Windows 365-identitás és -hitelesítés
A felhőbeli PC-felhasználó identitása határozza meg, hogy mely hozzáférés-kezelési szolgáltatások kezelik ezt a felhasználót és a felhőbeli számítógépet. Ez az identitás a következőket határozza meg:
- Azon felhőbeli számítógépek típusai, amelyekhez a felhasználónak hozzáférése van.
- Azon nem felhőalapú PC-erőforrások típusai, amelyekhez a felhasználónak hozzáférése van.
Az eszközök a Microsoft Entra ID-hoz való csatlakoztatása által meghatározott identitással is rendelkezhetnek. Eszköz esetén az illesztés típusa a következőket határozza meg:
- Ha az eszköznek szüksége van egy tartományvezérlő látóvonalára.
- Az eszköz kezelésének módját.
- Hogyan hitelesítik magukat a felhasználók az eszközön?
Identitástípusok
Négy identitástípus létezik:
- Hibrid identitás: A helyszíni Active Directory Domain Servicesben létrehozott, majd a Microsoft Entra-azonosítóval szinkronizált felhasználók vagy eszközök.
- Csak felhőalapú identitás: Azok a felhasználók vagy eszközök, amelyek csak a Microsoft Entra ID azonosítóban lettek létrehozva és léteznek.
- Összevont identitás: Olyan felhasználók, amelyeket külső identitásszolgáltatóban hoztak létre, más felhasználók, amelyeket a Microsoft Entra ID vagy az Active Directory Domain Services hozott létre, majd összevonva a Microsoft Entra-azonosítóval.
- Külső identitás: Azok a felhasználók, akiket a Microsoft Entra-bérlőn kívül hoztak létre és kezelnek, de be vannak hívva a Microsoft Entra-bérlőbe, hogy hozzáférjenek a szervezet erőforrásaihoz.
Megjegyzés:
- A Windows 365 támogatja az összevont identitásokat, ha az egyszeri bejelentkezés engedélyezve van.
- A Windows 365 nem támogatja a külső identitásokat.
Eszközillesztés típusai
A felhőalapú PC kiépítésekor két illesztési típus közül választhat:
- Microsoft Entra hibrid csatlakozás: Ha ezt az illesztéstípust választja, a Windows 365 csatlakoztatja a felhőbeli számítógépét a megadott Windows Server Active Directory-tartományhoz. Ezután, ha a szervezet megfelelően van konfigurálva a Microsoft Entra hibrid csatlakoztatásához, az eszköz szinkronizálva lesz a Microsoft Entra-azonosítóval.
- Microsoft Entra Join: Ha ezt az illesztéstípust választja, a Windows 365 közvetlenül a Microsoft Entra-azonosítóhoz csatlakoztatja a felhőalapú számítógépet.
Az alábbi táblázat a kiválasztott illesztési típuson alapuló főbb képességeket vagy követelményeket mutatja be:
Képesség vagy követelmény | Microsoft Entra hibrid csatlakozás | Microsoft Entra-csatlakozás |
---|---|---|
Azure-előfizetés | Kötelező | Nem kötelező |
Azure-beli virtuális hálózat a tartományvezérlő látóvonalával | Kötelező | Nem kötelező |
A bejelentkezéshez támogatott felhasználói identitástípus | Csak hibrid felhasználók | Hibrid vagy csak felhőalapú felhasználók |
Szabályzatkezelés | Csoportházirend-objektumok (GPO) vagy Intune MDM | Csak Intune MDM |
A Vállalati Windows Hello bejelentkezése támogatott | Igen, és a csatlakozó eszköznek a közvetlen hálózaton vagy VPN-en keresztül kell látnia a tartományvezérlőt | Igen |
Hitelesítés
Amikor egy felhasználó hozzáfér egy felhőbeli PC-hez, három különböző hitelesítési fázis van:
- Felhőszolgáltatás hitelesítése: A Windows 365 szolgáltatás hitelesítése, amely magában foglalja az erőforrásokra való feliratkozást és az átjáró hitelesítését, Microsoft Entra-azonosítóval történik.
- Távoli munkamenet hitelesítése: Hitelesítés a felhőbeli PC-ben. A távoli munkamenetben többféleképpen is hitelesítheti magát, beleértve az ajánlott egyszeri bejelentkezést (SSO).
- Munkameneten belüli hitelesítés: Hitelesítés a felhőbeli PC-ben található alkalmazásokhoz és webhelyekhez.
A különböző ügyfeleken az egyes hitelesítési fázisokhoz elérhető hitelesítő adatok listájához hasonlítsa össze az ügyfeleket a különböző platformokon.
Fontos
A hitelesítés megfelelő működéséhez a felhasználó helyi gépének is hozzá kell tudnia férni az Azure Virtual Desktophoz szükséges URL-címek listájánakTávoli asztali ügyfelek szakaszában található URL-címekhez.
A Windows 365 egyszeri bejelentkezést kínál (amely egyetlen hitelesítési kérésként van meghatározva, amely a Windows 365 szolgáltatáshitelesítését és a felhőalapú PC-hitelesítést is képes kielégíteni) a szolgáltatás részeként. További információ: Egyszeri bejelentkezés.
A következő szakaszok további információkat nyújtanak ezekről a hitelesítési fázisokról.
Felhőszolgáltatás-hitelesítés
A felhasználóknak hitelesíteni kell magukat a Windows 365 szolgáltatással, ha:
- Hozzáférnek windows365.microsoft.com.
