Identidad y autenticación de Windows 365
La identidad de un usuario de un PC en la nube define qué servicios de administración de acceso administran ese usuario y PC en la nube. Esta identidad define:
- Los tipos de PC en la nube tiene acceso el usuario.
- Los tipos de recursos de PC que no son de nube tiene acceso el usuario.
Un dispositivo también puede tener una identidad determinada por su tipo de unión a Microsoft Entra ID. Para un dispositivo, el tipo de combinación define:
- Si el dispositivo requiere una línea de visión a un controlador de dominio.
- Cómo se administra el dispositivo.
- Cómo se autentican los usuarios en el dispositivo.
Tipos de identidad
Hay cuatro tipos de identidad:
- Identidad híbrida: usuarios o dispositivos que se crean en Active Directory Domain Services local y, a continuación, se sincronizan con el identificador de Microsoft Entra.
- Identidad solo en la nube: usuarios o dispositivos que se crean y solo existen en microsoft entra id.
- Identidad federada: usuarios que se crean en un proveedor de identidades de terceros, otro que Microsoft Entra ID o Active Directory Domain Services y, a continuación, se federan con Microsoft Entra ID.
- Identidad externa: los usuarios que se crean y administran fuera de su inquilino de Microsoft Entra, pero que están invitados a su inquilino de Microsoft Entra para acceder a los recursos de su organización.
Nota:
- Windows 365 admite identidades federadas cuando está habilitado el inicio de sesión único .
- Windows 365 no admite identidades externas.
Tipos de combinación de dispositivos
Hay dos tipos de unión que puede seleccionar cuando aprovisiona un PC en la nube:
- Microsoft Entra Hybrid Join: si elige este tipo de combinación, Windows 365 unirá el equipo en la nube al dominio de Windows Server Active Directory que proporcione. A continuación, si la organización está configurada correctamente para la unión híbrida de Microsoft Entra, el dispositivo se sincroniza con el identificador de Microsoft Entra.
- Microsoft Entra Join: si elige este tipo de combinación, Windows 365 unirá el equipo en la nube directamente a Microsoft Entra ID.
En la tabla siguiente se muestran las funcionalidades o requisitos clave en función del tipo de combinación seleccionado:
Capacidad o requisito | Unión híbrida a Microsoft Entra | Unión a Microsoft Entra |
---|---|---|
Suscripción de Azure | Obligatorio | Opcional |
Red virtual de Azure con línea de visión al controlador de dominio | Obligatorio | Opcional |
Tipo de identidad de usuario compatible con el inicio de sesión | Solo usuarios híbridos | Usuarios híbridos o usuarios solo en la nube |
Administración de directivas | Objetos de directiva de grupo (GPO) o MDM de Intune | Solo MDM de Intune |
Inicio de sesión Windows Hello para empresas compatible | Sí, y el dispositivo que se conecta debe tener una línea de visión al controlador de dominio a través de la red directa o una VPN. | Sí |
Autenticación
Cuando un usuario accede a un equipo en la nube, hay tres fases de autenticación independientes:
- Autenticación del servicio en la nube: la autenticación en el servicio windows 365, que incluye la suscripción a los recursos y la autenticación a la puerta de enlace, se realiza con el identificador de Microsoft Entra.
- Autenticación de sesión remota: autenticación en el equipo en la nube. Hay varias maneras de autenticarse en la sesión remota, incluido el inicio de sesión único (SSO) recomendado.
- Autenticación en sesión: autenticación en aplicaciones y sitios web dentro del equipo en la nube.
Para obtener la lista de credenciales disponibles en los diferentes clientes para cada una de las fases de autenticación, compare los clientes entre plataformas.
Importante
Para que la autenticación funcione correctamente, el equipo local del usuario también debe poder acceder a las direcciones URL de la sección Clientes de Escritorio remoto de la lista de direcciones URL necesarias de Azure Virtual Desktop.
Windows 365 ofrece inicio de sesión único (definido como un símbolo del sistema de autenticación único que puede satisfacer tanto la autenticación de servicio de Windows 365 como la autenticación de PC en la nube) como parte del servicio. Para obtener más información, consulte Inicio de sesión único.
En las secciones siguientes se proporciona más información sobre estas fases de autenticación.
