Windows 365 Link的条件访问策略
在设置组织环境以支持Windows 365 Link时,必须确保条件访问策略同时适应通过 Windows 云电脑设备的登录和连接。 如果使用条件访问来保护用于访问Windows 365云电脑的资源,如设置Windows 365的条件访问策略中所述,则还必须使用单独的但匹配的条件访问策略来保护注册或加入设备的用户作。
Windows 365 Link设备的身份验证过程
- 当用户在Windows 365 Link交互式登录屏幕上登录时,他们的帐户将针对设备注册服务进行身份验证。
- Windows 365 Link使用单一登录 (SSO () ) ,针对其他必需的云资源(如 Microsoft Graph 和 Windows 365 服务)静默进行身份验证。
Windows 365 云电脑设备有两个不同的身份验证阶段:
- 交互式登录:当用户在Windows 365 Link登录屏幕上登录时,设备注册服务用于获取身份验证令牌。
- 非交互式连接:连接到其他云应用资源(如Windows 365服务)时,将使用从用户登录获取的令牌来执行非交互式登录。
从Windows 365 Link设备登录不会触发任何针对所有资源 (以前是云应用) 或直接针对设备注册服务资源的条件访问策略。 此外,非交互式连接无法提示用户满足这些要求。
如果将条件访问策略分配给任何Windows 365资源,则还必须将具有相同访问控制设置的另一个策略应用于用户作以注册或加入设备。 此策略可以触发交互式登录,并获取连接所需的声明。
如果没有匹配的策略集,连接将中断,并且用户无法连接到其云电脑。
可以在 Entra 条件访问登录日志中看到这些活动:
- 登录到 Microsoft Entra 管理中心>Protection>条件访问>登录日志。
- 在“ 用户登录 (交互式) ”选项卡上,使用筛选器从登录屏幕查找事件。
- 在“ 用户登录 (非交互式) ”选项卡上,使用筛选器从连接中查找事件。
创建用于交互式登录的条件访问策略
- 登录到 Microsoft Entra 管理中心>保护>条件访问>策略>What if。
- 对于 “用户”或“工作负荷标识 ”,选择要测试的用户。
- 对于“云应用”、“作”或“身份验证上下文”,请选择“ 任何云应用”。
- 对于 “选择目标类型” ,保留“ 云应用 ”处于选中状态。
- 选择 “选择应用 ”,然后选择以下资源(如果可用):
- Windows 365 (应用 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5) 。
- Azure 虚拟桌面 (应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07) 。
- Microsoft 远程桌面 (应用 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) 。
- Windows Cloud 登录 (应用 ID 270efc09-cd0d-444b-a71f-39af4910ec45) 。
- 选择 “What If”。
查看 将应用的每个策略, 并确定用于授予对这些资源和会话设置的访问权限的访问控制。
现在,可以使用相同的访问控制创建新的条件访问策略,以 要求设备注册 MFA 。
- 登录到 Microsoft Entra 管理中心>Protection>条件访问>策略>新策略
- 为策略命名。 请考虑对策略名称使用有意义的标准。
- 在 “分配>用户”下,选择 选择了 0 个用户和组。
- 在“包括”下,选择“所有用户”或选择一组将通过Windows 365 Link设备登录的用户。
- 在 “排除”下,选择“ 用户和组> ”,选择组织的紧急访问或安全帐户。
- 在 “目标资源>”“用户作”下,选择“ 注册或加入设备”。
- 在 “访问控制>授予”下,使用之前使用 What If 工具找到的相同控件。
- 在 “访问控制>会话”下,使用之前使用 What If 工具找到的相同控件。
- 确认设置并将 “启用策略” 设置为 “仅报告”。
- 选择“创建”。
- 使用仅报表模式确认设置后,将 “启用策略” 开关从 “仅报告 ”更改为“ 开”。
有关为设备注册创建条件访问策略(包括潜在冲突)的详细信息,请参阅 要求对设备注册进行多重身份验证。
有关使用条件访问的用户作的详细信息,请参阅 用户作。
有关为用于Windows 365的资源创建条件访问策略的详细信息,请参阅设置条件访问策略。