Políticas de Acesso Condicional para Windows 365 Link

Como parte da configuração do ambiente da sua organização para suportar Windows 365 Link, tem de se certificar de que as políticas de Acesso Condicional acomodam o início de sessão e a ligação a partir de dispositivos Windows 365 Link. Se o Acesso Condicional for utilizado para proteger recursos utilizados para aceder a PCs na Cloud Windows 365 conforme descrito em Definir políticas de acesso condicional para Windows 365, também tem de ser utilizada outra política de Acesso Condicional para proteger a ação do utilizador para registar ou associar dispositivos. A falha ao criar esta segunda política pode fazer com que Windows 365 Link autenticação falhe.

Para decidir se precisa de uma política de ação do utilizador, siga estes passos:

1. Verifique se são acionadas políticas ao ligar a recursos Windows 365.
2. Crie uma nova política de ação de utilizador com os mesmos controlos de acesso.

Como funciona Windows 365 Link autenticação

PC na nuvem do Windows 365 dispositivos autenticam-se em duas fases consecutivas:

1. Início de sessão interativo: quando o utilizador inicia sessão no ecrã de início de sessão Windows 365 Link, pode acionar políticas de Acesso Condicional aplicadas às ações Registar ou Associar dispositivos. Os utilizadores podem ser apresentados mensagens ou ser desafiados para métodos de autenticação multifator mais fortes. Esta fase gera o token que é utilizado na segunda fase.

2. Ligações não interativas a recursos do CLOUD PC através do início de sessão único: esta fase pode acionar políticas de Acesso Condicional se forem aplicadas a recursos como Windows 365, Início de Sessão no Windows Cloud e Todos os recursos. Os utilizadores não podem ser solicitados ou desafiados nesta fase. Se for necessária uma autenticação mais forte, a ligação é interrompida e é apresentado ao utilizador um erro a indicar que não é possível mostrar uma janela interativa.

Rever as políticas existentes

Pode utilizar a ferramenta E se para determinar se alguma política de Acesso Condicional é aplicada aos Recursos de Windows 365 relevantes durante a fase de ligação não interativa. Isto inclui uma política que é aplicada a Todos os recursos (anteriormente Todas as aplicações na cloud).

1. Inicie sessão no centro de administração do Microsoft Entra>Protection>Conditional Access>Policies>(E se).
2. Para Identidade de utilizador ou carga de trabalho , selecione um utilizador com o qual testar.
3. Para Aplicações na cloud, ações ou contexto de autenticação, selecione Qualquer aplicação na cloud.
4. Em Selecionar tipo de destino , deixe a aplicação cloud selecionada.
5. Selecione Selecionar aplicações e, em seguida, selecione os seguintes recursos, se estiverem disponíveis:
   • Windows 365 (ID da aplicação 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
   • Azure Virtual Desktop (ID da aplicação 9cdead84-a844-4324-93f2-b2e6bb768d07).
   • Início de Sessão na Nuvem do Windows (ID da aplicação 270efc09-cd0d-444b-a71f-39af4910ec45).
6. Selecione E Se.

Reveja cada uma das Políticas que serão aplicadas e determine os controlos de acesso utilizados para conceder acesso a esses recursos e definições de sessão. Tenha em atenção estas políticas para utilização ao criar as novas políticas de ação do utilizador na secção seguinte.

Criar nova política de Acesso Condicional para a fase de início de sessão interativo

Com as informações recolhidas na ferramenta E se na secção anterior, pode agora criar uma nova política de Acesso Condicional para exigir os mesmos controlos para a fase de início de sessão.

1. Iniciar sessão no centro de administração do Microsoft Entra>Protection>Políticas> deAcesso> CondicionalNova política
2. Dê um nome à sua política. Considere utilizar um padrão significativo para nomes de políticas.
3. EmUtilizadoresde Atribuições>, selecione 0 utilizadores e grupos selecionados.
4. Em Incluir, selecione Todos os utilizadores ou selecione um grupo de utilizadores que iniciarão sessão através de Windows 365 Link dispositivos.
5. Em Excluir, selecione Utilizadores e grupos> selecione as contas de acesso de emergência ou de quebra de ecrã da sua organização.
6. Em Recursos de destino>Ações do utilizador, selecione Registar ou associar dispositivos.
7. Em Concessão> de controlos de acesso, utilize os mesmos controlos encontrados anteriormente com a ferramenta What If.
8. Confirme as definições e defina Ativar política como Apenas Relatório.
9. Selecione Criar.
10. Depois de confirmar as definições com o modo apenas de relatório, altere o botão Ativar política de Apenas Relatório para Ativado.

Embora estes passos sejam especificamente para ativar a autenticação interativa em dispositivos Windows 365 Link, a política de ação do utilizador resultante também é aplicada quando os utilizadores se registam ou associam dispositivos a Microsoft Entra ID.

Para obter mais informações sobre como criar políticas de Acesso Condicional para o registo de dispositivos, incluindo potenciais conflitos, veja Exigir autenticação multifator para o registo de dispositivos.

Para obter mais informações sobre as ações do utilizador com Acesso Condicional, veja Ações do utilizador.

Para obter mais informações sobre a criação de políticas de Acesso Condicional para recursos utilizados para Windows 365, veja Definir políticas de Acesso Condicional.

Próximas etapas

Suprimir pedido de consentimento de início de sessão único.