Erzwingen Microsoft Entra mehrstufiger Authentifizierung für Azure Virtual Desktop mithilfe des bedingten Zugriffs

Benutzer können sich über verschiedene Geräte und Clients von überall aus bei Azure Virtual Desktop anmelden. Es gibt jedoch bestimmte Maßnahmen, die Sie ergreifen sollten, um Ihre Umgebung und Ihre Benutzer zu schützen. Die Verwendung Microsoft Entra mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) mit Azure Virtual Desktop fordert Benutzer während des Anmeldevorgangs auf, zusätzlich zu ihrem Benutzernamen und Kennwort eine andere Form der Identifizierung einzugeben. Sie können MFA für Azure Virtual Desktop mithilfe des bedingten Zugriffs erzwingen und auch konfigurieren, ob sie für den Webclient, mobile Apps, Desktopclients oder alle Clients gilt.

Wenn ein Benutzer eine Verbindung mit einer Remotesitzung herstellt, muss er sich beim Azure Virtual Desktop-Dienst und dem Sitzungshost authentifizieren. Wenn MFA aktiviert ist, wird sie beim Herstellen einer Verbindung mit dem Azure Virtual Desktop-Dienst verwendet, und der Benutzer wird zur Eingabe seines Benutzerkontos und einer zweiten Form der Authentifizierung aufgefordert, genauso wie beim Zugriff auf andere Dienste. Wenn ein Benutzer eine Remotesitzung startet, sind ein Benutzername und ein Kennwort für den Sitzungshost erforderlich. Dies ist jedoch nahtlos für den Benutzer, wenn einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist. Weitere Informationen finden Sie unter Authentifizierungsmethoden.

Wie oft ein Benutzer zur erneuten Authentifizierung aufgefordert wird, hängt von Microsoft Entra adaptiven Sitzungsdauerrichtlinien für bedingten Zugriff ab. Das Speichern von Anmeldeinformationen ist zwar praktisch, kann aber auch dazu führen, dass Bereitstellungen mit persönlichen Geräten weniger sicher sind. Zum Schutz Ihrer Benutzer können Sie sicherstellen, dass der Client häufiger nach Microsoft Entra Anmeldeinformationen für die mehrstufige Authentifizierung fragt. Sie können die Anmeldehäufigkeit für bedingten Zugriff verwenden, um dieses Verhalten zu konfigurieren.

In den folgenden Abschnitten erfahren Sie, wie Sie MFA für Azure Virtual Desktop erzwingen und optional die Anmeldehäufigkeit konfigurieren.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

• Weisen Sie Benutzern eine Lizenz zu, die Microsoft Entra ID P1 oder P2 enthält.
• Eine Microsoft Entra Gruppe mit Ihren Azure Virtual Desktop-Benutzern, die als Gruppenmitglieder zugewiesen sind.
• Aktivieren Sie Microsoft Entra mehrstufige Authentifizierung.

Erstellen einer Richtlinie für bedingten Zugriff

Hier erfahren Sie, wie Sie eine Richtlinie für bedingten Zugriff erstellen, die beim Herstellen einer Verbindung mit Azure Virtual Desktop eine mehrstufige Authentifizierung erfordert:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

2. Navigieren Sie zu Schutz>von Richtlinien für bedingten Zugriff>.

3. Wählen Sie Neue Richtlinie aus.

4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Organisationen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

5. Wählen Sie unter Zuweisungen>Benutzer die Option 0 Benutzer und Gruppen ausgewählt aus.

6. Wählen Sie auf der Registerkarte Einschließen die Option Benutzer und Gruppen auswählen aus, aktivieren Sie Benutzer und Gruppen, und wählen Sie dann unter Auswählendie Option 0 Benutzer und Gruppen ausgewählt aus.

7. Suchen Sie im neuen Bereich, der geöffnet wird, nach der Gruppe, die Ihre Azure Virtual Desktop-Benutzer als Gruppenmitglieder enthält, und wählen Sie sie aus, und wählen Sie dann Auswählen aus.

