Windows 365 tożsamości i uwierzytelniania
Tożsamość użytkownika komputera w chmurze określa, które usługi zarządzania dostępem zarządzają tym użytkownikiem i komputerem w chmurze. Ta tożsamość definiuje:
- Typy komputerów w chmurze, do których użytkownik ma dostęp.
- Typy zasobów komputera spoza chmury, do które użytkownik ma dostęp.
Urządzenie może również mieć tożsamość określoną przez typ sprzężenia, aby Tożsamość Microsoft Entra. Dla urządzenia typ sprzężenia definiuje:
- Jeśli urządzenie wymaga kontaktu wzrokowego z kontrolerem domeny.
- Jak zarządzane jest urządzenie.
- Jak użytkownicy uwierzytelniają się na urządzeniu.
Typy tożsamości
Istnieją cztery typy tożsamości:
- Tożsamość hybrydowa: użytkownicy lub urządzenia utworzone w lokalna usługa Active Directory Domain Services, a następnie zsynchronizowane z Tożsamość Microsoft Entra.
- Tożsamość tylko w chmurze: użytkownicy lub urządzenia, które są tworzone i istnieją tylko w Tożsamość Microsoft Entra.
- Tożsamość federacyjna: użytkownicy, którzy są tworzona w dostawcy tożsamości innej firmy, inny, który Tożsamość Microsoft Entra lub Active Directory Domain Services, a następnie federacyjny z Tożsamość Microsoft Entra.
- Tożsamość zewnętrzna: użytkownicy, którzy są tworzona i zarządzana poza dzierżawą Microsoft Entra, ale są zapraszani do dzierżawy Microsoft Entra w celu uzyskania dostępu do zasobów organizacji.
Uwaga
- Windows 365 obsługuje tożsamości federacyjne po włączeniu logowania jednokrotnego.
- Windows 365 nie obsługuje tożsamości zewnętrznych.
Typy sprzężeń urządzeń
Istnieją dwa typy sprzężeń, które można wybrać podczas aprowizacji komputera w chmurze:
- Microsoft Entra przyłączanie hybrydowe: jeśli wybierzesz ten typ sprzężenia, Windows 365 przyłączy komputer z chmurą do podanej domeny Windows Server Active Directory. Następnie, jeśli twoja organizacja jest prawidłowo skonfigurowana do Microsoft Entra sprzężenia hybrydowego, urządzenie jest synchronizowane z Tożsamość Microsoft Entra.
- Microsoft Entra Join: jeśli wybierzesz ten typ sprzężenia, Windows 365 przyłączy komputer z chmurą bezpośrednio do Tożsamość Microsoft Entra.
W poniższej tabeli przedstawiono kluczowe możliwości lub wymagania na podstawie wybranego typu sprzężenia:
Możliwości lub wymagania | przyłączanie hybrydowe Microsoft Entra | Microsoft Entra sprzężenia |
---|---|---|
Subskrypcja platformy Azure | Wymagany | Opcjonalny |
Sieć wirtualna platformy Azure z linią wzroku do kontrolera domeny | Wymagany | Opcjonalny |
Typ tożsamości użytkownika obsługiwany podczas logowania | Tylko użytkownicy hybrydowi | Użytkownicy hybrydowi lub użytkownicy tylko w chmurze |
Zarządzanie zasadami | zasady grupy objects (GPO) lub Intune MDM | Intune tylko rozwiązanie MDM |
Windows Hello dla firm obsługiwane logowanie | Tak, a urządzenie łączące musi mieć połączenie z kontrolerem domeny za pośrednictwem sieci bezpośredniej lub sieci VPN | Tak |
Uwierzytelnianie
Gdy użytkownik uzyskuje dostęp do komputera w chmurze, istnieją trzy oddzielne fazy uwierzytelniania:
- Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Windows 365, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, odbywa się za pomocą Tożsamość Microsoft Entra.
- Uwierzytelnianie sesji zdalnej: uwierzytelnianie na komputerze w chmurze. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne.
- Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych na komputerze z chmurą.
Aby uzyskać listę poświadczeń dostępnych dla różnych klientów dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.
