Tożsamość i uwierzytelnianie systemu Windows 365
Tożsamość użytkownika komputera w chmurze określa, które usługi zarządzania dostępem zarządzają tym użytkownikiem i komputerem w chmurze. Ta tożsamość definiuje:
- Typy komputerów w chmurze, do których użytkownik ma dostęp.
- Typy zasobów komputera spoza chmury, do które użytkownik ma dostęp.
Urządzenie może również mieć tożsamość określoną przez typ sprzężenia z identyfikatorem Microsoft Entra. Dla urządzenia typ sprzężenia definiuje:
- Jeśli urządzenie wymaga kontaktu wzrokowego z kontrolerem domeny.
- Jak zarządzane jest urządzenie.
- Jak użytkownicy uwierzytelniają się na urządzeniu.
Typy tożsamości
Istnieją cztery typy tożsamości:
- Tożsamość hybrydowa: użytkownicy lub urządzenia utworzone w lokalnych usługach Active Directory Domain Services, a następnie zsynchronizowane z identyfikatorem Microsoft Entra.
- Tożsamość tylko w chmurze: użytkownicy lub urządzenia, które są tworzone i istnieją tylko w identyfikatorze Microsoft Entra.
- Tożsamość federacyjna: użytkownicy, którzy są tworzona w dostawcy tożsamości innej firmy, inny niż identyfikator Entra firmy Microsoft lub usługi Active Directory Domain Services, a następnie federacyjny z identyfikatorem Entra firmy Microsoft.
- Tożsamość zewnętrzna: użytkownicy, którzy są tworzona i zarządzana poza dzierżawą usługi Microsoft Entra, ale są zapraszani do dzierżawy usługi Microsoft Entra w celu uzyskania dostępu do zasobów organizacji.
Uwaga
- System Windows 365 obsługuje tożsamości federacyjne po włączeniu logowania jednokrotnego .
- System Windows 365 nie obsługuje tożsamości zewnętrznych.
Typy sprzężeń urządzeń
Istnieją dwa typy sprzężeń, które można wybrać podczas aprowizacji komputera w chmurze:
- Przyłączanie hybrydowe w usłudze Microsoft Entra: jeśli wybierzesz ten typ sprzężenia, system Windows 365 dołączy komputer z chmurą do podanej domeny usługi Active Directory systemu Windows Server. Następnie, jeśli Twoja organizacja jest prawidłowo skonfigurowana pod kątem przyłączania hybrydowego do usługi Microsoft Entra, urządzenie jest synchronizowane z identyfikatorem Entra firmy Microsoft.
- Microsoft Entra Join: jeśli wybierzesz ten typ sprzężenia, system Windows 365 dołączy komputer z chmurą bezpośrednio do identyfikatora Microsoft Entra.
W poniższej tabeli przedstawiono kluczowe możliwości lub wymagania na podstawie wybranego typu sprzężenia:
| Możliwości lub wymagania | Przyłączanie hybrydowe do usługi Microsoft Entra | Dołączanie do aplikacji Microsoft Entra |
|---|---|---|
| Subskrypcja platformy Azure | Wymagany | Opcjonalny |
| Sieć wirtualna platformy Azure z linią wzroku do kontrolera domeny | Wymagany | Opcjonalny |
| Typ tożsamości użytkownika obsługiwany podczas logowania | Tylko użytkownicy hybrydowi | Użytkownicy hybrydowi lub użytkownicy tylko w chmurze |
| Zarządzanie zasadami | Obiekty zasad grupy (GPO) lub MDM usługi Intune | Tylko rozwiązanie MDM usługi Intune |
| Obsługiwane logowanie usługi Windows Hello dla firm | Tak, a urządzenie łączące musi mieć połączenie z kontrolerem domeny za pośrednictwem sieci bezpośredniej lub sieci VPN | Tak |
Uwierzytelnianie
Gdy użytkownik uzyskuje dostęp do komputera w chmurze, istnieją trzy oddzielne fazy uwierzytelniania:
- Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Windows 365, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, jest oparte na identyfikatorze Entra firmy Microsoft.
- Uwierzytelnianie sesji zdalnej: uwierzytelnianie na komputerze w chmurze. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne.
- Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych na komputerze z chmurą.
Aby uzyskać listę poświadczeń dostępnych dla różnych klientów dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.
