Windows 365 l'identità e l'autenticazione

Articolo
11/18/2023

L'identità di un utente di Cloud PC definisce quali servizi di gestione degli accessi gestiscono l'utente e il PC cloud. Questa identità definisce:

Tipi di PC cloud a cui l'utente ha accesso.
Tipi di risorse pc non cloud a cui l'utente ha accesso.

Un dispositivo può anche avere un'identità determinata dal tipo di join per Microsoft Entra ID. Per un dispositivo, il tipo di join definisce:

Se il dispositivo richiede una linea di visualizzazione per un controller di dominio.
Modalità di gestione del dispositivo.
Modalità di autenticazione degli utenti nel dispositivo.

Tipi di identità

Esistono tre tipi di identità:

Identità ibrida: utenti o dispositivi creati in Windows Server Active Directory locali, quindi sincronizzati con Microsoft Entra ID.
Identità solo cloud: utenti o dispositivi creati ed esistenti solo nell'ID Microsoft Entra.
Identità esterna: gli utenti creati e gestiti all'esterno del tenant Microsoft Entra ma invitati nel tenant Microsoft Entra per accedere alle risorse dell'organizzazione.

Nota

Windows 365 non supporta le identità esterne.

Tipi di join del dispositivo

Quando si effettua il provisioning di un PC cloud, è possibile selezionare due tipi di join:

Microsoft Entra aggiunta ibrida: se si sceglie questo tipo di aggiunta, Windows 365 aggiunge il PC cloud al dominio Windows Server Active Directory specificato. Quindi, se l'organizzazione è configurata correttamente per Microsoft Entra join ibrido, il dispositivo viene sincronizzato con Microsoft Entra ID.
Microsoft Entra Partecipa: se si sceglie questo tipo di join, Windows 365 aggiunge direttamente il PC cloud all Microsoft Entra ID.

La tabella seguente illustra le funzionalità o i requisiti chiave in base al tipo di join selezionato:

Funzionalità o requisito	Aggiunta a Microsoft Entra ibrido	Aggiunta a Microsoft Entra
Abbonamento di Azure	Obbligatorio	Facoltativo
Rete virtuale di Azure con linea di visualizzazione per il controller di dominio	Obbligatorio	Facoltativo
Tipo di identità utente supportato per l'accesso	Solo utenti ibridi	Utenti ibridi o utenti solo cloud
Gestione dei criteri	oggetti Criteri di gruppo (GPO) o MDM di Intune	Solo MDM di Intune
Windows Hello for Business l'accesso supportato	Sì, e il dispositivo di connessione deve avere una linea di vista verso il controller di dominio tramite la rete diretta o una VPN	Sì

Autenticazione

Per accedere correttamente a un PC cloud, un utente deve eseguire l'autenticazione, a sua volta, con entrambi:

Servizio Windows 365.
The Cloud PC.

Windows 365 offre l'accesso Single Sign-On (definito come richiesta di autenticazione singola in grado di soddisfare sia l'autenticazione del servizio Windows 365 che l'autenticazione Cloud PC) come parte del servizio. Per altre informazioni, vedere Single Sign-On.

Importante

Affinché l'autenticazione funzioni correttamente, il computer locale dell'utente deve anche essere in grado di accedere agli URL nella sezione Client Desktop remoto dell'elenco degli URL necessari per Desktop virtuale Azure.

autenticazione del servizio Windows 365

Gli utenti devono eseguire l'autenticazione con il servizio Windows 365 quando:

Accedono windows365.microsoft.com.
Si spostano all'URL mappato direttamente al pc cloud.
Usano un client Desktop remoto per elencare i PC cloud.

Questa autenticazione attiva un ID Microsoft Entra, consentendo qualsiasi tipo di credenziale supportato sia dall'ID Microsoft Entra che dal sistema operativo.

Autenticazione senza password

È possibile usare qualsiasi tipo di autenticazione supportato da Microsoft Entra ID, ad esempio Windows Hello for Business e altre opzioni di autenticazione senza password (ad esempio, chiavi FIDO), per eseguire l'autenticazione al servizio.

Autenticazione con smart card

Per usare una smart card per eseguire l'autenticazione all'ID Microsoft Entra, è necessario innanzitutto configurare AD FS per l'autenticazione del certificato utente o configurare Microsoft Entra autenticazione basata su certificati.