- Megnyitja azt az URL-címet, amely közvetlenül a felhőbeli PC-jére van leképzve.
- Egy támogatott ügyfél használatával listázhatják a felhőbeli számítógépeiket.
A Windows 365 szolgáltatás eléréséhez a felhasználóknak először hitelesíteni kell magukat a szolgáltatásban egy Microsoft Entra ID-fiókkal való bejelentkezéssel.
Többtényezős hitelesítés
A Feltételes hozzáférési szabályzatok beállítása című cikkben található utasításokat követve megtudhatja, hogyan kényszerítheti ki a Microsoft Entra többtényezős hitelesítését a felhőalapú számítógépeken. Ez a cikk azt is bemutatja, hogyan konfigurálhatja, hogy a rendszer milyen gyakran kérje a felhasználóktól a hitelesítő adataik megadását.
Jelszó nélküli hitelesítés
A felhasználók bármilyen, a Microsoft Entra ID által támogatott hitelesítési típust használhatnak, például a Vállalati Windows Hellot és más jelszó nélküli hitelesítési lehetőségeket (például FIDO-kulcsokat) a szolgáltatásban való hitelesítéshez.
Intelligens kártyás hitelesítés
Ahhoz, hogy intelligens kártyát használjon a Microsoft Entra-azonosító hitelesítéséhez, először konfigurálnia kell a Microsoft Entra tanúsítványalapú hitelesítését , vagy konfigurálnia kell az AD FS-t a felhasználói tanúsítványok hitelesítéséhez.
Külső identitásszolgáltatók
Használhat külső identitásszolgáltatókat mindaddig, amíg összevonják őket a Microsoft Entra ID azonosítóval.
Távoli munkamenet-hitelesítés
Ha még nem engedélyezte az egyszeri bejelentkezést , és a felhasználók nem mentették helyileg a hitelesítő adataikat, akkor a kapcsolat indításakor a felhőbeli PC-n is hitelesíteniük kell magukat.
Egyszeri bejelentkezés
Az egyszeri bejelentkezés (SSO) lehetővé teszi, hogy a kapcsolat kihagyja a felhőalapú PC hitelesítőadat-kérését, és automatikusan bejelentkeztethesse a felhasználót a Windowsba Microsoft Entra-hitelesítéssel. A Microsoft Entra-hitelesítés egyéb előnyöket is nyújt, például a jelszó nélküli hitelesítést és a külső identitásszolgáltatók támogatását. Első lépésként tekintse át az egyszeri bejelentkezés konfigurálásának lépéseit.
Egyszeri bejelentkezés nélkül az ügyfél minden kapcsolathoz kéri a felhőbeli PC hitelesítő adatait. A rendszer csak úgy kerülheti el a kérést, ha menti a hitelesítő adatokat az ügyfélen. Azt javasoljuk, hogy csak biztonságos eszközökön mentse a hitelesítő adatokat, hogy más felhasználók ne férhessenek hozzá az erőforrásokhoz.
Munkameneten belüli hitelesítés
Miután csatlakozott a felhőalapú számítógéphez, előfordulhat, hogy a rendszer hitelesítést kér a munkameneten belül. Ez a szakasz ismerteti, hogyan használhat más hitelesítő adatokat, mint a felhasználónév és a jelszó ebben a forgatókönyvben.
Munkameneten belüli jelszó nélküli hitelesítés
A Windows 365 támogatja a munkameneten belüli jelszó nélküli hitelesítést a Vállalati Windows Hello szolgáltatással vagy olyan biztonsági eszközökkel, mint a FIDO-kulcsok a Windows asztali ügyfél használatakor. A jelszó nélküli hitelesítés automatikusan engedélyezve van, ha a felhőalapú PC és a helyi számítógép a következő operációs rendszereket használja:
- Windows 11 Enterprise a Windows 11 2022–10-es összegző frissítéseivel (KB5018418) vagy újabb verziójával.
- Windows 10 Enterprise, 20H2 vagy újabb verziók a Windows 10 2022–10 összegző frissítéseivel (KB5018410) vagy újabb verziójával.
Ha engedélyezve van, a rendszer a munkamenet összes WebAuthn-kérését átirányítja a helyi számítógépre. A Hitelesítés folyamatának befejezéséhez használhatja a Vállalati Windows Hello szolgáltatást vagy a helyileg csatlakoztatott biztonsági eszközöket.
Ahhoz, hogy a Vállalati Windows Hello vagy biztonsági eszközök segítségével hozzáférjen a Microsoft Entra-erőforrásokhoz, engedélyeznie kell a FIDO2 biztonsági kulcsot hitelesítési módszerként a felhasználók számára. A módszer engedélyezéséhez kövesse a FIDO2 biztonsági kulcs metódusának engedélyezése című cikk lépéseit.
Munkameneten belüli intelligenskártya-hitelesítés
Ha intelligens kártyát szeretne használni a munkamenetben, győződjön meg arról, hogy telepíti az intelligenskártya-illesztőprogramokat a felhőbeli PC-re, és engedélyezi az intelligens kártyák átirányítását a felhőalapú számítógépek RDP-eszközátirányításainak kezelése részeként. Tekintse át az ügyfél-összehasonlító diagramot , és győződjön meg arról, hogy az ügyfél támogatja az intelligens kártyák átirányítását.