Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De identiteit van een cloud-pc-gebruiker definieert welke services voor toegangsbeheer die gebruiker en cloud-pc beheren. Deze identiteit definieert:
- De typen cloud-pc's waar de gebruiker toegang toe heeft.
- De typen niet-cloud-pc-resources waar de gebruiker toegang toe heeft.
Een apparaat kan ook een identiteit hebben die wordt bepaald door het jointype om te Microsoft Entra ID. Voor een apparaat definieert het jointype:
- Als het apparaat een gezichtslijn naar een domeincontroller vereist.
- Hoe het apparaat wordt beheerd.
- Hoe gebruikers zich verifiëren bij het apparaat.
Identiteitstypen
Er zijn vier identiteitstypen:
- Hybride identiteit: gebruikers of apparaten die zijn gemaakt in on-premises Active Directory Domeinservices en vervolgens worden gesynchroniseerd met Microsoft Entra ID.
- Cloudidentiteit: gebruikers of apparaten die zijn gemaakt en alleen bestaan in Microsoft Entra ID.
- Federatieve identiteit: gebruikers die zijn gemaakt in een externe id-provider, anders dan Microsoft Entra ID of Active Directory Domain Services, die vervolgens worden gefedereerd met Microsoft Entra ID.
- Externe identiteit: gebruikers die buiten uw Microsoft Entra tenant worden gemaakt en beheerd, maar worden uitgenodigd voor uw Microsoft Entra tenant om toegang te krijgen tot de resources van uw organisatie.
Opmerking
- Windows 365 ondersteunt federatieve identiteiten wanneer eenmalige aanmelding is ingeschakeld.
- Windows 365 ondersteunt externe identiteiten wanneer eenmalige aanmelding is ingeschakeld. Zie externe identiteit voor alle vereisten en beperkingen.
Externe identiteit
Met ondersteuning voor externe identiteit kunt u gebruikers uitnodigen voor uw Entra ID-tenant en deze cloud-pc's bieden. Er gelden verschillende vereisten en beperkingen bij het leveren van cloud-pc's aan externe identiteiten:
- Vereisten
- Cloud-pc-besturingssysteem: op de cloud-pc moet Windows 11 Enterprise, versie 24H2 of hoger met cumulatieve Updates 2025-09 voor Windows 11 (KB5065789) of hoger zijn geïnstalleerd.
- Koppelingstype voor cloud-pc's: De cloud-pc moet entra-gekoppeld zijn.
- Eenmalige aanmelding: Eenmalige aanmelding moet zijn geconfigureerd voor de cloud-pc .
- Windows App-client: de externe identiteit moet verbinding maken vanuit de Windows App in Windows of een webbrowser.
- Licentieverlening: zorg ervoor dat externe identiteiten de juiste rechten hebben voor software en services op de cloud-pc. Zie Windows 365 licentierichtlijnen voor meer informatie.
- Beperkingen
Intune apparaatconfiguratiebeleid: Apparaatconfiguratiebeleid dat is toegewezen aan de externe identiteit, wordt niet toegepast op de cloud-pc van de gebruiker. Wijs in plaats daarvan apparaatconfiguratiebeleid toe aan het apparaat.
Windows 365 government beschikbaar: alleen Windows 365 commerciële edities (Enterprise, Business en Frontline) worden ondersteund. Windows 365 Government wordt niet ondersteund.
Uitnodigingen voor meerdere clouds: gebruikers in meerdere clouds worden niet ondersteund. U kunt cloud-pc's alleen aanbieden aan gebruikers die u uitnodigt van sociale id-providers, Microsoft Entra gebruikers van de commerciële cloud van Microsoft Azure of andere id-providers die zijn geregistreerd in uw personeelstenant. U kunt geen cloud-pc's inrichten voor gebruikers die u uitnodigt vanuit Microsoft Azure Government of Microsoft Azure beheerd door 21Vianet.
Tokenbeveiliging: Microsoft Entra heeft bepaalde beperkingen voor tokenbeveiliging voor externe identiteiten. Meer informatie over Windows App ondersteuning voor tokenbeveiliging per platform.
Kerberos-verificatie: externe identiteiten kunnen niet worden geverifieerd bij on-premises resources met behulp van Kerberos- of NTLM-protocollen.
