następujących aplikacji Microsoft Entra:

Nazwa aplikacji	Identyfikator aplikacji
Pulpit zdalny Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Logowanie do chmury systemu Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Ważna

W ramach nadchodzącej zmiany przechodzimy z Pulpit zdalny Microsoft do logowania do chmury systemu Windows, począwszy od 2024 roku. Skonfigurowanie obu aplikacji zapewnia teraz gotowość do zmiany.

Aby zezwolić na uwierzytelnianie entra, możesz użyć zestawu Microsoft Graph PowerShell SDK do utworzenia nowego obiektu remoteDesktopSecurityConfiguration w jednostce usługi i ustawić właściwość isRemoteDesktopProtocolEnabled na true. Możesz również użyć interfejs Graph API firmy Microsoft z narzędziem, takim jak Eksplorator programu Graph.

Wykonaj poniższe kroki, aby wprowadzić zmiany przy użyciu programu PowerShell:

1. Uruchom Cloud Shell platformy Azure w Azure Portal przy użyciu typu terminalu programu PowerShell lub uruchom program PowerShell na urządzeniu lokalnym.

   1. Jeśli używasz Cloud Shell, upewnij się, że kontekst platformy Azure jest ustawiony na subskrypcję, której chcesz użyć.

   2. Jeśli używasz programu PowerShell lokalnie, najpierw zaloguj się przy użyciu Azure PowerShell, a następnie upewnij się, że kontekst platformy Azure jest ustawiony na subskrypcję, której chcesz użyć.

2. Upewnij się, że zestaw Microsoft Graph PowerShell SDK został zainstalowany z poziomu wymagań wstępnych. Następnie zaimportuj moduły Uwierzytelnianie i aplikacje programu Microsoft Graph i połącz się z programem Microsoft Graph przy użyciu Application.Read.All zakresów i Application-RemoteDesktopConfig.ReadWrite.All , uruchamiając następujące polecenia:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Pobierz identyfikator obiektu dla każdej jednostki usługi i zapisz je w zmiennych, uruchamiając następujące polecenia:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Ustaw właściwość isRemoteDesktopProtocolEnabled na wartość , true uruchamiając następujące polecenia. Nie ma żadnych danych wyjściowych z tych poleceń.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Potwierdź, że właściwość isRemoteDesktopProtocolEnabled jest ustawiona na true , uruchamiając następujące polecenia:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Dane wyjściowe powinny być następujące:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Konfigurowanie docelowych grup urządzeń

Po włączeniu uwierzytelniania Microsoft Entra dla protokołu RDP należy skonfigurować docelowe grupy urządzeń. Domyślnie podczas włączania logowania jednokrotnego użytkownicy są monitowane o uwierzytelnienie w celu Tożsamość Microsoft Entra i zezwolenie na połączenie pulpitu zdalnego podczas uruchamiania połączenia z nowym komputerem w chmurze. Microsoft Entra pamięta maksymalnie 15 hostów przez 30 dni przed ponownym monitowaniem. Jeśli użytkownik widzi dialog zezwalania na połączenie pulpitu zdalnego, powinien wybrać pozycję Tak , aby nawiązać połączenie.

Aby ukryć to okno dialogowe, należy utworzyć w Tożsamość Microsoft Entra co najmniej jedną grupę zawierającą komputery w chmurze, a następnie ustawić dla grupy właściwość jednostki usługi dla tych samych aplikacji Pulpit zdalny Microsoft i logowania do chmury systemu Windows, jak w poprzedniej sekcji.

Porada

Zalecamy użycie grupy dynamicznej i skonfigurowanie reguł członkostwa dynamicznego w celu włączenia wszystkich komputerów w chmurze. Nazw urządzeń w tej grupie można użyć, ale aby uzyskać bezpieczniejszą opcję, możesz ustawić atrybuty rozszerzenia urządzenia i używać ich przy użyciu usługi Microsoft interfejs Graph API. Mimo że grupy dynamiczne są zwykle aktualizowane w ciągu 5–10 minut, duże dzierżawy mogą potrwać do 24 godzin.

Grupy dynamiczne wymagają licencji Tożsamość Microsoft Entra P1 lub licencji Intune for Education. Aby uzyskać więcej informacji, zobacz Dynamiczne reguły członkostwa dla grup.

Aby skonfigurować jednostkę usługi, użyj zestawu Microsoft Graph PowerShell SDK , aby utworzyć nowy obiekt targetDeviceGroup w jednostce usługi z identyfikatorem obiektu grupy dynamicznej i nazwą wyświetlaną. Możesz również użyć interfejs Graph API firmy Microsoft z narzędziem, takim jak Eksplorator programu Graph.

1. Utwórz grupę dynamiczną w Tożsamość Microsoft Entra zawierającą komputery w chmurze, dla których chcesz ukryć okno dialogowe. Zanotuj identyfikator obiektu grupy w następnym kroku.

2. W tej samej sesji programu PowerShell utwórz targetDeviceGroup obiekt, uruchamiając następujące polecenia, zastępując <placeholders> element własnymi wartościami:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Dodaj grupę do obiektu, targetDeviceGroup uruchamiając następujące polecenia:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Dane wyjściowe powinny być podobne:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Powtórz kroki 2 i 3 dla każdej grupy, którą chcesz dodać do obiektu targetDeviceGroup , maksymalnie do 10 grup.

4. Jeśli później musisz usunąć grupę urządzeń z obiektu targetDeviceGroup , uruchom następujące polecenia, zastępując <placeholders> je własnymi wartościami:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Przeglądanie zasad dostępu warunkowego

Po włączeniu logowania jednokrotnego zostanie wprowadzona nowa aplikacja Tożsamość Microsoft Entra w celu uwierzytelniania użytkowników na komputerze w chmurze. Jeśli masz zasady dostępu warunkowego, które mają zastosowanie podczas uzyskiwania dostępu do Windows 365, zapoznaj się z zaleceniami, aby ustawić zasady dostępu warunkowego dla Windows 365, aby upewnić się, że użytkownicy mają odpowiednie środowisko i zabezpieczyć środowisko.

Włączanie logowania jednokrotnego dla wszystkich komputerów w chmurze na koncie

1. Zaloguj się do windows365.microsoft.com przy użyciu konta z rolą administratora Windows 365.
2. Wybierz pozycję Komputery w chmurze twojej organizacji, a następnie wybierz pozycję Zaktualizuj ustawienia organizacji.
3. Wybierz opcję Logowanie jednokrotne w obszarze Ustawienia komputera w chmurze.