Настройка единого входа для Windows 365 для бизнеса с использованием проверки подлинности Microsoft Entra

В этой статье описывается процесс настройки единого входа (SSO) для Windows 365 с помощью Microsoft Entra проверки подлинности. При включении единого входа пользователи могут использовать проверку подлинности без пароля и сторонние поставщики удостоверений, федеративные с Microsoft Entra ID, для входа на свой облачный компьютер. Если эта функция включена, она обеспечивает единый вход как при проверке подлинности на облачном компьютере, так и в сеансе при доступе к приложениям и веб-сайтам на основе Microsoft Entra ID.

Чтобы включить единый вход с помощью проверки подлинности Microsoft Entra ID, необходимо выполнить четыре задачи:

1. Включите проверку подлинности Microsoft Entra для протокола удаленного рабочего стола (RDP).

2. Настройте целевые группы устройств.

3. Просмотрите политики условного доступа.

4. Настройте параметры организации, чтобы включить единый вход.

Перед включением единого входа

Прежде чем включить единый вход, ознакомьтесь со следующими сведениями о его использовании в вашей среде.

Отключение при блокировке сеанса

Если единый вход включен, пользователи входят в Windows с помощью маркера проверки подлинности Microsoft Entra ID, который обеспечивает поддержку проверки подлинности без пароля в Windows. Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra ID или методы проверки подлинности без пароля, такие как ключи FIDO. Вместо предыдущего поведения отображения удаленного экрана блокировки при блокировке сеанса сеанс отключается и пользователь получает уведомление. Отключение сеанса обеспечивает следующее:

• Пользователи получают преимущества единого входа и могут повторно подключиться без запроса проверки подлинности, если это разрешено.
• Пользователи могут войти в сеанс, используя проверку подлинности без пароля, например ключи FIDO.
• Политики условного доступа, включая многофакторную проверку подлинности и частоту входа, повторно оцениваются при повторном подключении пользователя к сеансу.

Предварительные условия

Прежде чем включить единый вход, необходимо выполнить следующие предварительные требования:

• Чтобы настроить клиент Microsoft Entra, необходимо назначить одну из следующих Microsoft Entra встроенных ролей:

  • Администратор приложений
  • Администратор облачных приложений

• На облачных компьютерах должна быть установлена одна из следующих операционных систем с установленным накопительным обновлением:

  • Windows 11 Корпоративная с установленным накопительным Обновления 2022-10 для Windows 11 (KB5018418) или более поздней версии.
  • Windows 10 Корпоративная с установленным накопительным пакетом Обновления 2022–10 для Windows 10 (KB5018410) или более поздней версии.

• Установите пакет SDK Microsoft Graph PowerShell версии 2.9.0 или более поздней на локальном устройстве или в Azure Cloud Shell.

Включение Microsoft Entra проверки подлинности для RDP

Сначала необходимо разрешить проверку подлинности Microsoft Entra для Windows в клиенте Microsoft Entra, что позволяет выдавать маркеры доступа по протоколу RDP, позволяя пользователям входить на свои облачные компьютеры. Это изменение необходимо внести в субъекты-службы для следующих Microsoft Entra приложений:

Имя приложения	Идентификатор приложения
Удаленный рабочий стол (Майкрософт)	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Вход в Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45

Важно!

В рамках предстоящего изменения мы переходим с Удаленный рабочий стол (Майкрософт) на Windows Cloud Login, начиная с 2024 года. Настройка обоих приложений гарантирует, что вы готовы к изменениям.

Чтобы разрешить проверку подлинности Entra, можно использовать пакет SDK PowerShell для Microsoft Graph , чтобы создать новый объект remoteDesktopSecurityConfiguration в субъекте-службе и присвоить свойству isRemoteDesktopProtocolEnabled значение true. Вы также можете использовать microsoft API Graph с таким средством, как Graph Обозреватель.

Выполните следующие действия, чтобы внести изменения с помощью PowerShell:

1. Запустите Cloud Shell Azure в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.

   1. Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

   2. Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

2. Убедитесь, что вы установили пакет SDK Для Microsoft Graph PowerShell из предварительных требований. Затем импортируйте модули Проверки подлинности и приложения Microsoft Graph и подключитесь к Microsoft Graph с Application.Read.All помощью областей и Application-RemoteDesktopConfig.ReadWrite.All , выполнив следующие команды:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Получите идентификатор объекта для каждого субъекта-службы и сохраните его в переменных, выполнив следующие команды:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Задайте для свойства isRemoteDesktopProtocolEnabled значение , true выполнив следующие команды. Выходные данные этих команд отсутствуют.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Убедитесь, что для свойства isRemoteDesktopProtocolEnabled задано значение true , выполнив следующие команды:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Выходные данные должны выглядеть следующим образом:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Настройка целевых групп устройств

После включения проверки подлинности Microsoft Entra для RDP необходимо настроить целевые группы устройств. По умолчанию при включении единого входа пользователям предлагается пройти проверку подлинности для Microsoft Entra ID и разрешить подключение к удаленному рабочему столу при запуске подключения к новому облачному компьютеру. Microsoft Entra запоминает до 15 узлов в течение 30 дней перед повторным запросом. Если пользователь видит диалоговое окно с разрешением подключения к удаленному рабочему столу, он должен выбрать Да , чтобы подключиться.

Чтобы скрыть это диалоговое окно, необходимо создать одну или несколько групп в Microsoft Entra ID, содержащих облачные компьютеры, а затем задать свойство для субъектов-служб для тех же Удаленный рабочий стол (Майкрософт) и приложений Windows Cloud Login, как использовалось в предыдущем разделе для группы.

Совет

Рекомендуется использовать динамическую группу и настроить правила динамического членства, чтобы включить в нее все облачные компьютеры. Вы можете использовать имена устройств в этой группе, но для более безопасного параметра можно задать и использовать атрибуты расширения устройства с помощью Microsoft API Graph. Хотя динамические группы обычно обновляются в течение 5–10 минут, для крупных клиентов может потребоваться до 24 часов.

Для динамических групп требуется лицензия Microsoft Entra ID P1 или лицензия Intune для образовательных учреждений. Дополнительные сведения см. в разделе Правила динамического членства для групп.

Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell для создания объекта targetDeviceGroup в субъекте-службе с идентификатором объекта и отображаемым именем динамической группы. Вы также можете использовать microsoft API Graph с таким средством, как Graph Обозреватель.

1. Создайте динамическую группу в Microsoft Entra ID, содержащую облачные компьютеры, для которых нужно скрыть диалоговое окно. Запишите идентификатор объекта группы для следующего шага.

2. В том же сеансе PowerShell создайте targetDeviceGroup объект, выполнив следующие команды, заменив собственными <placeholders> значениями:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Добавьте группу в объект , targetDeviceGroup выполнив следующие команды:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Выходные данные должны выглядеть примерно так:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Повторите шаги 2 и 3 для каждой группы, которую вы хотите добавить в targetDeviceGroup объект , не более 10 групп.

4. Если позже потребуется удалить группу устройств из targetDeviceGroup объекта, выполните следующие команды, заменив собственными <placeholders> значениями:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Проверка политик условного доступа

Если единый вход включен, появилось новое приложение Microsoft Entra ID для проверки подлинности пользователей на облачном компьютере. Если у вас есть политики условного доступа, которые применяются при доступе к Windows 365, ознакомьтесь с рекомендациями по настройке политик условного доступа для Windows 365, чтобы убедиться, что пользователи имеют необходимые возможности и обеспечить безопасность вашей среды.

Включение единого входа для всех облачных компьютеров в учетной записи

1. Войдите в windows365.microsoft.com с учетной записью с ролью администратора Windows 365.
2. Выберите Облачные компьютеры вашей организации, а затем — Обновить параметры организации.
3. Выберите параметр Единый вход в разделе Параметры облачного компьютера.