Identidade e autenticação do Windows 365
A identidade de um usuário do PC na nuvem define quais serviços de gerenciamento de acesso gerenciam esse usuário e o PC na nuvem. Essa identidade define:
- Os tipos de PCs na Nuvem aos quais o usuário tem acesso.
- Os tipos de recursos de PC que não estão na nuvem aos quais o usuário tem acesso.
Um dispositivo também pode ter uma identidade determinada pelo respetivo tipo de associação ao ID do Microsoft Entra. Para um dispositivo, o tipo de ingresso define:
- Se o dispositivo exige linha de visão para um controlador de domínio.
- Como o dispositivo é gerenciado.
- Como os usuários se autenticam no dispositivo.
Tipos de identidade
Existem quatro tipos de identidade:
- Identidade híbrida: utilizadores ou dispositivos criados nos Serviços de Domínio do Active Directory no local e, em seguida, sincronizados com o ID do Microsoft Entra.
- Identidade apenas na cloud: utilizadores ou dispositivos criados e que só existem no Microsoft Entra ID.
- Identidade federada: os utilizadores que são criados num fornecedor de identidade de terceiros, outros que o Microsoft Entra ID ou o Active Directory Domain Services, federados com o Microsoft Entra ID.
- Identidade externa: os utilizadores que são criados e geridos fora do seu inquilino do Microsoft Entra, mas que são convidados a entrar no seu inquilino do Microsoft Entra para aceder aos recursos da sua organização.
Observação
- O Windows 365 suporta identidades federadas quando o início de sessão único está ativado.
- O Windows 365 não oferece suporte a identidades externas.
Tipos de ingresso do dispositivo
Há dois tipos de ingresso que você pode selecionar ao provisionar um PC na nuvem:
- Associação Híbrida do Microsoft Entra: se escolher este tipo de associação, o Windows 365 associa o seu PC cloud ao domínio do Active Directory do Windows Server que fornecer. Em seguida, se a sua organização estiver corretamente configurada para a associação híbrida do Microsoft Entra, o dispositivo é sincronizado com o Microsoft Entra ID.
- Microsoft Entra Join: se escolher este tipo de associação, o Windows 365 associa o seu PC cloud diretamente ao Microsoft Entra ID.
A tabela seguinte mostra as principais capacidades ou requisitos com base no tipo de associação selecionado:
Capacidade ou requisito | Ingresso Microsoft Entra hibrído | Ingresso Microsoft Entra |
---|---|---|
Assinatura do Azure | Obrigatório | Opcional |
Rede virtual do Azure com linha de visão para o controlador de domínio | Obrigatório | Opcional |
Tipo de identidade do usuário suportado para logon | Somente usuários híbridos | Usuários híbridos ou usuários somente na nuvem |
Gerenciamento de políticas | Objetos de Política de Grupo (GPO) ou MDM do Intune | Somente MDM do Intune |
Entrada suportada no Windows Hello para Empresas | Sim, e o dispositivo de conexão deve ter linha de visão para o controlador de domínio por meio da rede direta ou de uma VPN | Sim |
Autenticação
Quando um utilizador acede a um PC na Cloud, existem três fases de autenticação separadas:
- Autenticação do serviço cloud: a autenticação no serviço Windows 365, que inclui a subscrição de recursos e a autenticação no Gateway, é com o Microsoft Entra ID.
- Autenticação de sessão remota: autenticação no PC na Cloud. Existem várias formas de autenticar na sessão remota, incluindo o início de sessão único (SSO) recomendado.
- Autenticação na sessão: autenticação em aplicações e sites no CLOUD PC.
Para obter a lista de credenciais disponíveis nos diferentes clientes para cada uma das fases de autenticação, compare os clientes entre plataformas.
Importante
Para que a autenticação funcione corretamente, o computador local do usuário também ter acesso às URLs na seção clientes da Área de Trabalho Remota da lista de URLs necessárias da Área de Trabalho Virtual do Azure.
O Windows 365 oferece início de sessão único (definido como um único pedido de autenticação que pode satisfazer a autenticação do serviço Windows 365 e a autenticação do CLOUD PC) como parte do serviço. Para obter mais informações, veja Início de sessão único.
As secções seguintes fornecem mais informações sobre estas fases de autenticação.
