Dela via


Konfigurera enkel inloggning för Windows 365 Business med Microsoft Entra-autentisering

Den här artikeln beskriver hur du konfigurerar enkel inloggning (SSO) för Windows 365 med hjälp av Microsoft Entra autentisering. När du aktiverar enkel inloggning kan användare använda lösenordslös autentisering och identitetsproviders från tredje part som federeras med Microsoft Entra ID för att logga in på sin molndator. När den här funktionen är aktiverad ger den en SSO-upplevelse både när du autentiserar till molndatorn och i sessionen vid åtkomst till Microsoft Entra ID-baserade appar och webbplatser.

Om du vill aktivera enkel inloggning med Microsoft Entra ID autentisering måste du utföra fyra uppgifter:

  1. Aktivera Microsoft Entra autentisering för RDP (Remote Desktop Protocol).

  2. Konfigurera målenhetsgrupperna.

  3. Granska dina principer för villkorsstyrd åtkomst.

  4. Konfigurera organisationens inställningar för att aktivera enkel inloggning.

Innan du aktiverar enkel inloggning

Innan du aktiverar enkel inloggning läser du följande information för att använda den i din miljö.

Frånkoppling när sessionen är låst

När enkel inloggning är aktiverat loggar användarna in i Windows med hjälp av en Microsoft Entra ID autentiseringstoken, vilket ger stöd för lösenordsfri autentisering till Windows. Windows-låsskärmen i fjärrsessionen stöder inte Microsoft Entra ID autentiseringstoken eller metoder för lösenordslös autentisering, till exempel FIDO-nycklar. I stället för det tidigare beteendet att visa fjärrlåsningsskärmen när en session är låst kopplas sessionen i stället från och användaren meddelas. Genom att koppla från sessionen ser du till att:

  • Användarna drar nytta av en enkel inloggningsupplevelse och kan återansluta utan autentiseringsprompt när det tillåts.
  • Användare kan logga in i sessionen igen med lösenordslös autentisering som FIDO-nycklar.
  • Principer för villkorsstyrd åtkomst, inklusive multifaktorautentisering och inloggningsfrekvens, utvärderas igen när användaren återansluter till sin session.

Förhandskrav

Innan du kan aktivera enkel inloggning måste du uppfylla följande krav:

Aktivera Microsoft Entra-autentisering för RDP

Du måste först tillåta Microsoft Entra autentisering för Windows i din Microsoft Entra klientorganisation, vilket gör det möjligt att utfärda RDP-åtkomsttoken så att användarna kan logga in på sina molndatorer. Den här ändringen måste göras på tjänstens huvudnamn för följande Microsoft Entra program:

Programnamn Program-ID
Microsoft Fjärrskrivbord a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud-inloggning 270efc09-cd0d-444b-a71f-39af4910ec45

Viktigt

Som en del av en kommande ändring övergår vi från Microsoft Fjärrskrivbord till Windows Cloud Login från och med 2024. Om du konfigurerar båda programmen nu är du redo för ändringen.

Om du vill tillåta Entra-autentisering kan du använda Microsoft Graph PowerShell SDK för att skapa ett nytt remoteDesktopSecurityConfiguration-objekt på tjänstens huvudnamn och ange egenskapen isRemoteDesktopProtocolEnabled till true. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

Följ stegen nedan för att göra ändringarna med Hjälp av PowerShell:

  1. Starta Azure-Cloud Shell i Azure Portal med PowerShell-terminaltypen eller kör PowerShell på din lokala enhet.

    1. Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.

    2. Om du använder PowerShell lokalt loggar du först in med Azure PowerShell och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

  2. Kontrollera att du har installerat Microsoft Graph PowerShell SDK från förutsättningarna. Importera sedan Microsoft Graph-modulerna för autentisering och program och anslut till Microsoft Graph med omfången Application.Read.All och Application-RemoteDesktopConfig.ReadWrite.All genom att köra följande kommandon:

    Import-Module Microsoft.Graph.Authentication
    Import-Module Microsoft.Graph.Applications
    
    Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
    
  3. Hämta objekt-ID:t för varje huvudnamn för tjänsten och lagra dem i variabler genom att köra följande kommandon:

    $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
    $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
    
  4. Ange egenskapen isRemoteDesktopProtocolEnabled till genom att true köra följande kommandon. Det finns inga utdata från dessa kommandon.

