Udostępnij za pośrednictwem


Windows 365 tożsamości i uwierzytelniania

Tożsamość użytkownika komputera w chmurze określa, które usługi zarządzania dostępem zarządzają tym użytkownikiem i komputerem w chmurze. Ta tożsamość definiuje:

  • Typy komputerów w chmurze, do których użytkownik ma dostęp.
  • Typy zasobów komputera spoza chmury, do które użytkownik ma dostęp.

Urządzenie może również mieć tożsamość określoną przez typ sprzężenia, aby Tożsamość Microsoft Entra. Dla urządzenia typ sprzężenia definiuje:

  • Jeśli urządzenie wymaga kontaktu wzrokowego z kontrolerem domeny.
  • Jak zarządzane jest urządzenie.
  • Jak użytkownicy uwierzytelniają się na urządzeniu.

Typy tożsamości

Istnieją cztery typy tożsamości:

  • Tożsamość hybrydowa: użytkownicy lub urządzenia utworzone w lokalna usługa Active Directory Domain Services, a następnie zsynchronizowane z Tożsamość Microsoft Entra.
  • Tożsamość tylko w chmurze: użytkownicy lub urządzenia, które są tworzone i istnieją tylko w Tożsamość Microsoft Entra.
  • Tożsamość federacyjna: użytkownicy, którzy są tworzona w dostawcy tożsamości innej firmy, inny, który Tożsamość Microsoft Entra lub Active Directory Domain Services, a następnie federacyjny z Tożsamość Microsoft Entra.
  • Tożsamość zewnętrzna: użytkownicy, którzy są tworzona i zarządzana poza dzierżawą Microsoft Entra, ale są zapraszani do dzierżawy Microsoft Entra w celu uzyskania dostępu do zasobów organizacji.

Uwaga

  • Windows 365 obsługuje tożsamości federacyjne po włączeniu logowania jednokrotnego.
  • Windows 365 nie obsługuje tożsamości zewnętrznych.

Typy sprzężeń urządzeń

Istnieją dwa typy sprzężeń, które można wybrać podczas aprowizacji komputera w chmurze:

W poniższej tabeli przedstawiono kluczowe możliwości lub wymagania na podstawie wybranego typu sprzężenia:

Możliwości lub wymagania przyłączanie hybrydowe Microsoft Entra Microsoft Entra sprzężenia
Subskrypcja platformy Azure Wymagany Opcjonalny
Sieć wirtualna platformy Azure z linią wzroku do kontrolera domeny Wymagany Opcjonalny
Typ tożsamości użytkownika obsługiwany podczas logowania Tylko użytkownicy hybrydowi Użytkownicy hybrydowi lub użytkownicy tylko w chmurze
Zarządzanie zasadami zasady grupy objects (GPO) lub Intune MDM Intune tylko rozwiązanie MDM
Windows Hello dla firm obsługiwane logowanie Tak, a urządzenie łączące musi mieć połączenie z kontrolerem domeny za pośrednictwem sieci bezpośredniej lub sieci VPN Tak

Uwierzytelnianie

Gdy użytkownik uzyskuje dostęp do komputera w chmurze, istnieją trzy oddzielne fazy uwierzytelniania:

  • Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Windows 365, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, odbywa się za pomocą Tożsamość Microsoft Entra.
  • Uwierzytelnianie sesji zdalnej: uwierzytelnianie na komputerze w chmurze. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne.
  • Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych na komputerze z chmurą.

Aby uzyskać listę poświadczeń dostępnych dla różnych klientów dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.

Ważna

Aby uwierzytelnianie działało prawidłowo, maszyna lokalna użytkownika musi również mieć dostęp do adresów URL w sekcji Klienci pulpitu zdalnegona liście wymaganych adresów URL usługi Azure Virtual Desktop.

Windows 365 oferuje logowanie jednokrotne (zdefiniowane jako pojedynczy monit o uwierzytelnianie, które może spełniać wymagania zarówno uwierzytelniania usługi Windows 365, jak i uwierzytelniania na komputerze w chmurze) w ramach usługi. Aby uzyskać więcej informacji, zobacz logowanie jednokrotne.

Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.

Uwierzytelnianie usługi w chmurze

Użytkownicy muszą uwierzytelniać się w usłudze Windows 365, gdy:

Aby uzyskać dostęp do usługi Windows 365, użytkownicy muszą najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Tożsamość Microsoft Entra.

Uwierzytelnianie wieloskładnikowe

Postępuj zgodnie z instrukcjami w temacie Ustawianie zasad dostępu warunkowego, aby dowiedzieć się, jak wymuszać uwierzytelnianie wieloskładnikowe Microsoft Entra dla komputerów w chmurze. W tym artykule opisano również, jak skonfigurować częstotliwość monitowania użytkowników o wprowadzenie poświadczeń.

Uwierzytelnianie bez hasła

Użytkownicy mogą używać dowolnego typu uwierzytelniania obsługiwanego przez Tożsamość Microsoft Entra, takich jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO), do uwierzytelniania w usłudze.

Uwierzytelnianie za pomocą karty inteligentnej

Aby używać karty inteligentnej do uwierzytelniania w Tożsamość Microsoft Entra, należy najpierw skonfigurować Microsoft Entra uwierzytelnianie oparte na certyfikatach lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.

Dostawcy tożsamości innych firm

Dostawców tożsamości innych firm można używać tak długo, jak długo federują z Tożsamość Microsoft Entra.

Uwierzytelnianie sesji zdalnej

Jeśli logowanie jednokrotne nie zostało jeszcze włączone, a użytkownicy nie zapisać swoich poświadczeń lokalnie, muszą również uwierzytelnić się na komputerze w chmurze podczas uruchamiania połączenia.

Logowanie jednokrotne

Logowanie jednokrotne (SSO) umożliwia połączeniu pominięcie monitu o poświadczenia komputera w chmurze i automatyczne logowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania Microsoft Entra. uwierzytelnianie Microsoft Entra zapewnia inne korzyści, w tym uwierzytelnianie bez hasła i obsługę dostawców tożsamości innych firm. Aby rozpocząć, przejrzyj kroki konfigurowania logowania jednokrotnego.

Bez logowania jednokrotnego klient monituje użytkowników o podanie poświadczeń komputera w chmurze dla każdego połączenia. Jedynym sposobem uniknięcia monitu jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom dostęp do zasobów.

Uwierzytelnianie w sesji

Po nawiązaniu połączenia z komputerem w chmurze może zostać wyświetlony monit o uwierzytelnienie w sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.

Uwierzytelnianie bez hasła w sesji

Windows 365 obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO, podczas korzystania z klienta programu Windows Desktop. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy komputer w chmurze i komputer lokalny korzystają z następujących systemów operacyjnych:

Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, możesz użyć Windows Hello dla firm lub lokalnie dołączonych urządzeń zabezpieczających.

Aby uzyskać dostęp do zasobów Microsoft Entra przy użyciu urządzeń Windows Hello dla firm lub urządzeń zabezpieczeń, należy włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w temacie Włączanie metody klucza zabezpieczeń FIDO2.

Uwierzytelnianie karty inteligentnej w sesji

Aby użyć karty inteligentnej w sesji, należy zainstalować sterowniki kart inteligentnych na komputerze w chmurze i zezwolić na przekierowanie kart inteligentnych w ramach zarządzania przekierowaniami urządzeń RDP dla komputerów w chmurze. Przejrzyj wykres porównawczy klienta , aby upewnić się, że klient obsługuje przekierowanie kart inteligentnych.

Następne kroki

Dowiedz się więcej o cyklu życia komputera w chmurze.