Vynucení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop pomocí podmíněného přístupu
Důležité
Pokud tuto stránku navštívíte z dokumentace ke službě Azure Virtual Desktop (Classic), po dokončení se vraťte do dokumentace ke službě Azure Virtual Desktop (Classic).
Uživatelé se můžou ke službě Azure Virtual Desktop přihlásit odkudkoli pomocí různých zařízení a klientů. Existují však určitá opatření, která byste měli přijmout, abyste zachovali vaše prostředí a uživatele v bezpečí. Použití vícefaktorového ověřování Microsoft Entra (MFA) se službou Azure Virtual Desktop vyzve uživatele během procesu přihlašování k další formě identifikace kromě uživatelského jména a hesla. Vícefaktorové ověřování pro Azure Virtual Desktop můžete vynutit pomocí podmíněného přístupu a také nakonfigurovat, jestli se vztahuje na webového klienta, mobilní aplikace, desktopové klienty nebo všechny klienty.
Když se uživatel připojí ke vzdálené relaci, musí se ověřit ve službě Azure Virtual Desktop a hostiteli relace. Pokud je povolené vícefaktorové ověřování, použije se při připojování ke službě Azure Virtual Desktop a uživateli se zobrazí výzva k zadání uživatelského účtu a druhé formy ověřování stejným způsobem jako při přístupu k jiným službám. Když uživatel spustí vzdálenou relaci, pro hostitele relace se vyžaduje uživatelské jméno a heslo, ale pokud je povolené jednotné přihlašování, je to pro uživatele bezproblémové. Další informace najdete v tématu Metody ověřování.
Jak často se uživateli zobrazí výzva k opětovnému ověření, závisí na nastavení konfigurace doby života relace Microsoft Entra. Pokud je například klientské zařízení s Windows zaregistrované v Microsoft Entra ID, obdrží primární obnovovací token (PRT), který se použije pro jednotné přihlašování (SSO) napříč aplikacemi. Po vydání je žádost o přijetí změn platná po dobu 14 dnů a bude se nepřetržitě obnovovat, pokud uživatel zařízení aktivně používá.
I když si pamatujete, že přihlašovací údaje jsou pohodlné, můžou být nasazení pro podnikové scénáře s využitím osobních zařízení méně zabezpečená. Pokud chcete chránit uživatele, můžete zajistit, aby klient stále požadoval vícefaktorové přihlašovací údaje pro vícefaktorové ověřování Microsoftu. Toto chování můžete nakonfigurovat pomocí podmíněného přístupu.
V následujících částech se dozvíte, jak vynutit vícefaktorové ověřování pro Azure Virtual Desktop a volitelně nakonfigurovat frekvenci přihlašování.
Požadavky
Tady je seznam toho, co potřebujete, abyste mohli začít:
- Přiřaďte uživatelům licenci, která zahrnuje Microsoft Entra ID P1 nebo P2.
- Skupina Microsoft Entra s uživateli služby Azure Virtual Desktop přiřazená jako členové skupiny.
- Povolte vícefaktorové ověřování Microsoft Entra.
Vytvořte zásady podmíněného přístupu
Tady je postup vytvoření zásady podmíněného přístupu, které při připojování k Azure Virtual Desktopu vyžadují vícefaktorové ověřování:
Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
Přejděte k zásadám podmíněného přístupu ochrany>>.
Vyberte Možnost Nová zásada.
Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
V části Přiřazení>Uživatelé vyberte 0 uživatelů a skupin.
Na kartě Zahrnout vyberte Vybrat uživatele a skupiny a zaškrtněte políčko Uživatelé a skupiny a pak v části Vybrat vyberte 0 uživatelů a skupin.
V novém podokně, které se otevře, vyhledejte a zvolte skupinu, která obsahuje uživatele služby Azure Virtual Desktop jako členy skupiny, a pak vyberte Vybrat.
V části Cílové zdroje přiřazení>vyberte Žádné cílové prostředky.
Na kartě Zahrnout vyberte Vybrat aplikace a pak v části Vybrat vyberte Možnost Žádné.
V novém podokně, které se otevře, vyhledejte a vyberte potřebné aplikace na základě prostředků, které se pokoušíte chránit. Vyberte příslušnou kartu pro váš scénář. Při hledání názvu aplikace v Azure použijte hledané termíny, které začínají názvem aplikace v pořadí místo klíčových slov, která název aplikace obsahuje mimo pořadí. Pokud například chcete použít Azure Virtual Desktop, musíte v tomto pořadí zadat Azure Virtual. Pokud zadáte samotné "virtuální", hledání nevrátí požadovanou aplikaci.
Pro Azure Virtual Desktop (na základě Azure Resource Manageru) můžete vícefaktorové ověřování nakonfigurovat v těchto různých aplikacích:
Azure Virtual Desktop (ID aplikace 9cdead84-a844-4324-93f2-b2e6bb768d07), která platí, když se uživatel přihlásí k odběru služby Azure Virtual Desktop, ověří se službě Azure Virtual Desktop Gateway během připojení a když se diagnostické informace odesílají do služby z místního zařízení uživatele.
Tip
Název aplikace byl dříve Windows Virtual Desktop. Pokud jste před změnou zobrazovaného názvu zaregistrovali poskytovatele prostředků Microsoft.DesktopVirtualization , aplikace bude mít název Windows Virtual Desktop se stejným ID aplikace jako Azure Virtual Desktop .
- Vzdálená plocha Microsoft (ID aplikace a4a365df-50f1-4397-bc59-1a1564b8bb9c) a Přihlášení ke cloudu Windows (ID aplikace 270efc09-cd0d-444b-a71f-39af4910ec45). Platí, když se uživatel ověří u hostitele relace, když je povolené jednotné přihlašování . Doporučuje se shodovat zásady podmíněného přístupu mezi těmito aplikacemi a aplikací Azure Virtual Desktop s výjimkou frekvence přihlašování.
Důležité
Klienti, kteří se používají pro přístup k Azure Virtual Desktopu, používají Vzdálená plocha Microsoft aplikaci Entra ID k dnešnímu ověření u hostitele relace. Připravovaná změna převede ověřování na aplikaci Entra ID přihlášení ke cloudu Windows. Pokud chcete zajistit hladký přechod, musíte do zásad podmíněného přístupu přidat obě aplikace Entra ID.
Důležité
Nevybírejte aplikaci s názvem Azure Virtual Desktop Azure Resource Manager Provider (ID aplikace 50e95039-b200-4007-bc97-8d5790743a63). Tato aplikace se používá jenom k načtení uživatelského informačního kanálu a nemělo by mít vícefaktorové ověřování.
Jakmile vyberete aplikace, vyberte Vybrat.
V části Podmínky přiřazení>vyberte 0 podmínek.
V části Klientské aplikace vyberte Nenakonfigurováno.
V novém podokně, které se otevře, vyberte možnost Konfigurovat.
Vyberte klientské aplikace, na které se tato zásada vztahuje:
- Pokud chcete, aby zásady platily pro webového klienta, vyberte Prohlížeč .
- Pokud chcete zásady použít pro jiné klienty, vyberte Mobilní aplikace a desktopové klienty .
- Pokud chcete zásadu použít pro všechny klienty, zaškrtněte obě políčka.
- Zrušte výběr hodnot pro starší klienty ověřování.
Jakmile vyberete klientské aplikace, na které se tato zásada vztahuje, vyberte Hotovo.
V části Udělení řízení>přístupu vyberte 0 ovládacích prvků.
V novém podokně, které se otevře, vyberte Udělit přístup.
Zaškrtněte políčko Vyžadovat vícefaktorové ověřování a pak vyberte Vybrat.
V dolní části stránky nastavte možnost Povolit zásadu na Zapnuto a vyberte Vytvořit.
Poznámka:
Když se pomocí webového klienta přihlásíte k Azure Virtual Desktopu přes prohlížeč, v protokolu se zobrazí ID klientské aplikace jako a85cf173-4192-42f8-81fa-777a763e6e2c (klient Azure Virtual Desktopu). Důvodem je to, že klientská aplikace je interně propojená s ID serverové aplikace, kde byly nastaveny zásady podmíněného přístupu.
