使用 Microsoft Entra 驗證為 Windows 365 商務版 設定單一登錄

本文說明使用 Microsoft Entra 驗證為 Windows 365 設定單一登錄 (SSO) 的程式。 當您啟用 SSO 時，使用者可以使用無密碼驗證，以及與 Microsoft Entra ID 同盟的第三方識別提供者來登入其雲端電腦。 啟用時，這項功能會在存取以 Microsoft Entra ID 為基礎的應用程式和網站時，向雲端計算機和會話內部進行驗證時，提供 SSO 體驗。

若要使用 Microsoft Entra ID 驗證來啟用 SSO，您必須完成四項工作：

1. 針對遠端桌面通訊協定 (RDP) 啟用 Microsoft Entra 驗證。

2. 設定目標裝置群組。

3. 檢閱條件式存取原則。

4. 設定您的組織設定以啟用 SSO。

啟用 SSO 之前

啟用 SSO 之前，請檢閱下列資訊，以便在您的環境中使用它。

會話鎖定時中斷連線

啟用 SSO 時，使用者會使用 Microsoft Entra ID 驗證令牌登入 Windows，以支援對 Windows 進行無密碼驗證。 遠端會話中的 Windows 鎖定畫面不支援 Microsoft Entra ID 驗證令牌或無密碼驗證方法，例如 FIDO 金鑰。 而不是先前在會話鎖定時顯示遠端鎖定畫面的行為，而是會話會中斷連線，並通知使用者。 中斷會話的連線可確保：

• 使用者受益於單一登錄體驗，而且可以在允許時重新連線，而不需要驗證提示。
• 用戶可以使用 FIDO 金鑰之類的無密碼驗證來重新登入其工作階段。
• 當使用者重新連線到其會話時，會重新評估條件式存取原則，包括多重要素驗證和登入頻率。

必要條件

您必須先符合下列必要條件，才能啟用 SSO：

• 若要設定 Microsoft Entra 租使用者，您必須獲指派下列其中一個 Microsoft Entra 內建角色：

  • 應用程式管理員
  • 雲端應用程式管理員

• 雲端電腦必須執行下列其中一個已安裝相關累積更新的作系統：

  • Windows 11 企業版 已安裝 Windows 11 (KB5018418) 或更新版本的 2022-10 累積 匯報。
  • Windows 10 企業版 已安裝 Windows 10 (KB5018410) 或更新版本的 2022-10 累積 匯報。

• 在本機裝置或 AzureCloud Shell 中安裝 Microsoft Graph PowerShell SDK 2.9.0 版或更新版本。

啟用 RDP 的 Microsoft Entra 驗證

您必須先在 Microsoft Entra 租用戶中允許 Windows 的 Microsoft Entra 驗證，這可發出 RDP 存取令牌，讓用戶能夠登入其雲端電腦。 這項變更必須在下列 Microsoft Entra 應用程式的服務主體上完成：

Application Name	應用程式識別碼
Microsoft 遠端桌面	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows Cloud 登入	270efc09-cd0d-444b-a71f-39af4910ec45

重要事項

在即將進行的變更中，我們將從2024年起從Microsoft 遠端桌面轉換為Windows雲端登入。 設定這兩個應用程式現在可確保您已準備好進行變更。

若要允許 Entra 驗證，您可以使用 Microsoft Graph PowerShell SDK 在服務主體上建立新的 remoteDesktopSecurityConfiguration 物件 ，並將 屬性 isRemoteDesktopProtocolEnabled 設定為 true。 您也可以搭配 Graph 總管之類的工具來使用Microsoft 圖形 API。

請遵循下列步驟，使用 PowerShell 進行變更：

1. 使用 PowerShell 終端機類型在 Azure 入口網站 中啟動 Azure Cloud Shell，或在本機裝置上執行 PowerShell。

   1. 如果您使用 Cloud Shell，請確定您的 Azure 內容已設定為您想要使用的訂用帳戶。

   2. 如果您在本機使用PowerShell，請先使用 Azure PowerShell 登入，然後確定您的 Azure 內容已設定為您想要使用的訂用帳戶。

2. 請確定您已從必要條件安裝 Microsoft Graph PowerShell SDK。 然後，匯入 Graph 模組Microsoft 驗證 和 應用程式 ，並執行下列命令以 和範圍連線到 Microsoft Graph Application.Read.AllApplication-RemoteDesktopConfig.ReadWrite.All ：

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. 執行下列命令，以取得每個服務主體的物件識別碼，並將它們儲存在變數中：

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. 執行下列命令，將屬性 isRemoteDesktopProtocolEnabled 設定為 true 。 這些命令沒有輸出。

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. 執行下列命令，true確認屬性isRemoteDesktopProtocolEnabled已設定為 ：

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   輸出應該是：

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

設定目標裝置群組

啟用 RDP 的 Microsoft Entra 驗證之後，您必須設定目標裝置群組。 根據預設，當啟用 SSO 時，系統會提示使用者向 Microsoft Entra ID 進行驗證，並在啟動新雲端電腦的連線時允許遠端桌面連線。 Microsoft Entra 在再次提示之前，最多會記住 15 部主機 30 天。 如果使用者看到對話框允許遠端桌面連線，則應該選取 [ 是 ] 進行連線。

若要隱藏此對話框，您必須在包含雲端計算機的 Microsoft Entra ID 中建立一或多個群組，然後針對群組設定相同 Microsoft 遠端桌面 和 Windows Cloud Login 應用程式的服務主體屬性，如上一節中所使用。

提示

建議您使用動態群組並設定動態成員資格規則，以包含所有雲端計算機。 您可以使用此群組中的裝置名稱，但針對更安全的選項，您可以使用 Microsoft 圖形 API 來設定和使用裝置擴充功能屬性。 雖然動態群組通常會在 5-10 分鐘內更新，但大型租使用者最多可能需要 24 小時。

動態群組需要 Microsoft Entra ID P1 授權或教育用 Intune 授權。 如需詳細資訊，請參閱 群組的動態成員資格規則。

若要設定服務主體，請使用 Microsoft Graph PowerShell SDK ，在具有動態群組物件標識符和顯示名稱的服務主體上建立新的 targetDeviceGroup 物件 。 您也可以搭配 Graph 總管之類的工具來使用Microsoft 圖形 API。

1. 在 Microsoft Entra ID 中建立動態群組，其中包含您要隱藏對話框的雲端計算機。 記下下一個步驟的群組對象標識碼。

2. 在相同的 PowerShell 工作階段中，執行下列命令來建立 targetDeviceGroup 物件，並將 取代 <placeholders> 為您自己的值：

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. 執行下列命令， targetDeviceGroup 將群組新增至 物件：

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   輸出應該類似：

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   針對您想要新 targetDeviceGroup 增至物件的每個群組重複步驟 2 和 3，最多 10 個群組。

4. 如果您稍後需要從 targetDeviceGroup 物件移除裝置群組，請執行下列命令，並將 取代 <placeholders> 為您自己的值：

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

檢閱條件式存取原則

當 SSO 開啟時，會引進新的 Microsoft Entra ID 應用程式來向雲端電腦驗證使用者。 如果您在存取 Windows 365 時套用條件式存取原則，請檢閱為 Windows 365 設定條件式存取原則的建議，以確定使用者具有所需的體驗並保護您的環境。

為您帳戶中的所有雲端電腦開啟 SSO

1. 使用具有 Windows 365 系統管理員角色的帳戶登入 windows365.microsoft.com。
2. 選 取組織的雲端計算機，然後選取 [更新組織設定]。
3. 選取 [雲端計算機設定] 下的 [單一登錄] 選項。