Поделиться через

Удостоверение и проверка подлинности Windows 365

Удостоверение пользователя облачного компьютера определяет, какие службы управления доступом управляют этим пользователем и облачным компьютером. Это удостоверение определяет:

  • Типы облачных компьютеров, к которым у пользователя есть доступ.
  • Типы необлачных ресурсов компьютеров, к которым у пользователя есть доступ.

Устройство также может иметь удостоверение, определяемое типом присоединения к Microsoft Entra ID. Для устройства тип соединения определяет:

  • Наличие препятствий между устройством и контроллером домена.
  • Управление устройством.
  • Проверка подлинности пользователей на устройстве.

Типы удостоверений

Существует четыре типа удостоверений:

  • Гибридное удостоверение. Пользователи или устройства, созданные в локальная служба Active Directory Доменные службы, а затем синхронизированные с Microsoft Entra ID.
  • Только облачное удостоверение. Пользователи или устройства, созданные и существующие только в Microsoft Entra ID.
  • Федеративное удостоверение. Пользователи, созданные в стороннем поставщике удостоверений, кроме Microsoft Entra ID или доменные службы Active Directory, затем объединяются с Microsoft Entra ID.
  • Внешнее удостоверение. Пользователи, созданные и управляемые за пределами клиента Microsoft Entra, но приглашенные в клиент Microsoft Entra для доступа к ресурсам вашей организации.

Примечание.

Внешнее удостоверение

Поддержка внешних удостоверений позволяет приглашать пользователей в клиент Entra ID и предоставлять им облачные компьютеры. Существует несколько требований и ограничений при предоставлении облачных компьютеров для внешних удостоверений:

  • Требования
    • Операционная система облачного компьютера. Облачный компьютер должен работать под управлением Windows 11 Корпоративная версии 24H2 или более поздней с накопительным Обновления 2025-09 для Windows 11 (KB5065789) или более поздней версии.
    • Тип присоединения к облачному компьютеру. Облачный компьютер должен быть присоединен к Entra.
    • Единый вход. Для облачного компьютера необходимо настроить единый вход .
    • Windows App клиент. Внешнее удостоверение должно подключаться из Windows App в Windows или в веб-браузере.
    • Лицензирование. Убедитесь, что внешние удостоверения имеют соответствующие права для программного обеспечения и служб на облачном компьютере. Дополнительные сведения см. в Windows 365 руководстве по лицензированию.
  • Ограничения

    • Intune политики конфигурации устройств. Политики конфигурации устройств, назначенные внешнему удостоверению, не будут применяться к облачному компьютеру пользователя. Вместо этого назначьте устройствам политики конфигурации устройств.

    • доступность Windows 365 для государственных организаций: поддерживаются только Windows 365 коммерческие выпуски (Enterprise, Business и Frontline). Windows 365 правительство не поддерживается.

    • Межоблачные приглашения: пользователи из нескольких облаков не поддерживаются. Облачные компьютеры можно предоставлять только пользователям, которые вы приглашаете от поставщиков удостоверений социальных сетей, Microsoft Entra пользователей из коммерческого облака Microsoft Azure или других поставщиков удостоверений, зарегистрированных в вашем клиенте рабочей силы. Вы не можете подготовить облачные компьютеры для пользователей, которых вы приглашаете из Microsoft Azure для государственных организаций или Microsoft Azure, управляемых 21Vianet.

    • Защита маркеров: Microsoft Entra имеет определенные ограничения для защиты маркеров для внешних удостоверений. Узнайте больше о поддержке Windows App защиты маркеров на платформе.

    • Проверка подлинности Kerberos. Внешние удостоверения не могут проходить проверку подлинности в локальных ресурсах с помощью протоколов Kerberos или NTLM.

    • Windows App клиентов. При использовании Windows App в Windows может потребоваться задать раздел реестра на устройстве с Windows App, чтобы завершить вход, если вы не используете последнюю общедоступную версию клиента. Дополнительные сведения о требуемом разделе реестра.

    • Приложения Microsoft 365. Вы можете войти в классическую версию приложений Microsoft 365 только в следующих случаях:

      1. Приглашенный пользователь является учетной записью на основе Entra или учетной записью Майкрософт, лицензированной для Приложения Microsoft 365.
      2. Приглашенный пользователь не блокирует доступ к приложениям Microsoft 365 политикой условного доступа из домашней организации.

      Независимо от приглашенной учетной записи вы можете получить доступ к файлам Microsoft 365, к которым вам предоставлен общий доступ, с помощью соответствующего приложения Microsoft 365 в веб-браузере облачного компьютера.

Рекомендации по настройке среды для внешних удостоверений и рекомендации по лицензированию Windows 365 см. в Microsoft Entra рекомендациях по B2B.

Типы соединения с устройствами

Существует два типа соединения, которые можно выбрать при подготовке облачного компьютера:

В следующей таблице показаны основные возможности или требования, основанные на выбранном типе соединения.