    $params = @{
        "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
        isRemoteDesktopProtocolEnabled = $true
    }
    
    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
        Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
    }
    
    If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
        Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
    }
    
  5. Bekräfta att egenskapen isRemoteDesktopProtocolEnabled är inställd på genom att true köra följande kommandon:

    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
    Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
    

    Utdata ska vara:

    Id IsRemoteDesktopProtocolEnabled
    -- ------------------------------
    id True
    

Konfigurera målenhetsgrupperna

När du har aktiverat Microsoft Entra autentisering för RDP måste du konfigurera målenhetsgrupperna. Som standard när du aktiverar enkel inloggning uppmanas användarna att autentisera sig för att Microsoft Entra ID och tillåta fjärrskrivbordsanslutningen när de startar en anslutning till en ny molndator. Microsoft Entra kommer ihåg upp till 15 värdar i 30 dagar innan du frågar igen. Om en användare ser en dialogruta för att tillåta fjärrskrivbordsanslutningen bör de välja Ja för att ansluta.

För att dölja den här dialogrutan måste du skapa en eller flera grupper i Microsoft Entra ID som innehåller dina molndatorer och sedan ange en egenskap för tjänstens huvudnamn för samma Microsoft Fjärrskrivbord och Windows Cloud Login-program, som används i föregående avsnitt, för gruppen.

Tips

Vi rekommenderar att du använder en dynamisk grupp och konfigurerar reglerna för dynamiskt medlemskap så att de omfattar alla dina molndatorer. Du kan använda enhetsnamnen i den här gruppen, men för ett säkrare alternativ kan du ange och använda attribut för enhetstillägg med hjälp av Microsoft Graph API. Dynamiska grupper uppdateras normalt inom 5–10 minuter, men stora klienter kan ta upp till 24 timmar.

Dynamiska grupper kräver Microsoft Entra ID P1-licens eller Intune för Education-licens. Mer information finns i Regler för dynamiskt medlemskap för grupper.

Om du vill konfigurera tjänstens huvudnamn använder du Microsoft Graph PowerShell SDK för att skapa ett nytt targetDeviceGroup-objekt i tjänstens huvudnamn med den dynamiska gruppens objekt-ID och visningsnamn. Du kan också använda Microsoft Graph API med ett verktyg som Graph Explorer.

  1. Skapa en dynamisk grupp i Microsoft Entra ID som innehåller de molndatorer som du vill dölja dialogrutan för. Anteckna objekt-ID:t för gruppen för nästa steg.

  2. I samma PowerShell-session skapar du ett targetDeviceGroup objekt genom att köra följande kommandon och ersätta <placeholders> med dina egna värden:

    $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
    $tdg.Id = "<Group object ID>"
    $tdg.DisplayName = "<Group display name>"
    
  3. Lägg till gruppen i targetDeviceGroup objektet genom att köra följande kommandon:

    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
    New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
    

    Utdata bör se ut ungefär så här:

    Id                                   DisplayName
    --                                   -----------
    12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
    

    Upprepa steg 2 och 3 för varje grupp som du vill lägga till i targetDeviceGroup objektet, upp till högst 10 grupper.

  4. Om du senare behöver ta bort en enhetsgrupp från targetDeviceGroup objektet kör du följande kommandon och ersätter <placeholders> med dina egna värden:

    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
    Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
    

Granska dina principer för villkorsstyrd åtkomst

När enkel inloggning är aktiverat introduceras en ny Microsoft Entra ID app för att autentisera användare till Cloud PC. Om du har principer för villkorsstyrd åtkomst som gäller vid åtkomst till Windows 365 läser du rekommendationerna för att ange principer för villkorsstyrd åtkomst för Windows 365 för att se till att användarna har önskad upplevelse och för att skydda din miljö.

Aktivera enkel inloggning för alla molndatorer i ditt konto

  1. Logga in på windows365.microsoft.com med ett konto som har rollen Windows 365 administratör.
  2. Välj Din organisations molndatorer och välj sedan Uppdatera organisationsinställningar.
  3. Välj alternativet Enkel inloggning under Cloud PC-inställningar.