Windows authentification et identité 365
L’identité d’un utilisateur PC Cloud définit les services de gestion d’accès qui gèrent cet utilisateur et le PC cloud Cette identité définit :
- Types de PC Cloud accessibles par l’utilisateur.
- Types de ressources PC non cloud auxquelles l’utilisateur a accès.
Un appareil peut également avoir une identité déterminée par son type de jointure pour Microsoft Entra ID. Pour un appareil, le type de jointage définit :
- Si l’appareil nécessite une ligne de vision pour un contrôleur de domaine
- Gestion de l’appareil
- Comment les utilisateurs s’authentifient-ils sur l’appareil ?
Types d’identité
Il existe trois types d’identité :
- Identité hybride : utilisateurs ou appareils créés dans des Windows Server Active Directory locaux, puis synchronisés avec Microsoft Entra ID.
- Identité cloud uniquement : utilisateurs ou appareils créés et n’existent que dans Microsoft Entra ID.
- Identité externe : les utilisateurs qui sont créés et gérés en dehors de votre locataire Microsoft Entra, mais qui sont invités à accéder à votre locataire Microsoft Entra pour accéder aux ressources de votre organization.
Remarque
Windows 365 ne prend pas en charge les identités externes.
Types de jointage d’appareil
Vous pouvez choisir parmi deux types de jointage lors de la mise en service d’un PC Cloud :
- jointure hybride Microsoft Entra : si vous choisissez ce type de jointure, Windows 365 joint votre PC cloud au domaine Windows Server Active Directory que vous fournissez. Ensuite, si votre organization est correctement configuré pour Microsoft Entra jointure hybride, l’appareil est synchronisé avec Microsoft Entra ID.
- Jointure Microsoft Entra : si vous choisissez ce type de jointure, Windows 365 joint directement votre PC cloud à Microsoft Entra’ID.
Le tableau suivant présente les principales fonctionnalités ou exigences en fonction du type de jointure sélectionné :
Capacité ou exigence | Jonction Microsoft Entra hybride | Jonction Microsoft Entra |
---|---|---|
Abonnement Azure | Obligatoire | Facultatif |
Réseau virtuel Azure avec une ligne de vision pour le contrôleur de domaine | Obligatoire | Facultatif |
Type d’identité utilisateur pris en charge pour la connexion | Utilisateurs hybrides uniquement | Utilisateurs hybrides ou utilisateurs cloud uniquement |
Gestion des stratégies | Objets de stratégie de groupe (GPO) ou GM Intune | Intune MDM uniquement |
Connexion Windows Hello entreprise prise en charge | Oui, et l’appareil de connexion doit être en ligne de vue du contrôleur de domaine via le réseau direct ou un VPN. | Oui |
Authentification
Pour accéder correctement à un PC Cloud, un utilisateur doit s’authentifier, à son tour, avec les deux :
- Le service Windows 365
- PC Cloud
Windows 365 offre l’authentification unique (définie comme une invite d’authentification unique qui peut satisfaire à la fois l’authentification du service Windows 365 et l’authentification du PC cloud) dans le cadre du service. Pour plus d’informations, consultez Authentification unique.
Importante
Pour que l’authentification fonctionne correctement, l’ordinateur local de l’utilisateur doit également être en mesure d’accéder aux URL dans la section Clients du bureau à distance de la liste d’URL requise d’Azure Virtual Desktop.
Windows authentification de service 365
Les utilisateurs doivent s’authentifier auprès Windows service 365 lorsque :
- Ils accèdent à windows365.microsoft.com.
- Ils naviguent jusqu’à l’URL qui est muée directement sur leur PC Cloud.
- Ils utilisent un client Bureau à distance pour répertorier leurs PC Cloud.
Cette authentification déclenche un ID Microsoft Entra, ce qui autorise tout type d’informations d’identification pris en charge par l’ID Microsoft Entra et votre système d’exploitation.
Authentification sans mot de passe
Vous pouvez utiliser n’importe quel type d’authentification pris en charge par l’ID de Microsoft Entra, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, des clés FIDO), pour vous authentifier auprès du service.
Authentification carte intelligente
Pour utiliser une carte intelligente pour vous authentifier auprès de Microsoft Entra ID, vous devez d’abord configurer AD FS pour l’authentification par certificat utilisateur ou configurer Microsoft Entra’authentification basée sur les certificats.
Authentification de PC Cloud
Les utilisateurs doivent s'authentifier sur leur PC en nuage lorsque :
- Ils naviguent jusqu’à l’URL qui est muée directement sur leur PC Cloud.
- Ils utilisent un client Bureau à distance pour se connecter à leur PC Cloud.
Cette demande d’authentification est traitée par Microsoft Entra ID pour Microsoft Entra PC cloud joints et Active Directory local pour Microsoft Entra PC cloud hybrides joints.
Remarque
Si un utilisateur lance l’URL du navigateur web qui est muée directement sur son PC Cloud, il rencontre d’abord l’authentification du service Windows 365, puis l’authentification du PC cloud.
Les types d’informations d’identification suivants sont pris en charge pour l’authentification PC Cloud :
- Client de bureau Windows
- Authentification unique
- Nom d'utilisateur et mot de passe
- Carte à puce
- Certificat de confiance Windows Hello Entreprise
- La confiance est la clé de Windows Hello Entreprise avec les certificats.
Remarque
L’authentification par carte à puce et Windows Hello nécessite que le client de bureau Windows puisse effectuer l’authentification Kerberos lorsqu’il est utilisé avec Microsoft Entra PC cloud joints hybrides. Cela nécessite que le client physique soit en ligne de vision pour un contrôleur de domaine.
- Client du store Windows
- Nom d'utilisateur et mot de passe
- Client web
- Authentification unique
- Nom d'utilisateur et mot de passe
- Android
- Authentification unique
- Nom d'utilisateur et mot de passe
- iOS
- Authentification unique
- Nom d'utilisateur et mot de passe
- macOS
- Authentification unique
- Nom d'utilisateur et mot de passe
Authentification unique (SSO)
L’authentification unique (SSO) permet à la connexion d’ignorer l’invite d’informations d’identification de machine virtuelle du PC cloud et de connecter automatiquement l’utilisateur à Windows via l’authentification Microsoft Entra. l’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers. Pour commencer, passez en revue les étapes de configuration de l’authentification unique.
Sans authentification unique, le client invite les utilisateurs à entrer leurs informations d’identification de PC cloud pour chaque connexion. La seule façon d’éviter d’être invité consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer uniquement les informations d’identification sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Authentification en session
Une fois que vous êtes connecté à votre PC cloud, vous pouvez être invité à effectuer l’authentification dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Windows 365 prend en charge l’authentification sans mot de passe dans la session à l’aide de Windows Hello Entreprise ou d’appareils de sécurité tels que les clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement lorsque le PC cloud et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 Entreprise la Mises à jour cumulative 2022-2010 pour Windows 11 (KB5018418) ou ultérieure installée.
- Windows 10 Entreprise, versions 20H2 ou ultérieures avec la Mises à jour cumulative 2022-2010 pour Windows 10 (KB5018410) ou ultérieure installée.
Quand cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour terminer le processus d’authentification.
Pour accéder à Microsoft Entra ressources avec des Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes décrites dans Activer la méthode de clé de sécurité FIDO2.
Authentification carte intelligente dans la session
Pour utiliser une carte intelligente dans votre session, vérifiez que vous avez installé les pilotes smart carte sur le PC cloud et autorisez la redirection carte intelligente dans le cadre de la gestion des redirections d’appareils RDP pour les PC cloud. Passez en revue le graphique de comparaison des clients pour vous assurer que votre client prend en charge la redirection carte intelligente.
Prochaines étapes
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour