Identidade e autenticação do Windows 365
A identidade de um usuário do PC na nuvem define quais serviços de gerenciamento de acesso gerenciam esse usuário e o PC na nuvem. Essa identidade define:
- Os tipos de PCs na Nuvem aos quais o usuário tem acesso.
- Os tipos de recursos de PC que não estão na nuvem aos quais o usuário tem acesso.
Um dispositivo também pode ter uma identidade determinada por seu tipo de junção para Microsoft Entra ID. Para um dispositivo, o tipo de ingresso define:
- Se o dispositivo exige linha de visão para um controlador de domínio.
- Como o dispositivo é gerenciado.
- Como os usuários se autenticam no dispositivo.
Tipos de identidade
Existem três tipos de identidade:
- Identidade híbrida: usuários ou dispositivos criados em Windows Server Active Directory locais e sincronizados com Microsoft Entra ID.
- Identidade somente na nuvem: usuários ou dispositivos que são criados e só existem em Microsoft Entra ID.
- Identidade externa: os usuários que são criados e gerenciados fora de seu locatário Microsoft Entra, mas são convidados a entrar em seu locatário Microsoft Entra para acessar os recursos da sua organização.
Observação
O Windows 365 não oferece suporte a identidades externas.
Tipos de ingresso do dispositivo
Há dois tipos de ingresso que você pode selecionar ao provisionar um PC na nuvem:
- Microsoft Entra Junção Híbrida: se você escolher esse tipo de junção, Windows 365 ingressa no computador de nuvem ao domínio Windows Server Active Directory fornecido. Em seguida, se sua organização estiver configurada corretamente para Microsoft Entra junção híbrida, o dispositivo será sincronizado para Microsoft Entra ID.
- Microsoft Entra Ingressar: se você escolher esse tipo de junção, Windows 365 ingressa diretamente no computador na nuvem para Microsoft Entra ID.
A tabela a seguir mostra os principais recursos ou requisitos com base no tipo de junção selecionado:
Capacidade ou requisito | Ingresso Microsoft Entra hibrído | Microsoft Entra ingressar |
---|---|---|
Assinatura do Azure | Obrigatório | Opcional |
Rede virtual do Azure com linha de visão para o controlador de domínio | Obrigatório | Opcional |
Tipo de identidade do usuário suportado para logon | Somente usuários híbridos | Usuários híbridos ou usuários somente na nuvem |
Gerenciamento de políticas | Objetos de Política de Grupo (GPO) ou MDM do Intune | Somente MDM do Intune |
Entrada suportada no Windows Hello para Empresas | Sim, e o dispositivo de conexão deve ter linha de visão para o controlador de domínio por meio da rede direta ou de uma VPN | Sim |
Autenticação
Para acessar um PC na nuvem com êxito, um usuário deve se autenticar com ambos:
- O serviço do Windows 365.
- O PC na nuvem.
Windows 365 oferece logon único (definido como um único prompt de autenticação que pode satisfazer a autenticação do serviço Windows 365 e a autenticação do Cloud PC) como parte do serviço. Para obter mais informações, confira logon único.
Importante
Para que a autenticação funcione corretamente, o computador local do usuário também ter acesso às URLs na seção clientes da Área de Trabalho Remota da lista de URLs necessárias da Área de Trabalho Virtual do Azure.
Autenticação de serviço do Windows 365
Os usuários devem se autenticar com o serviço do Windows 365 quando:
- Acessam windows365.microsoft.com.
- Navegam até a URL que mapeia diretamente ao PC na nuvem.
- Eles utilizam um Cliente de Área de Trabalho Remota para listar seus PCs na nuvem.
Essa autenticação dispara uma ID Microsoft Entra, permitindo qualquer tipo de credencial compatível com Microsoft Entra ID e seu sistema operacional.
Autenticação sem senha
Você pode usar qualquer tipo de autenticação com suporte por Microsoft Entra ID, como Windows Hello para Empresas e outras opções de autenticação sem senha (por exemplo, chaves FIDO), para autenticar o serviço.
Autenticação de cartão inteligente
Para usar uma cartão inteligente para autenticar para Microsoft Entra ID, primeiro você deve configurar o AD FS para autenticação de certificado de usuário ou configurar Microsoft Entra autenticação baseada em certificado.
