Поделиться через

Удостоверение и проверка подлинности Windows 365

  • Статья

Удостоверение пользователя облачного компьютера определяет, какие службы управления доступом управляют этим пользователем и облачным компьютером. Это удостоверение определяет:

  • Типы облачных компьютеров, к которым у пользователя есть доступ.
  • Типы необлачных ресурсов компьютеров, к которым у пользователя есть доступ.

Устройство также может иметь удостоверение, определяемое типом присоединения к Microsoft Entra ID. Для устройства тип соединения определяет:

  • Наличие препятствий между устройством и контроллером домена.
  • Управление устройством.
  • Проверка подлинности пользователей на устройстве.

Типы удостоверений

Существует четыре типа удостоверений:

  • Гибридное удостоверение. Пользователи или устройства, созданные в локальная служба Active Directory Доменные службы, а затем синхронизированные с Microsoft Entra ID.
  • Только облачное удостоверение. Пользователи или устройства, созданные и существующие только в Microsoft Entra ID.
  • Федеративное удостоверение. Пользователи, созданные в стороннем поставщике удостоверений, другие пользователи, которые Microsoft Entra ID или доменные службы Active Directory, а затем федеративные с Microsoft Entra ID.
  • Внешнее удостоверение. Пользователи, созданные и управляемые за пределами клиента Microsoft Entra, но приглашенные в клиент Microsoft Entra для доступа к ресурсам вашей организации.

Примечание.

  • Windows 365 поддерживает федеративные удостоверения, если включен единый вход.
  • Windows 365 не поддерживает внешние удостоверения.

Типы соединения с устройствами

Существует два типа соединения, которые можно выбрать при подготовке облачного компьютера:

В следующей таблице показаны основные возможности или требования, основанные на выбранном типе соединения.

Возможности или требования Microsoft Entra гибридное соединение Microsoft Entra присоединение
Подписка Azure Обязательна Необязательный
Отсутствие препятствий между виртуальной сетью Azure и контроллером домена Обязательна Необязательный
Тип удостоверения пользователя, поддерживаемый для входа Только гибридные пользователи Гибридные пользователи или только облачные пользователи
Управление политиками Объекты групповой политики (GPO) или управление мобильными устройствами Intune Только управление мобильными устройствами Intune
Поддерживается вход в Windows Hello для бизнеса Да, и между подключающимся устройством и контроллером домена не должно быть препятствий через прямую сеть или VPN Да

Проверка подлинности

Когда пользователь обращается к облачному компьютеру, существует три отдельных этапа проверки подлинности:

  • Проверка подлинности облачной службы. Проверка подлинности в службе Windows 365, которая включает подписку на ресурсы и проверку подлинности шлюза, выполняется с помощью Microsoft Entra ID.
  • Проверка подлинности удаленного сеанса: проверка подлинности на облачном компьютере. Существует несколько способов проверки подлинности в удаленном сеансе, включая рекомендуемый единый вход .
  • Проверка подлинности в сеансе. Проверка подлинности приложений и веб-сайтов на облачном компьютере.

Чтобы получить список учетных данных, доступных на разных клиентах для каждого этапа проверки подлинности, сравните клиенты на разных платформах.

Важно!

Для правильной работы проверки подлинности локальный компьютер пользователя также должен иметь доступ к URL-адресам в разделе Клиенты удаленных рабочих столовсписка обязательных URL-адресов Виртуального рабочего стола Azure.

Windows 365 предлагает единый вход (определяется как единый запрос на проверку подлинности, который может удовлетворить как проверку подлинности службы Windows 365, так и проверку подлинности облачного компьютера) в рамках службы. Дополнительные сведения см. в статье Единый вход.

В следующих разделах содержатся дополнительные сведения об этих этапах проверки подлинности.

