Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tożsamość użytkownika komputera w chmurze określa, które usługi zarządzania dostępem zarządzają tym użytkownikiem i komputerem w chmurze. Ta tożsamość definiuje:
- Typy komputerów w chmurze, do których użytkownik ma dostęp.
- Typy zasobów komputera spoza chmury, do które użytkownik ma dostęp.
Urządzenie może również mieć tożsamość określoną przez typ sprzężenia, aby Tożsamość Microsoft Entra. Dla urządzenia typ sprzężenia definiuje:
- Jeśli urządzenie wymaga kontaktu wzrokowego z kontrolerem domeny.
- Jak zarządzane jest urządzenie.
- Jak użytkownicy uwierzytelniają się na urządzeniu.
Typy tożsamości
Istnieją cztery typy tożsamości:
- Tożsamość hybrydowa: użytkownicy lub urządzenia utworzone w lokalna usługa Active Directory Domain Services, a następnie zsynchronizowane z Tożsamość Microsoft Entra.
- Tożsamość tylko w chmurze: użytkownicy lub urządzenia, które są tworzone i istnieją tylko w Tożsamość Microsoft Entra.
- Tożsamość federacyjna: użytkownicy, którzy są tworzona u innego dostawcy tożsamości, innego niż Tożsamość Microsoft Entra lub Active Directory Domain Services, a następnie federacyjne z Tożsamość Microsoft Entra.
- Tożsamość zewnętrzna: użytkownicy, którzy są tworzona i zarządzana poza dzierżawą Microsoft Entra, ale są zapraszani do dzierżawy Microsoft Entra w celu uzyskania dostępu do zasobów organizacji.
Uwaga
- Windows 365 obsługuje tożsamości federacyjne po włączeniu logowania jednokrotnego.
- Windows 365 obsługuje tożsamości zewnętrzne po włączeniu logowania jednokrotnego. Zobacz tożsamość zewnętrzną, aby zapoznać się ze wszystkimi wymaganiami i ograniczeniami.
Tożsamość zewnętrzna
Obsługa tożsamości zewnętrznych umożliwia zapraszanie użytkowników do dzierżawy identyfikatora Entra i udostępnianie im komputerów w chmurze. Istnieje kilka wymagań i ograniczeń dotyczących dostarczania komputerów w chmurze do tożsamości zewnętrznych:
- Wymagania
- System operacyjny komputera w chmurze: na komputerze w chmurze musi działać Windows 11 Enterprise w wersji 24H2 lub nowszej z Aktualizacje zbiorczymi 2025–09 dla Windows 11 (KB5065789) lub nowszych.
- Typ przyłączania do komputera w chmurze: komputer w chmurze musi być przyłączony do platformy Entra.
- Logowanie jednokrotne: logowanie jednokrotne musi być skonfigurowane dla komputera w chmurze.
- Windows App klienta: tożsamość zewnętrzna musi łączyć się z Windows App w systemie Windows lub przeglądarce internetowej.
- Licencjonowanie: upewnij się, że tożsamości zewnętrzne mają odpowiednie uprawnienia do oprogramowania i usług na komputerze w chmurze. Aby uzyskać więcej informacji, zobacz Windows 365 wskazówki dotyczące licencjonowania.
- Ograniczenia
Intune zasad konfiguracji urządzeń: zasady konfiguracji urządzeń przypisane do tożsamości zewnętrznej nie będą stosowane do komputera w chmurze użytkownika. Zamiast tego przypisz zasady konfiguracji urządzenia do urządzenia.
Windows 365 dostępność dla instytucji rządowych: obsługiwane są tylko wersje komercyjne Windows 365 (Enterprise, Business i Frontline). Windows 365 rząd nie jest obsługiwany.
Zaproszenia między chmurami: użytkownicy z wielu chmur nie są obsługiwani. Komputery w chmurze można udostępniać tylko użytkownikom zapraszanych przez dostawców tożsamości społecznościowych, Microsoft Entra użytkowników z chmury komercyjnej firmy Microsoft Azure lub innym dostawcom tożsamości zarejestrowanym w dzierżawie pracowników. Nie można aprowizować komputerów w chmurze dla użytkowników zapraszanych przez firmę Microsoft Azure Government lub Microsoft Azure obsługiwanych przez firmę 21Vianet.
Ochrona tokenów: Microsoft Entra ma pewne ograniczenia dotyczące ochrony tokenów dla tożsamości zewnętrznych. Dowiedz się więcej na temat Windows App obsługi ochrony tokenów według platformy.
Uwierzytelnianie kerberos: tożsamości zewnętrzne nie mogą uwierzytelniać się w zasobach lokalnych przy użyciu protokołów Kerberos lub NTLM.
Windows App klientów: w przypadku korzystania z Windows App w systemie Windows może być konieczne ustawienie klucza rejestru na urządzeniu z uruchomionym Windows App, aby ukończyć logowanie, jeśli nie jest uruchomiona najnowsza publiczna wersja klienta. Dowiedz się więcej o wymaganym kluczu rejestru.
Aplikacje platformy Microsoft 365: możesz zalogować się tylko do klasycznej wersji systemu Windows aplikacji platformy Microsoft 365 tylko wtedy, gdy:
- Zaproszony użytkownik jest kontem opartym na aplikacji Entra lub kontem Microsoft licencjonowanym na Aplikacje Microsoft 365.
- Zaproszony użytkownik nie ma zablokowanych dostępu do aplikacji platformy Microsoft 365 przez zasady dostępu warunkowego z organizacji macierzystej.
Niezależnie od zaproszonego konta możesz uzyskać dostęp do udostępnionych Ci plików platformy Microsoft 365 przy użyciu odpowiedniej aplikacji platformy Microsoft 365 w przeglądarce internetowej komputera w chmurze.
Zobacz najlepsze rozwiązania Microsoft Entra B2B, aby zapoznać się z zaleceniami dotyczącymi konfigurowania środowiska pod kątem tożsamości zewnętrznych i wskazówek dotyczących licencjonowania Windows 365.
Typy sprzężeń urządzeń
Istnieją dwa typy sprzężeń, które można wybrać podczas aprowizacji komputera w chmurze:
- Microsoft Entra przyłączanie hybrydowe: jeśli wybierzesz ten typ sprzężenia, Windows 365 przyłączy komputer z chmurą do podanej domeny Windows Server Active Directory. Następnie, jeśli twoja organizacja jest prawidłowo skonfigurowana do Microsoft Entra sprzężenia hybrydowego, urządzenie jest synchronizowane z Tożsamość Microsoft Entra.
- Microsoft Entra Join: jeśli wybierzesz ten typ sprzężenia, Windows 365 przyłączy komputer z chmurą bezpośrednio do Tożsamość Microsoft Entra.
W poniższej tabeli przedstawiono kluczowe możliwości lub wymagania na podstawie wybranego typu sprzężenia:
| Możliwości lub wymagania | przyłączanie hybrydowe Microsoft Entra | Microsoft Entra sprzężenia |
|---|---|---|
| Subskrypcja platformy Azure | Wymagany | Opcjonalny |
| Azure sieci wirtualnej z linią wzroku do kontrolera domeny | Wymagany | Opcjonalny |
| Typ tożsamości użytkownika obsługiwany podczas logowania | Tylko użytkownicy hybrydowi | Użytkownicy hybrydowi, użytkownicy tylko w chmurze lub tożsamości zewnętrzne |
| Zarządzanie zasadami | zasady grupy objects (GPO) lub Intune MDM | Intune tylko rozwiązanie MDM |
| Windows Hello dla firm obsługiwane logowanie | Tak, a urządzenie łączące musi mieć połączenie z kontrolerem domeny za pośrednictwem sieci bezpośredniej lub sieci VPN | Tak |
Uwierzytelnianie
Gdy użytkownik uzyskuje dostęp do komputera w chmurze, istnieją trzy oddzielne fazy uwierzytelniania:
- Uwierzytelnianie usługi w chmurze: uwierzytelnianie w usłudze Windows 365, która obejmuje subskrybowanie zasobów i uwierzytelnianie w bramie, odbywa się za pomocą Tożsamość Microsoft Entra.
- Uwierzytelnianie sesji zdalnej: uwierzytelnianie na komputerze w chmurze. Istnieje wiele sposobów uwierzytelniania w sesji zdalnej, w tym zalecane logowanie jednokrotne.
- Uwierzytelnianie w sesji: uwierzytelnianie w aplikacjach i witrynach internetowych na komputerze z chmurą.
Aby uzyskać listę poświadczeń dostępnych dla różnych klientów dla każdej fazy uwierzytelniania, porównaj klientów na różnych platformach.
Ważna
Aby uwierzytelnianie działało prawidłowo, maszyna lokalna użytkownika musi mieć również dostęp do adresów URL w sekcji Klienci pulpitu zdalnegona liście wymaganych adresów URL Azure Virtual Desktop.
Windows 365 oferuje logowanie jednokrotne (zdefiniowane jako pojedynczy monit o uwierzytelnianie, które może spełniać wymagania zarówno uwierzytelniania usługi Windows 365, jak i uwierzytelniania na komputerze w chmurze) w ramach usługi. Aby uzyskać więcej informacji, zobacz logowanie jednokrotne.
Poniższe sekcje zawierają więcej informacji na temat tych faz uwierzytelniania.
Uwierzytelnianie usługi w chmurze
Użytkownicy muszą uwierzytelniać się w usłudze Windows 365, gdy:
- Uzyskują dostęp do witryny windows.cloud.microsoft.
- Przejdź do adresu URL mapowania bezpośrednio na komputer w chmurze.
- Używają obsługiwanego klienta do wyświetlania listy swoich komputerów w chmurze.