Autenticação do serviço cloud
Os usuários devem se autenticar com o serviço do Windows 365 quando:
- Acessam windows365.microsoft.com.
- Navegam até a URL que mapeia diretamente ao PC na nuvem.
- Utilizam um cliente suportado para listar os respetivos PCs na Cloud.
Para aceder ao serviço Windows 365, os utilizadores têm primeiro de se autenticar no serviço iniciando sessão com uma conta do Microsoft Entra ID.
Autenticação de vários fatores
Siga as instruções em Definir políticas de acesso condicional para saber como impor a autenticação multifator do Microsoft Entra para os seus PCs na Cloud. Este artigo também lhe diz como configurar a frequência com que os seus utilizadores são solicitados a introduzir as respetivas credenciais.
Autenticação sem palavra-passe
Os utilizadores podem utilizar qualquer tipo de autenticação suportado pelo Microsoft Entra ID, como o Windows Hello para Empresas e outras opções de autenticação sem palavra-passe (por exemplo, chaves FIDO), para autenticar no serviço.
Autenticação de smart card
Para utilizar um smart card para autenticar no Microsoft Entra ID, primeiro tem de configurar a autenticação baseada em certificados do Microsoft Entra ou configurar o AD FS para autenticação de certificados de utilizador.
Fornecedores de identidade de terceiros
Pode utilizar fornecedores de identidade de terceiros desde que federam com o Microsoft Entra ID.
Autenticação de sessão remota
Se ainda não tiver ativado o início de sessão único e os utilizadores ainda não tiverem guardado as respetivas credenciais localmente, também precisam de autenticar no PC na Cloud ao iniciar uma ligação.
SSO (logon único)
O início de sessão único (SSO) permite que a ligação ignore o pedido de credenciais do Cloud PC e inicie sessão automaticamente no Windows através da autenticação Microsoft Entra. A autenticação do Microsoft Entra proporciona outras vantagens, incluindo a autenticação sem palavra-passe e o suporte para fornecedores de identidade de terceiros. Para começar, reveja os passos para configurar o início de sessão único.
Sem o SSO, o cliente pede aos utilizadores as respetivas credenciais do CLOUD PC para cada ligação. A única forma de evitar que lhe seja pedido é guardar as credenciais no cliente. Recomendamos que guarde apenas as credenciais em dispositivos seguros para impedir que outros utilizadores acedam aos seus recursos.
Autenticação na sessão
Depois de ligar ao seu PC cloud, poderá ser-lhe pedida autenticação dentro da sessão. Esta secção explica como utilizar credenciais que não o nome de utilizador e a palavra-passe neste cenário.
Autenticação sem palavra-passe na sessão
O Windows 365 suporta a autenticação sem palavra-passe na sessão através do Windows Hello para Empresas ou dispositivos de segurança como chaves FIDO ao utilizar o cliente de Ambiente de Trabalho do Windows. A autenticação sem palavra-passe é ativada automaticamente quando o PC em Nuvem e o PC local estão a utilizar os seguintes sistemas operativos:
- Windows 11 Enterprise com as Atualizações Cumulativas 2022-10 para o Windows 11 (KB5018418) ou posterior instaladas.
- Windows 10 Enterprise, versões 20H2 ou posterior com as Atualizações Cumulativas 2022-10 para o Windows 10 (KB5018410) ou posterior instaladas.
Quando ativado, todos os pedidos WebAuthn na sessão são redirecionados para o PC local. Pode utilizar o Windows Hello para Empresas ou dispositivos de segurança ligados localmente para concluir o processo de autenticação.
Para aceder aos recursos do Microsoft Entra com o Windows Hello para Empresas ou dispositivos de segurança, tem de ativar a Chave de Segurança FIDO2 como um método de autenticação para os seus utilizadores. Para ativar este método, siga os passos em Ativar o método de chave de segurança FIDO2.
Autenticação de smart card na sessão
Para utilizar um smart card na sua sessão, certifique-se de que instala os controladores de smart card no CLOUD PC e permite o redirecionamento de smart card como parte da gestão de redirecionamentos de dispositivos RDP para PCs na Cloud. Reveja o gráfico de comparação de clientes para garantir que o cliente suporta o redirecionamento de smart card.