Настройка единого входа в Windows 365 бизнес с помощью проверки подлинности Microsoft Entra

В этой статье описывается процесс настройки единого входа (SSO) для Windows 365 с помощью проверки подлинности Microsoft Entra. При включении единого входа пользователи могут использовать проверку подлинности без пароля и сторонние поставщики удостоверений, федеративные с Идентификатором Microsoft Entra, для входа на свой облачный компьютер. Если эта функция включена, она обеспечивает единый вход как при проверке подлинности на облачном компьютере, так и в сеансе при доступе к приложениям и веб-сайтам на основе идентификаторов Microsoft Entra.

Чтобы включить единый вход с помощью проверки подлинности Microsoft Entra ID, необходимо выполнить четыре задачи:

1. Включите проверку подлинности Microsoft Entra для протокола удаленного рабочего стола (RDP).

2. Настройте целевые группы устройств.

3. Проверьте политики условного доступа.

4. Настройте параметры организации, чтобы включить единый вход.

Перед включением единого входа

Прежде чем включить единый вход, ознакомьтесь со следующими сведениями о его использовании в вашей среде.

Отключение при блокировке сеанса

Если единый вход включен, пользователи входят в Windows с помощью маркера проверки подлинности Microsoft Entra ID, который обеспечивает поддержку проверки подлинности без пароля в Windows. Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra ID или методы проверки подлинности без пароля, такие как ключи FIDO. Вместо предыдущего поведения отображения удаленного экрана блокировки при блокировке сеанса сеанс отключается и пользователь получает уведомление. Отключение сеанса обеспечивает следующее:

• Пользователи получают преимущества единого входа и могут повторно подключиться без запроса проверки подлинности, если это разрешено.
• Пользователи могут войти в сеанс, используя проверку подлинности без пароля, например ключи FIDO.
• Политики условного доступа, включая многофакторную проверку подлинности и частоту входа, повторно оцениваются при повторном подключении пользователя к сеансу.

Предварительные условия

Прежде чем включить единый вход, необходимо выполнить следующие предварительные требования:

• Чтобы настроить клиент Microsoft Entra, вам должна быть назначена одна из следующих встроенных ролей Microsoft Entra:

  • Администратор приложений
  • Администратор облачных приложений

• На облачных компьютерах должна быть установлена одна из следующих операционных систем с установленным накопительным обновлением:

  • Windows 11 Корпоративная с установленным накопительным пакетом обновлений 2022–10 для Windows 11 (KB5018418) или более поздней версии.
  • Windows 10 Корпоративная с установленным накопительным пакетом обновлений 2022-10 для Windows 10 (KB5018410) или более поздней версии.

• Установите пакет SDK Microsoft Graph PowerShell версии 2.9.0 или более поздней на локальном устройстве или в Azure Cloud Shell.

Включение проверки подлинности Microsoft Entra для RDP

Сначала необходимо разрешить проверку подлинности Microsoft Entra для Windows в клиенте Microsoft Entra, что позволяет выдавать маркеры доступа по протоколу RDP, позволяя пользователям входить на свои облачные компьютеры. Это изменение необходимо внести в субъекты-службы для следующих приложений Microsoft Entra:

Чтобы разрешить проверку подлинности Entra, можно использовать пакет SDK PowerShell для Microsoft Graph , чтобы создать новый объект remoteDesktopSecurityConfiguration в субъекте-службе и присвоить свойству isRemoteDesktopProtocolEnabled значение true. Вы также можете использовать API Microsoft Graph с таким средством, как Graph Explorer.

Выполните следующие действия, чтобы внести изменения с помощью PowerShell:

1. Запустите Azure Cloud Shell на портале Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.

   1. Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

   2. Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

2. Убедитесь, что вы установили пакет SDK Для Microsoft Graph PowerShell из предварительных требований. Затем импортируйте модули Проверки подлинности и приложения Microsoft Graph и подключитесь к Microsoft Graph с Application.Read.All помощью областей и Application-RemoteDesktopConfig.ReadWrite.All , выполнив следующие команды:

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Получите идентификатор объекта для каждого субъекта-службы и сохраните его в переменных, выполнив следующие команды:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Задайте для свойства isRemoteDesktopProtocolEnabled значение , true выполнив следующие команды. Выходные данные этих команд отсутствуют.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Убедитесь, что для свойства isRemoteDesktopProtocolEnabled задано значение true , выполнив следующие команды:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   Выходные данные должны выглядеть следующим образом:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Настройка целевых групп устройств

После включения проверки подлинности Microsoft Entra для RDP необходимо настроить целевые группы устройств. По умолчанию при включении единого входа пользователям предлагается пройти проверку подлинности по идентификатору Microsoft Entra и разрешить подключение к удаленному рабочему столу при запуске подключения к новому облачному компьютеру. Microsoft Entra запоминает до 15 узлов в течение 30 дней, прежде чем снова появится запрос. Если пользователь видит диалоговое окно с разрешением подключения к удаленному рабочему столу, он должен выбрать Да , чтобы подключиться.

Чтобы скрыть это диалоговое окно, необходимо создать одну или несколько групп в идентификаторе Microsoft Entra, которые содержат облачные компьютеры, а затем задать свойство для субъектов-служб для тех же приложений Microsoft Remote Desktop и Windows Cloud Login , которые использовались в предыдущем разделе для группы.

Чтобы настроить субъект-службу, используйте пакет SDK Microsoft Graph PowerShell для создания объекта targetDeviceGroup в субъекте-службе с идентификатором объекта и отображаемым именем динамической группы. Вы также можете использовать API Microsoft Graph с таким средством, как Graph Explorer.

1. Создайте динамическую группу в идентификаторе Microsoft Entra, содержащую облачные компьютеры, для которых нужно скрыть диалоговое окно. Запишите идентификатор объекта группы для следующего шага.

2. В том же сеансе PowerShell создайте targetDeviceGroup объект, выполнив следующие команды, заменив собственными <placeholders> значениями:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Добавьте группу в объект , targetDeviceGroup выполнив следующие команды:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   Выходные данные должны выглядеть примерно так:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Повторите шаги 2 и 3 для каждой группы, которую вы хотите добавить в targetDeviceGroup объект , не более 10 групп.

4. Если позже потребуется удалить группу устройств из targetDeviceGroup объекта, выполните следующие команды, заменив собственными <placeholders> значениями:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Просмотр политик условного доступа

Если единый вход включен, для проверки подлинности пользователей на облачном компьютере подается новое приложение Microsoft Entra ID. Если у вас есть политики условного доступа, которые применяются при доступе к Windows 365, ознакомьтесь с рекомендациями по настройке политик условного доступа для Windows 365, чтобы убедиться, что пользователи имеют необходимые возможности и обеспечить безопасность вашей среды.

Включение единого входа для всех облачных компьютеров в учетной записи

1. Войдите в windows365.microsoft.com с учетной записью с ролью администратора Windows 365.
2. Выберите Облачные компьютеры вашей организации, а затем — Обновить параметры организации.
3. Выберите параметр Единый вход в разделе Параметры облачного компьютера.