Windows 365 标识和身份验证
云电脑用户的标识定义了哪些访问管理服务管理该用户和云电脑。此标识定义:
- 用户有权访问的云电脑类型。
- 用户有权访问的非云电脑资源类型。
设备还可以具有由其联接 Azure Active Directory (Azure AD) 的类型所确定的标识。 对于设备,联接类型定义了:
- 设备是否需要到域控制器的视线。
- 如何管理设备。
- 用户如何向设备进行身份验证。
标识类型
有三种标识类型:
- 混合标识:在本地 Windows Server Active Directory 中创建,然后同步到 Azure AD 的用户或设备。
- 仅限云的标识:在 Azure AD 中创建且仅在其中存在的用户或设备。
- 外部标识:在 Azure AD 租户外部创建和管理的用户,他们受邀加入 Azure AD 租户以访问组织的资源。
备注
Windows 365 不支持外部标识。
设备联接类型
预配云电脑 时,可以选择两种联接类型其中之一:
- 混合 Azure AD 联接:如果选择此联接类型,Windows 365 会将云电脑联接到你提供的 Windows Server Active Directory 域。 然后,如果你的组织正确 配置了混合 Azure AD 联接,则设备将同步到 Azure AD。
- Azure AD 联接:如果选择此联接类型,Windows 365 将直接将云电脑联接到 Azure AD。
下表显示了基于所选联接类型的关键功能或要求:
| 功能或要求 | 混合 Azure AD 联接 | Azure AD 联接 |
|---|---|---|
| Azure 订阅 | 必需 | 可选 |
| 具有到域控制器视线的 Azure 虚拟网络 | 必需 | 可选 |
| 登录时支持的用户标识类型 | 仅混合用户 | 混合用户或仅限云的用户 |
| 策略管理 | 组策略对象 (GPO) 或 Intune MDM | 仅限 Intune MDM |
| 支持 Windows Hello 企业版登录 | 是的,连接的设备必须通过直接网络或 VPN 建立到域控制器的视线 | 是 |
身份验证
要成功访问云电脑,用户必须轮流使用以下两者进行身份验证:
- Windows 365 服务。
- 云电脑。
备注
目前不支持单一登录(定义为可以同时满足 Windows 365 服务身份验证和云电脑身份验证的单一身份验证提示)。
重要
为了使身份验证正常工作,用户的本地计算机还必须能够访问 Azure 虚拟桌面所需 URL 列表 的 远程桌面客户端 部分中的 URL。
Windows 365 服务身份验证
用户必须在以下情况下使用 Windows 365 服务进行身份验证:
- 访问 windows365.microsoft.com 时。
- 导航到直接映射到其云电脑的 URL 时。
- 他们使用远程桌面客户端列出其云电脑。
此身份验证会触发 Azure Active Directory 提示,从而允许使用 Azure Active Directory 和 OS 两者同时支持的任何凭据类型。
云电脑身份验证
在以下情况下,用户必须向其云电脑进行身份验证:
- 导航到直接映射到其云电脑的 URL 时。
- 使用 远程桌面客户端 连接到其云电脑时。
对于已联接 Azure AD 的云电脑,此身份验证请求由 Azure AD 处理;对于已建立混合 Azure AD 联接的云电脑,此身份验证请求由本地 Active Directory 处理。
备注
如果用户启动直接映射到其云电脑的 Web 浏览器 URL,则将首先进行 Windows 365 服务身份验证,然后进行云电脑身份验证。
云电脑身份验证支持以下凭据类型:
- Windows 桌面客户端
- 用户名和密码
- 智能卡
- Windows Hello 企业版证书信任
- 使用证书的 Windows Hello 企业版密钥信任
备注
智能卡和 Windows Hello 身份验证要求 Windows 桌面客户端在与混合 AADJ 一起使用时能够执行 Kerberos 身份验证。 这要求物理客户端能够看到域控制器。
- Windows 应用商店客户端
- 用户名和密码
- Web 客户端
- 用户名和密码
- Android
- 用户名和密码
- iOS
- 用户名和密码
- macOS
- 用户名和密码