Udostępnij przez

Zasady dostępu warunkowego dla Windows 365 Link

Uwaga

Wraz z wydaniem Windows 365 Link december Quality Update w wersji 26100.7462 użytkownicy mogą teraz zostać poproszeni o dodatkowe żądania uwierzytelniania interakcyjnego po zalogowaniu się na urządzeniu. Oznacza to, że poniższe kroki w celu zapewnienia, że istnieją zasady dostępu warunkowego uwierzytelniania wieloskładnikowego dla akcji użytkownika dotyczące rejestrowania lub dołączania urządzeń, nie są już wymagane do korzystania z Windows 365 Link w środowisku, jeśli są w tej lub nowszej wersji. Te kroki są nadal zalecanym najlepszym rozwiązaniem, a firma Microsoft zdecydowanie zachęca klientów do zaimplementowania zasad dostępu warunkowego dla akcji użytkownika rejestrowania lub dołączania urządzeń, nawet jeśli wszystkie urządzenia Windows 365 Link w środowisku są w wersji 26100.7462 lub nowszej.

W ramach konfigurowania środowiska organizacji do obsługi Windows 365 Link należy upewnić się, że zasady dostępu warunkowego obsługują zarówno logowanie za pośrednictwem, jak i połączenie z urządzeń Windows 365 Link. Jeśli dostęp warunkowy jest używany do ochrony zasobów używanych do uzyskiwania dostępu Windows 365 komputerów w chmurze zgodnie z opisem w temacie Ustawianie zasad dostępu warunkowego dla Windows 365, do ochrony akcji użytkownika w celu zarejestrowania lub dołączenia urządzeń należy również użyć innych zasad dostępu warunkowego. Nie można utworzyć tych drugich zasad może spowodować niepowodzenie uwierzytelniania Windows 365 Link.

Aby zdecydować, czy potrzebujesz zasad akcji użytkownika, wykonaj następujące kroki:

  1. Sprawdź, czy podczas nawiązywania połączenia z Windows 365 zasobami są wyzwalane jakiekolwiek zasady.
  2. Utwórz nowe zasady akcji użytkownika z tymi samymi kontrolkami dostępu.

Komputer w chmurze Windows 365 urządzenia uwierzytelniają się w dwóch kolejnych etapach:

  1. Logowanie interakcyjne: gdy użytkownik zaloguje się na ekranie logowania Windows 365 Link, może wyzwolić zasady dostępu warunkowego stosowane do akcji Rejestrowanie lub Dołączanie urządzeń. Użytkownicy mogą wyświetlać komunikaty lub być kwestionowani w przypadku silniejszych, wieloskładnikowych metod uwierzytelniania. Ten etap generuje token używany w drugim etapie.

  2. Nieinterakcyjne połączenia z zasobami komputera w chmurze przy użyciu logowania jednokrotnego: ten etap może wyzwolić zasady dostępu warunkowego, jeśli zostaną zastosowane do zasobów, takich jak Windows 365, logowanie do chmury systemu Windows i wszystkie zasoby. Na tym etapie nie można monitować ani kwestionować użytkowników. Jeśli wymagane jest silniejsze uwierzytelnianie, połączenie zostanie przerwane, a użytkownikowi zostanie wyświetlony błąd informujący o tym, że nie można wyświetlić okna interaktywnego.

Przeglądanie istniejących zasad

Narzędzie Co jeśli umożliwia określenie, czy jakiekolwiek zasady dostępu warunkowego są stosowane do odpowiednich zasobów Windows 365 na etapie połączenia nieinterakcyjnego. Obejmuje to zasady stosowane do wszystkich zasobów (dawniej Wszystkie aplikacje w chmurze).

  1. Zaloguj się do centrum administracyjne Microsoft Entra>Zasady>dostępu> warunkowego ochrony>co jeśli.
  2. W obszarze Tożsamość użytkownika lub obciążenia wybierz użytkownika do przetestowania.
  3. W obszarze Aplikacje w chmurze, akcje lub kontekst uwierzytelniania wybierz pozycję Dowolna aplikacja w chmurze.
  4. W polu Wybierz typ docelowy pozostaw wybraną aplikację w chmurze .
  5. Wybierz pozycję Wybierz aplikacje , a następnie wybierz następujące zasoby, jeśli są dostępne:
    • Windows 365 (identyfikator aplikacji 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Logowanie do chmury systemu Windows (identyfikator aplikacji 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. Wybierz pozycję Co jeśli.

Przejrzyj wszystkie zasady, które będą stosowane , i określ mechanizmy kontroli dostępu używane do udzielania dostępu do tych zasobów i ustawień sesji. Zanotuj te zasady do użycia podczas tworzenia nowych zasad akcji użytkownika w następnej sekcji.

Tworzenie nowych zasad dostępu warunkowego dla interakcyjnego etapu logowania

Korzystając z informacji zebranych z narzędzia Co jeśli w poprzedniej sekcji, możesz teraz utworzyć nowe zasady dostępu warunkowego, aby wymagać tych samych kontrolek dla etapu logowania.

  1. Zaloguj się do centrum administracyjne Microsoft Entra>Zasadydostępu>> warunkowego ochrony >Nowe zasady
  2. Nadaj zasadom nazwę. Rozważ użycie znaczącego standardu dla nazw zasad.
  3. W obszarze Przypisania>Użytkownicy wybierz 0 wybranych użytkowników i grup.
  4. W obszarze Uwzględnij wybierz pozycję Wszyscy użytkownicy lub wybierz grupę użytkowników, którzy będą logować się za pośrednictwem Windows 365 Link urządzeń.
  5. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy> , wybierając konta z dostępem awaryjnym lub dostępem awaryjnym w organizacji.
  6. W obszarze Zasoby> doceloweAkcje użytkownika wybierz pozycję Zarejestruj lub dołącz urządzenia.
  7. W obszarze Udzielanie kontroli> dostępu użyj tych samych kontrolek znalezionych wcześniej przy użyciu narzędzia What If.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasady na wartość Tylko raport.
  9. Wybierz pozycję Utwórz.
  10. Po potwierdzeniu ustawień przy użyciu trybu tylko raportu zmień przełącznik Włącz zasady z Pozycji Tylko raport na Włączone.

Chociaż te kroki są przeznaczone specjalnie do włączania uwierzytelniania interaktywnego na urządzeniach Windows 365 Link, wynikowe zasady akcji użytkownika są również stosowane, gdy użytkownicy rejestrują lub dołączają urządzenia do Tożsamość Microsoft Entra.

Aby uzyskać więcej informacji na temat tworzenia zasad dostępu warunkowego na potrzeby rejestracji urządzeń, w tym potencjalnych konfliktów, zobacz Wymaganie uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń.

Aby uzyskać więcej informacji na temat akcji użytkownika z dostępem warunkowym, zobacz Akcje użytkownika.

Aby uzyskać więcej informacji na temat tworzenia zasad dostępu warunkowego dla zasobów używanych do Windows 365, zobacz Ustawianie zasad dostępu warunkowego.

Następne kroki

Pomiń monit o zgodę na logowanie jednokrotne.

  • Last updated on