Identita a ověřování ve Windows 365
Identita uživatele cloudového počítače definuje, které služby pro správu přístupu spravují daného uživatele a cloudový počítač. Tato identita definuje:
- Typy cloudových počítačů, ke které má uživatel přístup
- Typy jiných prostředků než cloudových počítačů, ke které má uživatel přístup.
Zařízení může mít také identitu určenou podle typu připojení k ID Microsoft Entra. U zařízení typ spojení definuje:
- Pokud zařízení vyžaduje, aby řadič domény viděl.
- Jak se zařízení spravuje.
- Jak se uživatelé ověřují v zařízení.
Typy identit
Existují čtyři typy identit:
- Hybridní identita: Uživatelé nebo zařízení vytvořená v místní službě Active Directory Domain Services a pak se synchronizují s Microsoft Entra ID.
- Výhradně cloudová identita: Uživatelé nebo zařízení, která jsou vytvořená a existují pouze v Microsoft Entra ID.
- Federovaná identita: Uživatelé, kteří jsou vytvořeni ve zprostředkovateli identity třetí strany, jiní než Microsoft Entra ID nebo Active Directory Domain Services, pak federované s Microsoft Entra ID.
- Externí identita: Uživatelé, kteří jsou vytvořeni a spravováni mimo vašeho tenanta Microsoft Entra, ale jsou zváni do vašeho tenanta Microsoft Entra, aby mohli přistupovat k prostředkům vaší organizace.
Poznámka
- Systém Windows 365 podporuje federované identity, pokud je povolené jednotné přihlašování .
- Systém Windows 365 nepodporuje externí identity.
Typy připojení zařízení
Při zřizování cloudového počítače si můžete vybrat ze dvou typů spojení:
- Hybridní připojení Microsoft Entra: Pokud zvolíte tento typ připojení, Systém Windows 365 připojí váš cloudový počítač k doméně Windows Serveru Active Directory, kterou zadáte. Pokud je pak vaše organizace správně nakonfigurovaná pro hybridní připojení k Microsoft Entra, zařízení se synchronizuje s Microsoft Entra ID.
- Microsoft Entra Join: Pokud zvolíte tento typ připojení, Windows 365 připojí váš cloudový počítač přímo k Microsoft Entra ID.
Následující tabulka uvádí klíčové možnosti nebo požadavky na základě vybraného typu spojení:
| Schopnost nebo požadavek | Hybridní připojení k Microsoft Entra | Microsoft Entra join |
|---|---|---|
| Předplatné Azure | Povinný | Nepovinný |
| Virtuální síť Azure s dohledem řadiče domény | Povinný | Nepovinný |
| Typ identity uživatele podporovaný pro přihlášení | Pouze hybridní uživatelé | Hybridní uživatelé nebo výhradně cloudoví uživatelé |
| Správa zásad | Objekty zásad skupiny (GPO) nebo MdM Intune | Jenom Intune MDM |
| Podporuje se přihlášení k Windows Hello pro firmy | Ano a připojující se zařízení musí být v dohledu řadiče domény prostřednictvím přímé sítě nebo sítě VPN. | Ano |
Ověřování
Když uživatel přistupuje ke cloudovému počítači, existují tři samostatné fáze ověřování:
- Ověřování cloudové služby: Ověřování ve službě Windows 365, které zahrnuje přihlášení k odběru prostředků a ověřování v bráně, se provádí pomocí ID Microsoft Entra.
- Ověřování pomocí vzdálené relace: Ověřování na cloudovém počítači. Existuje několik způsobů, jak se ověřit ve vzdálené relaci, včetně doporučeného jednotného přihlašování (SSO).
- Ověřování v relaci: Ověřování v aplikacích a webech v rámci cloudového počítače.
Seznam přihlašovacích údajů dostupných v různých klientech pro každou fázi ověřování najdete v porovnání klientů napříč platformami.
Důležité
Aby ověřování fungovalo správně, musí mít místní počítač uživatele také přístup k adresám URL v části Klienti vzdálené plochyv seznamu požadovaných adres URL služby Azure Virtual Desktop.
Systém Windows 365 nabízí jako součást služby jednotné přihlašování (definované jako jedna výzva k ověření, která může vyhovovat ověřování služby Windows 365 i ověřování cloudových počítačů). Další informace najdete v tématu Jednotné přihlašování.
Další informace o těchto fázích ověřování najdete v následujících částech.
Ověřování cloudové služby
Uživatelé se musí ověřit ve službě Windows 365 v následujících případech:
- Přistupují k windows365.microsoft.com.
- Přejdou na adresu URL, která se mapuje přímo na cloudový počítač.
- K výpisu svých cloudových počítačů používají podporovaného klienta .
Aby uživatelé mohli získat přístup ke službě Windows 365, musí se nejprve ověřit ve službě přihlášením pomocí účtu Microsoft Entra ID.
Vícefaktorové ověřování
Podle pokynů v tématu Nastavení zásad podmíněného přístupu se dozvíte, jak u cloudových počítačů vynutit vícefaktorové ověřování Microsoft Entra. V tomto článku se také dozvíte, jak nakonfigurovat, jak často se uživatelům zobrazuje výzva k zadání přihlašovacích údajů.
Ověřování bez hesla
Uživatelé můžou k ověření ve službě použít libovolný typ ověřování podporovaný id Microsoft Entra, jako je Windows Hello pro firmy a další možnosti ověřování bez hesla (například klíče FIDO).
Ověřování pomocí čipové karty
Pokud chcete k ověření pomocí čipové karty použít Microsoft Entra ID, musíte nejprve nakonfigurovat ověřování pomocí certifikátů Microsoft Entra nebo nakonfigurovat službu AD FS pro ověřování uživatelských certifikátů.
Zprostředkovatelé identit třetích stran
Zprostředkovatele identit třetích stran můžete používat, pokud se federují pomocí Microsoft Entra ID.
Ověřování vzdálené relace
Pokud jste ještě nepovolili jednotné přihlašování a uživatelé si svoje přihlašovací údaje neuložili místně, musí se při spuštění připojení také ověřit v Cloud PC.
Jednotné přihlašování
Jednotné přihlašování (SSO) umožňuje připojení přeskočit výzvu k zadání přihlašovacích údajů cloudového počítače a automaticky přihlásit uživatele k Windows prostřednictvím ověřování Microsoft Entra. Ověřování Microsoft Entra poskytuje další výhody, včetně ověřování bez hesla a podpory zprostředkovatelů identit třetích stran. Začněte tím, že si projdete postup konfigurace jednotného přihlašování.
Bez jednotného přihlašování klient vyzve uživatele k zadání přihlašovacích údajů ke cloudovým počítačům pro každé připojení. Jediným způsobem, jak se vyhnout zobrazení výzvy, je uložit přihlašovací údaje v klientovi. Doporučujeme ukládat přihlašovací údaje jenom na zabezpečených zařízeních, abyste ostatním uživatelům zabránili v přístupu k vašim prostředkům.
Ověřování v relaci
Po připojení ke cloudovému počítači se může zobrazit výzva k ověření v rámci relace. Tato část vysvětluje, jak v tomto scénáři použít jiné přihlašovací údaje než uživatelské jméno a heslo.
Ověřování bez hesla v relaci
Windows 365 podporuje ověřování bez hesla v relaci pomocí Windows Hello pro firmy nebo bezpečnostních zařízení, jako jsou klíče FIDO, při použití desktopového klienta Windows. Ověřování bez hesla se povolí automaticky, když cloudový počítač a místní počítač používají následující operační systémy:
- Windows 11 Enterprise s nainstalovanými kumulativními aktualizacemi 2022-10 pro Windows 11 (KB5018418) nebo novějším.
- Windows 10 Enterprise verze 20H2 nebo novější s nainstalovanými kumulativními aktualizacemi 2022-10 pro Windows 10 (KB5018410) nebo novější.
Pokud je tato možnost povolená, všechny požadavky WebAuthn v relaci se přesměrují na místní počítač. K dokončení procesu ověřování můžete použít Windows Hello pro firmy nebo místně připojená zabezpečovací zařízení.
Pokud chcete získat přístup k prostředkům Microsoft Entra pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, musíte pro uživatele povolit klíč zabezpečení FIDO2 jako metodu ověřování. Pokud chcete tuto metodu povolit, postupujte podle kroků v tématu Povolení metody klíče zabezpečení FIDO2.
Ověřování čipovými kartami v relaci
Pokud chcete v relaci používat čipovou kartu, nezapomeňte nainstalovat ovladače čipových karet na cloudový počítač a povolit přesměrování čipových karet jako součást správy přesměrování zařízení RDP pro cloudové počítače. Zkontrolujte graf porovnání klientů a ujistěte se, že váš klient podporuje přesměrování čipových karet.