Megosztás a következőn keresztül:

Windows 365-identitás és -hitelesítés

  • Cikk

A felhőbeli PC-felhasználó identitása határozza meg, hogy mely hozzáférés-kezelési szolgáltatások kezelik ezt a felhasználót és a felhőbeli számítógépet. Ez az identitás a következőket határozza meg:

  • Azon felhőbeli számítógépek típusai, amelyekhez a felhasználónak hozzáférése van.
  • Azon nem felhőalapú PC-erőforrások típusai, amelyekhez a felhasználónak hozzáférése van.

Az eszközök a Microsoft Entra ID-hoz való csatlakoztatása által meghatározott identitással is rendelkezhetnek. Eszköz esetén az illesztés típusa a következőket határozza meg:

  • Ha az eszköznek szüksége van egy tartományvezérlő látóvonalára.
  • Az eszköz kezelésének módját.
  • Hogyan hitelesítik magukat a felhasználók az eszközön?

Identitástípusok

Négy identitástípus létezik:

  • Hibrid identitás: A helyszíni Active Directory Domain Servicesben létrehozott, majd a Microsoft Entra-azonosítóval szinkronizált felhasználók vagy eszközök.
  • Csak felhőalapú identitás: Azok a felhasználók vagy eszközök, amelyek csak a Microsoft Entra ID azonosítóban lettek létrehozva és léteznek.
  • Összevont identitás: Olyan felhasználók, amelyeket külső identitásszolgáltatóban hoztak létre, más felhasználók, amelyeket a Microsoft Entra ID vagy az Active Directory Domain Services hozott létre, majd összevonva a Microsoft Entra-azonosítóval.
  • Külső identitás: Azok a felhasználók, akiket a Microsoft Entra-bérlőn kívül hoztak létre és kezelnek, de be vannak hívva a Microsoft Entra-bérlőbe, hogy hozzáférjenek a szervezet erőforrásaihoz.

Megjegyzés:

  • A Windows 365 támogatja az összevont identitásokat, ha az egyszeri bejelentkezés engedélyezve van.
  • A Windows 365 nem támogatja a külső identitásokat.

Eszközillesztés típusai

A felhőalapú PC kiépítésekor két illesztési típus közül választhat:

Az alábbi táblázat a kiválasztott illesztési típuson alapuló főbb képességeket vagy követelményeket mutatja be:

Képesség vagy követelmény Microsoft Entra hibrid csatlakozás Microsoft Entra-csatlakozás
Azure-előfizetés Kötelező Nem kötelező
Azure-beli virtuális hálózat a tartományvezérlő látóvonalával Kötelező Nem kötelező
A bejelentkezéshez támogatott felhasználói identitástípus Csak hibrid felhasználók Hibrid vagy csak felhőalapú felhasználók
Szabályzatkezelés Csoportházirend-objektumok (GPO) vagy Intune MDM Csak Intune MDM
A Vállalati Windows Hello bejelentkezése támogatott Igen, és a csatlakozó eszköznek a közvetlen hálózaton vagy VPN-en keresztül kell látnia a tartományvezérlőt Igen

Hitelesítés

Amikor egy felhasználó hozzáfér egy felhőbeli PC-hez, három különböző hitelesítési fázis van:

  • Felhőszolgáltatás hitelesítése: A Windows 365 szolgáltatás hitelesítése, amely magában foglalja az erőforrásokra való feliratkozást és az átjáró hitelesítését, Microsoft Entra-azonosítóval történik.
  • Távoli munkamenet hitelesítése: Hitelesítés a felhőbeli PC-ben. A távoli munkamenetben többféleképpen is hitelesítheti magát, beleértve az ajánlott egyszeri bejelentkezést (SSO).
  • Munkameneten belüli hitelesítés: Hitelesítés a felhőbeli PC-ben található alkalmazásokhoz és webhelyekhez.

A különböző ügyfeleken az egyes hitelesítési fázisokhoz elérhető hitelesítő adatok listájához hasonlítsa össze az ügyfeleket a különböző platformokon.

Fontos

A hitelesítés megfelelő működéséhez a felhasználó helyi gépének is hozzá kell tudnia férni az Azure Virtual Desktophoz szükséges URL-címek listájánakTávoli asztali ügyfelek szakaszában található URL-címekhez.

A Windows 365 egyszeri bejelentkezést kínál (amely egyetlen hitelesítési kérésként van meghatározva, amely a Windows 365 szolgáltatáshitelesítését és a felhőalapú PC-hitelesítést is képes kielégíteni) a szolgáltatás részeként. További információ: Egyszeri bejelentkezés.

A következő szakaszok további információkat nyújtanak ezekről a hitelesítési fázisokról.