Проверка подлинности облачной службы

Пользователи должны проходить проверку подлинности с помощью службы Windows 365 в следующих случаях:

  • Они имеют доступ к сайту windows365.microsoft.com.
  • Они переходят по URL-адресу, который напрямую связан с их облачным компьютером.
  • Они используют поддерживаемый клиент для перечисления своих облачных компьютеров.

Чтобы получить доступ к службе Windows 365, пользователи должны сначала пройти проверку подлинности в службе, выполнив вход с помощью учетной записи Microsoft Entra ID.

Многофакторная проверка подлинности

Следуйте инструкциям в разделе Настройка политик условного доступа, чтобы узнать, как применить Microsoft Entra многофакторной проверки подлинности для облачных компьютеров. В этой статье также показано, как настроить частоту запроса пользователей на ввод учетных данных.

Проверка подлинности без пароля

Для проверки подлинности в службе пользователи могут использовать любой тип проверки подлинности, поддерживаемый Microsoft Entra ID, например Windows Hello для бизнеса и другие параметры проверки подлинности без пароля (например, ключи FIDO).

Проверка подлинности интеллектуальной карта

Чтобы использовать смарт-карта для проверки подлинности для Microsoft Entra ID, необходимо сначала настроить проверку подлинности на основе сертификата Microsoft Entra или настроить AD FS для проверки подлинности на основе сертификата пользователя.

Сторонние поставщики удостоверений

Вы можете использовать сторонние поставщики удостоверений при условии, что они федеративны с Microsoft Entra ID.

Проверка подлинности удаленного сеанса

Если единый вход еще не включен и пользователи не сохранили учетные данные локально, им также необходимо пройти проверку подлинности на облачном компьютере при запуске подключения.

Единый вход (SSO)

Единый вход (SSO) позволяет подключению пропускать запрос учетных данных Cloud PC и автоматически входить в Windows с помощью Microsoft Entra проверки подлинности. Microsoft Entra проверка подлинности предоставляет другие преимущества, включая проверку подлинности без пароля и поддержку сторонних поставщиков удостоверений. Чтобы приступить к работе, ознакомьтесь с инструкциями по настройке единого входа.

Без единого входа клиент запрашивает у пользователей учетные данные облачного компьютера для каждого подключения. Единственный способ избежать запроса — сохранить учетные данные в клиенте. Рекомендуется сохранять учетные данные только на защищенных устройствах, чтобы запретить другим пользователям доступ к вашим ресурсам.

Проверка подлинности в сеансе

После подключения к облачному компьютеру может появиться запрос на проверку подлинности внутри сеанса. В этом разделе объясняется, как использовать в этом сценарии учетные данные, отличные от имени пользователя и пароля.

Проверка подлинности без пароля в сеансе

Windows 365 поддерживает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO, при использовании классического клиента Windows. Проверка подлинности без пароля включается автоматически, если облачный компьютер и локальный компьютер используют следующие операционные системы:

Если этот параметр включен, все запросы WebAuthn в сеансе перенаправляются на локальный компьютер. Для завершения процесса проверки подлинности можно использовать Windows Hello для бизнеса или подключенные локально устройства безопасности.

Чтобы получить доступ к ресурсам Microsoft Entra с помощью Windows Hello для бизнеса или устройств безопасности, необходимо включить ключ безопасности FIDO2 в качестве метода проверки подлинности для пользователей. Чтобы включить этот метод, выполните действия, описанные в разделе Включение метода ключа безопасности FIDO2.

Проверка подлинности интеллектуальной карта в сеансе

Чтобы использовать интеллектуальный карта в сеансе, установите драйверы смарт-карта на облачном компьютере и разрешите перенаправление интеллектуальной карта в рамках управления перенаправлениями устройств RDP для облачных компьютеров. Просмотрите таблицу сравнения клиентов, чтобы убедиться, что клиент поддерживает перенаправление интеллектуального карта.

Дальнейшие действия

Узнайте о жизненном цикле облачного компьютера.