Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Identität eines Cloud-PCs definiert, welche Zugriffsverwaltungsdienste diesen Benutzer und cloudbasierten PC verwalten. Diese Identität definiert:
- Die Typen von Cloud-PCs, auf die der Benutzer zugreifen kann.
- Die Typen der Nicht-Cloud-PC-Ressourcen, auf die der Benutzer zugreifen kann.
Ein Gerät kann auch über eine Identität verfügen, die durch seinen Verknüpfungstyp zu Microsoft Entra ID bestimmt wird. Für ein Gerät definiert der Verknüpfungstyp Folgendes:
- Ob für das Gerät eine Sichtlinie auf einen Domänencontroller erforderlich ist.
- Wie das Gerät verwaltet wird.
- Wie sich Benutzer beim Gerät authentifizieren.
Identitätstypen
Es gibt vier Identitätstypen:
- Hybrididentität: Benutzer oder Geräte, die in lokales Active Directory Domain Services erstellt und dann mit Microsoft Entra ID synchronisiert werden.
- Reine Cloudidentität: Benutzer oder Geräte, die erstellt wurden und nur in Microsoft Entra ID vorhanden sind.
- Verbundidentität: Benutzer, die in einem Anderen als Microsoft Entra ID oder Active Directory Domain Services in einem Drittanbieter-Identitätsanbieter erstellt werden und dann mit Microsoft Entra ID verbunden sind.
- Externe Identität: Benutzer, die außerhalb Ihres Microsoft Entra Mandanten erstellt und verwaltet werden, aber in Ihren Microsoft Entra Mandanten eingeladen werden, um auf die Ressourcen Ihrer organization zuzugreifen.
Hinweis
- Windows 365 unterstützt Verbundidentitäten, wenn einmaliges Anmelden aktiviert ist.
- Windows 365 unterstützt externe Identitäten, wenn einmaliges Anmelden aktiviert ist. Informationen zu allen Anforderungen und Einschränkungen finden Sie unter Externe Identität .
Externe Identität
Die Unterstützung externer Identitäten ermöglicht es Ihnen, Benutzer in Ihren Entra ID-Mandanten einzuladen und ihnen Cloud-PCs bereitzustellen. Bei der Bereitstellung von Cloud-PCs für externe Identitäten gibt es mehrere Anforderungen und Einschränkungen:
- Anforderungen
- Cloud-PC-Betriebssystem: Auf dem Cloud-PC muss Windows 11 Enterprise Version 24H2 oder höher mit dem kumulativen Updates 2025-09 für Windows 11 (KB5065789) oder höher ausgeführt werden.
- Cloud-PC-Einbindungstyp: Der Cloud-PC muss entra eingebunden sein.
- Einmaliges Anmelden: Einmaliges Anmelden muss für den Cloud-PC konfiguriert werden.
- Windows App Client: Die externe Identität muss über die Windows App unter Windows oder in einem Webbrowser eine Verbindung herstellen.
- Lizenzierung: Stellen Sie sicher, dass externe Identitäten über die richtigen Berechtigungen für Software und Dienste auf dem Cloud-PC verfügen. Weitere Informationen finden Sie unter Windows 365 Lizenzierungsleitfaden.
- Begrenzungen
Intune Gerätekonfigurationsrichtlinien: Gerätekonfigurationsrichtlinien, die der externen Identität zugewiesen sind, werden nicht auf den Cloud-PC des Benutzers angewendet. Weisen Sie dem Gerät stattdessen Gerätekonfigurationsrichtlinien zu.
Windows 365 Government-Verfügbarkeit: Nur Windows 365 kommerziellen Editionen (Enterprise, Business und Frontline) werden unterstützt. Windows 365 Government wird nicht unterstützt.
Cloudübergreifende Einladungen: Cloudübergreifende Benutzer werden nicht unterstützt. Sie können Cloud-PCs nur für Benutzer bereitstellen, die Sie von Identitätsanbietern für soziale Netzwerke einladen, Microsoft Entra Benutzern aus der kommerziellen Microsoft Azure Cloud oder anderen Identitätsanbietern, die in Ihrem Mitarbeitermandanten registriert sind. Sie können keine Cloud-PCs für Benutzer bereitstellen, die Sie von Microsoft Azure Government oder Von 21Vianet betriebenen Microsoft Azure einladen.
Tokenschutz: Microsoft Entra gelten bestimmte Einschränkungen für den Tokenschutz für externe Identitäten. Erfahren Sie mehr über Windows App Unterstützung für den Tokenschutz nach Plattform.
Kerberos-Authentifizierung: Externe Identitäten können sich nicht mit Kerberos- oder NTLM-Protokollen bei lokalen Ressourcen authentifizieren.
Windows App-Clients: Wenn Sie die Windows App unter Windows verwenden, müssen Sie möglicherweise einen Registrierungsschlüssel auf dem Gerät festlegen, auf dem die Windows App ausgeführt wird, um die Anmeldung abzuschließen, wenn Sie nicht die neueste öffentliche Version des Clients ausführen. Erfahren Sie mehr über den erforderlichen Registrierungsschlüssel.