Autenticazione di Cloud PC

Gli utenti devono eseguire l'autenticazione nel PC cloud quando:

Si spostano all'URL mappato direttamente al pc cloud.
Usano un client Desktop remoto per connettersi al PC cloud.

Questa richiesta di autenticazione viene elaborata dall'ID Microsoft Entra per Microsoft Entra PC cloud aggiunti e Active Directory locale per Microsoft Entra PC cloud aggiunti in modo ibrido.

Nota

Se un utente avvia l'URL del Web browser che esegue il mapping direttamente al PC cloud, rileva prima l'autenticazione del servizio Windows 365 e quindi verifica l'autenticazione del PC cloud.

Per l'autenticazione Cloud PC sono supportati i tipi di credenziali seguenti:

Client desktop Windows
- Single sign-on
- Nome utente e password
- Smartcard
- Windows Hello for Business attendibilità del certificato
- Windows Hello for Business l'attendibilità della chiave con i certificati
Nota

L'autenticazione con smart card e Windows Hello richiede che il client desktop di Windows sia in grado di eseguire l'autenticazione Kerberos se usato con Microsoft Entra PC cloud aggiunti all'ambiente ibrido. Ciò richiede che il client fisico abbia una linea di vista verso un controller di dominio.
Client di Windows Store
- Nome utente e password
Client Web
- Single sign-on
- Nome utente e password
Android
- Single sign-on
- Nome utente e password
iOS
- Single sign-on
- Nome utente e password
macOS
- Single sign-on
- Nome utente e password

Single Sign-On

L'accesso Single Sign-On (SSO) consente alla connessione di ignorare il prompt delle credenziali delle macchine virtuali di Cloud PC e di accedere automaticamente all'utente a Windows tramite l'autenticazione Microsoft Entra. Microsoft Entra l'autenticazione offre altri vantaggi, tra cui l'autenticazione senza password e il supporto per i provider di identità di terze parti. Per iniziare, esaminare i passaggi per configurare l'accesso Single Sign-On.

Senza SSO, il client richiede agli utenti le credenziali del PC cloud per ogni connessione. L'unico modo per evitare di essere richiesto è salvare le credenziali nel client. È consigliabile salvare le credenziali solo nei dispositivi sicuri per impedire ad altri utenti di accedere alle risorse.

Autenticazione in sessione

Dopo aver eseguito la connessione al PC cloud, potrebbe essere richiesta l'autenticazione all'interno della sessione. In questa sezione viene illustrato come usare credenziali diverse da nome utente e password in questo scenario.

Autenticazione senza password in sessione

Windows 365 supporta l'autenticazione senza password in sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO quando si usa il client Desktop Windows. L'autenticazione senza password viene abilitata automaticamente quando il PC cloud e il PC locale usano i sistemi operativi seguenti:

Windows 11 Enterprise con il Aggiornamenti cumulativo 2022-10 per Windows 11 (KB5018418) o versione successiva installato.
Windows 10 Enterprise, versioni 20H2 o successive con il Aggiornamenti cumulativo 2022-10 per Windows 10 (KB5018410) o versioni successive installate.

Se abilitata, tutte le richieste WebAuthn nella sessione vengono reindirizzate al PC locale. È possibile usare Windows Hello for Business o dispositivi di sicurezza collegati in locale per completare il processo di autenticazione.

Per accedere Microsoft Entra risorse con Windows Hello for Business o dispositivi di sicurezza, è necessario abilitare la chiave di sicurezza FIDO2 come metodo di autenticazione per gli utenti. Per abilitare questo metodo, seguire la procedura descritta in Abilitare il metodo della chiave di sicurezza FIDO2.

Autenticazione della smart card in sessione

Per usare una smart card nella sessione, assicurarsi di aver installato i driver di smart card nel PC cloud e di consentire il reindirizzamento delle smart card come parte della gestione dei reindirizzamenti dei dispositivi RDP per i PC cloud. Esaminare il grafico di confronto client per verificare che il client supporti il reindirizzamento delle smart card.

Passaggi successivi

Informazioni sul ciclo di vita di Cloud PC.