Dela via

Principer för villkorlig åtkomst för Windows 365 Link

  • Artikel

Som en del av konfigurationen av organisationens miljö för att stödja Windows 365 Link måste du se till att dina principer för villkorsstyrd åtkomst har plats för både inloggning via och anslutning från Windows Cloud PC-enheter. Om villkorsstyrd åtkomst används för att skydda de resurser som används för att komma åt Windows 365 molndatorer enligt beskrivningen i Ange principer för villkorlig åtkomst för Windows 365, måste en separat men matchande princip för villkorsstyrd åtkomst också användas för att skydda användaråtgärden för att registrera eller ansluta enheter.

  1. När användaren loggar in på Windows 365 Link interaktiv inloggningsskärm autentiseras deras konto mot enhetsregistreringstjänsten.
  2. Windows 365 Link autentiseras tyst mot andra nödvändiga molnresurser (till exempel Microsoft Graph och Windows 365-tjänsten med enkel inloggning (SSO)).

Windows 365 Molnbaserad dator enheter har två olika faser av autentisering:

  • Interaktiv inloggning: När användaren loggar in på Windows 365 Link inloggningsskärmen används enhetsregistreringstjänsten för att hämta en autentiseringstoken.
  • Icke-interaktiva anslutningar: Den token som hämtas från användarinloggningen används sedan för att utföra icke-interaktiva inloggningar när du ansluter till andra molnappresurser som Windows 365-tjänster.

Inloggningar från Windows 365 Link-enheter utlöser inte några principer för villkorsstyrd åtkomst som är riktade till alla resurser (tidigare molnappar) eller direkt till resursen Device Registration Service. Den icke-interaktiva anslutningen kan inte heller uppmana en användare att uppfylla dessa krav.

Om en princip för villkorsstyrd åtkomst tilldelas till någon av de Windows 365 resurserna måste även en annan princip med samma inställningar för åtkomstkontroll tillämpas på användaråtgärder för att registrera eller ansluta enheter. Den här principen kan utlösa en interaktiv inloggning och hämta de anspråk som krävs för anslutningen.

Utan en matchande uppsättning principer avbryts anslutningen och användarna kan inte ansluta till sin molndator.

Dessa aktiviteter kan visas i inloggningsloggarna för villkorsstyrd åtkomst i Entra:

  1. Logga in påinloggningsloggarnaför villkorlig åtkomst Microsoft Entra administrationscenter>Protection>>.
  2. På fliken Användarinloggningar (interaktiva) använder du filter för att hitta händelser från inloggningsskärmen.
  3. På fliken Användarinloggningar (icke-interaktiva) använder du filter för att hitta händelser från anslutningarna.

Skapa en princip för villkorsstyrd åtkomst för interaktiv inloggning

  1. Logga in på Microsoft Entra administrationscenter>Skyddsprinciper>> förvillkorsstyrd åtkomst>Vad händer om.
  2. För Användar- eller arbetsbelastningsidentitet väljer du en användare att testa med.
  3. För Molnappar, åtgärder eller autentiseringskontext väljer du Valfri molnapp.
  4. För Välj måltyp lämnar du Molnappen markerad.
  5. Välj Välj appar och välj sedan följande resurser om de är tillgängliga:
    • Windows 365 (app-ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (app-ID 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Microsoft Fjärrskrivbord (app-ID a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Windows Cloud Login (app-ID 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Välj Vad om.

Granska var och en av de principer som ska tillämpas och fastställa de åtkomstkontroller som används för att bevilja åtkomst till dessa resurser och sessionsinställningar.

Nu kan du skapa en ny princip för villkorsstyrd åtkomst för att kräva MFA för enhetsregistrering med samma åtkomstkontroller.

  1. Logga in på den nyaprincipen Microsoft Entra administrationscenter >Protection>Conditional Access>Polices>
  2. Ge principen ett namn. Överväg att använda en meningsfull standard för principnamn.
  3. Under Tilldelningar Användare> väljer du 0 användare och grupper valda.
  4. Under Inkludera väljer du Alla användare eller en grupp användare som ska logga in via Windows 365 Link enheter.
  5. Under Exkludera väljer du Användare och grupper> organisationens nödåtkomst eller break-glass-konton.
  6. Under Målresurser>Användaråtgärder väljer du Registrera eller ansluta enheter.
  7. Under Bevilja åtkomstkontroller> använder du samma kontroller som hittades tidigare med hjälp av what if-verktyget.
  8. Under Åtkomstkontroller>Session använder du samma kontroller som hittades tidigare med hjälp av what if-verktyget.
  9. Bekräfta inställningarna och ställ in Aktivera principEndast rapport.
  10. Välj Skapa.
  11. När du har bekräftat inställningarna med läget endast rapport ändrar du växlingsknappen Aktivera princip från Endast rapport till .

Mer information om hur du skapar principer för villkorsstyrd åtkomst för enhetsregistrering, inklusive potentiella konflikter, finns i Kräv multifaktorautentisering för enhetsregistrering.

Mer information om användaråtgärder med villkorsstyrd åtkomst finns i Användaråtgärder.

Mer information om hur du skapar principer för villkorsstyrd åtkomst för resurser som används för Windows 365 finns i Ange principer för villkorsstyrd åtkomst.

Nästa steg

Ignorera fråga om medgivande för enkel inloggning.