Windows 365 l'identità e l'autenticazione
L'identità di un utente di Cloud PC definisce quali servizi di gestione degli accessi gestiscono l'utente e il PC cloud. Questa identità definisce:
- Tipi di PC cloud a cui l'utente ha accesso.
- Tipi di risorse pc non cloud a cui l'utente ha accesso.
Un dispositivo può anche avere un'identità determinata dal tipo di join per Microsoft Entra ID. Per un dispositivo, il tipo di join definisce:
- Se il dispositivo richiede una linea di visualizzazione per un controller di dominio.
- Modalità di gestione del dispositivo.
- Modalità di autenticazione degli utenti nel dispositivo.
Tipi di identità
Esistono tre tipi di identità:
- Identità ibrida: utenti o dispositivi creati in Windows Server Active Directory locali, quindi sincronizzati con Microsoft Entra ID.
- Identità solo cloud: utenti o dispositivi creati ed esistenti solo nell'ID Microsoft Entra.
- Identità esterna: gli utenti creati e gestiti all'esterno del tenant Microsoft Entra ma invitati nel tenant Microsoft Entra per accedere alle risorse dell'organizzazione.
Nota
Windows 365 non supporta le identità esterne.
Tipi di join del dispositivo
Quando si effettua il provisioning di un PC cloud, è possibile selezionare due tipi di join:
- Microsoft Entra aggiunta ibrida: se si sceglie questo tipo di aggiunta, Windows 365 aggiunge il PC cloud al dominio Windows Server Active Directory specificato. Quindi, se l'organizzazione è configurata correttamente per Microsoft Entra join ibrido, il dispositivo viene sincronizzato con Microsoft Entra ID.
- Microsoft Entra Partecipa: se si sceglie questo tipo di join, Windows 365 aggiunge direttamente il PC cloud all Microsoft Entra ID.
La tabella seguente illustra le funzionalità o i requisiti chiave in base al tipo di join selezionato:
Funzionalità o requisito | Aggiunta a Microsoft Entra ibrido | Aggiunta a Microsoft Entra |
---|---|---|
Abbonamento di Azure | Obbligatorio | Facoltativo |
Rete virtuale di Azure con linea di visualizzazione per il controller di dominio | Obbligatorio | Facoltativo |
Tipo di identità utente supportato per l'accesso | Solo utenti ibridi | Utenti ibridi o utenti solo cloud |
Gestione dei criteri | oggetti Criteri di gruppo (GPO) o MDM di Intune | Solo MDM di Intune |
Windows Hello for Business l'accesso supportato | Sì, e il dispositivo di connessione deve avere una linea di vista verso il controller di dominio tramite la rete diretta o una VPN | Sì |
Autenticazione
Per accedere correttamente a un PC cloud, un utente deve eseguire l'autenticazione, a sua volta, con entrambi:
- Servizio Windows 365.
- The Cloud PC.
Windows 365 offre l'accesso Single Sign-On (definito come richiesta di autenticazione singola in grado di soddisfare sia l'autenticazione del servizio Windows 365 che l'autenticazione Cloud PC) come parte del servizio. Per altre informazioni, vedere Single Sign-On.
Importante
Affinché l'autenticazione funzioni correttamente, il computer locale dell'utente deve anche essere in grado di accedere agli URL nella sezione Client Desktop remotodell'elenco degli URL necessari per Desktop virtuale Azure.
autenticazione del servizio Windows 365
Gli utenti devono eseguire l'autenticazione con il servizio Windows 365 quando:
- Accedono windows365.microsoft.com.
- Si spostano all'URL mappato direttamente al pc cloud.
- Usano un client Desktop remoto per elencare i PC cloud.
Questa autenticazione attiva un ID Microsoft Entra, consentendo qualsiasi tipo di credenziale supportato sia dall'ID Microsoft Entra che dal sistema operativo.
Autenticazione senza password
È possibile usare qualsiasi tipo di autenticazione supportato da Microsoft Entra ID, ad esempio Windows Hello for Business e altre opzioni di autenticazione senza password (ad esempio, chiavi FIDO), per eseguire l'autenticazione al servizio.