Ważna
Aby uwierzytelnianie działało prawidłowo, maszyna lokalna użytkownika musi również mieć dostęp do adresów URL w sekcji Klienci pulpitu zdalnegona liście wymaganych adresów URL usługi Azure Virtual Desktop.
Windows 365 oferuje logowanie jednokrotne (zdefiniowane jako pojedynczy monit o uwierzytelnianie, które może spełniać wymagania zarówno uwierzytelniania usługi Windows 365, jak i uwierzytelniania na komputerze w chmurze) w ramach usługi. Aby uzyskać więcej informacji, zobacz logowanie jednokrotne.
Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.
Uwierzytelnianie usługi w chmurze
Użytkownicy muszą uwierzytelniać się w usłudze Windows 365, gdy:
- Uzyskują dostęp do windows365.microsoft.com.
- Przejdź do adresu URL mapowania bezpośrednio na komputer w chmurze.
- Używają obsługiwanego klienta do wyświetlania listy swoich komputerów w chmurze.
Aby uzyskać dostęp do usługi Windows 365, użytkownicy muszą najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Tożsamość Microsoft Entra.
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Ustawianie zasad dostępu warunkowego, aby dowiedzieć się, jak wymuszać uwierzytelnianie wieloskładnikowe Microsoft Entra dla komputerów w chmurze. W tym artykule opisano również, jak skonfigurować częstotliwość monitowania użytkowników o wprowadzenie poświadczeń.
Uwierzytelnianie bez hasła
Użytkownicy mogą używać dowolnego typu uwierzytelniania obsługiwanego przez Tożsamość Microsoft Entra, takich jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO), do uwierzytelniania w usłudze.
Uwierzytelnianie za pomocą karty inteligentnej
Aby używać karty inteligentnej do uwierzytelniania w Tożsamość Microsoft Entra, należy najpierw skonfigurować Microsoft Entra uwierzytelnianie oparte na certyfikatach lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.
Dostawcy tożsamości innych firm
Dostawców tożsamości innych firm można używać tak długo, jak długo federują z Tożsamość Microsoft Entra.
Uwierzytelnianie sesji zdalnej
Jeśli logowanie jednokrotne nie zostało jeszcze włączone, a użytkownicy nie zapisać swoich poświadczeń lokalnie, muszą również uwierzytelnić się na komputerze w chmurze podczas uruchamiania połączenia.
Logowanie jednokrotne
Logowanie jednokrotne (SSO) umożliwia połączeniu pominięcie monitu o poświadczenia komputera w chmurze i automatyczne logowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania Microsoft Entra. uwierzytelnianie Microsoft Entra zapewnia inne korzyści, w tym uwierzytelnianie bez hasła i obsługę dostawców tożsamości innych firm. Aby rozpocząć, przejrzyj kroki konfigurowania logowania jednokrotnego.
Bez logowania jednokrotnego klient monituje użytkowników o podanie poświadczeń komputera w chmurze dla każdego połączenia. Jedynym sposobem uniknięcia monitu jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom dostęp do zasobów.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z komputerem w chmurze może zostać wyświetlony monit o uwierzytelnienie w sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
Windows 365 obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO, podczas korzystania z klienta programu Windows Desktop. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy komputer w chmurze i komputer lokalny korzystają z następujących systemów operacyjnych:
- Windows 11 Enterprise z zainstalowanym Aktualizacje zbiorczym 2022-10 dla Windows 11 (KB5018418) lub nowszym.
- Windows 10 Enterprise wersje 20H2 lub nowsze z zainstalowanym Aktualizacje zbiorczym 2022–10 dla Windows 10 (KB5018410) lub nowszym.
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, możesz użyć Windows Hello dla firm lub lokalnie dołączonych urządzeń zabezpieczających.
Aby uzyskać dostęp do zasobów Microsoft Entra przy użyciu urządzeń Windows Hello dla firm lub urządzeń zabezpieczeń, należy włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w temacie Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, należy zainstalować sterowniki kart inteligentnych na komputerze w chmurze i zezwolić na przekierowanie kart inteligentnych w ramach zarządzania przekierowaniami urządzeń RDP dla komputerów w chmurze. Przejrzyj wykres porównawczy klienta , aby upewnić się, że klient obsługuje przekierowanie kart inteligentnych.