Compartilhar via

Políticas de Acesso Condicional para Windows 365 Link

  • Artigo

Como parte da configuração do ambiente da sua organização para suportar Windows 365 Link, tem de se certificar de que as políticas de Acesso Condicional acomodam tanto o início de sessão como a ligação a partir de dispositivos Windows Cloud PC. Se o Acesso Condicional for utilizado para proteger os recursos utilizados para aceder Windows 365 PCs cloud, conforme descrito em Definir políticas de acesso condicional para Windows 365, também tem de ser utilizada uma política de Acesso Condicional separada, mas correspondente, para proteger a ação do utilizador para registar ou associar dispositivos.

  1. Quando o utilizador inicia sessão no ecrã de início de sessão interativo Windows 365 Link, a conta é autenticada no serviço de registo de dispositivos.
  2. Windows 365 Link autentica automaticamente nos outros recursos de cloud necessários (como o Microsoft Graph e o serviço de Windows 365 através do início de sessão único (SSO)).

PC na nuvem do Windows 365 dispositivos têm duas fases distintas de autenticação:

  • Início de sessão interativo: quando o utilizador inicia sessão no ecrã de início de sessão Windows 365 Link, o serviço de registo de dispositivos é utilizado para obter um token de autenticação.
  • Ligações não interativas: o token obtido a partir do início de sessão do utilizador é utilizado para efetuar inícios de sessão não interativos ao ligar a outros recursos de aplicações na cloud, como Windows 365 serviços.

Os inícios de sessão a partir de dispositivos Windows 365 Link não acionam políticas de Acesso Condicional direcionadas para Todos os recursos (anteriormente aplicações na cloud) ou diretamente para o recurso do Serviço de Registo de Dispositivos. Além disso, a ligação não interativa não pode pedir a um utilizador que cumpra esses requisitos.

Se uma política de Acesso Condicional for atribuída a qualquer um dos recursos Windows 365, também tem de ser aplicada outra política com as mesmas definições de controlo de Acesso às Ações do Utilizador para Registar ou associar dispositivos. Esta política pode acionar um início de sessão interativo e obter as afirmações necessárias para a ligação.

Sem um conjunto de políticas correspondente, a ligação é interrompida e os utilizadores não conseguem ligar-se ao respetivo PC na Cloud.

Estas atividades podem ser vistas nos registos de início de sessão do Acesso Condicional do Entra:

  1. Inicie sessão nosregistos de Início de Sessão deAcesso> Condicional do centro de administração do Microsoft Entra>Protection>.
  2. No separador Inícios de sessão do utilizador (interativo ), utilize filtros para localizar eventos no ecrã de início de sessão.
  3. No separador Inícios de sessão do utilizador (não interativos), utilize filtros para localizar eventos a partir das ligações.

Criar uma política de Acesso Condicional para início de sessão interativo

  1. Inicie sessão no centro de administração do Microsoft Entra>Protection>Conditional Access>Policies>(E se).
  2. Para Identidade de utilizador ou carga de trabalho , selecione um utilizador com o qual testar.
  3. Para Aplicações na cloud, ações ou contexto de autenticação, selecione Qualquer aplicação na cloud.
  4. Em Selecionar tipo de destino , deixe a aplicação cloud selecionada.
  5. Selecione Selecionar aplicações e, em seguida, selecione os seguintes recursos, se estiverem disponíveis:
    • Windows 365 (ID da aplicação 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (ID da aplicação 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Área de Trabalho Remota da Microsoft (ID da aplicação a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Início de Sessão na Nuvem do Windows (ID da aplicação 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Selecione E Se.

Reveja cada uma das Políticas que serão aplicadas e determine os controlos de acesso utilizados para conceder acesso a esses recursos e definições de sessão.

Agora, pode criar uma nova política de Acesso Condicional para Exigir a MFA para o registo de dispositivos com os mesmos controlos de Acesso.

  1. Iniciar sessão na Política dePolíticas> deAcesso> Condicional do centro de administração do Microsoft Entra>Protection>Nova política
  2. Dê um nome à sua política. Considere utilizar um padrão significativo para nomes de políticas.
  3. EmUtilizadoresde Atribuições>, selecione 0 utilizadores e grupos selecionados.
  4. Em Incluir, selecione Todos os utilizadores ou selecione um grupo de utilizadores que iniciarão sessão através de Windows 365 Link dispositivos.
  5. Em Excluir, selecione Utilizadores e grupos> selecione as contas de acesso de emergência ou de quebra de ecrã da sua organização.
  6. Em Recursos de destino>Ações do utilizador, selecione Registar ou associar dispositivos.
  7. Em Concessão> de controlos de acesso, utilize os mesmos controlos encontrados anteriormente com a ferramenta What If.
  8. Em Controlos de acesso>Sessão, utilize os mesmos controlos encontrados anteriormente com a ferramenta What If.
  9. Confirme as definições e defina Ativar política como Apenas Relatório.
  10. Selecione Criar.
  11. Depois de confirmar as definições com o modo apenas de relatório, altere o botão Ativar política de Apenas Relatório para Ativado.

Para obter mais informações sobre como criar políticas de Acesso Condicional para o registo de dispositivos, incluindo potenciais conflitos, veja Exigir autenticação multifator para o registo de dispositivos.

Para obter mais informações sobre as ações do utilizador com Acesso Condicional, veja Ações do utilizador.

Para obter mais informações sobre a criação de políticas de Acesso Condicional para recursos utilizados para Windows 365, veja Definir políticas de Acesso Condicional.

Próximas etapas

Suprimir pedido de consentimento de início de sessão único.