Microsoft 365-Apps: Sie können sich nur bei der Windows-Desktopversion der Microsoft 365-Apps anmelden, wenn:
- Der eingeladene Benutzer ist ein Entra-basiertes Konto oder ein Microsoft-Konto, das für Microsoft 365 Apps lizenziert ist.
- Der eingeladene Benutzer wird nicht für den Zugriff auf die Microsoft 365-Apps durch eine Richtlinie für bedingten Zugriff von der startseiten organization blockiert.
Unabhängig vom eingeladenen Konto können Sie auf für Sie freigegebene Microsoft 365-Dateien zugreifen, indem Sie die entsprechende Microsoft 365-App im Webbrowser des Cloud-PCs verwenden.
Unter Microsoft Entra bewährte Methoden für B2B finden Sie Empfehlungen zum Konfigurieren Ihrer Umgebung für externe Identitäten und Windows 365 Lizenzierungsleitfaden.
Geräteverbindungstypen
Es gibt zwei Verbindungstypen, zwischen denen Sie bei der Bereitstellung eines Cloud-PCs auswählen können:
- Microsoft Entra Hybrid Join: Wenn Sie diesen Jointyp auswählen, verknüpft Windows 365 Ihren Cloud-PC mit der von Ihnen bereitgestellten Windows Server Active Directory Domäne. Wenn Ihr organization dann ordnungsgemäß für Microsoft Entra Hybridjoin konfiguriert ist, wird das Gerät mit Microsoft Entra ID synchronisiert.
- Microsoft Entra Join: Wenn Sie diesen Jointyp auswählen, verknüpft Windows 365 Ihren Cloud-PC direkt mit Microsoft Entra ID.
In der folgenden Tabelle sind die wichtigsten Funktionen oder Anforderungen basierend auf dem ausgewählten Jointyp aufgeführt:
| Funktion oder Anforderung | Hybride Einbindung in Microsoft Entra | Einbindung von Microsoft Entra |
|---|---|---|
| Azure-Abonnement | Erforderlich | Optional |
| Virtuelles Azure-Netzwerk mit Sichtlinie auf den Domänencontroller | Erforderlich | Optional |
| Für die Anmeldung unterstützter Benutzeridentitätstyp | Nur Hybridbenutzer | Hybridbenutzer, reine Cloudbenutzer oder externe Identitäten |
| Richtlinienverwaltung | Gruppenrichtlinienobjekte (Group Policy Objects, GPO) oder Intune MDM | Nur Intune MDM |
| Windows Hello for Business-Anmeldung wird unterstützt | Ja, und das Verbindungsgerät muss über eine Sichtlinie über das direkte Netzwerk oder ein VPN auf den Domänencontroller verfügen | Ja |
Authentifizierung
Wenn ein Benutzer auf einen Cloud-PC zugreift, gibt es drei separate Authentifizierungsphasen:
- Clouddienstauthentifizierung: Die Authentifizierung beim Windows 365 Dienst, einschließlich des Abonnierens von Ressourcen und der Authentifizierung beim Gateway, erfolgt mit Microsoft Entra ID.
- Remotesitzungsauthentifizierung: Authentifizieren auf dem Cloud-PC. Es gibt mehrere Möglichkeiten, sich bei der Remotesitzung zu authentifizieren, einschließlich des empfohlenen einmaligen Anmeldens (Single Sign-On, SSO).
- In-Session-Authentifizierung: Authentifizieren bei Anwendungen und Websites auf dem Cloud-PC.
Um die Liste der Anmeldeinformationen anzuzeigen, die auf den verschiedenen Clients für jede Authentifizierungsphase verfügbar sind, vergleichen Sie die Clients plattformübergreifend.
Wichtig
Damit die Authentifizierung richtig funktioniert, muss der lokale Computer des Benutzers auch auf die URLs im Abschnitt Remotedesktopclients der erforderlichen URL-Liste von Azure Virtual Desktop zugreifen können.
Windows 365 bietet einmaliges Anmelden (definiert als eine einzelne Authentifizierungsaufforderung, die sowohl die Windows 365-Dienstauthentifizierung als auch die Cloud-PC-Authentifizierung erfüllen kann) als Teil des Diensts. Weitere Informationen finden Sie unter Einmaliges Anmelden.
Die folgenden Abschnitte enthalten weitere Informationen zu diesen Authentifizierungsphasen.
Clouddienstauthentifizierung
Benutzer müssen sich beim Windows 365-Dienst authentifizieren, wenn:
- Sie greifen auf windows.cloud.microsoft zu.
- Sie zu der URL navigieren, die direkt ihrem Cloud-PC zugeordnet ist.
- Sie verwenden einen unterstützten Client , um ihre Cloud-PCs aufzulisten.
Für den Zugriff auf den Windows 365-Dienst müssen sich Benutzer zunächst beim Dienst authentifizieren, indem sie sich mit einem Microsoft Entra ID-Konto anmelden.
