Condividi tramite


Windows 365 l'identità e l'autenticazione

L'identità di un utente di Cloud PC definisce quali servizi di gestione degli accessi gestiscono l'utente e il PC cloud. Questa identità definisce:

  • Tipi di PC cloud a cui l'utente ha accesso.
  • Tipi di risorse pc non cloud a cui l'utente ha accesso.

Un dispositivo può anche avere un'identità determinata dal tipo di join per Microsoft Entra ID. Per un dispositivo, il tipo di join definisce:

  • Se il dispositivo richiede una linea di visualizzazione per un controller di dominio.
  • Modalità di gestione del dispositivo.
  • Modalità di autenticazione degli utenti nel dispositivo.

Tipi di identità

Esistono tre tipi di identità:

  • Identità ibrida: utenti o dispositivi creati in Windows Server Active Directory locali, quindi sincronizzati con Microsoft Entra ID.
  • Identità solo cloud: utenti o dispositivi creati ed esistenti solo nell'ID Microsoft Entra.
  • Identità esterna: gli utenti creati e gestiti all'esterno del tenant Microsoft Entra ma invitati nel tenant Microsoft Entra per accedere alle risorse dell'organizzazione.

Nota

Windows 365 non supporta le identità esterne.

Tipi di join del dispositivo

Quando si effettua il provisioning di un PC cloud, è possibile selezionare due tipi di join:

La tabella seguente illustra le funzionalità o i requisiti chiave in base al tipo di join selezionato:

Funzionalità o requisito Aggiunta a Microsoft Entra ibrido Aggiunta a Microsoft Entra
Abbonamento di Azure Obbligatorio Facoltativo
Rete virtuale di Azure con linea di visualizzazione per il controller di dominio Obbligatorio Facoltativo
Tipo di identità utente supportato per l'accesso Solo utenti ibridi Utenti ibridi o utenti solo cloud
Gestione dei criteri oggetti Criteri di gruppo (GPO) o MDM di Intune Solo MDM di Intune
Windows Hello for Business l'accesso supportato Sì, e il dispositivo di connessione deve avere una linea di vista verso il controller di dominio tramite la rete diretta o una VPN

Autenticazione

Per accedere correttamente a un PC cloud, un utente deve eseguire l'autenticazione, a sua volta, con entrambi:

  • Servizio Windows 365.
  • The Cloud PC.

Windows 365 offre l'accesso Single Sign-On (definito come richiesta di autenticazione singola in grado di soddisfare sia l'autenticazione del servizio Windows 365 che l'autenticazione Cloud PC) come parte del servizio. Per altre informazioni, vedere Single Sign-On.

Importante

Affinché l'autenticazione funzioni correttamente, il computer locale dell'utente deve anche essere in grado di accedere agli URL nella sezione Client Desktop remotodell'elenco degli URL necessari per Desktop virtuale Azure.

autenticazione del servizio Windows 365

Gli utenti devono eseguire l'autenticazione con il servizio Windows 365 quando:

Questa autenticazione attiva un ID Microsoft Entra, consentendo qualsiasi tipo di credenziale supportato sia dall'ID Microsoft Entra che dal sistema operativo.

Autenticazione senza password

È possibile usare qualsiasi tipo di autenticazione supportato da Microsoft Entra ID, ad esempio Windows Hello for Business e altre opzioni di autenticazione senza password (ad esempio, chiavi FIDO), per eseguire l'autenticazione al servizio.

Autenticazione con smart card

Per usare una smart card per eseguire l'autenticazione all'ID Microsoft Entra, è necessario innanzitutto configurare AD FS per l'autenticazione del certificato utente o configurare Microsoft Entra autenticazione basata su certificati.

Autenticazione di Cloud PC

Gli utenti devono eseguire l'autenticazione nel PC cloud quando:

  • Si spostano all'URL mappato direttamente al pc cloud.
  • Usano un client Desktop remoto per connettersi al PC cloud.

Questa richiesta di autenticazione viene elaborata dall'ID Microsoft Entra per Microsoft Entra PC cloud aggiunti e Active Directory locale per Microsoft Entra PC cloud aggiunti in modo ibrido.

Nota

Se un utente avvia l'URL del Web browser che esegue il mapping direttamente al PC cloud, rileva prima l'autenticazione del servizio Windows 365 e quindi verifica l'autenticazione del PC cloud.

Per l'autenticazione Cloud PC sono supportati i tipi di credenziali seguenti:

Single Sign-On

L'accesso Single Sign-On (SSO) consente alla connessione di ignorare il prompt delle credenziali delle macchine virtuali di Cloud PC e di accedere automaticamente all'utente a Windows tramite l'autenticazione Microsoft Entra. Microsoft Entra l'autenticazione offre altri vantaggi, tra cui l'autenticazione senza password e il supporto per i provider di identità di terze parti. Per iniziare, esaminare i passaggi per configurare l'accesso Single Sign-On.

Senza SSO, il client richiede agli utenti le credenziali del PC cloud per ogni connessione. L'unico modo per evitare di essere richiesto è salvare le credenziali nel client. È consigliabile salvare le credenziali solo nei dispositivi sicuri per impedire ad altri utenti di accedere alle risorse.

Autenticazione in sessione

Dopo aver eseguito la connessione al PC cloud, potrebbe essere richiesta l'autenticazione all'interno della sessione. In questa sezione viene illustrato come usare credenziali diverse da nome utente e password in questo scenario.

Autenticazione senza password in sessione

Windows 365 supporta l'autenticazione senza password in sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO quando si usa il client Desktop Windows. L'autenticazione senza password viene abilitata automaticamente quando il PC cloud e il PC locale usano i sistemi operativi seguenti:

Se abilitata, tutte le richieste WebAuthn nella sessione vengono reindirizzate al PC locale. È possibile usare Windows Hello for Business o dispositivi di sicurezza collegati in locale per completare il processo di autenticazione.

Per accedere Microsoft Entra risorse con Windows Hello for Business o dispositivi di sicurezza, è necessario abilitare la chiave di sicurezza FIDO2 come metodo di autenticazione per gli utenti. Per abilitare questo metodo, seguire la procedura descritta in Abilitare il metodo della chiave di sicurezza FIDO2.

Autenticazione della smart card in sessione

Per usare una smart card nella sessione, assicurarsi di aver installato i driver di smart card nel PC cloud e di consentire il reindirizzamento delle smart card come parte della gestione dei reindirizzamenti dei dispositivi RDP per i PC cloud. Esaminare il grafico di confronto client per verificare che il client supporti il reindirizzamento delle smart card.

Passaggi successivi

Informazioni sul ciclo di vita di Cloud PC.