8. Wählen Sie unter Zuweisungen>Zielressourcendie Option Keine Zielressourcen ausgewählt aus.

9. Behalten Sie für die Dropdownliste Wählen Sie aus, wofür diese Richtlinie gilt die Standardeinstellung Ressourcen (früher Cloud-Apps) bei. Wählen Sie auf der Registerkarte Einschließen die Option Ressourcen auswählen und dann unter Auswählen die Option Keine aus.

10. Suchen Sie im neuen Bereich, der geöffnet wird, nach den erforderlichen Apps, und wählen Sie sie basierend auf den Ressourcen aus, die Sie schützen möchten. Wählen Sie die relevante Registerkarte für Ihr Szenario aus. Verwenden Sie bei der Suche nach einem Anwendungsnamen in Azure Suchbegriffe, die mit dem Anwendungsnamen beginnen, anstelle von Schlüsselwörtern, die der Anwendungsname in der richtigen Reihenfolge enthält. Wenn Sie beispielsweise Azure Virtual Desktop verwenden möchten, müssen Sie "Azure Virtual" in dieser Reihenfolge eingeben. Wenn Sie selbst "virtual" eingeben, gibt die Suche nicht die gewünschte Anwendung zurück.

    Azure Virtual Desktop

    Für Azure Virtual Desktop (basierend auf Azure Resource Manager) können Sie MFA für diese verschiedenen Apps konfigurieren:

    • Azure Virtual Desktop (App-ID9cdead84-a844-4324-93f2-b2e6bb768d07) gilt, wenn der Benutzer Azure Virtual Desktop abonniert, sich während einer Verbindung beim Azure Virtual Desktop-Gateway authentifiziert und Diagnose Informationen vom lokalen Gerät des Benutzers an den Dienst gesendet wird.

      Tipp

      Der App-Name lautete zuvor Windows Virtual Desktop. Wenn Sie den Ressourcenanbieter Microsoft.DesktopVirtualization registriert haben, bevor der Anzeigename geändert wurde, erhält die Anwendung den Namen Windows Virtual Desktop mit der gleichen App-ID wie Azure Virtual Desktop.

    • Microsoft-Remotedesktop (App-IDa4a365df-50f1-4397-bc59-1a1564b8bb9c) und Windows Cloud-Anmeldung (App-ID270efc09-cd0d-444b-a71f-39af4910ec45). Diese gelten, wenn sich der Benutzer beim Sitzungshost authentifiziert, wenn einmaliges Anmelden aktiviert ist. Es wird empfohlen, dass Sie richtlinien für bedingten Zugriff zwischen diesen Apps und der Azure Virtual Desktop-App abgleichen, mit Ausnahme der Anmeldehäufigkeit.

      Wichtig

      • Die Clients, die für den Zugriff auf Azure Virtual Desktop verwendet werden, verwenden die Microsoft-Remotedesktop Entra ID-App, um sich heute beim Sitzungshost zu authentifizieren. Bei einer bevorstehenden Änderung wird die Authentifizierung auf die Windows Cloud Login Entra ID-App übertragen. Um einen reibungslosen Übergang zu gewährleisten, müssen Sie Ihren Richtlinien für die Zertifizierungsstelle beide Entra ID Apps hinzufügen.

      • Wählen Sie nicht die App namens Azure Virtual Desktop Azure Resource Manager Provider (App-ID50e95039-b200-4007-bc97-8d5790743a63) aus. Diese App wird nur zum Abrufen des Benutzerfeeds verwendet und sollte keine mehrstufige Authentifizierung aufweisen.

    Azure Virtual Desktop (klassisch)

    Für Azure Virtual Desktop (klassisch) konfigurieren Sie MFA für die folgenden Apps:

    • Windows Virtual Desktop (App-ID 5a0aa725-4958-4b0c-80a9-34562e23f3b7).

    • Windows Virtual Desktop Client (App-ID fa4345a4-a730-4230-84a8-7d9651b86739), mit dem Sie Richtlinien auf dem Webclient festlegen können.

