Windows 365 标识和身份验证
云电脑用户的标识定义了哪些访问管理服务管理该用户和云电脑。 此标识定义:
- 用户有权访问的云电脑类型。
- 用户有权访问的非云电脑资源类型。
设备还可以具有由其联接类型确定的标识Microsoft Entra ID。 对于设备,联接类型定义了:
- 设备是否需要到域控制器的视线。
- 如何管理设备。
- 用户如何向设备进行身份验证。
标识类型
有四种标识类型:
- 混合标识:在 本地 Active Directory 域服务 中创建的用户或设备,然后同步到Microsoft Entra ID。
- 仅限云的标识:已创建且仅存在于Microsoft Entra ID中的用户或设备。
- 联合标识:在Microsoft Entra ID或Active Directory 域服务的第三方标识提供者中创建的用户,然后与Microsoft Entra ID联合。
- 外部标识:在Microsoft Entra租户外部创建和管理,但受邀加入Microsoft Entra租户以访问组织资源的用户。
注意
- 启用单一登录后,Windows 365支持联合标识。
- Windows 365 不支持外部标识。
设备联接类型
预配云电脑 时,可以选择两种联接类型其中之一:
- Microsoft Entra混合加入:如果选择此联接类型,Windows 365将云电脑加入你提供的Windows Server Active Directory域。 然后,如果你的组织已正确配置Microsoft Entra混合加入,设备将同步到Microsoft Entra ID。
- Microsoft Entra加入:如果选择此联接类型,Windows 365直接将云电脑加入到Microsoft Entra ID。
下表显示了基于所选联接类型的关键功能或要求:
| 功能或要求 | Microsoft Entra混合联接 | Microsoft Entra联接 |
|---|---|---|
| Azure 订阅 | 必需 | 可选 |
| 具有到域控制器视线的 Azure 虚拟网络 | 必需 | 可选 |
| 登录时支持的用户标识类型 | 仅混合用户 | 混合用户或仅限云的用户 |
| 策略管理 | 组策略对象 (GPO) 或 Intune MDM | 仅限 Intune MDM |
| 支持 Windows Hello 企业版登录 | 是的,连接的设备必须通过直接网络或 VPN 建立到域控制器的视线 | 是 |
身份验证
用户访问云电脑时,有三个单独的身份验证阶段:
- 云服务身份验证:使用 Microsoft Entra ID 对 Windows 365 服务进行身份验证,包括订阅资源和对网关进行身份验证。
- 远程会话身份验证:向云电脑进行身份验证。 可通过多种方式向远程会话进行身份验证,包括建议的单一登录 (SSO) 。
- 会话中身份验证:对云电脑中的应用程序和网站进行身份验证。
对于每个身份验证阶段的不同客户端上可用的凭据列表, 请比较跨平台的客户端。
重要
为了使身份验证正常工作,用户的本地计算机还必须能够访问 Azure 虚拟桌面所需 URL 列表 的 远程桌面客户端 部分中的 URL。
Windows 365提供单一登录 (定义为单个身份验证提示,可以同时满足Windows 365服务身份验证和云电脑身份验证) 作为服务的一部分。 有关详细信息,请参阅 单一登录。
以下部分提供有关这些身份验证阶段的详细信息。
云服务身份验证
用户必须在以下情况下使用 Windows 365 服务进行身份验证:
- 访问 windows365.microsoft.com 时。
- 导航到直接映射到其云电脑的 URL 时。
- 他们使用 受支持的客户端 列出其云电脑。
若要访问Windows 365服务,用户必须先使用 Microsoft Entra ID 帐户登录,对服务进行身份验证。
多重身份验证
按照设置条件访问策略中的说明了解如何对云电脑强制实施Microsoft Entra多重身份验证。 本文还介绍了如何配置提示用户输入其凭据的频率。
无密码身份验证
用户可以使用Microsoft Entra ID支持的任何身份验证类型,例如Windows Hello 企业版和其他无密码身份验证选项, (例如 FIDO 密钥) )向服务进行身份验证。
智能卡身份验证
若要使用智能卡向Microsoft Entra ID进行身份验证,必须先配置Microsoft Entra基于证书的身份验证,或为用户证书身份验证配置 AD FS。
第三方标识提供者
可以使用第三方标识提供者,只要它们与Microsoft Entra ID联合。
远程会话身份验证
如果你尚未启用 单一登录 ,并且用户尚未在本地保存其凭据,则他们还需要在启动连接时向云电脑进行身份验证。
单一登录 (SSO)
单一登录 (SSO) 允许连接跳过云电脑凭据提示,并通过Microsoft Entra身份验证自动将用户登录到 Windows。 Microsoft Entra身份验证提供其他优势,包括无密码身份验证和支持第三方标识提供者。 若要开始,请查看 配置单一登录的步骤。
如果没有 SSO,客户端会提示用户输入其云电脑凭据进行每次连接。 避免出现提示的唯一方法是在客户端中保存凭据。 建议仅在安全设备上保存凭据,以防止其他用户访问你的资源。
会话内身份验证
连接到云电脑后,可能会提示你在会话中进行身份验证。 本部分介绍如何在此方案中使用用户名和密码以外的凭据。
会话内无密码身份验证
使用 Windows 桌面客户端时,Windows 365支持使用Windows Hello 企业版或安全设备(如 FIDO 密钥)进行会话内无密码身份验证。 当云电脑和本地电脑使用以下作系统时,将自动启用无密码身份验证:
- Windows 11 企业版安装了 2022-10 Windows 11 (KB5018418) 或更高版本的累积汇报。
- Windows 10 企业版版本 20H2 或更高版本,安装了 Windows 10 (KB5018410) 或更高版本的 2022-10 累积汇报。
启用后,会话中的所有 WebAuthn 请求都会重定向到本地电脑。 可以使用Windows Hello 企业版或本地附加的安全设备来完成身份验证过程。
若要使用Windows Hello 企业版或安全设备访问Microsoft Entra资源,必须启用 FIDO2 安全密钥作为用户的身份验证方法。 若要启用此方法,请按照 启用 FIDO2 安全密钥方法中的步骤作。
会话内智能卡身份验证
若要在会话中使用智能卡,请确保在云电脑上安装智能卡驱动程序,并允许智能卡重定向作为管理云电脑 RDP 设备重定向的一部分。 查看客户端比较图表,确保客户端支持智能卡重定向。