Compartir vía

Directivas de acceso condicional para Windows 365 Link

  • Artículo

Como parte de la configuración del entorno de su organización para admitir Windows 365 Link, debe asegurarse de que las directivas de acceso condicional se adapten tanto al inicio de sesión como a la conexión desde dispositivos windows cloud pc. Si el acceso condicional se usa para proteger los recursos usados para acceder a Windows 365 equipos en la nube, como se describe en Establecer directivas de acceso condicional para Windows 365, también se debe usar una directiva de acceso condicional independiente pero coincidente para proteger la acción del usuario para registrar o unir dispositivos.

  1. Cuando el usuario inicia sesión en la pantalla de inicio de sesión Windows 365 Link interactiva, su cuenta se autentica en el servicio de registro de dispositivos.
  2. Windows 365 Link se autentica silenciosamente en los demás recursos en la nube necesarios (como Microsoft Graph y el servicio Windows 365 mediante el inicio de sesión único (SSO)).

PC en la nube Windows 365 dispositivos tienen dos fases distintas de autenticación:

  • Inicio de sesión interactivo: cuando el usuario inicia sesión en la pantalla de inicio de sesión Windows 365 Link, el servicio de registro de dispositivos se usa para obtener un token de autenticación.
  • Conexiones no interactivas: el token obtenido del inicio de sesión del usuario se usa para realizar inicios de sesión no interactivos al conectarse a otros recursos de aplicaciones en la nube, como Windows 365 servicios.

Los inicios de sesión desde dispositivos Windows 365 Link no desencadenan ninguna directiva de acceso condicional destinada a todos los recursos (anteriormente aplicaciones en la nube) ni directamente al recurso servicio de registro de dispositivos. Además, la conexión no interactiva no puede pedir a un usuario que cumpla esos requisitos.

Si se asigna una directiva de acceso condicional a cualquiera de los recursos de Windows 365, también se debe aplicar otra directiva con la misma configuración de control de acceso a las acciones de usuario para registrar o unir dispositivos. Esta directiva puede desencadenar un inicio de sesión interactivo y obtener las notificaciones necesarias para la conexión.

Sin un conjunto de directivas coincidente, la conexión se interrumpe y los usuarios no pueden conectarse a su equipo en la nube.

Estas actividades se pueden ver en los registros de inicio de sesión de acceso condicional de Entra:

  1. Inicie sesión en losregistros de inicio de sesiónde acceso> condicional de Centro de administración Microsoft Entra>Protection>.
  2. En la pestaña Inicios de sesión de usuario (interactivos), use filtros para buscar eventos en la pantalla de inicio de sesión.
  3. En la pestaña Inicios de sesión de usuario (no interactivos), use filtros para buscar eventos de las conexiones.

Creación de una directiva de acceso condicional para el inicio de sesión interactivo

  1. Inicie sesión en las directivas deacceso>> condicional de Centro de administración Microsoft Entra >Protection>What if.
  2. En Identidad de usuario o carga de trabajo , seleccione un usuario con el que realizar la prueba.
  3. En Aplicaciones en la nube, acciones o contexto de autenticación, seleccione Cualquier aplicación en la nube.
  4. En Seleccionar tipo de destino , deje la opción Aplicación en la nube seleccionada.
  5. Seleccione Seleccionar aplicaciones y, a continuación, seleccione los siguientes recursos, si están disponibles:
    • Windows 365 (id. de aplicación 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (id. de aplicación 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Escritorio remoto de Microsoft (id. de aplicación a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Inicio de sesión en la nube de Windows (id. de aplicación 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Seleccione What If (Qué ocurre si).

Revise cada una de las directivas que se aplicarán y determine los controles de acceso que se usan para conceder acceso a esos recursos y a la configuración de sesión.

Ahora puede crear una nueva directiva de acceso condicional para requerir MFA para el registro de dispositivos mediante los mismos controles de acceso.

  1. Iniciar sesión en la directiva Centro de administración Microsoft Entra>Protection>Conditional Access>Polices>New
  2. Asigne un nombre a la directiva. Considere la posibilidad de usar un estándar significativo para los nombres de directiva.
  3. En Usuarios de asignaciones>, seleccione0 usuarios y grupos seleccionados.
  4. En Incluir, seleccione Todos los usuarios o seleccione un grupo de usuarios que iniciarán sesión a través de Windows 365 Link dispositivos.
  5. En Excluir, seleccione Usuarios y grupos> y seleccione las cuentas de acceso de emergencia o de interrupción de la organización.
  6. En Recursos de destino>Acciones de usuario, seleccione Registrar o unir dispositivos.
  7. En Concesión de controles> de acceso, use los mismos controles que se encontraron anteriormente mediante la herramienta What If.
  8. En Controles> de accesoSesión, use los mismos controles que se encontraron anteriormente mediante la herramienta What If.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear.
  11. Después de confirmar la configuración mediante el modo de solo informe, cambie el botón de alternancia Habilitar directiva de Solo informe a Activado.

Para obtener más información sobre cómo crear directivas de acceso condicional para el registro de dispositivos, incluidos los posibles conflictos, consulte Requerir autenticación multifactor para el registro de dispositivos.

Para obtener más información sobre las acciones de usuario con acceso condicional, consulte Acciones de usuario.

Para obtener más información sobre cómo crear directivas de acceso condicional para los recursos usados para Windows 365, vea Establecer directivas de acceso condicional.

Pasos siguientes

Suprima la solicitud de consentimiento de inicio de sesión único.