Aby uzyskać dostęp do usługi Windows 365, użytkownicy muszą najpierw uwierzytelnić się w usłudze, logując się przy użyciu konta Tożsamość Microsoft Entra.
Uwierzytelnianie wieloskładnikowe
Postępuj zgodnie z instrukcjami w temacie Ustawianie zasad dostępu warunkowego, aby dowiedzieć się, jak wymuszać uwierzytelnianie wieloskładnikowe Microsoft Entra dla komputerów w chmurze. W tym artykule opisano również, jak skonfigurować częstotliwość monitowania użytkowników o wprowadzenie poświadczeń.
Uwierzytelnianie bez hasła
Użytkownicy mogą używać dowolnego typu uwierzytelniania obsługiwanego przez Tożsamość Microsoft Entra, takich jak Windows Hello dla firm i inne opcje uwierzytelniania bez hasła (na przykład klucze FIDO), do uwierzytelniania w usłudze.
Uwierzytelnianie za pomocą karty inteligentnej
Aby używać karty inteligentnej do uwierzytelniania w Tożsamość Microsoft Entra, należy najpierw skonfigurować Microsoft Entra uwierzytelnianie oparte na certyfikatach lub skonfigurować usługi AD FS na potrzeby uwierzytelniania certyfikatu użytkownika.
Dostawcy tożsamości innych firm
Dostawców tożsamości innych firm można używać tak długo, jak długo federują z Tożsamość Microsoft Entra.
Uwierzytelnianie sesji zdalnej
Jeśli logowanie jednokrotne nie zostało jeszcze włączone, a użytkownicy nie zapisać swoich poświadczeń lokalnie, muszą również uwierzytelnić się na komputerze w chmurze podczas uruchamiania połączenia.
Logowanie jednokrotne
Logowanie jednokrotne (SSO) umożliwia połączeniu pominięcie monitu o poświadczenia komputera w chmurze i automatyczne logowanie użytkownika do systemu Windows za pośrednictwem uwierzytelniania Microsoft Entra. uwierzytelnianie Microsoft Entra zapewnia inne korzyści, w tym uwierzytelnianie bez hasła i obsługę dostawców tożsamości innych firm. Aby rozpocząć, przejrzyj kroki konfigurowania logowania jednokrotnego.
Ważna
Logowanie jednokrotne musi być skonfigurowane dla tożsamości zewnętrznych w celu logowania się do komputera w chmurze. Jeśli logowanie jednokrotne nie jest skonfigurowane, użytkownik zostanie zablokowany w wierszu polecenia uwierzytelniania sesji zdalnej.
Bez logowania jednokrotnego klient monituje użytkowników o podanie poświadczeń komputera w chmurze dla każdego połączenia. Jedynym sposobem uniknięcia monitu jest zapisanie poświadczeń w kliencie. Zalecamy zapisywanie poświadczeń tylko na bezpiecznych urządzeniach, aby uniemożliwić innym użytkownikom dostęp do zasobów.
Uwierzytelnianie w sesji
Po nawiązaniu połączenia z komputerem w chmurze może zostać wyświetlony monit o uwierzytelnienie w sesji. W tej sekcji wyjaśniono, jak używać poświadczeń innych niż nazwa użytkownika i hasło w tym scenariuszu.
Uwierzytelnianie bez hasła w sesji
Windows 365 obsługuje uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO, podczas korzystania z klienta programu Windows Desktop. Uwierzytelnianie bez hasła jest włączane automatycznie, gdy komputer w chmurze i komputer lokalny korzystają z następujących systemów operacyjnych:
- Windows 11 Enterprise z zainstalowanym Aktualizacje zbiorczym 2022-10 dla Windows 11 (KB5018418) lub nowszym.
- Windows 10 Enterprise wersje 20H2 lub nowsze z zainstalowanym Aktualizacje zbiorczym 2022–10 dla Windows 10 (KB5018410) lub nowszym.
Po włączeniu wszystkie żądania WebAuthn w sesji są przekierowywane do komputera lokalnego. Aby ukończyć proces uwierzytelniania, możesz użyć Windows Hello dla firm lub lokalnie dołączonych urządzeń zabezpieczających.
Aby uzyskać dostęp do zasobów Microsoft Entra przy użyciu urządzeń Windows Hello dla firm lub urządzeń zabezpieczeń, należy włączyć klucz zabezpieczeń FIDO2 jako metodę uwierzytelniania dla użytkowników. Aby włączyć tę metodę, wykonaj kroki opisane w temacie Włączanie metody klucza zabezpieczeń FIDO2.
Uwierzytelnianie karty inteligentnej w sesji
Aby użyć karty inteligentnej w sesji, należy zainstalować sterowniki kart inteligentnych na komputerze w chmurze i zezwolić na przekierowanie kart inteligentnych w ramach zarządzania przekierowaniami urządzeń RDP dla komputerów w chmurze. Przejrzyj wykres porównawczy klienta , aby upewnić się, że klient obsługuje przekierowanie kart inteligentnych.