Megosztás a következőn keresztül:

Windows 365 identitás és hitelesítés

  • Cikk

A felhőbeli PC-felhasználó identitása határozza meg, hogy mely hozzáférés-kezelési szolgáltatások kezelik ezt a felhasználót és a felhőbeli számítógépet. Ez az identitás a következőket határozza meg:

  • Azon felhőbeli számítógépek típusai, amelyekhez a felhasználónak hozzáférése van.
  • Azon nem felhőalapú PC-erőforrások típusai, amelyekhez a felhasználónak hozzáférése van.

Egy eszköz rendelkezhet olyan identitással is, amelyet az illesztés típusa határoz meg a Microsoft Entra ID. Eszköz esetén az illesztés típusa a következőket határozza meg:

  • Ha az eszköznek szüksége van egy tartományvezérlő látóvonalára.
  • Az eszköz kezelésének módját.
  • Hogyan hitelesítik magukat a felhasználók az eszközön?

Identitástípusok

Négy identitástípus létezik:

  • Hibrid identitás: Az helyi Active Directory Tartományi szolgáltatások-ben létrehozott, majd a Microsoft Entra ID szinkronizált felhasználók vagy eszközök.
  • Csak felhőalapú identitás: Olyan felhasználók vagy eszközök, amelyek csak a Microsoft Entra ID vannak létrehozva.
  • Összevont identitás: Harmadik féltől származó identitásszolgáltatóban létrehozott, más Microsoft Entra ID vagy Active Directory tartományi szolgáltatások, majd Microsoft Entra ID összevont felhasználók.
  • Külső identitás: Azok a felhasználók, akiket a Microsoft Entra-bérlőn kívül hoztak létre és kezelnek, de meghívást kapnak a Microsoft Entra-bérlőbe, hogy hozzáférjenek a szervezet erőforrásaihoz.

Megjegyzés:

  • Windows 365 támogatja az összevont identitásokat, ha az egyszeri bejelentkezés engedélyezve van.
  • Windows 365 nem támogatja a külső identitásokat.

Eszközillesztés típusai

A felhőalapú PC kiépítésekor két illesztési típus közül választhat:

Az alábbi táblázat a kiválasztott illesztési típuson alapuló főbb képességeket vagy követelményeket mutatja be:

Képesség vagy követelmény hibrid csatlakozás Microsoft Entra Microsoft Entra csatlakozás
Azure-előfizetés Kötelező Nem kötelező
Azure-beli virtuális hálózat a tartományvezérlő látóvonalával Kötelező Nem kötelező
A bejelentkezéshez támogatott felhasználói identitástípus Csak hibrid felhasználók Hibrid vagy csak felhőalapú felhasználók
Szabályzatkezelés Csoportházirend objektumok (GPO) vagy Intune MDM csak az MDM Intune
Vállalati Windows Hello bejelentkezés támogatott Igen, és a csatlakozó eszköznek a közvetlen hálózaton vagy VPN-en keresztül kell látnia a tartományvezérlőt Igen

Hitelesítés

Amikor egy felhasználó hozzáfér egy felhőbeli PC-hez, három különböző hitelesítési fázis van:

  • Felhőszolgáltatás hitelesítése: A Windows 365 szolgáltatás hitelesítése, amely magában foglalja az erőforrásokra való feliratkozást és az átjárón való hitelesítést, Microsoft Entra ID.
  • Távoli munkamenet hitelesítése: Hitelesítés a felhőbeli PC-ben. A távoli munkamenetben többféleképpen is hitelesítheti magát, beleértve az ajánlott egyszeri bejelentkezést (SSO).
  • Munkameneten belüli hitelesítés: Hitelesítés a felhőbeli PC-ben található alkalmazásokhoz és webhelyekhez.

A különböző ügyfeleken az egyes hitelesítési fázisokhoz elérhető hitelesítő adatok listájához hasonlítsa össze az ügyfeleket a különböző platformokon.

Fontos

A hitelesítés megfelelő működéséhez a felhasználó helyi gépének is hozzá kell tudnia férni az Azure Virtual Desktophoz szükséges URL-címek listájánakTávoli asztali ügyfelek szakaszában található URL-címekhez.

A Windows 365 egyszeri bejelentkezést kínál (amely egyetlen hitelesítési kérésként van meghatározva, amely a szolgáltatás Windows 365 hitelesítését és a felhőalapú PC-hitelesítést is képes kielégíteni) a szolgáltatás részeként. További információ: Egyszeri bejelentkezés.

A következő szakaszok további információkat nyújtanak ezekről a hitelesítési fázisokról.

