Konfigurace jednotného přihlašování pro Windows 365 Business pomocí ověřování Microsoft Entra

Článek
04/03/2024

Tento článek vysvětluje proces konfigurace jednotného přihlašování pro Windows 365 pomocí ověřování Microsoft Entra. Když povolíte jednotné přihlašování, můžou uživatelé používat ověřování bez hesla a zprostředkovatele identity třetích stran, kteří federují Microsoft Entra ID, a přihlásit se ke svému cloudovému počítači. Pokud je tato funkce povolená, poskytuje jednotné přihlašování jak při ověřování v cloudovém počítači, tak v rámci relace při přístupu k aplikacím a webům založeným na Microsoft Entra ID.

Pokud chcete povolit jednotné přihlašování pomocí ověřování Microsoft Entra ID, musíte provést čtyři úlohy:

Povolte ověřování Microsoft Entra pro protokol RDP (Remote Desktop Protocol).
Nakonfigurujte cílové skupiny zařízení.
Zkontrolujte zásady podmíněného přístupu.
Nakonfigurujte nastavení organizace tak, aby povolte jednotné přihlašování.

Před povolením jednotného přihlašování

Než povolíte jednotné přihlašování, projděte si následující informace o jeho použití ve vašem prostředí.

Odpojení při uzamčení relace

Když je jednotné přihlašování povolené, uživatelé se k Windows přihlašují pomocí ověřovacího tokenu Microsoft Entra ID, který poskytuje podporu ověřování bez hesla ve Windows. Zamykací obrazovka Windows ve vzdálené relaci nepodporuje Microsoft Entra ID ověřovací tokeny ani metody ověřování bez hesla, jako jsou klíče FIDO. Místo předchozího chování zobrazení vzdálené zamykací obrazovky při uzamčení relace je relace odpojena a uživatel bude upozorněn. Odpojení relace zajistí, že:

Uživatelé těží z prostředí jednotného přihlašování, a pokud je to povoleno, můžou se znovu připojit bez výzvy k ověření.
Uživatelé se můžou ke své relaci znovu přihlásit pomocí ověřování bez hesla, jako jsou klíče FIDO.
Zásady podmíněného přístupu, včetně vícefaktorového ověřování a frekvence přihlašování, se znovu vyhodnotí, když se uživatel znovu připojí ke své relaci.

Požadavky

Abyste mohli povolit jednotné přihlašování, musíte splnit následující požadavky:

Pokud chcete nakonfigurovat tenanta Microsoft Entra, musíte mít přiřazenou jednu z následujících Microsoft Entra předdefinovaných rolí:
Na cloudových počítačích musí běžet jeden z následujících operačních systémů s nainstalovanou příslušnou kumulativní aktualizací:
- Windows 11 Enterprise s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 11 (KB5018418) nebo novější.
- Windows 10 Enterprise s nainstalovanou kumulativní Aktualizace 2022-10 pro Windows 10 (KB5018410) nebo novější.
Nainstalujte sadu Microsoft Graph PowerShell SDK verze 2.9.0 nebo novější na místní zařízení nebo v Azure Cloud Shell.

Povolení ověřování Microsoft Entra pro protokol RDP

Nejprve musíte povolit ověřování Microsoft Entra pro Windows ve vašem Microsoft Entra tenantovi, které umožňuje vydávání přístupových tokenů RDP, které uživatelům umožní přihlásit se ke cloudovým počítačům. Tuto změnu je nutné provést u instančních objektů pro následující Microsoft Entra aplikace:

Název aplikace	ID aplikace
Vzdálená plocha Microsoftu	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Přihlášení ke cloudu Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Důležité

V rámci chystané změny přecházíme ze Vzdálené plochy Microsoftu na Přihlášení ke cloudu Windows, a to od roku 2024. Konfigurace obou aplikací teď zajistí, že budete na změnu připraveni.

Pokud chcete povolit ověřování Entra, můžete pomocí sady Microsoft Graph PowerShell SDK vytvořit nový objekt remoteDesktopSecurityConfiguration v instančním objektu a nastavit vlastnost isRemoteDesktopProtocolEnabled na true. Můžete také použít Microsoft Graph API s nástrojem, jako je Graph Explorer.