Autenticación del servicio en la nube
Los usuarios deben autenticarse con el servicio de Windows 365 cuando:
- Acceden a windows365.microsoft.com.
- Navegan a la dirección URL que se asigna directamente a su PC en la nube.
- Usan un cliente compatible para enumerar sus equipos en la nube.
Para acceder al servicio windows 365, los usuarios primero deben autenticarse en el servicio iniciando sesión con una cuenta de Microsoft Entra ID.
Autenticación multifactor
Siga las instrucciones de Establecimiento de directivas de acceso condicional para obtener información sobre cómo aplicar la autenticación multifactor de Microsoft Entra para los equipos en la nube. En ese artículo también se explica cómo configurar la frecuencia con la que se solicita a los usuarios que escriban sus credenciales.
Autenticación sin contraseña
Los usuarios pueden usar cualquier tipo de autenticación compatible con microsoft Entra ID, como Windows Hello para empresas y otras opciones de autenticación sin contraseña (por ejemplo, claves FIDO), para autenticarse en el servicio.
Autenticación con tarjeta inteligente
Para usar una tarjeta inteligente para autenticarse en el identificador de Microsoft Entra, primero debe configurar la autenticación basada en certificados de Microsoft Entra o configurar AD FS para la autenticación de certificados de usuario.
Proveedores de identidades de terceros
Puede usar proveedores de identidades de terceros siempre y cuando se federen con el identificador de Microsoft Entra.
Autenticación de sesión remota
Si aún no ha habilitado el inicio de sesión único y los usuarios no han guardado sus credenciales localmente, también deben autenticarse en el equipo en la nube al iniciar una conexión.
Inicio de sesión único (SSO)
El inicio de sesión único (SSO) permite que la conexión omita el símbolo del sistema del equipo en la nube e inicie sesión automáticamente el usuario en Windows mediante la autenticación de Microsoft Entra. La autenticación de Microsoft Entra proporciona otras ventajas, como la autenticación sin contraseña y la compatibilidad con proveedores de identidades de terceros. Para empezar, revise los pasos para configurar el inicio de sesión único.
Sin sso, el cliente solicita a los usuarios sus credenciales de PC en la nube para cada conexión. La única manera de evitar que se le pida es guardar las credenciales en el cliente. Se recomienda guardar solo las credenciales en dispositivos seguros para evitar que otros usuarios accedan a los recursos.
Autenticación en sesión
Después de conectarse al equipo en la nube, es posible que se le pida autenticación dentro de la sesión. En esta sección se explica cómo usar credenciales distintas del nombre de usuario y la contraseña en este escenario.
Autenticación sin contraseña en sesión
Windows 365 admite la autenticación sin contraseña en sesión mediante Windows Hello para empresas o dispositivos de seguridad como claves FIDO al usar el cliente de Escritorio de Windows. La autenticación sin contraseña se habilita automáticamente cuando el equipo en la nube y el equipo local usan los siguientes sistemas operativos:
- Windows 11 Enterprise con las actualizaciones acumulativas de 2022-10 para Windows 11 (KB5018418) o posterior instaladas.
- Windows 10 Enterprise, versiones 20H2 o posteriores con las actualizaciones acumulativas de 2022-10 para Windows 10 (KB5018410) o posterior instaladas.
Cuando está habilitada, todas las solicitudes de WebAuthn de la sesión se redirigen al equipo local. Puedes usar Windows Hello para empresas o dispositivos de seguridad conectados localmente para completar el proceso de autenticación.
Para acceder a los recursos de Microsoft Entra con Windows Hello para empresas o dispositivos de seguridad, debe habilitar la clave de seguridad FIDO2 como método de autenticación para los usuarios. Para habilitar este método, siga los pasos descritos en Habilitar el método de clave de seguridad FIDO2.
Autenticación de tarjeta inteligente en sesión
Para usar una tarjeta inteligente en la sesión, asegúrese de instalar los controladores de tarjeta inteligente en el equipo en la nube y permitir el redireccionamiento de tarjetas inteligentes como parte de la administración de redireccionamientos de dispositivos RDP para pc en la nube. Revise el gráfico de comparación de clientes para asegurarse de que el cliente admite el redireccionamiento de tarjetas inteligentes.
Siguientes pasos
Obtenga información sobre el ciclo de vida del PC en la nube.