Autenticação do PC na nuvem
Os usuários devem se autenticar no PC na nuvem quando:
- Navegam até a URL que mapeia diretamente ao PC na nuvem.
- Usam um cliente da Área de Trabalho Remota para se conectar ao PC na nuvem.
Essa solicitação de autenticação é processada por Microsoft Entra ID para Microsoft Entra PCs de Nuvem ingressados e Active Directory local para Microsoft Entra PCs de Nuvem ingressados híbridos.
Observação
Se um usuário iniciar a URL do navegador que mapeia diretamente para o PC na nuvem, ele encontrará a autenticação de serviço do Windows 365 primeiro e, em seguida, encontrará a autenticação do PC na nuvem.
Os seguintes tipos de credenciais são suportados para autenticação do PC na nuvem:
- Cliente da área de trabalho do Windows
- Logon único
- Nome de usuário e senha
- Smartcard
- Certificado confiável do Windows Hello para Empresas
- Confiança de chave com certificados do Windows Hello para Empresas
Observação
A autenticação smartcard e Windows Hello exigem que o cliente da área de trabalho do Windows possa executar a autenticação Kerberos quando usado com Microsoft Entra PCs de Nuvem ingressados no Hybrid. Isso exige que o cliente físico tenha linha de visão para um controlador de domínio.
- Cliente da Windows Store
- Nome de usuário e senha
- Clientes Web
- Logon único
- Nome de usuário e senha
- Android
- Logon único
- Nome de usuário e senha
- iOS
- Logon único
- Nome de usuário e senha
- macOS
- Logon único
- Nome de usuário e senha
SSO (logon único)
O SSO (logon único) permite que a conexão ignore o prompt de credencial da VM do Cloud PC e entre automaticamente no Windows por meio de Microsoft Entra autenticação. Microsoft Entra autenticação fornece outros benefícios, incluindo autenticação sem senha e suporte para provedores de identidade de terceiros. Para começar, examine as etapas para configurar o logon único.
Sem o SSO, o cliente solicita aos usuários suas credenciais de PC na Nuvem para cada conexão. A única maneira de evitar ser solicitado é salvar as credenciais no cliente. Recomendamos que você salve apenas credenciais em dispositivos seguros para impedir que outros usuários acessem seus recursos.
Autenticação em sessão
Depois de estar conectado ao computador na nuvem, você poderá ser solicitado a autenticação dentro da sessão. Esta seção explica como usar credenciais que não sejam nome de usuário e senha nesse cenário.
Autenticação sem senha na sessão
Windows 365 dá suporte à autenticação sem senha na sessão usando Windows Hello para Empresas ou dispositivos de segurança, como chaves FIDO ao usar o cliente da Área de Trabalho do Windows. A autenticação sem senha é habilitada automaticamente quando o PC na Nuvem e o COMPUTADOR local estão usando os seguintes sistemas operacionais:
- Windows 11 Enterprise com o Atualizações Cumulativo 2022-10 para Windows 11 (KB5018418) ou posterior instalado.
- Windows 10 Enterprise, versões 20H2 ou posteriores com o Atualizações Cumulativo 2022-10 para Windows 10 (KB5018410) ou posterior instalado.
Quando habilitados, todas as solicitações do WebAuthn na sessão são redirecionadas para o computador local. Você pode usar Windows Hello para Empresas ou dispositivos de segurança anexados localmente para concluir o processo de autenticação.
Para acessar Microsoft Entra recursos com Windows Hello para Empresas ou dispositivos de segurança, você deve habilitar a Chave de Segurança FIDO2 como um método de autenticação para seus usuários. Para habilitar esse método, siga as etapas no método Habilitar chave de segurança FIDO2.
Autenticação de cartão inteligente na sessão
Para usar um cartão inteligente em sua sessão, verifique se você instalou os drivers de cartão inteligentes no COMPUTADOR de Nuvem e permita o redirecionamento de cartão inteligente como parte do gerenciamento de redirecionamentos de dispositivos RDP para PCs de Nuvem. Examine o gráfico de comparação do cliente para garantir que seu cliente dê suporte ao redirecionamento de cartão inteligente.
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de