Windows 365-identiteit en -verificatie
De identiteit van een cloud-pc-gebruiker definieert welke services voor toegangsbeheer die gebruiker en cloud-pc beheren. Deze identiteit definieert:
- De typen cloud-pc's waar de gebruiker toegang toe heeft.
- De typen niet-cloud-pc-resources waar de gebruiker toegang toe heeft.
Een apparaat kan ook een identiteit hebben die wordt bepaald door het type join aan Microsoft Entra ID. Voor een apparaat definieert het jointype:
- Als het apparaat een gezichtslijn naar een domeincontroller vereist.
- Hoe het apparaat wordt beheerd.
- Hoe gebruikers zich verifiëren bij het apparaat.
Identiteitstypen
Er zijn vier identiteitstypen:
- Hybride identiteit: gebruikers of apparaten die zijn gemaakt in on-premises Active Directory Domain Services en vervolgens worden gesynchroniseerd met Microsoft Entra ID.
- Cloudidentiteit: gebruikers of apparaten die zijn gemaakt en alleen bestaan in Microsoft Entra ID.
- Federatieve identiteit: gebruikers die zijn gemaakt in een externe id-provider, met andere gebruikers dan Microsoft Entra ID of Active Directory Domain Services, die vervolgens worden gefedereerd met Microsoft Entra ID.
- Externe identiteit: gebruikers die buiten uw Microsoft Entra-tenant worden gemaakt en beheerd, maar die worden uitgenodigd voor uw Microsoft Entra-tenant om toegang te krijgen tot de resources van uw organisatie.
Opmerking
- Windows 365 ondersteunt federatieve identiteiten wanneer eenmalige aanmelding is ingeschakeld.
- Windows 365 biedt geen ondersteuning voor externe identiteiten.
Typen apparaatdeelname
Er zijn twee jointypen waaruit u kunt kiezen bij het inrichten van een cloud-pc:
- Microsoft Entra Hybrid Join: als u dit jointype kiest, wordt uw cloud-pc toegevoegd aan het Windows Server Active Directory-domein dat u opgeeft. Als uw organisatie vervolgens correct is geconfigureerd voor Microsoft Entra Hybrid Join, wordt het apparaat gesynchroniseerd met Microsoft Entra ID.
- Microsoft Entra Join: als u dit jointype kiest, wordt uw cloud-pc rechtstreeks gekoppeld aan Microsoft Entra ID in Windows 365.
In de volgende tabel ziet u de belangrijkste mogelijkheden of vereisten op basis van het geselecteerde jointype:
| Mogelijkheid of vereiste | Microsoft Entra Hybrid Join | Microsoft Entra-deelname |
|---|---|---|
| Azure-abonnement | Vereist | Optioneel |
| Virtueel Azure-netwerk met zichtlijn naar de domeincontroller | Vereist | Optioneel |
| Gebruikersidentiteitstype ondersteund voor aanmelding | Alleen hybride gebruikers | Hybride gebruikers of cloudgebruikers |
| Beleidsbeheer | Groepsbeleidsobjecten (GPO) of Intune MDM | Alleen Intune MDM |
| Aanmelding met Windows Hello voor Bedrijven ondersteund | Ja, en het verbindingsapparaat moet zicht hebben op de domeincontroller via het directe netwerk of een VPN | Ja |
Verificatie
Wanneer een gebruiker toegang heeft tot een cloud-pc, zijn er drie afzonderlijke verificatiefasen:
- Cloudserviceverificatie: Verificatie bij de Windows 365-service, waaronder het abonneren op resources en verificatie bij de gateway, is met Microsoft Entra ID.
- Externe sessieverificatie: verificatie bij de cloud-pc. Er zijn meerdere manieren om te verifiëren bij de externe sessie, waaronder de aanbevolen eenmalige aanmelding (SSO).
- Verificatie in sessie: verificatie bij toepassingen en websites in de cloud-pc.
Voor de lijst met referenties die beschikbaar zijn op de verschillende clients voor elk van de verificatiefase, vergelijkt u de clients op verschillende platforms.
Belangrijk
Verificatie werkt alleen goed als de lokale computer van de gebruiker ook toegang heeft tot de URL's in de sectie Extern bureaublad-clients van de lijst met vereiste URL's van Azure Virtual Desktop.
Windows 365 biedt eenmalige aanmelding (gedefinieerd als één verificatieprompt die kan voldoen aan zowel de Windows 365-serviceverificatie als cloud-pc-verificatie) als onderdeel van de service. Zie Eenmalige aanmelding voor meer informatie.
De volgende secties bevatten meer informatie over deze verificatiefasen.
