Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’identité d’un utilisateur PC Cloud définit les services de gestion d’accès qui gèrent cet utilisateur et le PC cloud Cette identité définit :
- Types de PC Cloud accessibles par l’utilisateur.
- Types de ressources PC non cloud auxquelles l’utilisateur a accès.
Un appareil peut également avoir une identité déterminée par son type de jointure pour Microsoft Entra ID. Pour un appareil, le type de jointage définit :
- Si l’appareil nécessite une ligne de vision pour un contrôleur de domaine
- Gestion de l’appareil
- Comment les utilisateurs s’authentifient-ils sur l’appareil ?
Types d’identité
Il existe quatre types d’identité :
- Identité hybride : utilisateurs ou appareils créés dans Active Directory local Domain Services, puis synchronisés avec Microsoft Entra ID.
- Identité cloud uniquement : utilisateurs ou appareils créés et n’existent que dans Microsoft Entra ID.
- Identité fédérée : utilisateurs créés dans un fournisseur d’identité tiers, autre que Microsoft Entra ID ou services de domaine Active Directory, puis fédérés avec Microsoft Entra ID.
- Identité externe : les utilisateurs qui sont créés et gérés en dehors de votre locataire Microsoft Entra, mais qui sont invités à accéder à votre locataire Microsoft Entra pour accéder aux ressources de votre organization.
Remarque
- Windows 365 prend en charge les identités fédérées lorsque l’authentification unique est activée.
- Windows 365 prend en charge les identités externes lorsque l’authentification unique est activée. Consultez Identité externe pour connaître toutes les exigences et limitations.
Identité externe
La prise en charge des identités externes vous permet d’inviter des utilisateurs à votre locataire Entra ID et de leur fournir des PC cloud. Il existe plusieurs exigences et limitations lors de la fourniture de PC cloud à des identités externes :
- Configuration requise
- Système d’exploitation pc cloud : le PC cloud doit exécuter Windows 11 Entreprise versions 24H2 ou ultérieures avec la Mises à jour cumulative 2025-09 pour Windows 11 (KB5065789) ou une version ultérieure installée.
- Type de jointure de PC cloud : le PC cloud doit être joint à Entra.
- Authentification unique : l’authentification unique doit être configurée pour le PC Cloud.
- Windows App client : l’identité externe doit se connecter à partir du Windows App sur Windows ou un navigateur web.
- Licences : assurez-vous que les identités externes disposent des droits appropriés pour les logiciels et les services sur le PC cloud. Pour plus d’informations, consultez Windows 365 guide de gestion des licences.
- Limitations
Intune stratégies de configuration d’appareil : les stratégies de configuration d’appareil affectées à l’identité externe ne sont pas appliquées au PC cloud de l’utilisateur. Au lieu de cela, affectez des stratégies de configuration d’appareil à l’appareil.
Disponibilité Windows 365 secteur public : seules les éditions commerciales Windows 365 (Entreprise, Entreprise et Première ligne) sont prises en charge. Windows 365 Government n’est pas pris en charge.
Invitations intercloud : les utilisateurs multicloud ne sont pas pris en charge. Vous pouvez uniquement fournir des PC cloud aux utilisateurs que vous invitez à partir de fournisseurs d’identité sociale, Microsoft Entra d’utilisateurs du cloud commercial Microsoft Azure ou d’autres fournisseurs d’identité inscrits dans votre locataire du personnel. Vous ne pouvez pas approvisionner des PC cloud pour les utilisateurs que vous invitez à partir de Microsoft Azure Government ou microsoft Azure gérés par 21Vianet.
Protection des jetons : Microsoft Entra présente certaines limitations pour la protection des jetons pour les identités externes. En savoir plus sur Windows App prise en charge de la protection des jetons par plateforme.
Authentification Kerberos : les identités externes ne peuvent pas s’authentifier auprès des ressources locales à l’aide des protocoles Kerberos ou NTLM.
Windows App clients : lorsque vous utilisez le Windows App sur Windows, vous devrez peut-être définir une clé de Registre sur l’appareil exécutant le Windows App pour terminer la connexion si vous n’exécutez pas la dernière version publique du client. En savoir plus sur la clé de Registre requise.
Applications Microsoft 365 : vous pouvez uniquement vous connecter à la version de bureau Windows des applications Microsoft 365 si :
- L’utilisateur invité est un compte Entra ou un compte Microsoft disposant d’une licence pour Microsoft 365 Apps.
- L’utilisateur invité n’est pas empêché d’accéder aux applications Microsoft 365 par une stratégie d’accès conditionnel à partir du organization d’accueil.
Quel que soit le compte invité, vous pouvez accéder aux fichiers Microsoft 365 partagés avec vous à l’aide de l’application Microsoft 365 appropriée dans le navigateur web du PC cloud.
Consultez Microsoft Entra bonnes pratiques B2B pour obtenir des recommandations sur la configuration de votre environnement pour les identités externes et des conseils de gestion des licences Windows 365.
Types de jointage d’appareil
Vous pouvez choisir parmi deux types de jointage lors de la mise en service d’un PC Cloud :
- jointure hybride Microsoft Entra : si vous choisissez ce type de jointure, Windows 365 joint votre PC cloud au domaine Windows Server Active Directory que vous fournissez. Ensuite, si votre organization est correctement configuré pour Microsoft Entra jointure hybride, l’appareil est synchronisé avec Microsoft Entra ID.
- jointure Microsoft Entra : si vous choisissez ce type de jointure, Windows 365 joint directement votre PC cloud à Microsoft Entra ID.