Felhőszolgáltatás-hitelesítés

A felhasználóknak hitelesíteni kell magukat a Windows 365 szolgáltatással, ha:

A Windows 365 szolgáltatás eléréséhez a felhasználóknak először hitelesíteni kell magukat a szolgáltatásban egy Microsoft Entra ID-fiókkal való bejelentkezéssel.

Többtényezős hitelesítés

A Feltételes hozzáférési szabályzatok beállítása című cikkben található utasításokat követve megtudhatja, hogyan kényszerítheti ki Microsoft Entra többtényezős hitelesítést a felhőalapú számítógépeken. Ez a cikk azt is bemutatja, hogyan konfigurálhatja, hogy a rendszer milyen gyakran kérje a felhasználóktól a hitelesítő adataik megadását.

Jelszó nélküli hitelesítés

A felhasználók bármilyen, a Microsoft Entra ID által támogatott hitelesítési típust használhatnak, például Vállalati Windows Hello és más jelszó nélküli hitelesítési lehetőségeket (például FIDO-kulcsokat) a szolgáltatásban való hitelesítéshez.

Intelligens kártyás hitelesítés

Ahhoz, hogy intelligens kártyát használjon a Microsoft Entra ID hitelesítéséhez, először konfigurálnia kell Microsoft Entra tanúsítványalapú hitelesítést, vagy konfigurálnia kell az AD FS-t a felhasználói tanúsítványok hitelesítéséhez.

Külső identitásszolgáltatók

Használhat külső identitásszolgáltatókat mindaddig, amíg összevonják a Microsoft Entra ID.

Távoli munkamenet-hitelesítés

Ha még nem engedélyezte az egyszeri bejelentkezést , és a felhasználók nem mentették helyileg a hitelesítő adataikat, akkor a kapcsolat indításakor a felhőbeli PC-n is hitelesíteniük kell magukat.

Egyszeri bejelentkezés

Az egyszeri bejelentkezés (SSO) lehetővé teszi, hogy a kapcsolat kihagyja a felhőbeli PC hitelesítőadat-kérését, és automatikusan bejelentkeztethesse a felhasználót a Windowsba Microsoft Entra hitelesítéssel. Microsoft Entra hitelesítés további előnyöket is nyújt, beleértve a jelszó nélküli hitelesítést és a külső identitásszolgáltatók támogatását. Első lépésként tekintse át az egyszeri bejelentkezés konfigurálásának lépéseit.

Egyszeri bejelentkezés nélkül az ügyfél minden kapcsolathoz kéri a felhőbeli PC hitelesítő adatait. A rendszer csak úgy kerülheti el a kérést, ha menti a hitelesítő adatokat az ügyfélen. Azt javasoljuk, hogy csak biztonságos eszközökön mentse a hitelesítő adatokat, hogy más felhasználók ne férhessenek hozzá az erőforrásokhoz.

Munkameneten belüli hitelesítés

Miután csatlakozott a felhőalapú számítógéphez, előfordulhat, hogy a rendszer hitelesítést kér a munkameneten belül. Ez a szakasz ismerteti, hogyan használhat más hitelesítő adatokat, mint a felhasználónév és a jelszó ebben a forgatókönyvben.

Munkameneten belüli jelszó nélküli hitelesítés

Windows 365 támogatja a munkameneten belüli jelszó nélküli hitelesítést Vállalati Windows Hello vagy olyan biztonsági eszközökkel, mint a FIDO-kulcsok a Windows asztali ügyfél használatakor. A jelszó nélküli hitelesítés automatikusan engedélyezve van, ha a felhőalapú PC és a helyi számítógép a következő operációs rendszereket használja:

Ha engedélyezve van, a rendszer a munkamenet összes WebAuthn-kérését átirányítja a helyi számítógépre. A hitelesítési folyamat befejezéséhez használhat Vállalati Windows Hello vagy helyileg csatlakoztatott biztonsági eszközöket.

A Vállalati Windows Hello vagy biztonsági eszközökkel Microsoft Entra erőforrások eléréséhez engedélyeznie kell a FIDO2 biztonsági kulcsot hitelesítési módszerként a felhasználók számára. A módszer engedélyezéséhez kövesse a FIDO2 biztonsági kulcs metódusának engedélyezése című cikk lépéseit.

Munkameneten belüli intelligenskártya-hitelesítés

Ha intelligens kártyát szeretne használni a munkamenetben, győződjön meg arról, hogy telepíti az intelligenskártya-illesztőprogramokat a felhőbeli PC-re, és engedélyezi az intelligens kártyák átirányítását a felhőalapú számítógépek RDP-eszközátirányításainak kezelése részeként. Tekintse át az ügyfél-összehasonlító diagramot , és győződjön meg arról, hogy az ügyfél támogatja az intelligens kártyák átirányítását.

Következő lépések

Tudnivalók a felhőalapú PC-életciklusról.