Windows 365 Link的條件式存取原則
在設定貴組織的環境以支援 Windows 365 Link 時,您必須確定條件式存取原則可同時容納從 Windows Cloud 電腦裝置登入和連線。 如果使用條件式存取來保護用來存取 Windows 365 雲端計算機的資源,如設定 Windows 365 的條件式存取原則中所述,則也必須使用個別但相符的條件式存取原則來保護用戶註冊或加入裝置的動作。
Windows 365 Link裝置的驗證程式
- 當使用者登入 Windows 365 Link 互動式登入畫面時,會向裝置註冊服務驗證其帳戶。
- Windows 365 Link 使用單一登錄 ( (SSO) ) ,以無訊息方式向 Microsoft Graph 和 Windows 365 服務等其他必要雲端資源進行驗證。
Windows 365 雲端電腦 裝置有兩個不同的驗證階段:
- 互動式登入:當使用者登入 Windows 365 Link 登入畫面時,會使用裝置註冊服務來取得驗證令牌。
- 非互動式連線:從使用者登入取得的令牌會接著用來在聯機到其他雲端應用程式資源時執行非互動式登入,例如 Windows 365 服務。
來自 Windows 365 Link 裝置的登入不會觸發任何以先前雲端應用程式 (先前雲端應用程式) 或直接到裝置註冊服務資源的所有資源為目標的條件式存取原則。 此外,非交互式連線無法提示使用者滿足這些需求。
如果將條件式存取原則指派給任何 Windows 365 資源,則具有相同訪問控制設定的另一個原則也必須套用至註冊或加入裝置的用戶動作。 此原則可以觸發互動式登入,並取得連線所需的宣告。
如果沒有一組相符的原則,連線就會中斷,而且使用者無法連線到其雲端計算機。
您可以在 Entra 條件式存取登入記錄中看到這些活動:
- 登入 Microsoft Entra 系統管理中心>Protection>條件式存取>登入記錄。
- 在 [ 使用者登入 (互動式) ] 索引卷標上,使用篩選器從登入畫面尋找事件。
- 在 [ 使用者登入 (非互動式) ] 索引標籤上,使用篩選器從聯機尋找事件。
建立互動式登入的條件式存取原則
- 登入 Microsoft Entra 系統管理中心>保護>條件式存取>>原則假設。
- 針對 [使用者] 或 [工作負載身分識別 ],選取要用來測試的使用者。
- 針對 [雲端應用程式]、[動作] 或 [驗證內容],選取 [ 任何雲端應用程式]。
- 針對 [選取目標類型] , 保留選取 [雲端應用程式 ]。
- 選 取 [選擇應用程式 ],然後選取下列可用的資源:
- Windows 365 (應用程式標識碼 0af06dc6-e4b5-4f28-818e-e78e62d137a5) 。
- Azure 虛擬桌面 (應用程式標識碼 9cdead84-a844-4324-93f2-b2e6bb768d07) 。
- Microsoft 遠端桌面 (應用程式標識符 a4a365df-50f1-4397-bc59-1a1564b8bb9c) 。
- Windows Cloud Login (應用程式標識碼 270efc09-cd0d-444b-a71f-39af4910ec45) 。
- 選取 [假設] 。
檢閱 每個將套 用的原則,並判斷用來授與這些資源和會話設定存取權的訪問控制。
您現在可以建立新的條件式存取原則,以使用相同的訪問控制來 要求裝置註冊 MFA 。
- 登入 Microsoft Entra 系統管理中心>保護>條件式存取>>原則新原則
- 為您的原則命名。 請考慮對原則名稱使用有意義的標準。
- 在 [指派使用者] 底>下,選取 0 個已選取的使用者和群組。
- 在 [包含] 底下,選取 [所有使用者],或選取將透過 Windows 365 Link 裝置登入的使用者群組。
- 在 [ 排除] 底下,選取 [使用者和群組> ] 選取組織的緊急存取或急用帳戶。
- 在 [目標資源>用戶動作] 下,選取 [註冊或加入裝置]。
- 在 [訪問控制>授與] 下,使用稍早使用 What If 工具找到的相同控件。
- 在 [訪問控制>會話] 下,使用稍早使用 What If 工具找到的相同控件。
- 確認您的設定,並將 [ 啟用原則 ] 設定為 [僅限報表]。
- 選取 [建立]。
- 使用僅限報表模式確認設定之後,請將 [ 啟用 ] 原則從 [僅限報表 ] 切換為 [ 開啟]。
如需建立裝置註冊的條件式存取原則,包括潛在衝突的詳細資訊,請參閱 裝置註冊需要多重要素驗證。
如需有關使用條件式存取之使用者動作的詳細資訊,請參閱 用戶動作。
如需為用於 Windows 365 的資源建立條件式存取原則的詳細資訊,請參閱設定條件式存取原則。