    • Azure Virtual Desktop/Windows Virtual Desktop (App-ID 9cdead84-a844-4324-93f2-b2e6bb768d07). Wenn Sie diese App-ID nicht hinzufügen, wird die Feedermittlung von Azure Virtual Desktop-Ressourcen (klassisch) blockiert.

    Wichtig

    Wählen Sie nicht die App namens Azure Virtual Desktop Azure Resource Manager Provider (App-ID50e95039-b200-4007-bc97-8d5790743a63) aus. Diese App wird nur zum Abrufen des Benutzerfeeds verwendet und sollte keine mehrstufige Authentifizierung aufweisen.

11. Nachdem Sie Ihre Apps ausgewählt haben, wählen Sie Auswählen aus.

    

12. Wählen Sie unter Aufgabenbedingungen> die Option 0 Bedingungen auswählen aus.

13. Wählen Sie unter Client-Appsdie Option Nicht konfiguriert aus.

14. Wählen Sie im neuen Bereich, der geöffnet wird, für Konfigurieren die Option Ja aus.

15. Wählen Sie die Client-Apps aus, für die diese Richtlinie gilt:

    • Wählen Sie Browser aus, wenn die Richtlinie auf den Webclient angewendet werden soll.
    • Wählen Sie Mobile Apps und Desktopclients aus, wenn Sie die Richtlinie auf andere Clients anwenden möchten.
    • Aktivieren Sie beide Kontrollkästchen, wenn Sie die Richtlinie auf alle Clients anwenden möchten.
    • Heben Sie die Auswahl von Werten für Legacyauthentifizierungsclients auf.

    

16. Nachdem Sie die Client-Apps ausgewählt haben, für die diese Richtlinie gilt, wählen Sie Fertig aus.

17. Wählen Sie unterZugriffssteuerungserteilung>die Option 0 Steuerelemente ausgewählt aus.

18. Wählen Sie im neuen Bereich, der geöffnet wird, die Option Zugriff gewähren aus.

19. Aktivieren Sie Mehrstufige Authentifizierung erforderlich, und wählen Sie dann Auswählen aus.

20. Legen Sie unten auf der Seite Richtlinie aktivieren auf Ein fest, und wählen Sie Erstellen aus.

Hinweis

Wenn Sie den Webclient verwenden, um sich über Ihren Browser bei Azure Virtual Desktop anzumelden, listet das Protokoll die Client-App-ID als a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop-Client) auf. Dies liegt daran, dass die Client-App intern mit der Server-App-ID verknüpft ist, in der die Richtlinie für bedingten Zugriff festgelegt wurde.

Tipp

Einigen Benutzern wird möglicherweise die Aufforderung Angemeldet bleiben bei allen Apps angezeigt, wenn das verwendete Windows-Gerät noch nicht bei Microsoft Entra ID registriert ist. Wenn sie die Option Meinem organization erlauben, mein Gerät zu verwalten und Nein, nur bei dieser App anmelden auswählt, werden sie möglicherweise häufiger zur Authentifizierung aufgefordert.

Konfigurieren der Anmeldehäufigkeit

Mithilfe von Richtlinien für die Anmeldehäufigkeit können Sie konfigurieren, wie oft sich Benutzer beim Zugriff auf Microsoft Entra-basierte Ressourcen anmelden müssen. Dies kann zum Schutz Ihrer Umgebung beitragen und ist besonders wichtig für persönliche Geräte, bei denen das lokale Betriebssystem möglicherweise keine MFA erfordert oder nach Inaktivität nicht automatisch gesperrt wird. Benutzer werden nur dann zur Authentifizierung aufgefordert, wenn beim Zugriff auf eine Ressource von Microsoft Entra ID ein neues Zugriffstoken angefordert wird.

