Share via

Vynucení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop pomocí podmíněného přístupu

  • Článek

Důležité

Pokud tuto stránku navštívíte z dokumentace ke službě Azure Virtual Desktop (Classic), po dokončení se vraťte do dokumentace ke službě Azure Virtual Desktop (Classic).

Uživatelé se můžou ke službě Azure Virtual Desktop přihlásit odkudkoli pomocí různých zařízení a klientů. Existují však určitá opatření, která byste měli přijmout, abyste zachovali vaše prostředí a uživatele v bezpečí. Použití vícefaktorového ověřování Microsoft Entra (MFA) se službou Azure Virtual Desktop vyzve uživatele během procesu přihlašování k další formě identifikace kromě uživatelského jména a hesla. Vícefaktorové ověřování pro Azure Virtual Desktop můžete vynutit pomocí podmíněného přístupu a také nakonfigurovat, jestli se vztahuje na webového klienta, mobilní aplikace, desktopové klienty nebo všechny klienty.

Když se uživatel připojí ke vzdálené relaci, musí se ověřit ve službě Azure Virtual Desktop a hostiteli relace. Pokud je povolené vícefaktorové ověřování, použije se při připojování ke službě Azure Virtual Desktop a uživateli se zobrazí výzva k zadání uživatelského účtu a druhé formy ověřování stejným způsobem jako při přístupu k jiným službám. Když uživatel spustí vzdálenou relaci, pro hostitele relace se vyžaduje uživatelské jméno a heslo, ale pokud je povolené jednotné přihlašování, je to pro uživatele bezproblémové. Další informace najdete v tématu Metody ověřování.

Jak často se uživateli zobrazí výzva k opětovnému ověření, závisí na nastavení konfigurace doby života relace Microsoft Entra. Pokud je například klientské zařízení s Windows zaregistrované v Microsoft Entra ID, obdrží primární obnovovací token (PRT), který se použije pro jednotné přihlašování (SSO) napříč aplikacemi. Po vydání je žádost o přijetí změn platná po dobu 14 dnů a bude se nepřetržitě obnovovat, pokud uživatel zařízení aktivně používá.

I když si pamatujete, že přihlašovací údaje jsou pohodlné, můžou být nasazení pro podnikové scénáře s využitím osobních zařízení méně zabezpečená. Pokud chcete chránit uživatele, můžete zajistit, aby klient stále požadoval vícefaktorové přihlašovací údaje pro vícefaktorové ověřování Microsoftu. Toto chování můžete nakonfigurovat pomocí podmíněného přístupu.

V následujících částech se dozvíte, jak vynutit vícefaktorové ověřování pro Azure Virtual Desktop a volitelně nakonfigurovat frekvenci přihlašování.

Požadavky

Tady je seznam toho, co potřebujete, abyste mohli začít:

Vytvořte zásady podmíněného přístupu

Tady je postup vytvoření zásady podmíněného přístupu, které při připojování k Azure Virtual Desktopu vyžadují vícefaktorové ověřování:

  1. Přihlaste se k webu Azure Portal jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.

  2. Na panelu hledání zadejte podmíněný přístup Microsoft Entra a vyberte odpovídající položku služby.

  3. V přehledu vyberte Vytvořit novou zásadu.

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  5. V části Přiřazení>Uživatelé vyberte 0 uživatelů a skupin.

  6. Na kartě Zahrnout vyberte Vybrat uživatele a skupiny a zaškrtněte políčko Uživatelé a skupiny a pak v části Vybrat vyberte 0 uživatelů a skupin.

  7. V novém podokně, které se otevře, vyhledejte a zvolte skupinu, která obsahuje uživatele služby Azure Virtual Desktop jako členy skupiny, a pak vyberte Vybrat.

  8. V části Cílové zdroje přiřazení>vyberte Žádné cílové prostředky.

  9. Na kartě Zahrnout vyberte Vybrat aplikace a pak v části Vybrat vyberte Možnost Žádné.

  10. V novém podokně, které se otevře, vyhledejte a vyberte potřebné aplikace na základě prostředků, které se pokoušíte chránit. Vyberte příslušnou kartu pro váš scénář. Při hledání názvu aplikace v Azure použijte hledané termíny, které začínají názvem aplikace v pořadí místo klíčových slov, která název aplikace obsahuje mimo pořadí. Pokud například chcete použít Azure Virtual Desktop, musíte v tomto pořadí zadat Azure Virtual. Pokud zadáte samotné "virtuální", hledání nevrátí požadovanou aplikaci.

