Richtlinien für bedingten Zugriff für Windows 365 Link

Im Rahmen der Einrichtung der Umgebung Ihres organization zur Unterstützung von Windows 365 Link müssen Sie sicherstellen, dass Ihre Richtlinien für bedingten Zugriff sowohl die Anmeldung als auch die Verbindung von Windows 365 Link Geräten unterstützen. Wenn der bedingte Zugriff zum Schutz von Ressourcen verwendet wird, die für den Zugriff auf Windows 365 Cloud-PCs verwendet werden, wie unter Festlegen von Richtlinien für bedingten Zugriff für Windows 365 beschrieben, muss auch eine andere Richtlinie für bedingten Zugriff verwendet werden, um die Benutzeraktion zum Registrieren oder Beitreten von Geräten zu schützen. Wenn diese zweite Richtlinie nicht erstellt wird, kann Windows 365 Link Authentifizierung fehlschlagen.

Führen Sie die folgenden Schritte aus, um zu entscheiden, ob Sie eine Benutzeraktionsrichtlinie benötigen:

1. Überprüfen Sie, ob Richtlinien beim Herstellen einer Verbindung mit Windows 365 Ressourcen ausgelöst werden.
2. Erstellen Sie eine neue Benutzeraktionsrichtlinie mit den gleichen Zugriffssteuerungen.

Funktionsweise der Windows 365 Link-Authentifizierung

Windows 365 Cloud-PC Geräte authentifizieren sich in zwei aufeinanderfolgenden Phasen:

1. Interaktive Anmeldung: Wenn sich der Benutzer auf dem Windows 365 Link Anmeldebildschirm anmeldet, kann er Richtlinien für bedingten Zugriff auslösen, die auf Die Aktionen Registrieren oder Beitreten von Geräten angewendet werden. Benutzern können Meldungen angezeigt oder nach stärkeren, mehrstufigen Authentifizierungsmethoden abgefragt werden. Diese Phase generiert das Token, das in der zweiten Phase verwendet wird.

2. Nicht interaktive Verbindungen mit Cloud-PC-Ressourcen mithilfe des einmaligen Anmeldens: In dieser Phase können Richtlinien für bedingten Zugriff ausgelöst werden, wenn sie auf Ressourcen wie Windows 365, Windows Cloud Login und Alle Ressourcen angewendet werden. Benutzer können in dieser Phase nicht aufgefordert oder herausgefordert werden. Wenn eine stärkere Authentifizierung erforderlich ist, wird die Verbindung unterbrochen, und dem Benutzer wird ein Fehler angezeigt, dass kein interaktives Fenster angezeigt werden kann.

Überprüfen vorhandener Richtlinien

Sie können das Was-wäre-wenn-Tool verwenden, um zu bestimmen, ob Richtlinien für bedingten Zugriff während der nicht interaktiven Verbindungsphase auf relevante Windows 365 Ressourcen angewendet werden. Dies schließt eine Richtlinie ein, die auf Alle Ressourcen (ehemals Alle Cloud-Apps) angewendet wird.

1. Melden Sie sich beim Microsoft Entra Admin Center>Protection>Conditional Access>Policies>Was wäre, wenn an.
2. Wählen Sie unter Benutzer- oder Workloadidentität einen Benutzer zum Testen aus.
3. Wählen Sie für Cloud-Apps, -Aktionen oder -Authentifizierungskontext die Option Beliebige Cloud-App aus.
4. Lassen Sie für Zieltyp auswählendie Option Cloud-App ausgewählt.
5. Wählen Sie Apps auswählen aus, und wählen Sie dann die folgenden Ressourcen aus, sofern sie verfügbar sind:
   • Windows 365 (App-ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
   • Azure Virtual Desktop (App-ID 9cdead84-a844-4324-93f2-b2e6bb768d07).
   • Windows Cloud-Anmeldung (App-ID 270efc09-cd0d-444b-a71f-39af4910ec45).
6. Wählen Sie What If aus.

Überprüfen Sie alle anzuwendenden Richtlinien , und bestimmen Sie die Zugriffssteuerungen, die zum Gewähren des Zugriffs auf diese Ressourcen und Sitzungseinstellungen verwendet werden. Beachten Sie diese Richtlinien für die Verwendung beim Erstellen der neuen Benutzeraktionsrichtlinien im nächsten Abschnitt.

Erstellen einer neuen Richtlinie für bedingten Zugriff für die interaktive Anmeldephase

Mithilfe der Informationen, die Sie aus dem Was-wäre-wenn-Tool im vorherigen Abschnitt gesammelt haben, können Sie jetzt eine neue Richtlinie für bedingten Zugriff erstellen, um dieselben Steuerelemente für die Anmeldephase zu erfordern.

1. Melden Sie sich bei der Microsoft Entra Admin Center>Schutzrichtlinien>>für bedingten Zugriff>an Neue Richtlinie
2. Benennen Sie Ihre Richtlinie. Erwägen Sie die Verwendung eines aussagekräftigen Standards für Richtliniennamen.
3. Wählen Sie unter Zuweisungen>Benutzer die Option 0 Benutzer und Gruppen ausgewählt aus.
4. Wählen Sie unter Einschließendie Option Alle Benutzer oder eine Gruppe von Benutzern aus, die sich über Windows 365 Link Geräte anmelden.
5. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen> aus, und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihres organization aus.
6. Wählen Sie unter Zielressourcen>Benutzeraktionen die Option Geräte registrieren oder beitreten aus.
7. Verwenden Sie unterZugriffssteuerungserteilung> die gleichen Steuerelemente, die sie zuvor mit dem Was-wäre-wenn-Tool gefunden haben.
8. Bestätigen Sie Ihre Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
9. Wählen Sie Erstellen aus.
10. Nachdem Sie die Einstellungen im reinen Berichtsmodus bestätigt haben, ändern Sie die Umschaltfläche Richtlinie aktivieren von Nur Bericht in Ein.

Während diese Schritte speziell zum Aktivieren der interaktiven Authentifizierung auf Windows 365 Link Geräten dienen, wird die resultierende Benutzeraktionsrichtlinie auch angewendet, wenn Benutzer Geräte registrieren oder mit Microsoft Entra ID verbinden.

Weitere Informationen zum Erstellen von Richtlinien für bedingten Zugriff für die Geräteregistrierung, einschließlich potenzieller Konflikte, finden Sie unter Anfordern der mehrstufigen Authentifizierung für die Geräteregistrierung.

Weitere Informationen zu Benutzeraktionen mit bedingtem Zugriff finden Sie unter Benutzeraktionen.

Weitere Informationen zum Erstellen von Richtlinien für bedingten Zugriff für Ressourcen, die für Windows 365 verwendet werden, finden Sie unter Festlegen von Richtlinien für bedingten Zugriff.

Nächste Schritte

Unterdrücken Sie die Eingabeaufforderung für die Zustimmung zum einmaligen Anmelden.