Windows 365 identitet och autentisering
En Cloud PC-användares identitet definierar vilka åtkomsthanteringstjänster som hanterar den användaren och Cloud PC. Den här identiteten definierar:
- De typer av molndatorer som användaren har åtkomst till.
- De typer av icke-molnbaserade datorresurser som användaren har åtkomst till.
En enhet kan också ha en identitet som bestäms av dess kopplingstyp för att Microsoft Entra ID. För en enhet definierar kopplingstypen:
- Om enheten kräver siktlinje till en domänkontrollant.
- Hur enheten hanteras.
- Hur användare autentiserar till enheten.
Identitetstyper
Det finns fyra identitetstyper:
- Hybrididentitet: Användare eller enheter som skapas i lokal Active Directory Domain Services och sedan synkroniseras till Microsoft Entra ID.
- Identitet endast för molnet: Användare eller enheter som skapas och bara finns i Microsoft Entra ID.
- Federerad identitet: Användare som skapas i en identitetsprovider från tredje part, andra som Microsoft Entra ID eller Active Directory Domain Services och sedan federeras med Microsoft Entra ID.
- Extern identitet: Användare som skapas och hanteras utanför din Microsoft Entra klientorganisation men som bjuds in till din Microsoft Entra klientorganisation för att få åtkomst till organisationens resurser.
Obs!
- Windows 365 stöder federerade identiteter när enkel inloggning är aktiverat.
- Windows 365 stöder inte externa identiteter.
Enhetsanslutningstyper
Det finns två kopplingstyper som du kan välja mellan när du etablerar en molndator:
- Microsoft Entra Hybrid Join: Om du väljer den här kopplingstypen ansluter Windows 365 din molndator till den Windows Server Active Directory domän som du anger. Om din organisation sedan är korrekt konfigurerad för Microsoft Entra hybridanslutning synkroniseras enheten till Microsoft Entra ID.
- Microsoft Entra Join: Om du väljer den här kopplingstypen ansluter Windows 365 din Molndator direkt till Microsoft Entra ID.
I följande tabell visas viktiga funktioner eller krav baserat på den valda kopplingstypen:
| Kapacitet eller krav | Microsoft Entra hybridanslutning | Microsoft Entra koppling |
|---|---|---|
| Azure-prenumeration | Obligatoriskt | Valfritt |
| Virtuellt Azure-nätverk med siktlinje till domänkontrollanten | Obligatoriskt | Valfritt |
| Användaridentitetstyp som stöds för inloggning | Endast hybridanvändare | Hybridanvändare eller molnbaserade användare |
| Principhantering | grupprincip objekt (GPO) eller Intune MDM | endast Intune MDM |
| Windows Hello för företag inloggning stöds | Ja, och den anslutande enheten måste ha siktlinje för domänkontrollanten via direktnätverket eller ett VPN | Ja |
Autentisering
När en användare ansluter till en molndator finns det tre separata autentiseringsfaser:
- Autentisering av molntjänst: Autentisering till Windows 365-tjänsten, som omfattar att prenumerera på resurser och autentisera till gatewayen, är med Microsoft Entra ID.
- Fjärrsessionsautentisering: Autentisera till molndatorn. Det finns flera sätt att autentisera till fjärrsessionen, inklusive rekommenderad enkel inloggning (SSO).
- Autentisering under session: Autentisera till program och webbplatser i molndatorn.
Jämför klienterna mellan plattformar för listan över tillgängliga autentiseringsuppgifter på de olika klienterna för varje autentiseringsfas.
Viktigt
För att autentiseringen ska fungera korrekt måste användarens lokala dator också kunna komma åt URL:erna i avsnittet Fjärrskrivbordsklienter i url-listan som krävs för Azure Virtual Desktop.
Windows 365 erbjuder enkel inloggning (definieras som en enda autentiseringsprompt som kan uppfylla både Windows 365 tjänstautentisering och Cloud PC-autentisering) som en del av tjänsten. Mer information finns i enkel inloggning.
Följande avsnitt innehåller mer information om dessa autentiseringsfaser.
Autentisering av molntjänst
Användarna måste autentisera med Windows 365-tjänsten när:
- De kommer åt windows365.microsoft.com.
