Configurare l'accesso Single Sign-On per Windows 365 Business usando l'autenticazione di Microsoft Entra

Questo articolo illustra il processo di configurazione dell'accesso Single Sign-On (SSO) per Windows 365 tramite l'autenticazione di Microsoft Entra. Quando si abilita l'accesso SSO, gli utenti possono usare l'autenticazione senza password e i provider di identità di terze parti federati con l'ID Microsoft Entra per accedere al PC cloud. Se abilitata, questa funzionalità offre un'esperienza SSO sia durante l'autenticazione al CLOUD PC che all'interno della sessione quando si accede ad app e siti Web basati su ID Di Microsoft Entra.

Per abilitare l'accesso Single Sign-On tramite l'autenticazione di Microsoft Entra ID, è necessario completare quattro attività:

1. Abilitare l'autenticazione di Microsoft Entra per RDP (Remote Desktop Protocol).

2. Configurare i gruppi di dispositivi di destinazione.

3. Esaminare i criteri di accesso condizionale.

4. Configurare le impostazioni dell'organizzazione per abilitare l'accesso SSO.

Prima di abilitare l'accesso SSO

Prima di abilitare l'accesso SSO, esaminare le informazioni seguenti per usarlo nell'ambiente.

Disconnessione quando la sessione è bloccata

Quando l'accesso SSO è abilitato, gli utenti accedono a Windows usando un token di autenticazione DELL'ID Microsoft Entra, che fornisce il supporto per l'autenticazione senza password per Windows. La schermata di blocco di Windows nella sessione remota non supporta i token di autenticazione DELL'ID Microsoft Entra o i metodi di autenticazione senza password, ad esempio le chiavi FIDO. Invece del comportamento precedente di visualizzare la schermata di blocco remoto quando una sessione è bloccata, la sessione viene invece disconnessa e l'utente riceve una notifica. La disconnessione della sessione garantisce che:

• Gli utenti traggono vantaggio da un'esperienza di accesso Single Sign-On e possono riconnettersi senza richiesta di autenticazione quando consentito.
• Gli utenti possono accedere di nuovo alla sessione usando l'autenticazione senza password, ad esempio le chiavi FIDO.
• I criteri di accesso condizionale, tra cui l'autenticazione a più fattori e la frequenza di accesso, vengono rivalutati quando l'utente si riconnette alla sessione.

Prerequisiti

Prima di abilitare l'accesso SSO, è necessario soddisfare i prerequisiti seguenti:

• Per configurare il tenant di Microsoft Entra, è necessario assegnare uno dei ruoli predefiniti di Microsoft Entra seguenti:

  • Amministratore dell'applicazione
  • Amministratore applicazioni cloud

• I PC cloud devono eseguire uno dei sistemi operativi seguenti con l'aggiornamento cumulativo pertinente installato:

  • Windows 11 Enterprise con gli aggiornamenti cumulativi 2022-10 per Windows 11 (KB5018418) o versioni successive installati.
  • Windows 10 Enterprise con gli aggiornamenti cumulativi 2022-10 per Windows 10 (KB5018410) o versioni successive installati.

• Installare Microsoft Graph PowerShell SDK versione 2.9.0 o successiva nel dispositivo locale o in Azure Cloud Shell.

Abilitare l'autenticazione di Microsoft Entra per RDP

È innanzitutto necessario consentire l'autenticazione di Microsoft Entra per Windows nel tenant di Microsoft Entra, che consente l'emissione di token di accesso RDP che consentono agli utenti di accedere ai PROPRI PC cloud. Questa modifica deve essere eseguita sulle entità servizio per le applicazioni Microsoft Entra seguenti:

Per consentire l'autenticazione Entra, è possibile usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto remoteDesktopSecurityConfiguration nell'entità servizio e impostare la proprietà isRemoteDesktopProtocolEnabledtruesu . È anche possibile usare l'API Microsoft Graph con uno strumento come Graph Explorer.