Autenticazione con smart card
Per usare una smart card per eseguire l'autenticazione all'ID Microsoft Entra, è necessario innanzitutto configurare AD FS per l'autenticazione del certificato utente o configurare Microsoft Entra autenticazione basata su certificati.
Autenticazione di Cloud PC
Gli utenti devono eseguire l'autenticazione nel PC cloud quando:
- Si spostano all'URL mappato direttamente al pc cloud.
- Usano un client Desktop remoto per connettersi al PC cloud.
Questa richiesta di autenticazione viene elaborata dall'ID Microsoft Entra per Microsoft Entra PC cloud aggiunti e Active Directory locale per Microsoft Entra PC cloud aggiunti in modo ibrido.
Nota
Se un utente avvia l'URL del Web browser che esegue il mapping direttamente al PC cloud, rileva prima l'autenticazione del servizio Windows 365 e quindi verifica l'autenticazione del PC cloud.
Per l'autenticazione Cloud PC sono supportati i tipi di credenziali seguenti:
- Client desktop Windows
- Single sign-on
- Nome utente e password
- Smartcard
- Windows Hello for Business attendibilità del certificato
- Windows Hello for Business l'attendibilità della chiave con i certificati
Nota
L'autenticazione con smart card e Windows Hello richiede che il client desktop di Windows sia in grado di eseguire l'autenticazione Kerberos se usato con Microsoft Entra PC cloud aggiunti all'ambiente ibrido. Ciò richiede che il client fisico abbia una linea di vista verso un controller di dominio.
- Client di Windows Store
- Nome utente e password
- Client Web
- Single sign-on
- Nome utente e password
- Android
- Single sign-on
- Nome utente e password
- iOS
- Single sign-on
- Nome utente e password
- macOS
- Single sign-on
- Nome utente e password
Single Sign-On
L'accesso Single Sign-On (SSO) consente alla connessione di ignorare il prompt delle credenziali delle macchine virtuali di Cloud PC e di accedere automaticamente all'utente a Windows tramite l'autenticazione Microsoft Entra. Microsoft Entra l'autenticazione offre altri vantaggi, tra cui l'autenticazione senza password e il supporto per i provider di identità di terze parti. Per iniziare, esaminare i passaggi per configurare l'accesso Single Sign-On.
Senza SSO, il client richiede agli utenti le credenziali del PC cloud per ogni connessione. L'unico modo per evitare di essere richiesto è salvare le credenziali nel client. È consigliabile salvare le credenziali solo nei dispositivi sicuri per impedire ad altri utenti di accedere alle risorse.
Autenticazione in sessione
Dopo aver eseguito la connessione al PC cloud, potrebbe essere richiesta l'autenticazione all'interno della sessione. In questa sezione viene illustrato come usare credenziali diverse da nome utente e password in questo scenario.
Autenticazione senza password in sessione
Windows 365 supporta l'autenticazione senza password in sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO quando si usa il client Desktop Windows. L'autenticazione senza password viene abilitata automaticamente quando il PC cloud e il PC locale usano i sistemi operativi seguenti:
- Windows 11 Enterprise con il Aggiornamenti cumulativo 2022-10 per Windows 11 (KB5018418) o versione successiva installato.
- Windows 10 Enterprise, versioni 20H2 o successive con il Aggiornamenti cumulativo 2022-10 per Windows 10 (KB5018410) o versioni successive installate.
Se abilitata, tutte le richieste WebAuthn nella sessione vengono reindirizzate al PC locale. È possibile usare Windows Hello for Business o dispositivi di sicurezza collegati in locale per completare il processo di autenticazione.
Per accedere Microsoft Entra risorse con Windows Hello for Business o dispositivi di sicurezza, è necessario abilitare la chiave di sicurezza FIDO2 come metodo di autenticazione per gli utenti. Per abilitare questo metodo, seguire la procedura descritta in Abilitare il metodo della chiave di sicurezza FIDO2.
Autenticazione della smart card in sessione
Per usare una smart card nella sessione, assicurarsi di aver installato i driver di smart card nel PC cloud e di consentire il reindirizzamento delle smart card come parte della gestione dei reindirizzamenti dei dispositivi RDP per i PC cloud. Esaminare il grafico di confronto client per verificare che il client supporti il reindirizzamento delle smart card.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per