    Pro Azure Virtual Desktop (na základě Azure Resource Manageru) můžete vícefaktorové ověřování nakonfigurovat v těchto různých aplikacích:

    • Azure Virtual Desktop (ID aplikace 9cdead84-a844-4324-93f2-b2e6bb768d07), která platí, když se uživatel přihlásí k odběru služby Azure Virtual Desktop, ověří se službě Azure Virtual Desktop Gateway během připojení a když se diagnostické informace odesílají do služby z místního zařízení uživatele.

      Tip

      Název aplikace byl dříve Windows Virtual Desktop. Pokud jste před změnou zobrazovaného názvu zaregistrovali poskytovatele prostředků Microsoft.DesktopVirtualization , aplikace bude mít název Windows Virtual Desktop se stejným ID aplikace jako Azure Virtual Desktop .

      • Vzdálená plocha Microsoft (ID aplikace a4a365df-50f1-4397-bc59-1a1564b8bb9c) a Přihlášení ke cloudu Windows (ID aplikace 270efc09-cd0d-444b-a71f-39af4910ec45). Platí, když se uživatel ověří u hostitele relace, když je povolené jednotné přihlašování . Doporučuje se shodovat zásady podmíněného přístupu mezi těmito aplikacemi a aplikací Azure Virtual Desktop s výjimkou frekvence přihlašování.

      Důležité

      Klienti, kteří se používají pro přístup k Azure Virtual Desktopu, používají Vzdálená plocha Microsoft aplikaci Entra ID k dnešnímu ověření u hostitele relace. Připravovaná změna převede ověřování na aplikaci Entra ID přihlášení ke cloudu Windows. Pokud chcete zajistit hladký přechod, musíte do zásad podmíněného přístupu přidat obě aplikace Entra ID.

    Důležité

    Nevybírejte aplikaci s názvem Azure Virtual Desktop Azure Resource Manager Provider (ID aplikace 50e95039-b200-4007-bc97-8d5790743a63). Tato aplikace se používá jenom k načtení uživatelského informačního kanálu a nemělo by mít vícefaktorové ověřování.

  11. Jakmile vyberete aplikace, vyberte Vybrat.

    Snímek obrazovky s cloudovými aplikacemi nebo akcemi podmíněného přístupu Zobrazí se aplikace Azure Virtual Desktop.

  12. V části Podmínky přiřazení>vyberte 0 podmínek.

  13. V části Klientské aplikace vyberte Nenakonfigurováno.

  14. V novém podokně, které se otevře, vyberte možnost Konfigurovat.

  15. Vyberte klientské aplikace, na které se tato zásada vztahuje:

    • Pokud chcete, aby zásady platily pro webového klienta, vyberte Prohlížeč .
    • Pokud chcete zásady použít pro jiné klienty, vyberte Mobilní aplikace a desktopové klienty .
    • Pokud chcete zásadu použít pro všechny klienty, zaškrtněte obě políčka.
    • Zrušte výběr hodnot pro starší klienty ověřování.

    Snímek obrazovky se stránkou klientských aplikací podmíněného přístupu Uživatel vybral mobilní aplikace a desktopové klienty a zaškrtávací políčka prohlížeče.

  16. Jakmile vyberete klientské aplikace, na které se tato zásada vztahuje, vyberte Hotovo.

  17. V části Udělení řízení>přístupu vyberte 0 ovládacích prvků.

  18. V novém podokně, které se otevře, vyberte Udělit přístup.

  19. Zaškrtněte políčko Vyžadovat vícefaktorové ověřování a pak vyberte Vybrat.

  20. V dolní části stránky nastavte možnost Povolit zásadu na Zapnuto a vyberte Vytvořit.

Poznámka:

Když se pomocí webového klienta přihlásíte k Azure Virtual Desktopu přes prohlížeč, v protokolu se zobrazí ID klientské aplikace jako a85cf173-4192-42f8-81fa-777a763e6e2c (klient Azure Virtual Desktopu). Důvodem je to, že klientská aplikace je interně propojená s ID serverové aplikace, kde byly nastaveny zásady podmíněného přístupu.

