Windows 365 身份與認證

雲端 PC 使用者的身份定義了哪些存取管理服務負責管理該使用者及雲端電腦。 此恆等式定義：

• 使用者能存取的雲端電腦類型。
• 使用者可存取的非雲端 PC 資源類型。

裝置也可能根據其與 Microsoft Entra ID 的連接類型來決定身份。 對於裝置，連接類型定義：

• 如果裝置需要與網域控制器保持視距。
• 裝置的管理方式。
• 使用者如何向裝置進行驗證。

身份類型

有四種身份類型：

• 混合身份：在內部部署的 Active Directory Domain Services中建立的使用者或裝置，然後同步到Microsoft Entra ID。
• 雲端純識別碼：僅在 Microsoft Entra ID 中建立且存在的使用者或裝置。
• 聯邦身份：在第三方身份提供者中建立的使用者，非 Microsoft Entra ID 或 Active Directory 網域服務，然後與 Microsoft Entra ID 聯合。
• 外部身份：在 Microsoft Entra 租戶之外建立和管理的使用者，但被邀請進入 Microsoft Entra 租戶以存取組織資源。

外部身份

外部身份支援允許你邀請使用者加入你的 Entra ID 租戶，並提供他們雲端電腦。 提供雲端電腦給外部身份時，有幾項要求與限制：

• 需求
  • 雲端電腦作業系統：雲端電腦必須運行Windows 11 企業版，版本為24H2或更新，並安裝2025-09累積匯報，適用於Windows 11 (KB5065789) 或以後版本。
  • 雲端 PC 連接類型：雲端 PC 必須是 Entra 連接。
  • 單一登入：單一 登入 必須針對雲端電腦進行設定。
  • Windows App 用戶端：外部身份必須從 Windows 上的 Windows App 或網頁瀏覽器連接。
  • 授權：確保外部身份擁有雲端 PC 軟體與服務的適當權利。 更多細節請參閱 Windows 365 授權指引。
• 限制

  • Intune 裝置設定政策：外部身份所指派的裝置設定政策不會套用到使用者的雲端電腦。 相反地，應該為裝置指派設定政策。

  • Windows 365 政府可用性：僅支援Windows 365商業版 (企業版、商業版及前線) 版。 Windows 365 政府版不被支援。

  • 跨雲邀請：不支援跨雲使用者。 你只能將雲端 PC 提供給你邀請的社交身份提供者、Microsoft Azure 商業雲端的 Microsoft Entra 用戶，或是你工作力租戶中註冊的其他身份提供者。 你無法為從 Microsoft Azure Government 或 21Vianet 營運的 Microsoft Azure 邀請的使用者配置雲端 PC。

  • 令牌保護：Microsoft Entra 對外部身份的令牌保護有一定限制。 了解更多關於依平台保護 Windows App 的令牌保護。

  • Kerberos 認證：外部身份無法使用 Kerberos 或 NTLM 協定對本地資源進行認證。

  • Windows App 用戶端：在 Windows 上使用 Windows App 時，若你沒有執行最新的公開版本，可能需要在執行 Windows App 的裝置上設定登錄檔鍵來完成登入。 了解更多關於 所需登錄金鑰的資訊。

  • Microsoft 365 應用程式：你只能在以下情況下登入 Microsoft 365 應用程式的 Windows 桌面版本：

    1. 受邀的使用者是基於 Entra 的帳號，或是授權用於 Microsoft 365 Apps 的 Microsoft 帳號。
    2. 受邀用戶不會被本機構的條件存取政策阻擋存取 Microsoft 365 應用程式。

    無論邀請帳號為何，你都可以透過雲端 PC 瀏覽器中相應的 Microsoft 365 應用程式存取與你分享的 Microsoft 365 檔案。

請參閱 Microsoft Entra B2B 最佳實務，了解如何設定環境以保護外部身份及 Windows 365 授權指引的建議。

裝置連接類型

在 配置雲端電腦時，你可以選擇兩種連接類型：

• Microsoft Entra 混合加入：如果您選擇此加入類型，Windows 365 會將您的雲端電腦加入您提供的 Windows Server Active Directory 網域。 接著，如果您的組織已正確設定 Microsoft Entra 混合加入，裝置會同步至 Microsoft Entra ID。
• Microsoft Entra 加入：如果您選擇此加入類型，Windows 365 會直接將您的雲端電腦連接到 Microsoft Entra ID。