- De navigerar till url:en som mappar direkt till molndatorn.
- De använder en klient som stöds för att lista sina molndatorer.
För att få åtkomst till Windows 365-tjänsten måste användarna först autentisera till tjänsten genom att logga in med ett Microsoft Entra ID konto.
Multifaktorautentisering
Följ anvisningarna i Ange principer för villkorsstyrd åtkomst för att lära dig hur du framtvingar Microsoft Entra multifaktorautentisering för dina molndatorer. Den här artikeln beskriver också hur du konfigurerar hur ofta användarna uppmanas att ange sina autentiseringsuppgifter.
Lösenordsfri autentisering
Användare kan använda valfri autentiseringstyp som stöds av Microsoft Entra ID, till exempel Windows Hello för företag och andra alternativ för lösenordslös autentisering (till exempel FIDO-nycklar) för att autentisera till tjänsten.
Smartkortsautentisering
Om du vill använda ett smartkort för att autentisera till Microsoft Entra ID måste du först konfigurera Microsoft Entra certifikatbaserad autentisering eller konfigurera AD FS för autentisering med användarcertifikat.
Identitetsprovidrar från tredje part
Du kan använda identitetsprovidrar från tredje part så länge de federeras med Microsoft Entra ID.
Fjärrsessionsautentisering
Om du inte redan har aktiverat enkel inloggning och användarna inte har sparat sina autentiseringsuppgifter lokalt måste de också autentisera till molndatorn när de startar en anslutning.
Enkel inloggning (SSO)
Med enkel inloggning (SSO) kan anslutningen hoppa över cloud pc-autentiseringsprompten och automatiskt logga in användaren i Windows via Microsoft Entra autentisering. Microsoft Entra autentisering ger andra fördelar, inklusive lösenordsfri autentisering och stöd för identitetsprovidrar från tredje part. Kom igång genom att gå igenom stegen för att konfigurera enkel inloggning.
Utan enkel inloggning uppmanar klienten användarna att ange sina autentiseringsuppgifter för Cloud PC för varje anslutning. Det enda sättet att undvika att bli tillfrågad är att spara autentiseringsuppgifterna i klienten. Vi rekommenderar att du bara sparar autentiseringsuppgifter på säkra enheter för att förhindra andra användare från att komma åt dina resurser.
Autentisering under session
När du har anslutit till din Cloud PC kan du uppmanas att autentisering i sessionen. I det här avsnittet beskrivs hur du använder andra autentiseringsuppgifter än användarnamn och lösenord i det här scenariot.
Lösenordslös autentisering under sessionen
Windows 365 stöder lösenordsfri autentisering under sessionen med Windows Hello för företag eller säkerhetsenheter som FIDO-nycklar när du använder Windows Desktop-klienten. Lösenordsfri autentisering aktiveras automatiskt när molndatorn och den lokala datorn använder följande operativsystem:
- Windows 11 Enterprise med den kumulativa Uppdateringar 2022–2022 för Windows 11 (KB5018418) eller senare installerad.
- Windows 10 Enterprise, version 20H2 eller senare med kumulativ Uppdateringar 2022–2010 för Windows 10 (KB5018410) eller senare installerat.
När den är aktiverad omdirigeras alla WebAuthn-begäranden i sessionen till den lokala datorn. Du kan använda Windows Hello för företag eller lokalt anslutna säkerhetsenheter för att slutföra autentiseringsprocessen.
Om du vill komma åt Microsoft Entra resurser med Windows Hello för företag eller säkerhetsenheter måste du aktivera FIDO2-säkerhetsnyckeln som en autentiseringsmetod för dina användare. Om du vill aktivera den här metoden följer du stegen i Metoden Aktivera FIDO2-säkerhetsnyckel.
Autentisering med smartkort under sessionen
Om du vill använda ett smartkort i sessionen måste du installera smartkortsdrivrutinerna på molndatorn och tillåta omdirigering av smartkort som en del av hanteringen av RDP-enhetsomdirigeringar för molndatorer. Granska klientjämförelsediagrammet för att kontrollera att klienten stöder smartkortomdirigering.