Windows authentification et identité 365
L’identité d’un utilisateur PC Cloud définit les services de gestion d’accès qui gèrent cet utilisateur et le PC cloud Cette identité définit :
- Types de PC Cloud accessibles par l’utilisateur.
- Types de ressources PC non cloud auxquelles l’utilisateur a accès.
Un appareil peut également avoir une identité déterminée par son type de jointure à l’ID Microsoft Entra. Pour un appareil, le type de jointage définit :
- Si l’appareil nécessite une ligne de vision pour un contrôleur de domaine
- Gestion de l’appareil
- Comment les utilisateurs s’authentifient-ils sur l’appareil ?
Types d’identité
Il existe quatre types d’identité :
- Identité hybride : utilisateurs ou appareils créés dans les services de domaine Active Directory locaux, puis synchronisés avec l’ID Microsoft Entra.
- Identité cloud uniquement : utilisateurs ou appareils créés et n’existent que dans l’ID Microsoft Entra.
- Identité fédérée : utilisateurs créés dans un fournisseur d’identité tiers, autres que l’ID Microsoft Entra ou les services de domaine Active Directory, puis fédérés avec l’ID Microsoft Entra.
- Identité externe : les utilisateurs qui sont créés et gérés en dehors de votre locataire Microsoft Entra, mais qui sont invités dans votre locataire Microsoft Entra pour accéder aux ressources de votre organisation.
Notes
- Windows 365 prend en charge les identités fédérées lorsque l’authentification unique est activée.
- Windows 365 ne prend pas en charge les identités externes.
Types de jointage d’appareil
Vous pouvez choisir parmi deux types de jointage lors de la mise en service d’un PC Cloud :
- Jointure hybride Microsoft Entra : si vous choisissez ce type de jointure, Windows 365 joint votre PC cloud au domaine Windows Server Active Directory que vous fournissez. Ensuite, si votre organisation est correctement configurée pour la jonction hybride Microsoft Entra, l’appareil est synchronisé avec l’ID Microsoft Entra.
- Microsoft Entra Join : si vous choisissez ce type de jointure, Windows 365 joint votre PC cloud directement à l’ID Microsoft Entra.
Le tableau suivant présente les principales fonctionnalités ou exigences en fonction du type de jointure sélectionné :
| Capacité ou exigence | Jonction Microsoft Entra hybride | Jonction Microsoft Entra |
|---|---|---|
| Abonnement Azure | Obligatoire | Facultatif |
| Réseau virtuel Azure avec une ligne de vision pour le contrôleur de domaine | Obligatoire | Facultatif |
| Type d’identité utilisateur pris en charge pour la connexion | Utilisateurs hybrides uniquement | Utilisateurs hybrides ou utilisateurs cloud uniquement |
| Gestion des stratégies | Objets de stratégie de groupe (GPO) ou GM Intune | Intune MDM uniquement |
| Connexion Windows Hello entreprise prise en charge | Oui, et l’appareil de connexion doit être en ligne de vue du contrôleur de domaine via le réseau direct ou un VPN. | Oui |
Authentification
Lorsqu’un utilisateur accède à un PC cloud, il existe trois phases d’authentification distinctes :
- Authentification du service cloud : l’authentification auprès du service Windows 365, qui inclut l’abonnement aux ressources et l’authentification auprès de la passerelle, se fait avec l’ID Microsoft Entra.
- Authentification de session à distance : Authentification auprès du PC cloud. Il existe plusieurs façons de s’authentifier auprès de la session à distance, notamment l’authentification unique (SSO) recommandée.
- Authentification en session : Authentification auprès des applications et des sites web dans le PC cloud.
Pour obtenir la liste des informations d’identification disponibles sur les différents clients pour chaque phase d’authentification, comparez les clients entre les plateformes.