下表顯示根據所選連接類型，主要具備能力或需求：

驗證

當使用者存取雲端電腦時，有三個獨立的認證階段：

• 雲端服務認證：透過 Microsoft Entra ID 進行 Windows 365 服務的認證，包括訂閱資源及驗證閘道器。
• 遠端會話驗證：向雲端電腦進行認證。 有多種方式可以驗證遠端連線，包括推薦的單點登入 (SSO) 。
• 會話內驗證：在雲端電腦內對應用程式和網站進行認證。

針對不同用戶端在各認證階段可用的憑證清單，請 比較各平台的用戶端。

Windows 365 提供單一登入 (定義為單一認證提示，能同時滿足 Windows 365 服務認證與雲端 PC 認證) ，作為服務的一部分。 欲了解更多資訊，請參閱單一登入。

以下章節將提供更多關於這些認證階段的資訊。

雲端服務認證

使用者必須在以下情況下使用 Windows 365 服務進行驗證：

• 他們會存取 windows.cloud.microsoft。
• 他們會直接導向指向雲端電腦的網址。
• 他們使用 支援的客戶端 來列出他們的雲端電腦。

要使用 Windows 365 服務，使用者必須先以 Microsoft Entra ID 帳號登入服務。

多重要素驗證

請依照設定條件存取政策的指示，學習如何為您的雲端電腦強制執行 Microsoft Entra 多重認證。 那篇文章也告訴你如何設定用戶輸入憑證的頻率。

無密碼認證

使用者可以使用Microsoft Entra ID支援的任何認證類型，例如Windows Hello 企業版及其他無密碼認證選項 (例如FIDO金鑰) ，來向服務進行認證。

智慧卡認證

若要使用智慧卡驗證 Microsoft Entra ID，您必須先設定 Microsoft Entra 憑證驗證，或設定 AD FS 進行使用者憑證驗證。

第三方身份提供者

只要第三方身份提供者與 Microsoft Entra ID 有聯邦化，就可以使用它們。

遠端會話認證

如果你還沒啟用 單一登入 ，且使用者沒有在本地儲存憑證，啟動連線時也需要向雲端電腦進行認證。

單一登入 (SSO)

單一登入 (SSO) 允許連線跳過雲端電腦憑證提示，透過Microsoft Entra認證自動登入 Windows。 Microsoft Entra 認證還提供無密碼認證及支援第三方身份提供者等其他優勢。 要開始，請先檢視 配置單一登入的步驟。

沒有 SSO 時，客戶端會要求使用者在每次連線時輸入他們的雲端電腦憑證。 避免被提示的唯一方法是將憑證儲存在用戶端。 我們建議您只在安全裝置上儲存憑證，以防止其他使用者存取您的資源。

會話內認證

當你連接到雲端電腦後，可能會在會話中被要求驗證。 本節說明在此情境下如何使用除使用者名稱和密碼以外的憑證。

會話中無密碼認證

Windows 365 支援使用 Windows Hello 企業版或安全裝置如 FIDO 鑰匙，在使用 Windows 桌面用戶端時進行會話中無密碼驗證。 當雲端電腦與本地電腦使用以下作業系統時，無密碼認證會自動啟用：

• Windows 11 企業版安裝了 2022-10 年款的累積匯報，適合Windows 11 (KB5018418) 或以後版本。
• Windows 10 企業版，20H2 或更新版本，並安裝 2022-10 年級累積 匯報，適用於 Windows 10 (KB5018410) 或以後版本。

啟用後，會話中所有 WebAuthn 請求都會被重新導向到本地電腦。 你可以使用 Windows Hello 企業版或本地連接的安全裝置來完成認證流程。

若要使用 Windows Hello 企業版或安全裝置存取 Microsoft Entra 資源，您必須啟用 FIDO2 安全金鑰作為使用者的認證方式。 要啟用此方法，請依照 啟用 FIDO2 安全金鑰方法中的步驟操作。

會話中智慧卡認證

要在你的工作階段中使用智慧卡，請確保在雲端電腦安裝智慧卡驅動程式，並允許智慧卡重定向，作為 管理雲端電腦 RDP 裝置重定向的一部分。 檢視 客戶比較表 ，確保客戶支援智慧卡轉址。

後續步驟

了解雲端電腦生命週期。