Seguire la procedura seguente per apportare le modifiche usando PowerShell:

1. Avviare Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

   1. Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   2. Se si usa PowerShell in locale, accedere prima con Azure PowerShell, quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

2. Assicurarsi di aver installato Microsoft Graph PowerShell SDK dai prerequisiti. Importare quindi i moduli di Autenticazione e applicazioni di Microsoft Graph e connettersi a Microsoft Graph con gli Application.Read.All ambiti e Application-RemoteDesktopConfig.ReadWrite.All eseguendo i comandi seguenti:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Ottenere l'ID oggetto per ogni entità servizio e archiviarli in variabili eseguendo i comandi seguenti:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Impostare la proprietà isRemoteDesktopProtocolEnabled su true eseguendo i comandi seguenti. Non è disponibile alcun output da questi comandi.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Verificare che la proprietà isRemoteDesktopProtocolEnabled sia impostata su true eseguendo i comandi seguenti:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   L'output deve essere:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Configurare i gruppi di dispositivi di destinazione

Dopo aver abilitato l'autenticazione di Microsoft Entra per RDP, è necessario configurare i gruppi di dispositivi di destinazione. Per impostazione predefinita quando si abilita l'accesso Single Sign-On, agli utenti viene richiesto di eseguire l'autenticazione all'ID Microsoft Entra e di consentire la connessione desktop remoto all'avvio di una connessione a un nuovo PC cloud. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di riprovare. Se un utente visualizza una finestra di dialogo per consentire la connessione desktop remoto, deve selezionare Sì per connettersi.

Per nascondere questa finestra di dialogo è necessario creare uno o più gruppi in Microsoft Entra ID che contiene i PC cloud, quindi impostare una proprietà sulle entità servizio per le stesse applicazioni Desktop remoto Microsoft e Windows Cloud Login , usate nella sezione precedente, per il gruppo.

Per configurare l'entità servizio, usare Microsoft Graph PowerShell SDK per creare un nuovo oggetto targetDeviceGroup nell'entità servizio con l'ID oggetto e il nome visualizzato del gruppo dinamico. È anche possibile usare l'API Microsoft Graph con uno strumento come Graph Explorer.

1. Creare un gruppo dinamico in Microsoft Entra ID contenente i PC cloud per cui si vuole nascondere la finestra di dialogo. Prendere nota dell'ID oggetto del gruppo per il passaggio successivo.

2. Nella stessa sessione di PowerShell creare un targetDeviceGroup oggetto eseguendo i comandi seguenti, sostituendo <placeholders> con i propri valori:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Aggiungere il gruppo all'oggetto targetDeviceGroup eseguendo i comandi seguenti:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   L'output deve essere simile:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Ripetere i passaggi 2 e 3 per ogni gruppo da aggiungere all'oggetto targetDeviceGroup , fino a un massimo di 10 gruppi.

4. Se in un secondo momento è necessario rimuovere un gruppo di dispositivi dall'oggetto targetDeviceGroup , eseguire i comandi seguenti, sostituendo <placeholders> con i propri valori:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Esaminare i criteri di accesso condizionale

Quando l'accesso SSO è attivato, viene introdotta una nuova app Microsoft Entra ID per autenticare gli utenti nel CLOUD PC. Se sono presenti criteri di accesso condizionale che si applicano quando si accede a Windows 365, esaminare le raccomandazioni per impostare i criteri di accesso condizionale per Windows 365 per assicurarsi che gli utenti abbiano l'esperienza desiderata e per proteggere l'ambiente.

Attivare l'accesso SSO per tutti i PC cloud nell'account

1. Accedere a windows365.microsoft.com con un account con il ruolo di amministratore di Windows 365.
2. Selezionare I PC cloud dell'organizzazione e quindi selezionare Aggiorna impostazioni dell'organizzazione.
3. Selezionare l'opzione Single Sign-On in Impostazioni Cloud PC.