Identidade e autenticação do Windows 365
A identidade de um usuário do PC na nuvem define quais serviços de gerenciamento de acesso gerenciam esse usuário e o PC na nuvem. Essa identidade define:
- Os tipos de PCs na Nuvem aos quais o usuário tem acesso.
- Os tipos de recursos de PC que não estão na nuvem aos quais o usuário tem acesso.
Um dispositivo também pode ter uma identidade determinada pelo tipo de associação para Microsoft Entra ID. Para um dispositivo, o tipo de ingresso define:
- Se o dispositivo exige linha de visão para um controlador de domínio.
- Como o dispositivo é gerenciado.
- Como os usuários se autenticam no dispositivo.
Tipos de identidade
Existem quatro tipos de identidade:
- Identidade híbrida: utilizadores ou dispositivos criados no Active Directory local Domain Services e, em seguida, sincronizados com Microsoft Entra ID.
- Identidade apenas na cloud: utilizadores ou dispositivos criados e que só existem no Microsoft Entra ID.
- Identidade federada: os utilizadores criados num fornecedor de identidade de terceiros, outros que Microsoft Entra ID ou Active Directory Domain Services, federados com Microsoft Entra ID.
- Identidade externa: os utilizadores que são criados e geridos fora do seu inquilino Microsoft Entra, mas que são convidados a entrar no seu inquilino Microsoft Entra para aceder aos recursos da sua organização.
Observação
- Windows 365 suporta identidades federadas quando o início de sessão único está ativado.
- O Windows 365 não oferece suporte a identidades externas.
Tipos de ingresso do dispositivo
Há dois tipos de ingresso que você pode selecionar ao provisionar um PC na nuvem:
- Microsoft Entra Associação Híbrida: se escolher este tipo de associação, Windows 365 associa o seu PC cloud ao domínio de Windows Server Active Directory que fornecer. Em seguida, se a sua organização estiver configurada corretamente para Microsoft Entra associação híbrida, o dispositivo será sincronizado com Microsoft Entra ID.
- Microsoft Entra Aderir: se escolher este tipo de associação, Windows 365 associa o seu PC cloud diretamente ao Microsoft Entra ID.
A tabela seguinte mostra as principais capacidades ou requisitos com base no tipo de associação selecionado:
| Capacidade ou requisito | Ingresso Microsoft Entra hibrído | Ingresso Microsoft Entra |
|---|---|---|
| Assinatura do Azure | Obrigatório | Opcional |
| Rede virtual do Azure com linha de visão para o controlador de domínio | Obrigatório | Opcional |
| Tipo de identidade do usuário suportado para logon | Somente usuários híbridos | Usuários híbridos ou usuários somente na nuvem |
| Gerenciamento de políticas | Objetos de Política de Grupo (GPO) ou MDM do Intune | Somente MDM do Intune |
| Entrada suportada no Windows Hello para Empresas | Sim, e o dispositivo de conexão deve ter linha de visão para o controlador de domínio por meio da rede direta ou de uma VPN | Sim |
Autenticação
Quando um utilizador acede a um PC na Cloud, existem três fases de autenticação separadas:
- Autenticação do serviço cloud: a autenticação no serviço Windows 365, que inclui a subscrição de recursos e a autenticação no Gateway, é Microsoft Entra ID.
- Autenticação de sessão remota: autenticação no PC na Cloud. Existem várias formas de autenticar na sessão remota, incluindo o início de sessão único (SSO) recomendado.
- Autenticação na sessão: autenticação em aplicações e sites no CLOUD PC.
Para obter a lista de credenciais disponíveis nos diferentes clientes para cada uma das fases de autenticação, compare os clientes entre plataformas.
Importante
Para que a autenticação funcione corretamente, o computador local do usuário também ter acesso às URLs na seção clientes da Área de Trabalho Remota da lista de URLs necessárias da Área de Trabalho Virtual do Azure.
Windows 365 oferece início de sessão único (definido como um único pedido de autenticação que pode satisfazer a autenticação do serviço Windows 365 e a autenticação do CLOUD PC) como parte do serviço. Para obter mais informações, veja Início de sessão único.
As secções seguintes fornecem mais informações sobre estas fases de autenticação.