Richtlinien für die Anmeldehäufigkeit führen je nach ausgewählter Microsoft Entra App zu unterschiedlichen Verhaltensweisen:

App-Name	App-ID	Verhalten
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Erzwingt die erneute Authentifizierung, wenn ein Benutzer Azure Virtual Desktop abonniert, seine Ressourcenliste manuell aktualisiert und sich während einer Verbindung beim Azure Virtual Desktop-Gateway authentifiziert. Sobald der Zeitraum für die erneute Authentifizierung abgelaufen ist, schlägt die Aktualisierung des Hintergrundfeeds und Diagnose Uploads automatisch fehl, bis ein Benutzer seine nächste interaktive Anmeldung bei Microsoft Entra abgeschlossen hat.
Microsoft-Remotedesktop Windows Cloud-Anmeldung	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Erzwingt die erneute Authentifizierung, wenn sich ein Benutzer bei einem Sitzungshost anmeldet, wenn einmaliges Anmelden aktiviert ist. Beide Apps sollten zusammen konfiguriert werden, da die Azure Virtual Desktop-Clients bald von der Verwendung der Microsoft-Remotedesktop-App zur Windows-Cloudanmeldungs-App wechseln, um sich beim Sitzungshost zu authentifizieren.

So konfigurieren Sie den Zeitraum, nach dem ein Benutzer aufgefordert wird, sich erneut anzumelden:

1. Öffnen Sie die Richtlinie, die Sie zuvor erstellt haben.
2. Wählen Sie unter Zugriffssteuerungen>Sitzungdie Option 0 Steuerelemente ausgewählt aus.
3. Wählen Sie im Bereich Sitzung die Option Anmeldehäufigkeit aus.
4. Wählen Sie Regelmäßige erneute Authentifizierung oder Jedes Mal aus.
   • Wenn Sie Regelmäßige erneute Authentifizierung auswählen, legen Sie den Wert für den Zeitraum fest, nach dem ein Benutzer aufgefordert wird, sich erneut anzumelden, wenn er eine Aktion ausführt, die ein neues Zugriffstoken erfordert, und wählen Sie dann Auswählen aus. Wenn Sie beispielsweise den Wert auf 1 und die Einheit auf Stunden festlegen, ist eine mehrstufige Authentifizierung erforderlich, wenn eine Verbindung mehr als eine Stunde nach der letzten Benutzerauthentifizierung gestartet wird.
   • Die Option Jedes Mal wird nur unterstützt, wenn sie auf die Apps Microsoft-Remotedesktop und Windows Cloud Login angewendet wird, wenn einmaliges Anmelden für Ihren Hostpool aktiviert ist. Wenn Sie Jedes Mal auswählen, werden Benutzer beim Starten einer neuen Verbindung nach einem Zeitraum von 5 bis 10 Minuten nach ihrer letzten Authentifizierung aufgefordert, sich erneut zu authentifizieren.
5. Wählen Sie unten auf der Seite Speichern aus.

Hinweis

• Die erneute Authentifizierung erfolgt nur, wenn sich ein Benutzer bei einer Ressource authentifizieren muss und ein neues Zugriffstoken erforderlich ist. Nachdem eine Verbindung hergestellt wurde, werden Benutzer nicht dazu aufgefordert, auch wenn die Verbindung länger als die von Ihnen konfigurierte Anmeldehäufigkeit besteht.
• Benutzer müssen sich erneut authentifizieren, wenn es zu einer Netzwerkunterbrechung kommt, die erzwingt, dass die Sitzung nach der von Ihnen konfigurierten Anmeldehäufigkeit erneut eingerichtet wird. Dies kann zu häufigeren Authentifizierungsanforderungen in instabilen Netzwerken führen.

Microsoft Entra verknüpfte Sitzungshost-VMs

Damit Verbindungen erfolgreich hergestellt werden können, müssen Sie die Legacyanmeldungsmethode für die mehrstufige Authentifizierung pro Benutzer deaktivieren. Wenn Sie die Anmeldung nicht auf sichere Authentifizierungsmethoden wie Windows Hello for Business beschränken möchten, müssen Sie die Azure Windows-VM Sign-In-App aus Ihrer Richtlinie für bedingten Zugriff ausschließen.

Nächste Schritte

• Weitere Informationen zu Richtlinien für bedingten Zugriff
• Weitere Informationen zur Häufigkeit der Benutzeranmeldung