Tip

Některým uživatelům se může zobrazit výzva s názvem Zůstat přihlášeni ke všem vašim aplikacím , pokud zařízení s Windows, které používá, ještě není zaregistrované u Microsoft Entra ID. Pokud zruší výběr možnosti Povolit organizaci spravovat moje zařízení a vybere Ne, přihlásí se jenom k této aplikaci, může se zobrazit výzva k ověření častěji.

Konfigurace frekvence přihlašování

Zásady četnosti přihlašování umožňují nastavit časové období, po kterém musí uživatel při přístupu k prostředkům založeným na Microsoft Entra prokázat svou identitu znovu. To může pomoct zabezpečit vaše prostředí a je zvlášť důležité pro osobní zařízení, kde místní operační systém nemusí vyžadovat vícefaktorové ověřování nebo se nemusí po nečinnosti automaticky uzamknout.

Zásady četnosti přihlášení vedou k různým chováním na základě vybrané aplikace Microsoft Entra:

Název aplikace ID aplikace Chování
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Vynucuje opětovné ověření, když se uživatel přihlásí k odběru služby Azure Virtual Desktop, ručně aktualizuje seznam prostředků a během připojení se ověří ve službě Azure Virtual Desktop Gateway.

Po uplynutí období opětovného ověření aktualizace informačního kanálu na pozadí a nahrávání diagnostiky bezobslužně selže, dokud uživatel nedokončí další interaktivní přihlášení k Microsoft Entra.
Vzdálená plocha Microsoft

Přihlášení ke cloudu Windows		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Vynucuje opětovné ověření, když se uživatel přihlásí k hostiteli relace, když je povolené jednotné přihlašování .

Obě aplikace by se měly nakonfigurovat společně, protože klienti Služby Azure Virtual Desktop brzy přejdou z používání aplikace Vzdálená plocha Microsoft na aplikaci Pro přihlášení ke cloudu pro Windows, aby se ověřili u hostitele relace.

Konfigurace časového období, po kterém se uživateli zobrazí výzva k opětovnému přihlášení:

  1. Otevřete zásadu, kterou jste vytvořili dříve.
  2. V části Relace řízení>přístupu vyberte 0 ovládacích prvků.
  3. V podokně Relace vyberte frekvenci přihlášení.
  4. Vyberte pravidelné opakované ověřování nebo pokaždé.
    • Pokud vyberete pravidelné opakované ověření, nastavte hodnotu časového období, po kterém se uživateli zobrazí výzva k opětovnému přihlášení, a pak vyberte Vybrat. Například nastavení hodnoty 1 a jednotky na Hodiny vyžaduje vícefaktorové ověřování, pokud je připojení spuštěno více než hodinu po poslední jednotce.
    • Možnost Pokaždé, když je v současné době dostupná ve verzi Public Preview a je podporovaná jenom v případě, že je pro váš fond hostitelů povolené jednotné přihlašování, platí jenom v případě, že se použije u aplikací pro Vzdálená plocha Microsoft a přihlášení ke cloudu Windows. Pokud vyberete možnost Pokaždé, zobrazí se uživatelům výzva k opětovnému ověření po uplynutí 5 až 15 minut po posledním ověření pro aplikace Vzdálená plocha Microsoft a Přihlášení ke cloudu Windows.
  5. V dolní části stránky vyberte Uložit.

Poznámka:

  • K opětovnému ověření dojde jenom v případě, že se uživatel musí ověřit v prostředku. Po navázání připojení se uživatelům nezobrazí výzva, ani když připojení trvá déle, než je nakonfigurovaná frekvence přihlášení.
  • Uživatelé se musí znovu ověřit, pokud dojde k přerušení sítě, které vynutí opětovné navázání relace po nakonfigurované frekvenci přihlášení. To může vést k častějším požadavkům na ověřování v nestabilních sítích.

Virtuální počítače hostitele relace připojené k Microsoft Entra

Aby připojení byla úspěšná, je nutné zakázat starší verzi metody vícefaktorového ověřování pro jednotlivé uživatele. Pokud nechcete omezit přihlašování na metody silného ověřování, jako je Windows Hello pro firmy, musíte z zásad podmíněného přístupu vyloučit aplikaci pro přihlášení k virtuálnímu počítači Azure s Windows.

Další kroky