Importante
Pour que l’authentification fonctionne correctement, l’ordinateur local de l’utilisateur doit également être en mesure d’accéder aux URL dans la section Clients du bureau à distance de la liste d’URL requise d’Azure Virtual Desktop.
Windows 365 offre l’authentification unique (définie comme une invite d’authentification unique qui peut satisfaire à la fois l’authentification du service Windows 365 et l’authentification pc cloud) dans le cadre du service. Pour plus d’informations, consultez Authentification unique.
Les sections suivantes fournissent plus d’informations sur ces phases d’authentification.
Authentification du service cloud
Les utilisateurs doivent s’authentifier auprès Windows service 365 lorsque :
- Ils accèdent à windows365.microsoft.com.
- Ils naviguent jusqu’à l’URL qui est muée directement sur leur PC Cloud.
- Ils utilisent un client pris en charge pour répertorier leurs PC cloud.
Pour accéder au service Windows 365, les utilisateurs doivent d’abord s’authentifier auprès du service en se connectant avec un compte d’ID Microsoft Entra.
Authentification multifacteur
Suivez les instructions fournies dans Définir des stratégies d’accès conditionnel pour savoir comment appliquer l’authentification multifacteur Microsoft Entra pour vos PC cloud. Cet article vous explique également comment configurer la fréquence à laquelle vos utilisateurs sont invités à entrer leurs informations d’identification.
Authentification sans mot de passe
Les utilisateurs peuvent utiliser n’importe quel type d’authentification pris en charge par l’ID Microsoft Entra, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, les clés FIDO), pour s’authentifier auprès du service.
Authentification par carte à puce
Pour utiliser une carte à puce pour vous authentifier auprès de l’ID Microsoft Entra, vous devez d’abord configurer l’authentification basée sur les certificats Microsoft Entra ou configurer AD FS pour l’authentification par certificat utilisateur.
Fournisseurs d’identité tiers
Vous pouvez utiliser des fournisseurs d’identité tiers tant qu’ils sont fédérés avec l’ID Microsoft Entra.
Authentification de session à distance
Si vous n’avez pas encore activé l’authentification unique et que les utilisateurs n’ont pas enregistré leurs informations d’identification localement, ils doivent également s’authentifier sur le PC cloud lors du lancement d’une connexion.
Authentification unique (SSO)
L’authentification unique (SSO) permet à la connexion d’ignorer l’invite d’informations d’identification du PC cloud et de connecter automatiquement l’utilisateur à Windows via l’authentification Microsoft Entra. L’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers. Pour commencer, passez en revue les étapes de configuration de l’authentification unique.
Sans authentification unique, le client invite les utilisateurs à entrer leurs informations d’identification de PC cloud pour chaque connexion. La seule façon d’éviter d’être invité consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer uniquement les informations d’identification sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Authentification en session
Une fois que vous vous êtes connecté à votre PC cloud, vous pouvez être invité à fournir l’authentification dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Windows 365 prend en charge l’authentification sans mot de passe dans la session à l’aide de Windows Hello Entreprise ou d’appareils de sécurité comme les clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement lorsque le PC cloud et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 Entreprise avec les mises à jour cumulatives 2022-2010 pour Windows 11 (KB5018418) ou version ultérieure installées.
- Windows 10 Entreprise, versions 20H2 ou ultérieures avec les mises à jour cumulatives 2022-10 pour Windows 10 (KB5018410) ou ultérieures installées.
Quand cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour terminer le processus d’authentification.
Pour accéder aux ressources Microsoft Entra avec Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes décrites dans Activer la méthode de clé de sécurité FIDO2.
Authentification par carte à puce en session
Pour utiliser une carte à puce dans votre session, veillez à installer les pilotes de carte à puce sur le PC cloud et à autoriser la redirection de carte à puce dans le cadre de la gestion des redirections d’appareils RDP pour les PC cloud. Passez en revue le graphique de comparaison du client pour vous assurer que votre client prend en charge la redirection de carte à puce.