Windows 365 标识和身份验证
云电脑用户的标识定义了哪些访问管理服务管理该用户和云电脑。 此标识定义:
- 用户有权访问的云电脑类型。
- 用户有权访问的非云电脑资源类型。
设备还可以具有由其联接类型确定的标识,以Microsoft Entra ID。 对于设备,联接类型定义了:
- 设备是否需要到域控制器的视线。
- 如何管理设备。
- 用户如何向设备进行身份验证。
标识类型
有四种标识类型:
- 混合标识:在本地 Active Directory 域服务中创建的用户或设备,然后同步到Microsoft Entra ID。
- 仅限云的标识:已创建且仅存在于 entra ID Microsoft 的用户或设备。
- 联合标识:在第三方标识提供者中创建的用户,其他Microsoft Entra ID 或 Active Directory 域服务的用户,然后与 Microsoft Entra ID 联合。
- 外部标识:在 Microsoft Entra 租户之外创建和管理但受邀加入 Microsoft Entra 租户以访问组织的资源的用户。
注意
- 启用 单一登录 后,Windows 365 支持联合标识。
- Windows 365 不支持外部标识。
设备联接类型
预配云电脑 时,可以选择两种联接类型其中之一:
- Microsoft Entra 混合联接:如果选择此联接类型,Windows 365 会将云电脑加入你提供的 Windows Server Active Directory 域。 然后,如果你的组织已正确 配置Microsoft Entra 混合加入,设备将同步到Microsoft Entra ID。
- Microsoft Entra Join:如果选择此联接类型,Windows 365 会直接将云电脑加入到 Microsoft Entra ID。
下表显示了基于所选联接类型的关键功能或要求:
| 功能或要求 | Microsoft Entra 混合联接 | Microsoft Entra 联接 |
|---|---|---|
| Azure 订阅 | 必需 | 可选 |
| 具有到域控制器视线的 Azure 虚拟网络 | 必需 | 可选 |
| 登录时支持的用户标识类型 | 仅混合用户 | 混合用户或仅限云的用户 |
| 策略管理 | 组策略对象 (GPO) 或 Intune MDM | 仅限 Intune MDM |
| 支持 Windows Hello 企业版登录 | 是的,连接的设备必须通过直接网络或 VPN 建立到域控制器的视线 | 是 |
身份验证
用户访问云电脑时,有三个单独的身份验证阶段:
- 云服务身份验证:对 Windows 365 服务进行身份验证(包括订阅资源和对网关进行身份验证)使用Microsoft Entra ID。
- 远程会话身份验证:向云电脑进行身份验证。 可通过多种方式向远程会话进行身份验证,包括建议的单一登录 (SSO) 。
- 会话中身份验证:对云电脑中的应用程序和网站进行身份验证。
对于每个身份验证阶段的不同客户端上可用的凭据列表, 请比较跨平台的客户端。
重要
为了使身份验证正常工作,用户的本地计算机还必须能够访问 Azure 虚拟桌面所需 URL 列表 的 远程桌面客户端 部分中的 URL。
Windows 365 提供单一登录 (定义为单个身份验证提示,可以同时满足 Windows 365 服务身份验证和云电脑身份验证) 作为服务的一部分。 有关详细信息,请参阅 单一登录。
以下部分提供有关这些身份验证阶段的详细信息。
云服务身份验证
用户必须在以下情况下使用 Windows 365 服务进行身份验证:
- 访问 windows365.microsoft.com 时。
- 导航到直接映射到其云电脑的 URL 时。
- 他们使用 受支持的客户端 列出其云电脑。
若要访问 Windows 365 服务,用户必须先使用 Microsoft Entra ID 帐户登录,对服务进行身份验证。
多重身份验证
按照 设置条件访问策略 中的说明了解如何对云电脑强制实施Microsoft Entra 多重身份验证。 本文还介绍了如何配置提示用户输入其凭据的频率。
无密码身份验证
用户可以使用Microsoft Entra ID 支持的任何身份验证类型(例如 Windows Hello 企业 版)和其他 无密码身份验证选项 ((例如 FIDO 密钥) )向服务进行身份验证。
智能卡身份验证
若要使用智能卡Microsoft Entra ID 进行身份验证,必须先 配置Microsoft Entra 证书的身份验证 ,或 配置 AD FS 进行用户证书身份验证。
第三方标识提供者
可以使用第三方标识提供者,只要它们 与 Microsoft Entra ID 联合。
远程会话身份验证
如果你尚未启用 单一登录 ,并且用户尚未在本地保存其凭据,则他们还需要在启动连接时向云电脑进行身份验证。
单一登录 (SSO)
单一登录 (SSO) 允许连接跳过云电脑凭据提示,并通过Microsoft Entra 身份验证自动将用户登录到 Windows。 Microsoft Entra 身份验证提供其他优势,包括无密码身份验证和支持第三方标识提供者。 若要开始,请查看 配置单一登录的步骤。
如果没有 SSO,客户端会提示用户输入其云电脑凭据进行每次连接。 避免出现提示的唯一方法是在客户端中保存凭据。 建议仅在安全设备上保存凭据,以防止其他用户访问你的资源。
会话内身份验证
连接到云电脑后,可能会提示你在会话中进行身份验证。 本部分介绍如何在此方案中使用用户名和密码以外的凭据。
会话内无密码身份验证
使用 Windows 桌面客户端时,Windows 365 支持使用 Windows Hello 企业版或安全设备(如 FIDO 密钥)进行会话内无密码身份验证。 当云电脑和本地电脑使用以下操作系统时,将自动启用无密码身份验证:
- 安装了 Windows 11 2022-10 累积更新的 Windows 11 企业版 (KB5018418) 或更高版本。
- Windows 10 企业版、版本 20H2 或更高版本,安装了 适用于 Windows 10 的 2022-10 累积更新 (KB5018410) 或更高版本。
启用后,会话中的所有 WebAuthn 请求都会重定向到本地电脑。 可以使用 Windows Hello 企业版或本地附加的安全设备来完成身份验证过程。
若要使用 Windows Hello 企业版或安全设备访问Microsoft Entra 资源,必须启用 FIDO2 安全密钥作为用户的身份验证方法。 若要启用此方法,请按照 启用 FIDO2 安全密钥方法中的步骤操作。
会话中智能卡身份验证
若要在会话中使用智能卡,请确保在云电脑上安装智能卡驱动程序,并允许智能卡重定向作为 管理云电脑的 RDP 设备重定向的一部分。 查看 客户端比较图表 ,确保客户端支持智能卡重定向。