Beleid voor voorwaardelijke toegang voor Windows 365 Link

Als onderdeel van het instellen van de omgeving van uw organisatie ter ondersteuning van Windows 365 Link, moet u ervoor zorgen dat uw beleid voor voorwaardelijke toegang geschikt is voor zowel aanmelding via als verbinding vanaf Windows 365 Link apparaten. Als voorwaardelijke toegang wordt gebruikt om resources te beveiligen die worden gebruikt voor toegang tot Windows 365 Cloud-pc's, zoals beschreven in Beleid voor voorwaardelijke toegang instellen voor Windows 365, moet ook een ander beleid voor voorwaardelijke toegang worden gebruikt om de gebruikersactie te beveiligen voor het registreren of koppelen van apparaten. Als u dit tweede beleid niet maakt, kan Windows 365 Link-verificatie mislukken.

Voer de volgende stappen uit om te bepalen of u een gebruikersactiebeleid nodig hebt:

1. Controleer of er beleidsregels worden geactiveerd wanneer u verbinding maakt met Windows 365 resources.
2. Maak een nieuw gebruikersactiebeleid met dezelfde besturingselementen voor toegang.

Hoe Windows 365 Link verificatie werkt

Windows 365 Cloud-pc apparaten worden in twee opeenvolgende fasen geverifieerd:

1. Interactieve aanmelding: wanneer de gebruiker zich aanmeldt op het Windows 365 Link aanmeldingsscherm, kan het beleid voor voorwaardelijke toegang activeren dat wordt toegepast op acties voor registreren of toevoegen aan apparaten. Gebruikers kunnen berichten zien of worden uitgedaagd voor sterkere, meervoudige verificatiemethoden. In deze fase wordt het token gegenereerd dat wordt gebruikt in de tweede fase.

2. Niet-interactieve verbindingen met cloud-pc-resources met behulp van eenmalige aanmelding: deze fase kan beleid voor voorwaardelijke toegang activeren als ze worden toegepast op resources zoals Windows 365, Windows Cloud-aanmelding en Alle resources. Gebruikers kunnen in deze fase niet worden gevraagd of aangeroepen. Als sterkere verificatie nodig is, wordt de verbinding onderbroken en krijgt de gebruiker een fout te zien dat er geen interactief venster kan worden weergegeven.

Bestaand beleid controleren

U kunt het hulpprogramma What if gebruiken om te bepalen of beleid voor voorwaardelijke toegang wordt toegepast op relevante Windows 365 resources tijdens de niet-interactieve verbindingsfase. Dit omvat een beleid dat wordt toegepast op Alle resources (voorheen Alle cloud-apps).

1. Meld u aan bij het Microsoft Entra-beheercentrum>Beveiligingsbeleid>> voorvoorwaardelijke toegang>Wat als.
2. Selecteer voor Identiteit van gebruiker of workload een gebruiker waarmee u wilt testen.
3. Voor Cloud-apps, -acties of -verificatiecontext selecteert u Elke cloud-app.
4. Laat Bij Doeltype selecterenCloud-app geselecteerd.
5. Selecteer Apps selecteren en selecteer vervolgens de volgende resources, als deze beschikbaar zijn:
   • Windows 365 (app-id 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
   • Azure Virtual Desktop (app-id 9cdead84-a844-4324-93f2-b2e6bb768d07).
   • Aanmelding bij Windows Cloud (app-id 270efc09-cd0d-444b-a71f-39af4910ec45).
6. Selecteer Wat als.

Controleer elk van de beleidsregels die van toepassing zijn en bepaal de toegangsbeheeropties die worden gebruikt om toegang te verlenen tot deze resources en sessie-instellingen. Noteer deze beleidsregels voor gebruik bij het maken van het nieuwe gebruikersactiebeleid in de volgende sectie.

Nieuw beleid voor voorwaardelijke toegang maken voor interactieve aanmeldingsfase

Met behulp van de informatie die u hebt verzameld via het what if-hulpprogramma in de vorige sectie, kunt u nu een nieuw beleid voor voorwaardelijke toegang maken om dezelfde besturingselementen te vereisen voor de aanmeldingsfase.

1. Meld u aan bij het Microsoft Entra-beheercentrum> Beleid voorvoorwaardelijke toegang>>beveiligen>Nieuw beleid
2. Geef uw beleid een naam. Overweeg het gebruik van een zinvolle standaard voor beleidsnamen.
3. Selecteer onder Toewijzingen>gebruikers0 gebruikers en groepen geselecteerd.
4. Selecteer onder Opnemende optie Alle gebruikers of selecteer een groep gebruikers die zich aanmeldt via Windows 365 Link apparaten.
5. Selecteer onder Uitsluitende optie Gebruikers en groepen> de accounts voor noodtoegang of break-glass van uw organisatie.
6. Selecteer onder Doelresources>Gebruikersactiesde optie Apparaten registreren of toevoegen.
7. Gebruik onder Toegangsbeheer>verlenen dezelfde besturingselementen die u eerder hebt gevonden met het hulpprogramma What If .
8. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
9. Selecteer Maken.
10. Nadat u de instellingen in de modus Alleen rapporteren hebt bevestigd, wijzigt u de wisselknop Beleid inschakelen van Alleen rapporteren in Aan.

Hoewel deze stappen specifiek zijn voor het inschakelen van interactieve verificatie op Windows 365 Link apparaten, wordt het resulterende gebruikersactiebeleid ook toegepast wanneer gebruikers apparaten registreren of toevoegen aan Microsoft Entra ID.

Zie Meervoudige verificatie vereisen voor apparaatregistratie voor meer informatie over het maken van beleid voor voorwaardelijke toegang voor apparaatregistratie, inclusief mogelijke conflicten.

Zie Gebruikersacties voor meer informatie over gebruikersacties met voorwaardelijke toegang.

Zie Beleid voor voorwaardelijke toegang instellen voor meer informatie over het maken van beleid voor voorwaardelijke toegang voor resources die worden gebruikt voor Windows 365.

Volgende stappen

Vraag om toestemming voor eenmalige aanmelding te onderdrukken.