Windows 365 身分識別和驗證
雲端電腦使用者的身分識別會定義哪些存取管理服務會管理該用戶和雲端電腦。 此身分識別會定義:
- 用戶可存取的雲端電腦類型。
- 用戶可存取的非雲端計算機資源類型。
裝置也可以擁有由聯結類型決定的身分識別,以Microsoft Entra ID。 針對裝置,聯結類型會定義:
- 如果裝置需要域控制器的視線。
- 裝置的管理方式。
- 使用者如何向裝置進行驗證。
身分識別類型
識別類型有四種:
- 混合式身分識別:在內部部署 Active Directory 網域服務中建立的使用者或裝置,然後同步至 Microsoft Entra ID。
- 僅限雲端的身分識別:已建立且僅存在於 Microsoft Entra ID 中的使用者或裝置。
- 同盟身分識別:在第三方識別提供者中建立的使用者,其他Microsoft Entra ID 或 Active Directory 網域服務,然後與 Microsoft Entra ID 同盟。
- 外部身分識別:在您的 Microsoft Entra 租使用者外部建立及管理,但受邀加入Microsoft Entra 租使用者以存取貴組織的資源的使用者。
注意事項
- 啟用 單一登錄 時,Windows 365 支援同盟身分識別。
- Windows 365 不支援外部身分識別。
裝置聯結類型
布建雲端電腦時,您可以從中選取兩 種聯結類型:
- Microsoft混合式加入:如果您選擇此聯結類型,Windows 365 會將您的雲端計算機加入您提供的 Windows Server Active Directory 網域。 然後,如果您的組織已正確 設定為Microsoft混合式加入,裝置會同步處理為 Microsoft Entra ID。
- Microsoft加入:如果您選擇此聯結類型,Windows 365 會直接將您的雲端計算機加入Microsoft Entra ID。
下表顯示根據選取的聯結類型的主要功能或需求:
| 功能或需求 | Microsoft混合式聯結 | Microsoft加入 |
|---|---|---|
| Azure 訂用帳戶 | 必要 | 選用 |
| 可看見域控制器的 Azure 虛擬網路 | 必要 | 選用 |
| 支援登入的使用者身分識別類型 | 僅限混合式使用者 | 混合式使用者或僅限雲端使用者 |
| 原則管理 | 組策略物件 (GPO) 或 Intune MDM | 僅限 Intune MDM |
| 支援 Windows Hello 企業版登入 | 是,連線裝置必須透過直接網路或 VPN 看見域控制器 | 是 |
驗證
當使用者存取雲端電腦時,有三個不同的驗證階段:
- 雲端服務驗證:向 Windows 365 服務進行驗證,包括訂閱資源和向閘道進行驗證,使用 Microsoft Entra ID。
- 遠端會話驗證:向雲端計算機進行驗證。 有多種方式可以向遠端會話進行驗證,包括建議的單一登錄 (SSO) 。
- 會話內驗證:向雲端計算機內的應用程式和網站進行驗證。
如需每個驗證階段不同用戶端上可用的認證清單, 請比較平臺上的用戶端。
重要事項
若要讓驗證正常運作,使用者的本機計算機也必須能夠存取 Azure 虛擬桌面必要 URL 清單之 [遠端桌面客戶端] 區段中的 URL。
Windows 365 提供單一登錄 (定義為單一驗證提示,可滿足 Windows 365 服務驗證和雲端電腦驗證) 作為服務的一部分。 如需詳細資訊,請參閱 單一登錄。
下列各節提供有關這些驗證階段的詳細資訊。
雲端服務驗證
使用者必須在下列情況向 Windows 365 服務進行驗證:
- 他們會 存取 windows365.microsoft.com。
- 他們會流覽至直接對應至其雲端電腦的 URL。
- 他們使用 支援的用戶端 來列出其雲端電腦。
若要存取 Windows 365 服務,用戶必須先使用 Microsoft Entra ID 帳戶登入,以向服務進行驗證。
多重要素驗證
請遵循 設定條件式存取 原則中的指示,瞭解如何為您的雲端計算機強制執行 Microsoft 多重要素驗證。 該文章也會告訴您如何設定提示使用者輸入其認證的頻率。
無密碼驗證
使用者可以使用 Microsoft Entra ID 支援的任何驗證類型,例如 Windows Hello 企業 版和其他 無密碼驗證選項 (例如 FIDO 金鑰) ,向服務進行驗證。
智慧卡驗證
若要使用智慧卡來驗證以Microsoft Entra ID,您必須先設定 Microsoft以憑證為基礎的驗證 ,或設定 AD FS進行使用者憑證驗證。
第三方身分識別提供者
您可以使用第三方識別提供者,只要它們 與 Microsoft Entra ID 同盟即可。
遠程會話驗證
如果您尚未啟用 單一登錄 ,且使用者尚未將其認證儲存在本機,他們也需要在啟動連線時向雲端計算機進行驗證。
單一登入 (SSO)
單一登錄 (SSO) 允許連線略過 Cloud PC 認證提示,並透過 Microsoft Entra 驗證自動將使用者登入 Windows。 Microsoft Entra 驗證提供其他優點,包括無密碼驗證和支援第三方身分識別提供者。 若要開始使用,請檢閱 設定單一登錄的步驟。
若沒有 SSO,用戶端會提示使用者輸入其雲端電腦認證以進行每個連線。 避免出現提示的唯一方法是將認證儲存在用戶端中。 建議您只在安全裝置上儲存認證,以防止其他使用者存取您的資源。
會話內驗證
連線到雲端計算機之後,系統可能會提示您在會話內進行驗證。 本節說明如何在此案例中使用用戶名稱和密碼以外的認證。
會話內無密碼驗證
使用 Windows Desktop 客戶端時,Windows 365 支援使用 Windows Hello 企業版或 FIDO 密鑰等安全性裝置的會話內無密碼驗證。 當雲端電腦和本機電腦使用下列作業系統時,會自動啟用無密碼驗證:
- 已安裝 Windows 11 2022-10 累積更新的 Windows 11 企業 (KB5018418) 或更新版本。
- Windows 10 企業版,版本 20H2 或更新版本,已安裝 適用於 Windows 10 (KB5018410) 或更新版本的 2022-10 累積更新 。
啟用時,會話中的所有 WebAuthn 要求都會重新導向至本機計算機。 您可以使用 Windows Hello 企業版或本機連結的安全性裝置來完成驗證程式。
若要使用 Windows Hello 企業版或安全性裝置存取 Microsoft Entra 資源,您必須啟用 FIDO2 安全性金鑰作為使用者的驗證方法。 若要啟用此方法,請遵循 啟用 FIDO2 安全性金鑰方法中的步驟。
會話內智慧卡驗證
若要在您的會話中使用智慧卡,請確定您在雲端計算機上安裝智慧卡驅動程式,並允許智慧卡重新導向,作為 管理雲端電腦 RDP 裝置重新導向的一部分。 檢閱 客戶端比較圖表 ,以確定您的用戶端支援智慧卡重新導向。