Windows App clients: wanneer u de Windows App in Windows gebruikt, moet u mogelijk een registersleutel instellen op het apparaat waarop de Windows App wordt uitgevoerd om de aanmelding te voltooien als u niet de meest recente openbare versie van de client uitvoert. Meer informatie over de vereiste registersleutel.
Microsoft 365-apps: u kunt zich alleen aanmelden bij de Windows-bureaubladversie van de Microsoft 365-apps als:
- De uitgenodigde gebruiker is een op Entra gebaseerd account of een Microsoft-account met een licentie voor Microsoft 365-apps.
- De uitgenodigde gebruiker wordt niet geblokkeerd voor toegang tot de Microsoft 365-apps door een beleid voor voorwaardelijke toegang van de thuisorganisatie.
Ongeacht het uitgenodigde account hebt u toegang tot Microsoft 365-bestanden die met u worden gedeeld met behulp van de juiste Microsoft 365-app in de webbrowser van de cloud-pc.
Zie Microsoft Entra best practices voor B2B voor aanbevelingen voor het configureren van uw omgeving voor externe identiteiten en Windows 365 licentierichtlijnen.
Typen apparaatdeelname
Er zijn twee jointypen waaruit u kunt kiezen bij het inrichten van een cloud-pc:
- Microsoft Entra Hybrid Join: als u dit type join kiest, voegt Windows 365 uw cloud-pc toe aan het Windows Server Active Directory domein dat u opgeeft. Als uw organisatie vervolgens juist is geconfigureerd voor Microsoft Entra hybrid join, wordt het apparaat gesynchroniseerd met Microsoft Entra ID.
- Microsoft Entra Deelnemen: als u dit type join kiest, Windows 365 uw Cloud-pc rechtstreeks aan Microsoft Entra ID.
In de volgende tabel ziet u de belangrijkste mogelijkheden of vereisten op basis van het geselecteerde jointype:
| Mogelijkheid of vereiste | hybride koppeling Microsoft Entra | Microsoft Entra deelnemen |
|---|---|---|
| Azure-abonnement | Vereist | Optioneel |
| Azure virtueel netwerk met zicht op de domeincontroller | Vereist | Optioneel |
| Gebruikersidentiteitstype ondersteund voor aanmelding | Alleen hybride gebruikers | Hybride gebruikers, cloudgebruikers of externe identiteiten |
| Beleidsbeheer | groepsbeleid Objects (GPO) of Intune MDM | alleen MDM Intune |
| Windows Hello voor Bedrijven aanmelding wordt ondersteund | Ja, en het verbindingsapparaat moet zicht hebben op de domeincontroller via het directe netwerk of een VPN | Ja |
Verificatie
Wanneer een gebruiker toegang heeft tot een cloud-pc, zijn er drie afzonderlijke verificatiefasen:
- Verificatie van cloudservices: verificatie bij de Windows 365-service, waaronder het abonneren op resources en verificatie bij de gateway, is met Microsoft Entra ID.
- Externe sessieverificatie: verificatie bij de cloud-pc. Er zijn meerdere manieren om te verifiëren bij de externe sessie, waaronder de aanbevolen eenmalige aanmelding (SSO).
- Verificatie in sessie: verificatie bij toepassingen en websites in de cloud-pc.
Voor de lijst met referenties die beschikbaar zijn op de verschillende clients voor elk van de verificatiefase, vergelijkt u de clients op verschillende platforms.
Belangrijk
Verificatie werkt alleen goed als de lokale computer van de gebruiker ook toegang heeft tot de URL's in de sectie Extern bureaublad-clients van de lijst met vereiste URL's van Azure Virtual Desktop.
Windows 365 biedt eenmalige aanmelding (gedefinieerd als één verificatieprompt die kan voldoen aan zowel de Windows 365-serviceverificatie als cloud-pc-verificatie) als onderdeel van de service. Zie Eenmalige aanmelding voor meer informatie.
De volgende secties bevatten meer informatie over deze verificatiefasen.
Cloudserviceverificatie
Gebruikers moeten zich verifiëren bij de Windows 365-service wanneer:
- Ze hebben toegang tot windows.cloud.microsoft.
- Ze navigeren naar de URL die rechtstreeks aan hun cloud-pc wordt toegewezen.
- Ze gebruiken een ondersteunde client om hun cloud-pc's weer te geven.
Voor toegang tot de Windows 365-service moeten gebruikers zich eerst verifiëren bij de service door zich aan te melden met een Microsoft Entra ID-account.