Mehrstufige Authentifizierung
Befolgen Sie die Anweisungen unter Festlegen von Richtlinien für bedingten Zugriff, um zu erfahren, wie Sie Microsoft Entra mehrstufige Authentifizierung für Ihre Cloud-PCs erzwingen. In diesem Artikel erfahren Sie auch, wie Sie konfigurieren, wie oft Ihre Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden.
Kennwortlose Authentifizierung
Benutzer können jeden von Microsoft Entra ID unterstützten Authentifizierungstyp verwenden, z. B. Windows Hello for Business und andere kennwortlose Authentifizierungsoptionen (z. B. FIDO-Schlüssel), um sich beim Dienst zu authentifizieren.
Smart Karte-Authentifizierung
Um eine intelligente Karte für die Authentifizierung bei Microsoft Entra ID zu verwenden, müssen Sie zuerst Microsoft Entra zertifikatbasierte Authentifizierung oderAD FS für die Benutzerzertifikatauthentifizierung konfigurieren.
Identitätsanbieter von Drittanbietern
Sie können Identitätsanbieter von Drittanbietern verwenden, solange sie mit Microsoft Entra ID verbunden sind.
Remotesitzungsauthentifizierung
Wenn Sie das einmalige Anmelden noch nicht aktiviert haben und Benutzer ihre Anmeldeinformationen nicht lokal gespeichert haben, müssen sie sich beim Starten einer Verbindung auch beim Cloud-PC authentifizieren.
Einmaliges Anmelden (Single Sign-On, SSO)
Einmaliges Anmelden (Single Sign-On, SSO) ermöglicht es der Verbindung, die Eingabeaufforderung für Cloud PC-Anmeldeinformationen zu überspringen und den Benutzer automatisch über Microsoft Entra-Authentifizierung bei Windows anzumelden. Microsoft Entra-Authentifizierung bietet weitere Vorteile, einschließlich kennwortloser Authentifizierung und Unterstützung für Identitätsanbieter von Drittanbietern. Lesen Sie zunächst die Schritte zum Konfigurieren des einmaligen Anmeldens.
Wichtig
SSO muss für externe Identitäten konfiguriert werden, damit sie sich beim Cloud-PC anmelden können. Wenn SSO nicht konfiguriert ist, bleibt der Benutzer an der Authentifizierungsaufforderung der Remotesitzung hängen.
Ohne SSO fordert der Client Benutzer zur Eingabe ihrer Cloud-PC-Anmeldeinformationen für jede Verbindung auf. Die einzige Möglichkeit, die Aufforderung zu vermeiden, besteht darin, die Anmeldeinformationen auf dem Client zu speichern. Es wird empfohlen, Anmeldeinformationen nur auf sicheren Geräten zu speichern, um zu verhindern, dass andere Benutzer auf Ihre Ressourcen zugreifen.
In-Session-Authentifizierung
Nachdem Sie eine Verbindung mit Ihrem Cloud-PC hergestellt haben, werden Sie möglicherweise innerhalb der Sitzung zur Authentifizierung aufgefordert. In diesem Abschnitt wird erläutert, wie Andere Anmeldeinformationen als Benutzername und Kennwort in diesem Szenario verwendet werden.
Kennwortlose Authentifizierung ohne Sitzung
Windows 365 unterstützt die kennwortlose In-Session-Authentifizierung mit Windows Hello for Business oder Sicherheitsgeräten wie FIDO-Schlüsseln bei Verwendung des Windows Desktop-Clients. Die kennwortlose Authentifizierung wird automatisch aktiviert, wenn der Cloud-PC und der lokale PC die folgenden Betriebssysteme verwenden:
- Windows 11 Enterprise mit installiertem kumulativen Updates 2022-10 für Windows 11 (KB5018418) oder höher.
- Windows 10 Enterprise, Version 20H2 oder höher, wobei die kumulative Updates 2022-10 für Windows 10 (KB5018410) oder höher installiert ist.
Wenn diese Option aktiviert ist, werden alle WebAuthn-Anforderungen in der Sitzung an den lokalen PC umgeleitet. Sie können Windows Hello for Business oder lokal angeschlossene Sicherheitsgeräte verwenden, um den Authentifizierungsprozess abzuschließen.
Um mit Windows Hello for Business oder Sicherheitsgeräten auf Microsoft Entra-Ressourcen zuzugreifen, müssen Sie den FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode für Ihre Benutzer aktivieren. Führen Sie zum Aktivieren dieser Methode die Schritte unter Aktivieren der FIDO2-Sicherheitsschlüsselmethode aus.
In-Session Smart Karte-Authentifizierung
Um eine intelligente Karte in Ihrer Sitzung zu verwenden, stellen Sie sicher, dass Sie die Smart Karte-Treiber auf dem Cloud-PC installieren und die intelligente Karte-Umleitung im Rahmen der Verwaltung von RDP-Geräteumleitungen für Cloud-PCs zulassen. Überprüfen Sie das Clientvergleichsdiagramm, um sicherzustellen, dass Ihr Client intelligente Karte Umleitung unterstützt.