Le tableau suivant présente les principales fonctionnalités ou exigences en fonction du type de jointure sélectionné :
| Capacité ou exigence | Jonction Microsoft Entra hybride | Jonction Microsoft Entra |
|---|---|---|
| Abonnement Azure | Obligatoire | Facultatif |
| Réseau virtuel Azure avec une ligne de vision pour le contrôleur de domaine | Obligatoire | Facultatif |
| Type d’identité utilisateur pris en charge pour la connexion | Utilisateurs hybrides uniquement | Utilisateurs hybrides, utilisateurs cloud uniquement ou identités externes |
| Gestion des stratégies | Objets de stratégie de groupe (GPO) ou GM Intune | Intune MDM uniquement |
| Connexion Windows Hello entreprise prise en charge | Oui, et l’appareil de connexion doit être en ligne de vue du contrôleur de domaine via le réseau direct ou un VPN. | Oui |
Authentification
Lorsqu’un utilisateur accède à un PC cloud, il existe trois phases d’authentification distinctes :
- Authentification du service cloud : l’authentification auprès du service Windows 365, qui inclut l’abonnement aux ressources et l’authentification auprès de la passerelle, s’effectue avec Microsoft Entra ID.
- Authentification de session à distance : Authentification auprès du PC cloud. Il existe plusieurs façons de s’authentifier auprès de la session à distance, notamment l’authentification unique (SSO) recommandée.
- Authentification en session : Authentification auprès des applications et des sites web dans le PC cloud.
Pour obtenir la liste des informations d’identification disponibles sur les différents clients pour chaque phase d’authentification, comparez les clients entre les plateformes.
Importante
Pour que l’authentification fonctionne correctement, l’ordinateur local de l’utilisateur doit également être en mesure d’accéder aux URL dans la section Clients du bureau à distance de la liste d’URL requise d’Azure Virtual Desktop.
Windows 365 offre l’authentification unique (définie comme une invite d’authentification unique qui peut satisfaire à la fois l’authentification du service Windows 365 et l’authentification du PC cloud) dans le cadre du service. Pour plus d’informations, consultez Authentification unique.
Les sections suivantes fournissent plus d’informations sur ces phases d’authentification.
Authentification du service cloud
Les utilisateurs doivent s’authentifier auprès Windows service 365 lorsque :
- Ils accèdent à windows.cloud.microsoft.
- Ils naviguent jusqu’à l’URL qui est muée directement sur leur PC Cloud.
- Ils utilisent un client pris en charge pour répertorier leurs PC cloud.
Pour accéder au service Windows 365, les utilisateurs doivent d’abord s’authentifier auprès du service en se connectant avec un compte Microsoft Entra ID.
Authentification multifacteur
Suivez les instructions fournies dans Définir des stratégies d’accès conditionnel pour savoir comment appliquer Microsoft Entra’authentification multifacteur pour vos PC cloud. Cet article vous explique également comment configurer la fréquence à laquelle vos utilisateurs sont invités à entrer leurs informations d’identification.
Authentification sans mot de passe
Les utilisateurs peuvent utiliser n’importe quel type d’authentification pris en charge par Microsoft Entra ID, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, les clés FIDO), pour s’authentifier auprès du service.
Authentification carte intelligente
Pour utiliser une carte intelligente pour vous authentifier auprès de Microsoft Entra ID, vous devez d’abord configurer Microsoft Entra’authentification basée sur les certificats ou configurer AD FS pour l’authentification par certificat utilisateur.
Fournisseurs d’identité tiers
Vous pouvez utiliser des fournisseurs d’identité tiers tant qu’ils se fédèrent avec Microsoft Entra ID.
Authentification de session à distance
Si vous n’avez pas encore activé l’authentification unique et que les utilisateurs n’ont pas enregistré leurs informations d’identification localement, ils doivent également s’authentifier sur le PC cloud lors du lancement d’une connexion.
Authentification unique (SSO)
L’authentification unique (SSO) permet à la connexion d’ignorer l’invite d’informations d’identification du PC cloud et de connecter automatiquement l’utilisateur à Windows via l’authentification Microsoft Entra. l’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers. Pour commencer, passez en revue les étapes de configuration de l’authentification unique.
Importante
L’authentification unique doit être configurée pour que les identités externes se connectent au PC cloud. Si l’authentification unique n’est pas configurée, l’utilisateur est bloqué à l’invite d’authentification de session à distance.
Sans authentification unique, le client invite les utilisateurs à entrer leurs informations d’identification de PC cloud pour chaque connexion. La seule façon d’éviter d’être invité consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer uniquement les informations d’identification sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Authentification en session
Une fois que vous vous êtes connecté à votre PC cloud, vous pouvez être invité à fournir l’authentification dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Windows 365 prend en charge l’authentification sans mot de passe dans la session à l’aide de Windows Hello Entreprise ou d’appareils de sécurité tels que les clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement lorsque le PC cloud et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 Entreprise la Mises à jour cumulative 2022-2010 pour Windows 11 (KB5018418) ou ultérieure installée.
- Windows 10 Entreprise, versions 20H2 ou ultérieures avec la Mises à jour cumulative 2022-2010 pour Windows 10 (KB5018410) ou ultérieure installée.
Quand cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour terminer le processus d’authentification.
Pour accéder à Microsoft Entra ressources avec des Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes décrites dans Activer la méthode de clé de sécurité FIDO2.
Authentification carte intelligente dans la session
Pour utiliser une carte intelligente dans votre session, veillez à installer les pilotes smart carte sur le PC cloud et à autoriser la redirection carte intelligente dans le cadre de la gestion des redirections d’appareils RDP pour les PC cloud. Passez en revue le graphique de comparaison des clients pour vous assurer que votre client prend en charge la redirection carte intelligente.