Zasady dostępu warunkowego dla Windows 365 Link

W ramach konfigurowania środowiska organizacji w celu obsługi Windows 365 Link należy upewnić się, że zasady dostępu warunkowego obsługują zarówno logowanie, jak i połączenie z urządzeń z systemem Windows Cloud PC. Jeśli dostęp warunkowy jest używany do ochrony zasobów używanych do uzyskiwania dostępu Windows 365 komputerów w chmurze zgodnie z opisem w temacie Ustawianie zasad dostępu warunkowego dla Windows 365, należy również użyć oddzielnych, ale zgodnych zasad dostępu warunkowego, aby chronić akcję użytkownika w celu zarejestrowania lub dołączenia urządzeń.

Proces uwierzytelniania dla urządzeń Windows 365 Link

1. Gdy użytkownik loguje się na Windows 365 Link interaktywnym ekranie logowania, jego konto jest uwierzytelniane w usłudze rejestracji urządzeń.
2. Windows 365 Link dyskretnie uwierzytelnia się względem innych wymaganych zasobów w chmurze (takich jak Microsoft Graph i usługa Windows 365 przy użyciu logowania jednokrotnego).

Komputer w chmurze Windows 365 urządzenia mają dwa różne etapy uwierzytelniania:

• Logowanie interakcyjne: gdy użytkownik loguje się na ekranie logowania Windows 365 Link, usługa rejestracji urządzeń jest używana do uzyskania tokenu uwierzytelniania.
• Połączenia nieinterakcyjne: token uzyskany podczas logowania użytkownika jest następnie używany do wykonywania logowań nieinterakcyjnych podczas nawiązywania połączenia z innymi zasobami aplikacji w chmurze, takimi jak usługi Windows 365.

Logowania z urządzeń Windows 365 Link nie wyzwalają żadnych zasad dostępu warunkowego, które są przeznaczone dla wszystkich zasobów (dawniej aplikacji w chmurze) ani bezpośrednio do zasobu usługi rejestracji urządzeń. Ponadto połączenie nieinterakcyjne nie może monitować użytkownika o spełnienie tych wymagań.

Jeśli zasady dostępu warunkowego są przypisane do dowolnego zasobu Windows 365, inne zasady z tymi samymi ustawieniami kontroli dostępu muszą być również stosowane do akcji użytkownika w celu zarejestrowania lub dołączenia urządzeń. Te zasady mogą wyzwalać logowanie interakcyjne i uzyskiwać oświadczenia niezbędne do nawiązania połączenia.

Bez pasującego zestawu zasad połączenie jest przerywane, a użytkownicy nie mogą łączyć się ze swoim komputerem w chmurze.

Te działania można zobaczyć w dziennikach logowania dostępu warunkowego Entra:

1. Zaloguj się dodzienników logowania dostępuwarunkowego>centrum administracyjne Microsoft Entra>Protection>.
2. Na karcie Logowanie użytkownika (interaktywne) użyj filtrów, aby znaleźć zdarzenia na ekranie logowania.
3. Na karcie Logowania użytkownika (nieinterakcyjne) użyj filtrów, aby znaleźć zdarzenia z połączeń.

Tworzenie zasad dostępu warunkowego na potrzeby logowania interakcyjnego

1. Zaloguj się do centrum administracyjne Microsoft Entra>Zasady>dostępu> warunkowego ochrony>co jeśli.
2. W obszarze Tożsamość użytkownika lub obciążenia wybierz użytkownika do przetestowania.
3. W obszarze Aplikacje w chmurze, akcje lub kontekst uwierzytelniania wybierz pozycję Dowolna aplikacja w chmurze.
4. W polu Wybierz typ docelowy pozostaw wybraną aplikację w chmurze .
5. Wybierz pozycję Wybierz aplikacje , a następnie wybierz następujące zasoby, jeśli są dostępne:
   • Windows 365 (identyfikator aplikacji 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
   • Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07).
   • Pulpit zdalny Microsoft (identyfikator aplikacji a4a365df-50f1-4397-bc59-1a1564b8bb9c).
   • Logowanie do chmury systemu Windows (identyfikator aplikacji 270efc09-cd0d-444b-a71f-39af4910ec45).
6. Wybierz pozycję Co jeśli.

Przejrzyj wszystkie zasady, które będą stosowane , i określ mechanizmy kontroli dostępu używane do udzielania dostępu do tych zasobów i ustawień sesji.

Teraz możesz utworzyć nowe zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń przy użyciu tych samych kontrolek dostępu.

1. Zaloguj się do zasad dostępuwarunkowego>> centrum administracyjne Microsoft Entra >Protection>Nowe zasady
2. Nadaj zasadom nazwę. Rozważ użycie znaczącego standardu dla nazw zasad.
3. W obszarze Przypisania>Użytkownicy wybierz 0 wybranych użytkowników i grup.
4. W obszarze Uwzględnij wybierz pozycję Wszyscy użytkownicy lub wybierz grupę użytkowników, którzy będą logować się za pośrednictwem Windows 365 Link urządzeń.
5. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy> , wybierając konta z dostępem awaryjnym lub dostępem awaryjnym w organizacji.
6. W obszarze Zasoby> doceloweAkcje użytkownika wybierz pozycję Zarejestruj lub dołącz urządzenia.
7. W obszarze Udzielanie kontroli> dostępu użyj tych samych kontrolek znalezionych wcześniej przy użyciu narzędzia What If.
8. W obszarze Sesja kontroli> dostępu użyj tych samych kontrolek znalezionych wcześniej przy użyciu narzędzia What If.
9. Potwierdź ustawienia i ustaw opcję Włącz zasady na wartość Tylko raport.
10. Wybierz pozycję Utwórz.
11. Po potwierdzeniu ustawień przy użyciu trybu tylko raportu zmień przełącznik Włącz zasady z Pozycji Tylko raport na Włączone.

Aby uzyskać więcej informacji na temat tworzenia zasad dostępu warunkowego na potrzeby rejestracji urządzeń, w tym potencjalnych konfliktów, zobacz Wymaganie uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń.

Aby uzyskać więcej informacji na temat akcji użytkownika z dostępem warunkowym, zobacz Akcje użytkownika.

Aby uzyskać więcej informacji na temat tworzenia zasad dostępu warunkowego dla zasobów używanych do Windows 365, zobacz Ustawianie zasad dostępu warunkowego.

Następne kroki

Pomiń monit o zgodę na logowanie jednokrotne.