Autenticação do serviço cloud
Os usuários devem se autenticar com o serviço do Windows 365 quando:
- Acessam windows365.microsoft.com.
- Navegam até a URL que mapeia diretamente ao PC na nuvem.
- Utilizam um cliente suportado para listar os respetivos PCs na Cloud.
Para aceder ao serviço Windows 365, os utilizadores têm primeiro de se autenticar no serviço iniciando sessão com uma conta Microsoft Entra ID.
Autenticação de vários fatores
Siga as instruções em Definir políticas de Acesso Condicional para saber como impor Microsoft Entra autenticação multifator para os seus PCs na Cloud. Este artigo também lhe diz como configurar a frequência com que os seus utilizadores são solicitados a introduzir as respetivas credenciais.
Autenticação sem palavra-passe
Os utilizadores podem utilizar qualquer tipo de autenticação suportado por Microsoft Entra ID, como Windows Hello para Empresas e outras opções de autenticação sem palavra-passe (por exemplo, chaves FIDO), para autenticar no serviço.
Autenticação de card inteligente
Para utilizar uma card inteligente para se autenticar no Microsoft Entra ID, primeiro tem de configurar Microsoft Entra autenticação baseada em certificados ou configurar o AD FS para autenticação de certificados de utilizador.
Fornecedores de identidade de terceiros
Pode utilizar fornecedores de identidade de terceiros desde que federam com Microsoft Entra ID.
Autenticação de sessão remota
Se ainda não tiver ativado o início de sessão único e os utilizadores ainda não tiverem guardado as respetivas credenciais localmente, também precisam de autenticar no PC na Cloud ao iniciar uma ligação.
SSO (logon único)
O início de sessão único (SSO) permite que a ligação ignore o pedido de credenciais do Cloud PC e inicie sessão automaticamente no Windows através da autenticação Microsoft Entra. Microsoft Entra autenticação fornece outras vantagens, incluindo a autenticação sem palavra-passe e o suporte para fornecedores de identidade de terceiros. Para começar, reveja os passos para configurar o início de sessão único.
Sem o SSO, o cliente pede aos utilizadores as respetivas credenciais do CLOUD PC para cada ligação. A única forma de evitar que lhe seja pedido é guardar as credenciais no cliente. Recomendamos que guarde apenas as credenciais em dispositivos seguros para impedir que outros utilizadores acedam aos seus recursos.
Autenticação na sessão
Depois de ligar ao seu PC cloud, poderá ser-lhe pedida autenticação dentro da sessão. Esta secção explica como utilizar credenciais que não o nome de utilizador e a palavra-passe neste cenário.
Autenticação sem palavra-passe na sessão
Windows 365 suporta a autenticação sem palavra-passe na sessão através de dispositivos Windows Hello para Empresas ou de segurança, como chaves FIDO, ao utilizar o cliente de Ambiente de Trabalho do Windows. A autenticação sem palavra-passe é ativada automaticamente quando o PC em Nuvem e o PC local estão a utilizar os seguintes sistemas operativos:
- Windows 11 Enterprise com a Atualizações Cumulativa 2022-10 para Windows 11 (KB5018418) ou posterior instalada.
- Windows 10 Enterprise, versões 20H2 ou posterior com a Atualizações Cumulativa 2022-10 para Windows 10 (KB5018410) ou posterior instalada.
Quando ativado, todos os pedidos WebAuthn na sessão são redirecionados para o PC local. Pode utilizar Windows Hello para Empresas ou dispositivos de segurança ligados localmente para concluir o processo de autenticação.
Para aceder Microsoft Entra recursos com Windows Hello para Empresas ou dispositivos de segurança, tem de ativar a Chave de Segurança FIDO2 como um método de autenticação para os seus utilizadores. Para ativar este método, siga os passos em Ativar o método de chave de segurança FIDO2.
Autenticação de card inteligente na sessão
Para utilizar uma card inteligente na sua sessão, certifique-se de que instala os controladores inteligentes de card no PC cloud e permite o redirecionamento inteligente de card como parte da gestão de redirecionamentos de dispositivos RDP para PCs na Cloud. Reveja o gráfico de comparação de clientes para se certificar de que o cliente suporta o redirecionamento de card inteligente.