Cloudserviceverificatie
Gebruikers moeten zich verifiëren bij de Windows 365-service wanneer:
- Ze hebben toegang tot windows365.microsoft.com.
- Ze navigeren naar de URL die rechtstreeks aan hun cloud-pc wordt toegewezen.
- Ze gebruiken een ondersteunde client om hun cloud-pc's weer te geven.
Voor toegang tot de Windows 365-service moeten gebruikers zich eerst verifiëren bij de service door zich aan te melden met een Microsoft Entra ID-account.
Meervoudige verificatie
Volg de instructies in Beleid voor voorwaardelijke toegang instellen voor meer informatie over het afdwingen van Meervoudige verificatie van Microsoft Entra voor uw cloud-pc's. In dit artikel wordt ook uitgelegd hoe u kunt configureren hoe vaak uw gebruikers worden gevraagd hun referenties in te voeren.
Verificatie zonder wachtwoord
Gebruikers kunnen elk verificatietype gebruiken dat wordt ondersteund door Microsoft Entra ID, zoals Windows Hello voor Bedrijven en andere verificatieopties zonder wachtwoord (bijvoorbeeld FIDO-sleutels), om zich bij de service te verifiëren.
Smartcardverificatie
Als u een smartcard wilt gebruiken om te verifiëren bij Microsoft Entra ID, moet u eerst Verificatie op basis van Microsoft Entra-certificaten configureren of AD FS configureren voor verificatie van gebruikerscertificaten.
Id-providers van derden
U kunt externe id-providers gebruiken zolang ze federatief zijn met Microsoft Entra ID.
Externe sessieverificatie
Als u eenmalige aanmelding nog niet hebt ingeschakeld en gebruikers hun referenties nog niet lokaal hebben opgeslagen, moeten ze zich ook verifiëren bij de cloud-pc bij het starten van een verbinding.
Eenmalige aanmelding (SSO)
Met eenmalige aanmelding (SSO) kan de verbinding de cloud-pc-referentieprompt overslaan en de gebruiker automatisch aanmelden bij Windows via Microsoft Entra-verificatie. Microsoft Entra-verificatie biedt andere voordelen, waaronder verificatie zonder wachtwoord en ondersteuning voor id-providers van derden. Bekijk de stappen voor het configureren van eenmalige aanmelding om aan de slag te gaan.
Zonder eenmalige aanmelding vraagt de client gebruikers om hun cloud-pc-referenties voor elke verbinding. De enige manier om te voorkomen dat u wordt gevraagd, is door de referenties op te slaan in de client. U wordt aangeraden alleen referenties op te slaan op beveiligde apparaten om te voorkomen dat andere gebruikers toegang hebben tot uw resources.
Verificatie in sessie
Nadat u verbinding hebt gemaakt met uw cloud-pc, wordt u mogelijk gevraagd om verificatie binnen de sessie. In deze sectie wordt uitgelegd hoe u in dit scenario andere referenties dan gebruikersnaam en wachtwoord gebruikt.
Verificatie zonder wachtwoord in sessie
Windows 365 ondersteunt verificatie zonder wachtwoord in de sessie met Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels bij gebruik van de Windows Desktop-client. Verificatie zonder wachtwoord wordt automatisch ingeschakeld wanneer de cloud-pc en lokale pc de volgende besturingssystemen gebruiken:
- Windows 11 Enterprise met de cumulatieve updates van 2022-10 voor Windows 11 (KB5018418) of hoger geïnstalleerd.
- Windows 10 Enterprise, versie 20H2 of hoger met de cumulatieve updates van 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.
Wanneer deze optie is ingeschakeld, worden alle WebAuthn-aanvragen in de sessie omgeleid naar de lokale pc. U kunt Windows Hello voor Bedrijven of lokaal gekoppelde beveiligingsapparaten gebruiken om het verificatieproces te voltooien.
Als u toegang wilt krijgen tot Microsoft Entra-resources met Windows Hello voor Bedrijven of beveiligingsapparaten, moet u de FIDO2-beveiligingssleutel inschakelen als verificatiemethode voor uw gebruikers. Volg de stappen in FIDO2-beveiligingssleutelmethode inschakelen om deze methode in te schakelen.
Smartcardverificatie in sessie
Als u een smartcard in uw sessie wilt gebruiken, moet u de stuurprogramma's voor smartcards installeren op de cloud-pc en smartcardomleiding toestaan als onderdeel van het beheren van RDP-apparaatomleidingen voor cloud-pc's. Bekijk het clientvergelijkingsdiagram om te controleren of uw client smartcardomleiding ondersteunt.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor