Windows 365-Identität und -Authentifizierung
Die Identität eines Cloud-PCs definiert, welche Zugriffsverwaltungsdienste diesen Benutzer und cloudbasierten PC verwalten. Diese Identität definiert:
- Die Typen von Cloud-PCs, auf die der Benutzer zugreifen kann.
- Die Typen der Nicht-Cloud-PC-Ressourcen, auf die der Benutzer zugreifen kann.
Ein Gerät kann auch über eine Identität verfügen, die durch seinen Verknüpfungstyp zur Microsoft Entra-ID bestimmt wird. Für ein Gerät definiert der Verknüpfungstyp Folgendes:
- Ob für das Gerät eine Sichtlinie auf einen Domänencontroller erforderlich ist.
- Wie das Gerät verwaltet wird.
- Wie sich Benutzer beim Gerät authentifizieren.
Identitätstypen
Es gibt vier Identitätstypen:
- Hybrididentität: Benutzer oder Geräte, die in lokalen Active Directory Domain Services erstellt und dann mit microsoft Entra ID synchronisiert werden.
- Reine Cloudidentität: Benutzer oder Geräte, die erstellt wurden und nur in Microsoft Entra ID vorhanden sind.
- Verbundidentität: Benutzer, die in einem Identitätsanbieter eines Drittanbieters erstellt werden, d. h. microsoft Entra ID oder Active Directory Domain Services, und dann mit Microsoft Entra ID verbunden sind.
- Externe Identität: Benutzer, die außerhalb Ihres Microsoft Entra-Mandanten erstellt und verwaltet werden, aber in Ihren Microsoft Entra-Mandanten eingeladen werden, um auf die Ressourcen Ihrer Organisation zuzugreifen.
Hinweis
- Windows 365 unterstützt Verbundidentitäten, wenn einmaliges Anmelden aktiviert ist.
- Windows 365 unterstützt keine externen Identitäten.
Geräteverbindungstypen
Es gibt zwei Verbindungstypen, zwischen denen Sie bei der Bereitstellung eines Cloud-PCs auswählen können:
- Microsoft Entra Hybrid Join: Wenn Sie diesen Einbindungstyp auswählen, verknüpft Windows 365 Ihren Cloud-PC mit der von Ihnen bereitgestellten Windows Server Active Directory-Domäne. Wenn Ihre Organisation dann ordnungsgemäß für die Hybrideinbindung von Microsoft Entra konfiguriert ist, wird das Gerät mit microsoft Entra ID synchronisiert.
- Microsoft Entra Join: Wenn Sie diesen Jointyp auswählen, verknüpft Windows 365 Ihren Cloud-PC direkt mit Microsoft Entra ID.
In der folgenden Tabelle sind die wichtigsten Funktionen oder Anforderungen basierend auf dem ausgewählten Jointyp aufgeführt:
| Funktion oder Anforderung | Hybride Einbindung in Microsoft Entra | Einbindung von Microsoft Entra |
|---|---|---|
| Azure-Abonnement | Erforderlich | Optional |
| Virtuelles Azure-Netzwerk mit Sichtlinie auf den Domänencontroller | Erforderlich | Optional |
| Für die Anmeldung unterstützter Benutzeridentitätstyp | Nur Hybridbenutzer | Hybridbenutzer oder reine Cloudbenutzer |
| Richtlinienverwaltung | Gruppenrichtlinienobjekte (Group Policy Objects, GPO) oder Intune MDM | Nur Intune MDM |
| Windows Hello for Business-Anmeldung wird unterstützt | Ja, und das Verbindungsgerät muss über eine Sichtlinie über das direkte Netzwerk oder ein VPN auf den Domänencontroller verfügen | Ja |
Authentifizierung
Wenn ein Benutzer auf einen Cloud-PC zugreift, gibt es drei separate Authentifizierungsphasen:
- Clouddienstauthentifizierung: Die Authentifizierung beim Windows 365-Dienst, einschließlich des Abonnierens von Ressourcen und der Authentifizierung beim Gateway, erfolgt mit microsoft Entra ID.
- Remotesitzungsauthentifizierung: Authentifizieren auf dem Cloud-PC. Es gibt mehrere Möglichkeiten, sich bei der Remotesitzung zu authentifizieren, einschließlich des empfohlenen einmaligen Anmeldens (Single Sign-On, SSO).
- In-Session-Authentifizierung: Authentifizieren bei Anwendungen und Websites auf dem Cloud-PC.
Um die Liste der Anmeldeinformationen anzuzeigen, die auf den verschiedenen Clients für jede Authentifizierungsphase verfügbar sind, vergleichen Sie die Clients plattformübergreifend.
Wichtig
Damit die Authentifizierung richtig funktioniert, muss der lokale Computer des Benutzers auch auf die URLs im Abschnitt Remotedesktopclients der erforderlichen URL-Liste von Azure Virtual Desktop zugreifen können.
Windows 365 bietet einmaliges Anmelden (definiert als eine einzelne Authentifizierungsaufforderung, die sowohl die Windows 365-Dienstauthentifizierung als auch die Cloud-PC-Authentifizierung erfüllen kann) als Teil des Diensts. Weitere Informationen finden Sie unter Einmaliges Anmelden.
Die folgenden Abschnitte enthalten weitere Informationen zu diesen Authentifizierungsphasen.