Tip
Některým uživatelům se může zobrazit výzva s názvem Zůstat přihlášeni ke všem vašim aplikacím , pokud zařízení s Windows, které používá, ještě není zaregistrované u Microsoft Entra ID. Pokud zruší výběr možnosti Povolit organizaci spravovat moje zařízení a vybere Ne, přihlásí se jenom k této aplikaci, může se zobrazit výzva k ověření častěji.
Konfigurace frekvence přihlašování
Zásady četnosti přihlašování umožňují nakonfigurovat, jak často se uživatelé musí při přístupu k prostředkům založeným na Microsoft Entra přihlásit. To může pomoct zabezpečit vaše prostředí a je zvlášť důležité pro osobní zařízení, kde místní operační systém nemusí vyžadovat vícefaktorové ověřování nebo se nemusí po nečinnosti automaticky uzamknout. Uživatelům se při přístupu k prostředku zobrazí výzva k ověření pouze v případech, kdy je požadován nový přístupový token z ID Microsoft Entra.
Zásady četnosti přihlášení vedou k různým chováním na základě vybrané aplikace Microsoft Entra:
Název aplikace | ID aplikace | Chování |
---|---|---|
Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Vynucuje opětovné ověření, když se uživatel přihlásí k odběru služby Azure Virtual Desktop, ručně aktualizuje seznam prostředků a během připojení se ověří ve službě Azure Virtual Desktop Gateway. Po uplynutí období opětovného ověření aktualizace informačního kanálu na pozadí a nahrávání diagnostiky bezobslužně selže, dokud uživatel nedokončí další interaktivní přihlášení k Microsoft Entra. |
Vzdálená plocha Microsoft Přihlášení ke cloudu Windows |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Vynucuje opětovné ověření, když se uživatel přihlásí k hostiteli relace, když je povolené jednotné přihlašování . Obě aplikace by se měly nakonfigurovat společně, protože klienti Služby Azure Virtual Desktop brzy přejdou z používání aplikace Vzdálená plocha Microsoft na aplikaci Pro přihlášení ke cloudu pro Windows, aby se ověřili u hostitele relace. |
Konfigurace časového období, po kterém se uživateli zobrazí výzva k opětovnému přihlášení:
- Otevřete zásadu, kterou jste vytvořili dříve.
- V části Relace řízení>přístupu vyberte 0 ovládacích prvků.
- V podokně Relace vyberte frekvenci přihlášení.
- Vyberte pravidelné opakované ověřování nebo pokaždé.
- Pokud vyberete pravidelné opakované ověření, nastavte hodnotu časového období, po kterém se uživateli při provádění akce vyžadující nový přístupový token zobrazí výzva k opětovnému přihlášení, a pak vyberte Vybrat. Například nastavení hodnoty 1 a jednotky na Hodiny vyžaduje vícefaktorové ověřování, pokud se připojení spustí déle než hodinu po posledním ověření uživatele.
- Možnost Pokaždé, když je v současné době dostupná ve verzi Preview a je podporovaná jenom v případě, že je pro váš fond hostitelů povolené jednotné přihlašování, platí jenom v případě, že se použije u aplikací pro Vzdálená plocha Microsoft a přihlášení ke cloudu Windows. Pokud vyberete Možnost Pokaždé, zobrazí se uživatelům výzva k opětovnému ověření při spuštění nového připojení po uplynutí 5 až 10 minut od jejich posledního ověření.
- V dolní části stránky vyberte Uložit.
Poznámka:
- K opětovnému ověření dojde jenom v případě, že se uživatel musí ověřit v prostředku a vyžaduje se nový přístupový token. Po navázání připojení se uživatelům nezobrazí výzva, ani když připojení trvá déle, než je frekvence přihlášení, kterou jste nakonfigurovali.
- Uživatelé se musí znovu ověřit, pokud dojde k přerušení sítě, které vynutí opětovné navázání relace po nakonfigurované frekvenci přihlášení. To může vést k častějším požadavkům na ověřování v nestabilních sítích.
Virtuální počítače hostitele relace připojené k Microsoft Entra
Aby připojení byla úspěšná, je nutné zakázat starší verzi metody vícefaktorového ověřování pro jednotlivé uživatele. Pokud nechcete omezit přihlašování na metody silného ověřování, jako je Windows Hello pro firmy, musíte z zásad podmíněného přístupu vyloučit aplikaci pro přihlášení k virtuálnímu počítači Azure s Windows.