Возможности или требования Microsoft Entra гибридное соединение Microsoft Entra присоединение
Подписка Azure Обязательна Необязательный
Отсутствие препятствий между виртуальной сетью Azure и контроллером домена Обязательна Необязательный
Тип удостоверения пользователя, поддерживаемый для входа Только гибридные пользователи Гибридные пользователи, пользователи только в облаке или внешние удостоверения
Управление политиками Объекты групповой политики (GPO) или управление мобильными устройствами Intune Только управление мобильными устройствами Intune
Поддерживается вход в Windows Hello для бизнеса Да, и между подключающимся устройством и контроллером домена не должно быть препятствий через прямую сеть или VPN Да

Проверка подлинности

Когда пользователь обращается к облачному компьютеру, существует три отдельных этапа проверки подлинности:

  • Проверка подлинности облачной службы. Проверка подлинности в службе Windows 365, которая включает подписку на ресурсы и проверку подлинности шлюза, выполняется с помощью Microsoft Entra ID.
  • Проверка подлинности удаленного сеанса: проверка подлинности на облачном компьютере. Существует несколько способов проверки подлинности в удаленном сеансе, включая рекомендуемый единый вход .
  • Проверка подлинности в сеансе. Проверка подлинности приложений и веб-сайтов на облачном компьютере.

Чтобы получить список учетных данных, доступных на разных клиентах для каждого этапа проверки подлинности, сравните клиенты на разных платформах.

Важно!

Для правильной работы проверки подлинности локальный компьютер пользователя также должен иметь доступ к URL-адресам в разделе Клиенты удаленных рабочих столовсписка обязательных URL-адресов Виртуального рабочего стола Azure.

Windows 365 предлагает единый вход (определяется как единый запрос на проверку подлинности, который может удовлетворить как проверку подлинности службы Windows 365, так и проверку подлинности облачного компьютера) в рамках службы. Дополнительные сведения см. в статье Единый вход.

В следующих разделах содержатся дополнительные сведения об этих этапах проверки подлинности.

Проверка подлинности облачной службы

Пользователи должны проходить проверку подлинности с помощью службы Windows 365 в следующих случаях:

  • Они получают доступ к windows.cloud.microsoft.
  • Они переходят по URL-адресу, который напрямую связан с их облачным компьютером.
  • Они используют поддерживаемый клиент для перечисления своих облачных компьютеров.

Чтобы получить доступ к службе Windows 365, пользователи должны сначала пройти проверку подлинности в службе, выполнив вход с помощью учетной записи Microsoft Entra ID.

Многофакторная проверка подлинности

Следуйте инструкциям в разделе Настройка политик условного доступа, чтобы узнать, как применить Microsoft Entra многофакторной проверки подлинности для облачных компьютеров. В этой статье также показано, как настроить частоту запроса пользователей на ввод учетных данных.

Проверка подлинности без пароля

Для проверки подлинности в службе пользователи могут использовать любой тип проверки подлинности, поддерживаемый Microsoft Entra ID, например Windows Hello для бизнеса и другие параметры проверки подлинности без пароля (например, ключи FIDO).

Проверка подлинности интеллектуальной карта

Чтобы использовать смарт-карта для проверки подлинности для Microsoft Entra ID, необходимо сначала настроить проверку подлинности на основе сертификата Microsoft Entra или настроить AD FS для проверки подлинности на основе сертификата пользователя.

Сторонние поставщики удостоверений

Вы можете использовать сторонние поставщики удостоверений при условии, что они федеративны с Microsoft Entra ID.

Проверка подлинности удаленного сеанса

Если единый вход еще не включен и пользователи не сохранили учетные данные локально, им также необходимо пройти проверку подлинности на облачном компьютере при запуске подключения.

Единый вход (SSO)

Единый вход (SSO) позволяет подключению пропускать запрос учетных данных Cloud PC и автоматически входить в Windows с помощью Microsoft Entra проверки подлинности. Microsoft Entra проверка подлинности предоставляет другие преимущества, включая проверку подлинности без пароля и поддержку сторонних поставщиков удостоверений. Чтобы приступить к работе, ознакомьтесь с инструкциями по настройке единого входа.

Важно!

Для входа на облачный компьютер необходимо настроить единый вход для внешних удостоверений. Если единый вход не настроен, пользователь зависнет в запросе на проверку подлинности удаленного сеанса.

Без единого входа клиент запрашивает у пользователей учетные данные облачного компьютера для каждого подключения. Единственный способ избежать запроса — сохранить учетные данные в клиенте. Рекомендуется сохранять учетные данные только на защищенных устройствах, чтобы запретить другим пользователям доступ к вашим ресурсам.

Проверка подлинности в сеансе

После подключения к облачному компьютеру может появиться запрос на проверку подлинности внутри сеанса. В этом разделе объясняется, как использовать в этом сценарии учетные данные, отличные от имени пользователя и пароля.

Проверка подлинности без пароля в сеансе

Windows 365 поддерживает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO, при использовании классического клиента Windows. Проверка подлинности без пароля включается автоматически, если облачный компьютер и локальный компьютер используют следующие операционные системы:

Если этот параметр включен, все запросы WebAuthn в сеансе перенаправляются на локальный компьютер. Для завершения процесса проверки подлинности можно использовать Windows Hello для бизнеса или подключенные локально устройства безопасности.

Чтобы получить доступ к ресурсам Microsoft Entra с помощью Windows Hello для бизнеса или устройств безопасности, необходимо включить ключ безопасности FIDO2 в качестве метода проверки подлинности для пользователей. Чтобы включить этот метод, выполните действия, описанные в разделе Включение метода ключа безопасности FIDO2.

Проверка подлинности интеллектуальной карта в сеансе

Чтобы использовать интеллектуальный карта в сеансе, установите драйверы смарт-карта на облачном компьютере и разрешите перенаправление интеллектуальной карта в рамках управления перенаправлениями устройств RDP для облачных компьютеров. Просмотрите таблицу сравнения клиентов, чтобы убедиться, что клиент поддерживает перенаправление интеллектуального карта.

Дальнейшие действия

Узнайте о жизненном цикле облачного компьютера.

  • Last updated on