Felhőszolgáltatás-hitelesítés

A felhasználóknak hitelesíteni kell magukat a Windows 365 szolgáltatással, ha:

A Windows 365 szolgáltatás eléréséhez a felhasználóknak először hitelesíteni kell magukat a szolgáltatásban egy Microsoft Entra ID-fiókkal való bejelentkezéssel.

Többtényezős hitelesítés

A Feltételes hozzáférési szabályzatok beállítása című cikkben található utasításokat követve megtudhatja, hogyan kényszerítheti ki a Microsoft Entra többtényezős hitelesítését a felhőalapú számítógépeken. Ez a cikk azt is bemutatja, hogyan konfigurálhatja, hogy a rendszer milyen gyakran kérje a felhasználóktól a hitelesítő adataik megadását.

Jelszó nélküli hitelesítés

A felhasználók bármilyen, a Microsoft Entra ID által támogatott hitelesítési típust használhatnak, például a Vállalati Windows Hellot és más jelszó nélküli hitelesítési lehetőségeket (például FIDO-kulcsokat) a szolgáltatásban való hitelesítéshez.

Intelligens kártyás hitelesítés

Ahhoz, hogy intelligens kártyát használjon a Microsoft Entra-azonosító hitelesítéséhez, először konfigurálnia kell a Microsoft Entra tanúsítványalapú hitelesítését , vagy konfigurálnia kell az AD FS-t a felhasználói tanúsítványok hitelesítéséhez.

Külső identitásszolgáltatók

Használhat külső identitásszolgáltatókat mindaddig, amíg összevonják őket a Microsoft Entra ID azonosítóval.

Távoli munkamenet-hitelesítés

Ha még nem engedélyezte az egyszeri bejelentkezést , és a felhasználók nem mentették helyileg a hitelesítő adataikat, akkor a kapcsolat indításakor a felhőbeli PC-n is hitelesíteniük kell magukat.

Egyszeri bejelentkezés

Az egyszeri bejelentkezés (SSO) lehetővé teszi, hogy a kapcsolat kihagyja a felhőalapú PC hitelesítőadat-kérését, és automatikusan bejelentkeztethesse a felhasználót a Windowsba Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés egyéb előnyöket is nyújt, például a jelszó nélküli hitelesítést és a külső identitásszolgáltatók támogatását. Első lépésként tekintse át az egyszeri bejelentkezés konfigurálásának lépéseit.

Egyszeri bejelentkezés nélkül az ügyfél minden kapcsolathoz kéri a felhőbeli PC hitelesítő adatait. A rendszer csak úgy kerülheti el a kérést, ha menti a hitelesítő adatokat az ügyfélen. Azt javasoljuk, hogy csak biztonságos eszközökön mentse a hitelesítő adatokat, hogy más felhasználók ne férhessenek hozzá az erőforrásokhoz.

Munkameneten belüli hitelesítés

Miután csatlakozott a felhőalapú számítógéphez, előfordulhat, hogy a rendszer hitelesítést kér a munkameneten belül. Ez a szakasz ismerteti, hogyan használhat más hitelesítő adatokat, mint a felhasználónév és a jelszó ebben a forgatókönyvben.

Munkameneten belüli jelszó nélküli hitelesítés

A Windows 365 támogatja a munkameneten belüli jelszó nélküli hitelesítést a Vállalati Windows Hello szolgáltatással vagy olyan biztonsági eszközökkel, mint a FIDO-kulcsok a Windows asztali ügyfél használatakor. A jelszó nélküli hitelesítés automatikusan engedélyezve van, ha a felhőalapú PC és a helyi számítógép a következő operációs rendszereket használja:

Ha engedélyezve van, a rendszer a munkamenet összes WebAuthn-kérését átirányítja a helyi számítógépre. A Hitelesítés folyamatának befejezéséhez használhatja a Vállalati Windows Hello szolgáltatást vagy a helyileg csatlakoztatott biztonsági eszközöket.

Ahhoz, hogy a Vállalati Windows Hello vagy biztonsági eszközök segítségével hozzáférjen a Microsoft Entra-erőforrásokhoz, engedélyeznie kell a FIDO2 biztonsági kulcsot hitelesítési módszerként a felhasználók számára. A módszer engedélyezéséhez kövesse a FIDO2 biztonsági kulcs metódusának engedélyezése című cikk lépéseit.

Munkameneten belüli intelligenskártya-hitelesítés

Ha intelligens kártyát szeretne használni a munkamenetben, győződjön meg arról, hogy telepíti az intelligenskártya-illesztőprogramokat a felhőbeli PC-re, és engedélyezi az intelligens kártyák átirányítását a felhőalapú számítógépek RDP-eszközátirányításainak kezelése részeként. Tekintse át az ügyfél-összehasonlító diagramot , és győződjön meg arról, hogy az ügyfél támogatja az intelligens kártyák átirányítását.

Következő lépések

Tudnivalók a felhőalapú PC-életciklusról.