Ważna
Aby uwierzytelnianie działało prawidłowo, maszyna lokalna użytkownika musi również mieć dostęp do adresów URL w sekcji Klienci pulpitu zdalnegona liście wymaganych adresów URL usługi Azure Virtual Desktop.
System Windows 365 oferuje logowanie jednokrotne (zdefiniowane jako pojedynczy monit o uwierzytelnianie, który może spełniać wymagania zarówno uwierzytelniania usługi Windows 365, jak i uwierzytelniania na komputerze w chmurze) w ramach usługi. Aby uzyskać więcej informacji, zobacz logowanie jednokrotne.
Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.
Uwierzytelnianie usługi w chmurze
Użytkownicy muszą uwierzytelniać się w usłudze Windows 365, gdy:
- Uzyskują dostęp do windows365.microsoft.com.
- Przejdź do adresu URL mapowania bezpośrednio na komputer w chmurze.
- Używają obsługiwanego klienta do wyświetlania listy swoich komputerów w chmurze.
Aby uzyskać dostęp do usługi Systemu Windows 365, użytkownicy muszą najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Microsoft Entra ID.
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Ustawianie zasad dostępu warunkowego , aby dowiedzieć się, jak wymusić uwierzytelnianie wieloskładnikowe usługi Microsoft Entra dla komputerów w chmurze. W tym artykule opisano również, jak skonfigurować częstotliwość monitowania użytkowników o wprowadzenie poświadczeń.
Uwierzytelnianie bez hasła
Użytkownicy mogą używać dowolnego typu uwierzytelniania obsługiwanego przez identyfikator Entra firmy Microsoft, takiego jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO), do uwierzytelniania w usłudze.
Uwierzytelnianie za pomocą karty inteligentnej
Aby używać karty inteligentnej do uwierzytelniania w usłudze Microsoft Entra ID, należy najpierw skonfigurować uwierzytelnianie oparte na certyfikatach w usłudze Microsoft Entra lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.
Dostawcy tożsamości innych firm
Dostawców tożsamości innych firm można używać tak długo, jak długo federują z identyfikatorem Usługi Microsoft Entra.
Uwierzytelnianie sesji zdalnej
Jeśli logowanie jednokrotne nie zostało jeszcze włączone, a użytkownicy nie zapisać swoich poświadczeń lokalnie, muszą również uwierzytelnić się na komputerze w chmurze podczas uruchamiania połączenia.
Logowanie jednokrotne
Logowanie jednokrotne (SSO) umożliwia połączeniu pominięcie monitu o podanie poświadczeń komputera w chmurze i automatyczne zalogowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania w usłudze Microsoft Entra. Uwierzytelnianie w usłudze Microsoft Entra zapewnia inne korzyści, w tym uwierzytelnianie bez hasła i obsługę dostawców tożsamości innych firm. Aby rozpocząć, przejrzyj kroki konfigurowania logowania jednokrotnego.
Bez logowania jednokrotnego klient monituje użytkowników o podanie poświadczeń komputera w chmurze dla każdego połączenia. Jedynym sposobem uniknięcia monitu jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom dostęp do zasobów.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z komputerem w chmurze może zostać wyświetlony monit o uwierzytelnienie w sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
System Windows 365 obsługuje uwierzytelnianie bez hasła w sesji przy użyciu funkcji Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO, podczas korzystania z klienta programu Windows Desktop. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy komputer w chmurze i komputer lokalny korzystają z następujących systemów operacyjnych:
- System Windows 11 Enterprise z zainstalowanymi aktualizacjami zbiorczymi 2022-10 dla systemu Windows 11 (KB5018418) lub nowszym.
- Windows 10 Enterprise w wersji 20H2 lub nowszej z zainstalowanymi aktualizacjami zbiorczymi 2022-10 dla systemu Windows 10 (KB5018410) lub nowszym .
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, możesz użyć funkcji Windows Hello dla firm lub lokalnie dołączonych urządzeń zabezpieczających.
Aby uzyskać dostęp do zasobów usługi Microsoft Entra przy użyciu usługi Windows Hello dla firm lub urządzeń zabezpieczeń, należy włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w temacie Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, należy zainstalować sterowniki kart inteligentnych na komputerze w chmurze i zezwolić na przekierowanie kart inteligentnych w ramach zarządzania przekierowaniami urządzeń RDP dla komputerów w chmurze. Przejrzyj wykres porównawczy klienta , aby upewnić się, że klient obsługuje przekierowanie kart inteligentnych.