Clouddienstauthentifizierung
Benutzer müssen sich beim Windows 365-Dienst authentifizieren, wenn:
- Sie auf windows365.microsoft.com zugreifen.
- Sie zu der URL navigieren, die direkt ihrem Cloud-PC zugeordnet ist.
- Sie verwenden einen unterstützten Client , um ihre Cloud-PCs aufzulisten.
Für den Zugriff auf den Windows 365-Dienst müssen sich Benutzer zuerst beim Dienst authentifizieren, indem sie sich mit einem Microsoft Entra ID-Konto anmelden.
Mehrstufige Authentifizierung
Befolgen Sie die Anweisungen unter Festlegen von Richtlinien für bedingten Zugriff , um zu erfahren, wie Sie die mehrstufige Microsoft Entra-Authentifizierung für Ihre Cloud-PCs erzwingen. In diesem Artikel erfahren Sie auch, wie Sie konfigurieren, wie oft Ihre Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden.
Kennwortlose Authentifizierung
Benutzer können jeden von Microsoft Entra ID unterstützten Authentifizierungstyp verwenden, z. B. Windows Hello for Business und andere kennwortlose Authentifizierungsoptionen (z. B. FIDO-Schlüssel), um sich beim Dienst zu authentifizieren.
Smartcardauthentifizierung
Um eine Smartcard für die Authentifizierung bei Microsoft Entra ID zu verwenden, müssen Sie zuerst die zertifikatbasierte Microsoft Entra-Authentifizierung oder AD FS für die Benutzerzertifikatauthentifizierung konfigurieren.
Identitätsanbieter von Drittanbietern
Sie können Identitätsanbieter von Drittanbietern verwenden, solange sie mit der Microsoft Entra-ID verbunden sind.
Remotesitzungsauthentifizierung
Wenn Sie das einmalige Anmelden noch nicht aktiviert haben und Benutzer ihre Anmeldeinformationen nicht lokal gespeichert haben, müssen sie sich beim Starten einer Verbindung auch beim Cloud-PC authentifizieren.
Einmaliges Anmelden (Single Sign-On, SSO)
Das einmalige Anmelden (Single Sign-On, SSO) ermöglicht es der Verbindung, die Eingabeaufforderung für Cloud PC-Anmeldeinformationen zu überspringen und den Benutzer automatisch über die Microsoft Entra-Authentifizierung bei Windows anzumelden. Die Microsoft Entra-Authentifizierung bietet weitere Vorteile, einschließlich kennwortloser Authentifizierung und Unterstützung für Identitätsanbieter von Drittanbietern. Lesen Sie zunächst die Schritte zum Konfigurieren des einmaligen Anmeldens.
Ohne SSO fordert der Client Benutzer zur Eingabe ihrer Cloud-PC-Anmeldeinformationen für jede Verbindung auf. Die einzige Möglichkeit, die Aufforderung zu vermeiden, besteht darin, die Anmeldeinformationen auf dem Client zu speichern. Es wird empfohlen, Anmeldeinformationen nur auf sicheren Geräten zu speichern, um zu verhindern, dass andere Benutzer auf Ihre Ressourcen zugreifen.
In-Session-Authentifizierung
Nachdem Sie eine Verbindung mit Ihrem Cloud-PC hergestellt haben, werden Sie möglicherweise innerhalb der Sitzung zur Authentifizierung aufgefordert. In diesem Abschnitt wird erläutert, wie Andere Anmeldeinformationen als Benutzername und Kennwort in diesem Szenario verwendet werden.
Kennwortlose Authentifizierung ohne Sitzung
Windows 365 unterstützt die kennwortlose In-Session-Authentifizierung mit Windows Hello for Business oder Sicherheitsgeräten wie FIDO-Schlüsseln bei Verwendung des Windows Desktop-Clients. Die kennwortlose Authentifizierung wird automatisch aktiviert, wenn der Cloud-PC und der lokale PC die folgenden Betriebssysteme verwenden:
- Windows 11 Enterprise mit den kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher.
- Windows 10 Enterprise, Version 20H2 oder höher mit den kumulativen Updates 2022-10 für Windows 10 (KB5018410) oder höher installiert.
Wenn diese Option aktiviert ist, werden alle WebAuthn-Anforderungen in der Sitzung an den lokalen PC umgeleitet. Sie können Windows Hello for Business oder lokal angefügte Sicherheitsgeräte verwenden, um den Authentifizierungsprozess abzuschließen.
Um mit Windows Hello for Business oder Sicherheitsgeräten auf Microsoft Entra-Ressourcen zuzugreifen, müssen Sie den FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode für Ihre Benutzer aktivieren. Führen Sie zum Aktivieren dieser Methode die Schritte unter Aktivieren der FIDO2-Sicherheitsschlüsselmethode aus.
In-Session-Smartcard-Authentifizierung
Um eine Smartcard in Ihrer Sitzung zu verwenden, müssen Sie die Smartcardtreiber auf dem Cloud-PC installieren und die Smartcardumleitung im Rahmen der Verwaltung von RDP-Geräteumleitungen für Cloud-PCs zulassen. Überprüfen Sie das Clientvergleichsdiagramm , um sicherzustellen, dass Ihr Client die Smartcardumleitung unterstützt.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für