Identità e autenticazione di Windows 365
L'identità di un utente di Cloud PC definisce quali servizi di gestione degli accessi gestiscono l'utente e il PC cloud. Questa identità definisce:
- Tipi di PC cloud a cui l'utente ha accesso.
- Tipi di risorse pc non cloud a cui l'utente ha accesso.
Un dispositivo può anche avere un'identità determinata dal tipo di join a Microsoft Entra ID. Per un dispositivo, il tipo di join definisce:
- Se il dispositivo richiede una linea di visualizzazione per un controller di dominio.
- Modalità di gestione del dispositivo.
- Modalità di autenticazione degli utenti nel dispositivo.
Tipi di identità
Esistono quattro tipi di identità:
- Identità ibrida: utenti o dispositivi creati in Servizi di dominio Active Directory locali, quindi sincronizzati con l'ID Microsoft Entra.
- Identità solo cloud: utenti o dispositivi creati ed esistenti solo in Microsoft Entra ID.
- Identità federata: gli utenti creati in un provider di identità di terze parti, altro ID Microsoft Entra o Servizi di dominio Active Directory, quindi federati con l'ID Microsoft Entra.
- Identità esterna: utenti creati e gestiti all'esterno del tenant di Microsoft Entra, ma invitati nel tenant di Microsoft Entra per accedere alle risorse dell'organizzazione.
Nota
- Windows 365 supporta le identità federate quando è abilitato l'accesso Single Sign-On .
- Windows 365 non supporta le identità esterne.
Tipi di join del dispositivo
Quando si effettua il provisioning di un PC cloud, è possibile selezionare due tipi di join:
- Aggiunta ibrida a Microsoft Entra: se si sceglie questo tipo di aggiunta, Windows 365 aggiunge il PC cloud al dominio Active Directory di Windows Server specificato. Quindi, se l'organizzazione è configurata correttamente per l'aggiunta ibrida di Microsoft Entra, il dispositivo viene sincronizzato con l'ID Microsoft Entra.
- Microsoft Entra Join: se scegli questo tipo di join, Windows 365 aggiunge il tuo PC cloud direttamente a Microsoft Entra ID.
La tabella seguente illustra le funzionalità o i requisiti chiave in base al tipo di join selezionato:
| Funzionalità o requisito | Aggiunta a Microsoft Entra ibrido | Aggiunta a Microsoft Entra |
|---|---|---|
| Abbonamento di Azure | Obbligatorio | Facoltativo |
| Rete virtuale di Azure con linea di visualizzazione per il controller di dominio | Obbligatorio | Facoltativo |
| Tipo di identità utente supportato per l'accesso | Solo utenti ibridi | Utenti ibridi o utenti solo cloud |
| Gestione dei criteri | Oggetti Criteri di gruppo o MDM di Intune | Solo MDM di Intune |
| Accesso a Windows Hello for Business supportato | Sì, e il dispositivo di connessione deve avere una linea di vista verso il controller di dominio tramite la rete diretta o una VPN | Sì |
Autenticazione
Quando un utente accede a un PC cloud, esistono tre fasi di autenticazione separate:
- Autenticazione del servizio cloud: l'autenticazione al servizio Windows 365, che include la sottoscrizione alle risorse e l'autenticazione al gateway, è con l'ID Microsoft Entra.
- Autenticazione della sessione remota: autenticazione al PC cloud. Esistono diversi modi per eseguire l'autenticazione alla sessione remota, tra cui l'accesso Single Sign-On (SSO) consigliato.
- Autenticazione in sessione: autenticazione ad applicazioni e siti Web all'interno del CLOUD PC.
Per l'elenco delle credenziali disponibili nei diversi client per ogni fase di autenticazione, confrontare i client tra piattaforme.
Importante
Affinché l'autenticazione funzioni correttamente, il computer locale dell'utente deve anche essere in grado di accedere agli URL nella sezione Client Desktop remotodell'elenco degli URL necessari per Desktop virtuale Azure.
Windows 365 offre l'accesso Single Sign-On (definito come un singolo prompt di autenticazione in grado di soddisfare sia l'autenticazione del servizio Windows 365 che l'autenticazione cloud PC) come parte del servizio. Per altre informazioni, vedere Single Sign-On.
