Удостоверение и проверка подлинности Windows 365
Удостоверение пользователя облачного компьютера определяет, какие службы управления доступом управляют этим пользователем и облачным компьютером. Это удостоверение определяет:
- Типы облачных компьютеров, к которым у пользователя есть доступ.
- Типы необлачных ресурсов компьютеров, к которым у пользователя есть доступ.
Устройство также может иметь удостоверение, определяемое типом присоединения к идентификатору Microsoft Entra. Для устройства тип соединения определяет:
- Наличие препятствий между устройством и контроллером домена.
- Управление устройством.
- Проверка подлинности пользователей на устройстве.
Типы удостоверений
Существует четыре типа удостоверений:
- Гибридное удостоверение. Пользователи или устройства, созданные в локальных доменных службах Active Directory, а затем синхронизированные с Идентификатором Microsoft Entra.
- Облачная идентификация. Пользователи или устройства, созданные и существующие только в идентификаторе Microsoft Entra.
- Федеративное удостоверение. Пользователи, созданные в стороннем поставщике удостоверений, другие, что идентификатор Microsoft Entra или доменные службы Active Directory, затем федеративные с Идентификатором Microsoft Entra.
- Внешнее удостоверение. Пользователи, созданные и управляемые за пределами клиента Microsoft Entra, но приглашенные в клиент Microsoft Entra для доступа к ресурсам вашей организации.
Примечание.
- Windows 365 поддерживает федеративные удостоверения, если включен единый вход .
- Windows 365 не поддерживает внешние удостоверения.
Типы соединения с устройствами
Существует два типа соединения, которые можно выбрать при подготовке облачного компьютера:
- Гибридное присоединение к Microsoft Entra. Если выбрать этот тип соединения, Windows 365 присоединяет ваш облачный компьютер к указанному домену Windows Server Active Directory. Затем, если ваша организация правильно настроена для гибридного присоединения к Microsoft Entra, устройство синхронизируется с Идентификатором Microsoft Entra.
- Присоединение к Microsoft Entra. Если вы выберете этот тип соединения, Windows 365 присоединяет ваш облачный компьютер непосредственно к идентификатору Microsoft Entra.
В следующей таблице показаны основные возможности или требования, основанные на выбранном типе соединения.
| Возможности или требования | Гибридное соединение Microsoft Entra | Присоединение к Microsoft Entra |
|---|---|---|
| Подписка Azure | Обязательна | Необязательный |
| Отсутствие препятствий между виртуальной сетью Azure и контроллером домена | Обязательна | Необязательный |
| Тип удостоверения пользователя, поддерживаемый для входа | Только гибридные пользователи | Гибридные пользователи или только облачные пользователи |
| Управление политиками | Объекты групповой политики (GPO) или управление мобильными устройствами Intune | Только управление мобильными устройствами Intune |
| Поддерживается вход в Windows Hello для бизнеса | Да, и между подключающимся устройством и контроллером домена не должно быть препятствий через прямую сеть или VPN | Да |
Проверка подлинности
Когда пользователь обращается к облачному компьютеру, существует три отдельных этапа проверки подлинности:
- Проверка подлинности облачной службы. Проверка подлинности в службе Windows 365, которая включает подписку на ресурсы и проверку подлинности шлюза, выполняется с помощью идентификатора Microsoft Entra.
- Проверка подлинности удаленного сеанса: проверка подлинности на облачном компьютере. Существует несколько способов проверки подлинности в удаленном сеансе, включая рекомендуемый единый вход .
- Проверка подлинности в сеансе. Проверка подлинности приложений и веб-сайтов на облачном компьютере.
Чтобы получить список учетных данных, доступных на разных клиентах для каждого этапа проверки подлинности, сравните клиенты на разных платформах.
Важно!
Для правильной работы проверки подлинности локальный компьютер пользователя также должен иметь доступ к URL-адресам в разделе Клиенты удаленных рабочих столовсписка обязательных URL-адресов Виртуального рабочего стола Azure.
Windows 365 предлагает единый вход (определяется как единый запрос проверки подлинности, который может соответствовать проверке подлинности службы Windows 365 и проверке подлинности облачного компьютера) в рамках службы. Дополнительные сведения см. в статье Единый вход.
В следующих разделах содержатся дополнительные сведения об этих этапах проверки подлинности.
