Windows 365-Identität und -Authentifizierung
Die Identität des Benutzers eines Cloud-PCs definiert, welche Zugriffsverwaltungsdienste diesen Benutzer und Cloud-PC verwalten. Diese Identität definiert Folgendes:
- Auf welche Arten von Cloud-PCs der Benutzer zugreifen kann.
- Auf welche Arten von Nicht-Cloud-PC-Ressourcen der Benutzer zugreifen kann.
Ein Gerät kann auch eine Identität aufweisen, die durch seinen Verknüpfungstyp zu Azure Active Directory (Azure AD) bestimmt wird. Für ein Gerät definiert der Verknüpfungstyp Folgendes:
- Ob für das Gerät eine Sichtlinie auf einen Domänencontroller erforderlich ist.
- Wie das Gerät verwaltet wird.
- Wie sich Benutzer beim Gerät authentifizieren.
Identitätstypen
Es gibt drei Identitätstypen:
- Hybrididentität: Benutzer oder Geräte, die im lokalen Windows Server Active Directory erstellt und dann mit Azure AD synchronisiert werden.
- Reine Cloudidentität: Benutzer oder Geräte, die erstellt werden und nur in Azure AD vorhanden sind.
- Externe Identität: Benutzer, die außerhalb Ihres Azure AD-Mandanten erstellt und verwaltet, aber zu Ihrem Azure AD-Mandanten eingeladen werden, um auf die Ressourcen Ihrer Organisation zuzugreifen.
Hinweis
Windows 365 unterstützt keine externen Identitäten.
Geräteverbindungstypen
Es gibt zwei Verbindungstypen, zwischen denen Sie bei der Bereitstellung eines Cloud-PCs auswählen können:
- Azure AD Hybrid Join: Wenn Sie diesen Verbindungstyp auswählen, wird Windows 365 Ihren Cloud-PC der von Ihnen bereitgestellten Windows Server Active Directory-Domäne hinzufügen. Wenn Ihre Organisation dann ordnungsgemäß für Azure AD Hybrid Join konfiguriert ist, wird das Gerät mit Azure AD synchronisiert.
- Azure AD Join: Wenn Sie diesen Verbindungstyp auswählen, wird Windows 365 Ihren Cloud-PC direkt mit Azure AD verbinden.
Unten finden Sie eine Tabelle mit den wichtigsten Funktionen oder Anforderungen basierend auf dem ausgewählten Verbindungstyp:
| Funktion oder Anforderung | Azure AD Hybrid Join | Azure AD Join |
|---|---|---|
| Azure-Abonnement | Erforderlich | Optional |
| Virtuelles Azure-Netzwerk mit Sichtlinie auf den Domänencontroller | Erforderlich | Optional |
| Für die Anmeldung unterstützter Benutzeridentitätstyp | Nur Hybridbenutzer | Hybridbenutzer oder reine Cloudbenutzer |
| Richtlinienverwaltung | Gruppenrichtlinienobjekte (Group Policy Objects, GPO) oder Intune MDM | Nur Intune MDM |
| Windows Hello for Business-Anmeldung wird unterstützt | Ja, und das Verbindungsgerät muss über eine Sichtlinie über das direkte Netzwerk oder ein VPN auf den Domänencontroller verfügen | Ja |
Authentifizierung
Um erfolgreich auf einen Cloud-PC zugreifen zu können, muss sich ein Benutzer wiederum mit beiden authentifizieren:
- Der Windows 365-Dienst
- Der Cloud-PC.
Hinweis
Das einmalige Anmelden (definiert als eine einzige Authentifizierungsaufforderung, die sowohl die Windows 365-Dienstauthentifizierung als auch die Cloud-PC-Authentifizierung erfüllen kann) wird derzeit nicht unterstützt.
Wichtig
Damit die Authentifizierung richtig funktioniert, muss der lokale Computer des Benutzers auch auf die URLs im Abschnitt Remotedesktopclients der erforderlichen URL-Liste von Azure Virtual Desktop zugreifen können.
Authentifizierung des Windows 365-Diensts
Benutzer müssen sich beim Windows 365-Dienst authentifizieren, wenn:
- Sie auf windows365.microsoft.com zugreifen.
- Sie zu der URL navigieren, die direkt ihrem Cloud-PC zugeordnet ist.
- Sie verwenden einen Remotedesktopclient , um ihre Cloud-PCs auflisten zu können.
Diese Authentifizierung löst eine Azure Active Directory-Eingabeaufforderung aus und lässt alle Typen von Anmeldeinformationen zu, die sowohl von Azure Active Directory als auch von Ihrem Betriebssystem unterstützt werden.
Cloud-PC-Authentifizierung
Benutzer müssen sich bei ihrem Cloud-PC authentifizieren, wenn:
- Sie zu der URL navigieren, die direkt ihrem Cloud-PC zugeordnet ist.
- Sie verwenden einen Remotedesktopclient, um eine Verbindung mit ihrem Cloud-PC herzustellen.
Diese Authentifizierungsanforderung wird von Azure AD für in Azure AD eingebundene Cloud-PCs und in lokale Active Directory für Hybrid-Azure AD eingebundene Cloud-PCs verarbeitet.
Hinweis
Wenn ein Benutzer die Webbrowser-URL startet, die direkt dem Cloud-PC zugeordnet ist, trifft er zuerst auf die Windows 365-Dienstauthentifizierung und dann auf die Cloud-PC-Authentifizierung.
Die folgenden Anmeldeinformationstypen werden für die Cloud-PC-Authentifizierung unterstützt:
- Windows-Desktopclient
- Benutzername und Kennwort
- Smartcard
- Windows Hello for Business-Zertifikat für Vertrauensstellung
- Windows Hello for Business-Schlüsselbasiertes Vertrauen mit Zertifikaten
Hinweis
Smartcard- und Windows Hello-Authentifizierung erfordern, dass der Windows-Desktopclient die Kerberos-Authentifizierung bei Verwendung mit Hybrid-AADJ durchführen kann. Dies erfordert, dass der physische Client eine Sichtachse für einen Domänencontroller hat.
- Windows Store-Client
- Benutzername und Kennwort
- Webclient
- Benutzername und Kennwort
- Android
- Benutzername und Kennwort
- iOS
- Benutzername und Kennwort
- macOS
- Benutzername und Kennwort