Pokud chcete provést změny pomocí PowerShellu, postupujte následovně:

Spusťte azure Cloud Shell v Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.
1. Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.
2. Pokud používáte PowerShell místně, nejdřív se přihlaste pomocí Azure PowerShell a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.
Ujistěte se, že jste sadu Microsoft Graph PowerShell SDK nainstalovali podle požadavků. Potom importujte moduly Microsoft Graphu Ověřování a aplikace a připojte se k Microsoft Graphu Application.Read.All pomocí oborů a Application-RemoteDesktopConfig.ReadWrite.All spuštěním následujících příkazů:
```
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
```

Spuštěním následujících příkazů získejte ID objektu pro každý instanční objekt a uložte je do proměnných:

$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id

Nastavte vlastnost isRemoteDesktopProtocolEnabled na hodnotu true spuštěním následujících příkazů. Z těchto příkazů není žádný výstup.

$params = @{
    "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
    isRemoteDesktopProtocolEnabled = $true
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
}

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
}

Spuštěním následujících příkazů ověřte, že je vlastnost isRemoteDesktopProtocolEnabled nastavená na true hodnotu :

Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId

Výstup by měl být:

Id IsRemoteDesktopProtocolEnabled
-- ------------------------------
id True

Konfigurace cílových skupin zařízení

Po povolení ověřování Microsoft Entra pro protokol RDP musíte nakonfigurovat cílové skupiny zařízení. Ve výchozím nastavení se při povolení jednotného přihlašování uživatelům při spuštění připojení k novému cloudovému počítači zobrazí výzva k ověření Microsoft Entra ID a povolení připojení ke vzdálené ploše. Microsoft Entra si po dobu 30 dnů pamatuje až 15 hostitelů, než se znovu zobrazí výzva. Pokud se uživateli zobrazí dialogové okno pro povolení připojení ke vzdálené ploše, měl by vybrat Ano a připojit se.

Pokud chcete toto dialogové okno skrýt, musíte vytvořit jednu nebo více skupin v Microsoft Entra ID, která obsahuje vaše cloudové počítače, a pak nastavit vlastnost instančních objektů pro stejnou aplikaci Vzdálená plocha Microsoftu a přihlášení do cloudu windows, jak je použito v předchozí části pro skupinu.

Tip

Doporučujeme použít dynamickou skupinu a nakonfigurovat pravidla dynamického členství tak, aby zahrnovala všechny vaše cloudové počítače. Názvy zařízení v této skupině můžete použít, ale pro bezpečnější možnost můžete nastavit a používat atributy rozšíření zařízení pomocí Microsoft Graph API. Zatímco dynamické skupiny se obvykle aktualizují během 5 až 10 minut, velkým tenantům může trvat až 24 hodin.

Dynamické skupiny vyžadují licenci Microsoft Entra ID P1 nebo licenci Intune for Education. Další informace najdete v tématu Pravidla dynamického členství pro skupiny.

Ke konfiguraci instančního objektu použijte sadu Microsoft Graph PowerShell SDK k vytvoření nového objektu targetDeviceGroup v instančním objektu s ID objektu dynamické skupiny a zobrazovaným názvem. Můžete také použít Microsoft Graph API s nástrojem, jako je Graph Explorer.

Vytvořte dynamickou skupinu v Microsoft Entra ID obsahující cloudové počítače, pro které chcete skrýt dialogové okno. Poznamenejte si ID objektu skupiny pro další krok.

Ve stejné relaci PowerShellu targetDeviceGroup vytvořte objekt spuštěním následujících příkazů a nahraďte <placeholders> je vlastními hodnotami:

$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"

Přidejte skupinu do objektu targetDeviceGroup spuštěním následujících příkazů:

New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

Výstup by měl být podobný:

Id                                   DisplayName
--                                   -----------
12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC

Opakujte kroky 2 a 3 pro každou skupinu, kterou chcete přidat do objektu targetDeviceGroup , až do maximálně 10 skupin.

Pokud později budete potřebovat odebrat skupinu zařízení z objektu targetDeviceGroup , spusťte následující příkazy a nahraďte <placeholders> je vlastními hodnotami:

Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"

Kontrola zásad podmíněného přístupu

Když je jednotné přihlašování zapnuté, zavádí se nová aplikace Microsoft Entra ID, která bude ověřovat uživatele v cloudovém počítači. Pokud máte zásady podmíněného přístupu, které platí při přístupu k Windows 365, projděte si doporučení pro nastavení zásad podmíněného přístupu pro Windows 365, abyste měli jistotu, že uživatelé mají požadované prostředí a že vaše prostředí zabezpečíte.

Zapnutí jednotného přihlašování pro všechny cloudové počítače ve vašem účtu

Přihlaste se k windows365.microsoft.com pomocí účtu, který má roli globálního správce nebo Windows 365 správce.
Vyberte Cloudové počítače vaší organizace a pak vyberte Aktualizovat nastavení organizace.
V části Nastavení cloudových počítačů vyberte možnost Jednotné přihlašování.

Sdílet prostřednictvím