Проверка подлинности облачной службы
Пользователи должны проходить проверку подлинности с помощью службы Windows 365 в следующих случаях:
- Они имеют доступ к сайту windows365.microsoft.com.
- Они переходят по URL-адресу, который напрямую связан с их облачным компьютером.
- Они используют поддерживаемый клиент для перечисления своих облачных компьютеров.
Чтобы получить доступ к службе Windows 365, пользователи должны сначала пройти проверку подлинности в службе, выполнив вход с помощью учетной записи Microsoft Entra ID.
Многофакторная проверка подлинности
Следуйте инструкциям в разделе Настройка политик условного доступа , чтобы узнать, как применить многофакторную проверку подлинности Microsoft Entra для облачных компьютеров. В этой статье также показано, как настроить частоту запроса пользователей на ввод учетных данных.
Проверка подлинности без пароля
Для проверки подлинности в службе пользователи могут использовать любой тип проверки подлинности, поддерживаемый идентификатором Microsoft Entra, например Windows Hello для бизнеса и другие параметры проверки подлинности без пароля (например, ключи FIDO).
Проверка подлинности с помощью смарт-карты
Чтобы использовать смарт-карту для проверки подлинности в Microsoft Entra ID, необходимо сначала настроить проверку подлинности на основе сертификата Microsoft Entra или настроить AD FS для проверки подлинности на основе сертификата пользователя.
Сторонние поставщики удостоверений
Вы можете использовать сторонних поставщиков удостоверений при условии, что они объединяются с идентификатором Microsoft Entra.
Проверка подлинности удаленного сеанса
Если единый вход еще не включен и пользователи не сохранили учетные данные локально, им также необходимо пройти проверку подлинности на облачном компьютере при запуске подключения.
Единый вход (SSO)
Единый вход (SSO) позволяет подключению пропускать запрос учетных данных Cloud PC и автоматически входить пользователя в Windows с помощью проверки подлинности Microsoft Entra. Проверка подлинности Microsoft Entra предоставляет другие преимущества, включая проверку подлинности без пароля и поддержку сторонних поставщиков удостоверений. Чтобы приступить к работе, ознакомьтесь с инструкциями по настройке единого входа.
Без единого входа клиент запрашивает у пользователей учетные данные облачного компьютера для каждого подключения. Единственный способ избежать запроса — сохранить учетные данные в клиенте. Рекомендуется сохранять учетные данные только на защищенных устройствах, чтобы запретить другим пользователям доступ к вашим ресурсам.
Проверка подлинности в сеансе
После подключения к облачному компьютеру может появиться запрос на проверку подлинности внутри сеанса. В этом разделе объясняется, как использовать в этом сценарии учетные данные, отличные от имени пользователя и пароля.
Проверка подлинности без пароля в сеансе
Windows 365 поддерживает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO, при использовании классического клиента Windows. Проверка подлинности без пароля включается автоматически, если облачный компьютер и локальный компьютер используют следующие операционные системы:
- Windows 11 Корпоративная с установленным накопительным пакетом обновлений 2022–10 для Windows 11 (KB5018418) или более поздней версии.
- Windows 10 Корпоративная версии 20H2 или более поздней с установленными накопительными обновлениями 2022-10 для Windows 10 (KB5018410) или более поздней версии.
Если этот параметр включен, все запросы WebAuthn в сеансе перенаправляются на локальный компьютер. Для завершения процесса проверки подлинности можно использовать Windows Hello для бизнеса или локально подключенные устройства безопасности.
Чтобы получить доступ к ресурсам Microsoft Entra с помощью Windows Hello для бизнеса или устройств безопасности, необходимо включить ключ безопасности FIDO2 в качестве метода проверки подлинности для пользователей. Чтобы включить этот метод, выполните действия, описанные в разделе Включение метода ключа безопасности FIDO2.
Проверка подлинности смарт-карт в сеансе
Чтобы использовать смарт-карту в сеансе, убедитесь, что установлены драйверы смарт-карт на облачном компьютере и разрешено перенаправление смарт-карт в рамках управления перенаправлениями устройств RDP для облачных компьютеров. Просмотрите таблицу сравнения клиентов , чтобы убедиться, что клиент поддерживает перенаправление смарт-карт.