Meervoudige verificatie
Volg de instructies in Beleid voor voorwaardelijke toegang instellen voor meer informatie over het afdwingen van Microsoft Entra meervoudige verificatie voor uw cloud-pc's. In dit artikel wordt ook uitgelegd hoe u kunt configureren hoe vaak uw gebruikers worden gevraagd hun referenties in te voeren.
Verificatie zonder wachtwoord
Gebruikers kunnen elk verificatietype gebruiken dat wordt ondersteund door Microsoft Entra ID, zoals Windows Hello voor Bedrijven en andere verificatieopties zonder wachtwoord (bijvoorbeeld FIDO-sleutels), om zich bij de service te verifiëren.
Smartcardverificatie
Als u een smartcard wilt gebruiken om te verifiëren bij Microsoft Entra ID, moet u eerst Microsoft Entra verificatie op basis van certificaten configureren of AD FS configureren voor verificatie van gebruikerscertificaten.
Id-providers van derden
U kunt id-providers van derden gebruiken zolang ze federatief zijn met Microsoft Entra ID.
Externe sessieverificatie
Als u eenmalige aanmelding nog niet hebt ingeschakeld en gebruikers hun referenties nog niet lokaal hebben opgeslagen, moeten ze zich ook verifiëren bij de cloud-pc bij het starten van een verbinding.
Eenmalige aanmelding (SSO)
Met eenmalige aanmelding (SSO) kan de verbinding de referentieprompt voor cloud-pc's overslaan en de gebruiker automatisch aanmelden bij Windows via Microsoft Entra-verificatie. Microsoft Entra verificatie biedt andere voordelen, waaronder verificatie zonder wachtwoord en ondersteuning voor id-providers van derden. Bekijk de stappen voor het configureren van eenmalige aanmelding om aan de slag te gaan.
Belangrijk
Eenmalige aanmelding moet worden geconfigureerd voor externe identiteiten om u aan te melden bij de cloud-pc. Als eenmalige aanmelding niet is geconfigureerd, blijft de gebruiker hangen bij de verificatieprompt voor externe sessies.
Zonder eenmalige aanmelding vraagt de client gebruikers om hun cloud-pc-referenties voor elke verbinding. De enige manier om te voorkomen dat u wordt gevraagd, is door de referenties op te slaan in de client. U wordt aangeraden alleen referenties op te slaan op beveiligde apparaten om te voorkomen dat andere gebruikers toegang hebben tot uw resources.
Verificatie in sessie
Nadat u verbinding hebt gemaakt met uw cloud-pc, wordt u mogelijk gevraagd om verificatie binnen de sessie. In deze sectie wordt uitgelegd hoe u in dit scenario andere referenties dan gebruikersnaam en wachtwoord gebruikt.
Verificatie zonder wachtwoord in sessie
Windows 365 ondersteunt verificatie zonder wachtwoord in de sessie met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels bij gebruik van de Windows Desktop-client. Verificatie zonder wachtwoord wordt automatisch ingeschakeld wanneer de cloud-pc en lokale pc de volgende besturingssystemen gebruiken:
- Windows 11 Enterprise met de cumulatieve Updates 2022-10 voor Windows 11 (KB5018418) of hoger geïnstalleerd.
- Windows 10 Enterprise versie 20H2 of hoger met de cumulatieve Updates 2022-10 voor Windows 10 (KB5018410) of hoger geïnstalleerd.
Wanneer deze optie is ingeschakeld, worden alle WebAuthn-aanvragen in de sessie omgeleid naar de lokale pc. U kunt Windows Hello voor Bedrijven of lokaal gekoppelde beveiligingsapparaten gebruiken om het verificatieproces te voltooien.
Voor toegang tot Microsoft Entra resources met Windows Hello voor Bedrijven- of beveiligingsapparaten moet u de FIDO2-beveiligingssleutel inschakelen als verificatiemethode voor uw gebruikers. Volg de stappen in FIDO2-beveiligingssleutelmethode inschakelen om deze methode in te schakelen.
Smartcardverificatie in sessie
Als u een smartcard in uw sessie wilt gebruiken, moet u de stuurprogramma's voor smartcards installeren op de cloud-pc en smartcardomleiding toestaan als onderdeel van het beheren van RDP-apparaatomleidingen voor cloud-pc's. Bekijk het clientvergelijkingsdiagram om te controleren of uw client smartcardomleiding ondersteunt.