Поделиться через


Политики условного доступа для Windows 365 Link

В рамках настройки среды вашей организации для поддержки Windows 365 Link необходимо убедиться, что политики условного доступа учитывают как вход в систему, так и подключение с облачных компьютеров Windows. Если условный доступ используется для защиты ресурсов, используемых для доступа к Windows 365 облачным компьютерам, как описано в разделе Настройка политик условного доступа для Windows 365, необходимо также использовать отдельную, но соответствующую политику условного доступа для защиты действий пользователя по регистрации или присоединению устройств.

  1. Когда пользователь входит в систему на интерактивном экране входа Windows 365 Link, его учетная запись проходит проверку подлинности в службе регистрации устройств.
  2. Windows 365 Link автоматически выполняет проверку подлинности для других необходимых облачных ресурсов (таких как Microsoft Graph и служба Windows 365 с помощью единого входа).

Облачный компьютер Windows 365 устройства имеют два отдельных этапа проверки подлинности:

  • Интерактивный вход. Когда пользователь входит на экран Windows 365 Link входа, служба регистрации устройств используется для получения маркера проверки подлинности.
  • Неинтерактивные подключения. Маркер, полученный от входа пользователя, затем используется для выполнения неинтерактивных входов при подключении к другим ресурсам облачных приложений, таким как Windows 365 службам.

При входе с устройств Windows 365 Link не активируются политики условного доступа, предназначенные для всех ресурсов (ранее облачных приложений) или непосредственно для ресурса службы регистрации устройств. Кроме того, неинтерактивное подключение не может предложить пользователю выполнить эти требования.

Если политика условного доступа назначена любому из Windows 365 ресурсов, к действиям пользователя по регистрации или присоединению устройств также должна применяться другая политика с теми же параметрами управления доступом. Эта политика может активировать интерактивный вход и получить утверждения, необходимые для подключения.

Без соответствующего набора политик подключение прерывается, и пользователи не могут подключаться к своему облачному компьютеру.

Эти действия можно просмотреть в журналах входа с условным доступом Entra:

  1. Войдите вжурналы условногодоступа>Центр администрирования Microsoft Entra>Protection>.
  2. На вкладке Вход пользователя (интерактивный) используйте фильтры для поиска событий на экране входа.
  3. На вкладке Входы пользователей (неинтерактивные) используйте фильтры для поиска событий из подключений.

Создание политики условного доступа для интерактивного входа

  1. Войдите в Центр администрирования Microsoft Entra>Protection>Conditional Access>Policies>What if.
  2. В поле Удостоверение пользователя или рабочей нагрузки выберите пользователя для тестирования.
  3. Для облачных приложений, действий или контекста проверки подлинности выберите Любое облачное приложение.
  4. Для параметра Выбрать тип целевого объекта оставьте значение Облачное приложение .
  5. Выберите Выбрать приложения , а затем выберите следующие ресурсы, если они доступны:
    • Windows 365 (идентификатор приложения 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Виртуальный рабочий стол Azure (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Удаленный рабочий стол (Майкрософт) (идентификатор приложения a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Вход в Облако Windows (идентификатор приложения 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Выберите Что если.

Просмотрите каждую из политик, которые будут применяться , и определите элементы управления доступом, используемые для предоставления доступа к этим ресурсам и параметрам сеанса.

Теперь можно создать новую политику условного доступа для параметра Требовать MFA для регистрации устройства с помощью одних и того же элемента управления доступом.

  1. Войдите в новуюполитику политикусловного доступа>>Центр администрирования Microsoft Entra>Protection>
  2. Присвойте политике имя. Рассмотрите возможность использования значимого стандарта для имен политик.
  3. В разделе Назначения пользователи> выберите 0 выбранных пользователей и групп.
  4. В разделе Включить выберите Все пользователи или выберите группу пользователей, которые будут входить в систему через Windows 365 Link устройствах.
  5. В разделе Исключить выберите Пользователи и группы> выберите учетные записи аварийного доступа или аварийного доступа вашей организации.
  6. В разделе Целевые ресурсы>Действия пользователей выберите Регистрация или присоединение устройств.
  7. В разделеПредоставлениеэлементов управления> доступом используйте те же элементы управления, которые были найдены ранее с помощью средства "Что если".
  8. В разделе Сеанс элементов управления> доступом используйте те же элементы управления, что и ранее, с помощью средства "Что если".
  9. Подтвердите параметры и установите для параметра Включить политикузначение Только отчет.
  10. Нажмите Создать.
  11. После подтверждения параметров в режиме только для отчетов измените переключатель Включить политику с "Только отчет" на Включено.

Дополнительные сведения о создании политик условного доступа для регистрации устройств, включая потенциальные конфликты, см. в разделе Требование многофакторной проверки подлинности для регистрации устройства.

Дополнительные сведения о действиях пользователей с условным доступом см. в разделе Действия пользователя.

Дополнительные сведения о создании политик условного доступа для ресурсов, используемых для Windows 365, см. в разделе Настройка политик условного доступа.

Дальнейшие действия

Отключить запрос согласия на единый вход.