Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die mehrstufige Authentifizierung (Multifactor Authentication, MFA) verbessert die Sicherheit von Remotedesktopdiensten (RDS), indem Benutzer ihre Identität über mehrere Authentifizierungsmethoden überprüfen müssen. Diese zusätzliche Schutzebene trägt dazu bei, sensible Ressourcen zu schützen und das Risiko eines nicht autorisierten Zugriffs zu verringern. Dieser Artikel enthält eine Übersicht über die Benutzerfreundlichkeit, Architekturkomponenten und Sicherheitsvorteile der Integration von MFA in RDS sowie Planungsüberlegungen für die Bereitstellung.
Benutzererfahrung
Für Ihre Endbenutzer, die eine Verbindung mit ihren Desktops und Anwendungen herstellen, ähnelt die Erfahrung allen anderen zweiten Authentifizierungsmaßen, um eine Verbindung mit der gewünschten Ressource herzustellen. Der Prozess umfasst in der Regel Folgendes:
Starten Sie einen Desktop oder eine RemoteApp.
Beim Herstellen einer Verbindung mit dem RD-Gateway für den sicheren Remotezugriff wird eine MFA-Abfrage für eine mobile App empfangen.
Authentifizieren Sie sich ordnungsgemäß, und verbinden Sie sich mit Ihren Ressourcen.
Architekturkomponenten
RDS kann in den Netzwerkrichtlinien-Server von Windows Server und dessen Erweiterungen zu Microsoft Entra ID integriert werden. Eine typische RDS MFA-Implementierung umfasst:
- RD-Gateway: Dient als Einstiegspunkt für Remoteverbindungen.
- Netzwerkrichtlinienserver (Network Policy Server, NPS): Verarbeitet Authentifizierungsanforderungen und erzwingt Richtlinien.
- Microsoft Entra-ID: Stellt cloudbasierte MFA-Dienste bereit.
- NPS Erweiterung: Verbindet on-premises NPS mit cloudbasierter MFA.
Weitere Informationen finden Sie unter Integrieren Sie Ihre Remote Desktop Gateway Infrastruktur mit der Erweiterung Network Policy Server (NPS) und Microsoft Entra ID.
Bei der Planung der MFA-Bereitstellung sollten Sie die folgenden Komponenten berücksichtigen:
- Benutzerregistrierung: Planen Sie, wie Benutzer ihre MFA-Methoden registrieren.
- Sicherungsauthentifizierung: Konfigurieren alternativer Methoden für Benutzer, die primäre Geräte verlieren.
- Bedingter Zugriff: Erwägen Sie die Implementierung standortbasierter oder gerätebasierter Richtlinien.
- Netzwerkanforderungen: Stellen Sie sicher, dass Firewallregeln die Kommunikation mit MFA-Dienstendpunkten ermöglichen.
Sicherheitsvorteile
Die Implementierung von MFA mit Remotedesktopdiensten bietet Folgendes:
- Reduziertes Sicherheitsrisiko: Selbst wenn Kennwörter kompromittiert werden, verhindert eine zusätzliche Überprüfung nicht autorisierten Zugriff.
- Compliance-Unterstützung: Unterstützt die Einhaltung gesetzlicher Anforderungen für den sicheren Remotezugriff.
- Zentrale Verwaltung: Einheitliche MFA-Richtlinien für cloud- und lokale Ressourcen.
- Überwachungsfunktionen: Detaillierte Protokollierung der verwendeten Authentifizierungsversuche und -methoden.