Le sezioni seguenti forniscono altre informazioni su queste fasi di autenticazione.
Autenticazione del servizio cloud
Gli utenti devono eseguire l'autenticazione con il servizio Windows 365 quando:
- Accedono windows365.microsoft.com.
- Si spostano all'URL mappato direttamente al pc cloud.
- Usano un client supportato per elencare i PC cloud.
Per accedere al servizio Windows 365, gli utenti devono prima eseguire l'autenticazione al servizio effettuando l'accesso con un account ID Microsoft Entra.
Autenticazione a più fattori
Seguire le istruzioni in Impostare i criteri di accesso condizionale per informazioni su come applicare l'autenticazione a più fattori di Microsoft Entra per i PC cloud. Questo articolo illustra anche come configurare la frequenza con cui agli utenti viene richiesto di immettere le credenziali.
Autenticazione senza password
Gli utenti possono usare qualsiasi tipo di autenticazione supportato da Microsoft Entra ID, ad esempio Windows Hello for Business e altre opzioni di autenticazione senza password (ad esempio, chiavi FIDO), per eseguire l'autenticazione al servizio.
Autenticazione con smart card
Per usare una smart card per l'autenticazione a Microsoft Entra ID, è necessario innanzitutto configurare l'autenticazione basata su certificati Microsoft Entra o AD FS per l'autenticazione del certificato utente.
Provider di identità di terze parti
È possibile usare provider di identità di terze parti purché si federazioneno con l'ID Microsoft Entra.
Autenticazione della sessione remota
Se non è già stato abilitato l'accesso Single Sign-On e gli utenti non hanno salvato le credenziali in locale, devono anche eseguire l'autenticazione nel CLOUD PC all'avvio di una connessione.
Single Sign-On
Single Sign-On (SSO) consente alla connessione di ignorare il prompt delle credenziali di Cloud PC e di accedere automaticamente all'utente a Windows tramite l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra offre altri vantaggi, tra cui l'autenticazione senza password e il supporto per i provider di identità di terze parti. Per iniziare, esaminare i passaggi per configurare l'accesso Single Sign-On.
Senza SSO, il client richiede agli utenti le credenziali del PC cloud per ogni connessione. L'unico modo per evitare di essere richiesto è salvare le credenziali nel client. È consigliabile salvare le credenziali solo nei dispositivi sicuri per impedire ad altri utenti di accedere alle risorse.
Autenticazione in sessione
Dopo la connessione al PC cloud, potrebbe essere richiesta l'autenticazione all'interno della sessione. In questa sezione viene illustrato come usare credenziali diverse da nome utente e password in questo scenario.
Autenticazione senza password in sessione
Windows 365 supporta l'autenticazione senza password in sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO quando si usa il client Desktop di Windows. L'autenticazione senza password viene abilitata automaticamente quando il PC cloud e il PC locale usano i sistemi operativi seguenti:
- Windows 11 Enterprise con gli aggiornamenti cumulativi 2022-10 per Windows 11 (KB5018418) o versioni successive installati.
- Windows 10 Enterprise, versioni 20H2 o successive con gli aggiornamenti cumulativi 2022-10 per Windows 10 (KB5018410) o versioni successive installati.
Se abilitata, tutte le richieste WebAuthn nella sessione vengono reindirizzate al PC locale. È possibile usare Windows Hello for Business o i dispositivi di sicurezza collegati in locale per completare il processo di autenticazione.
Per accedere alle risorse di Microsoft Entra con Windows Hello for Business o dispositivi di sicurezza, è necessario abilitare la chiave di sicurezza FIDO2 come metodo di autenticazione per gli utenti. Per abilitare questo metodo, seguire la procedura descritta in Abilitare il metodo della chiave di sicurezza FIDO2.
Autenticazione della smart card in sessione
Per usare una smart card nella sessione, assicurarsi di installare i driver delle smart card nel PC cloud e di consentire il reindirizzamento delle smart card come parte della gestione dei reindirizzamenti dei dispositivi RDP per i PC cloud. Esaminare il grafico di confronto client per verificare che il client supporti il reindirizzamento delle smart card.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per