Condividi tramite

Applicare Microsoft Entra autenticazione a più fattori per Desktop virtuale Azure usando l'accesso condizionale

Gli utenti possono accedere a Desktop virtuale Azure da qualsiasi posizione usando dispositivi e client diversi. Tuttavia, è necessario adottare alcune misure per proteggere l'ambiente e gli utenti. L'uso di Microsoft Entra autenticazione a più fattori (MFA) con Desktop virtuale Azure richiede agli utenti durante il processo di accesso un'altra forma di identificazione oltre al nome utente e alla password. È possibile applicare L'autenticazione a più fattori per Desktop virtuale Azure usando l'accesso condizionale e configurare anche se si applica al client Web, alle app per dispositivi mobili, ai client desktop o a tutti i client.

Quando un utente si connette a una sessione remota, deve eseguire l'autenticazione al servizio Desktop virtuale Azure e all'host della sessione. Se l'autenticazione a più fattori è abilitata, viene usata durante la connessione al servizio Desktop virtuale Azure e all'utente vengono richiesti l'account utente e una seconda forma di autenticazione, allo stesso modo dell'accesso ad altri servizi. Quando un utente avvia una sessione remota, sono necessari un nome utente e una password per l'host della sessione, ma questo è facile per l'utente se l'accesso Single Sign-On (SSO) è abilitato. Per altre informazioni, vedere Metodi di autenticazione.

La frequenza con cui viene richiesto a un utente di autenticarsi di nuovo dipende da Microsoft Entra criteri di durata della sessione adattiva per l'accesso condizionale. Anche se ricordare le credenziali è utile, può anche rendere le distribuzioni usando i dispositivi personali meno sicure. Per proteggere gli utenti, è possibile assicurarsi che il client richieda più frequentemente Microsoft Entra credenziali di autenticazione a più fattori. Per configurare questo comportamento, è possibile usare la frequenza di accesso condizionale.

Informazioni su come applicare l'autenticazione a più fattori per Desktop virtuale Azure e, facoltativamente, configurare la frequenza di accesso nelle sezioni seguenti.

Prerequisiti

Ecco cosa serve per iniziare:

Creare un criterio di accesso condizionale

Ecco come creare criteri di accesso condizionale che richiedono l'autenticazione a più fattori durante la connessione a Desktop virtuale Azure:

  1. Accedere al Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Criteri diaccesso> condizionale di protezione>.

  3. Selezionare Nuovo criterio.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard significativo per i nomi dei criteri.

  5. In Utenti assegnazioni> selezionare 0 utenti e gruppi selezionati.

  6. Nella scheda Includi selezionare Seleziona utenti e gruppi e selezionare Utenti e gruppi, quindi in Seleziona selezionare 0 utenti e gruppi selezionati.

  7. Nel nuovo riquadro visualizzato cercare e scegliere il gruppo che contiene gli utenti di Desktop virtuale Azure come membri del gruppo, quindi selezionare Seleziona.

  8. In Assegnazioni>Risorse di destinazione selezionare Nessuna risorsa di destinazione selezionata.

  9. Per l'elenco a discesa Selezionare a cosa si applica questo criterio, lasciare il valore predefinito Risorse (in precedenza app cloud). Nella scheda Includi selezionare Seleziona risorse, quindi in Seleziona selezionare Nessuno.

  10. Nel nuovo riquadro visualizzato cercare e selezionare le app necessarie in base alle risorse che si sta tentando di proteggere. Selezionare la scheda pertinente per lo scenario. Quando si cerca un nome di applicazione in Azure, usare termini di ricerca che iniziano con il nome dell'applicazione in ordine anziché parole chiave che il nome dell'applicazione contiene in ordine non corretto. Ad esempio, quando si vuole usare Desktop virtuale Azure, è necessario immettere "Virtuale di Azure", in questo ordine. Se si immette "virtual" da solo, la ricerca non restituisce l'applicazione desiderata.

    Per Desktop virtuale Azure (basato su Azure Resource Manager), è possibile configurare L'autenticazione a più fattori in queste diverse app:

    • Desktop virtuale Azure (ID 9cdead84-a844-4324-93f2-b2e6bb768d07app), che si applica quando l'utente sottoscrive Desktop virtuale Azure, esegue l'autenticazione al gateway Desktop virtuale Azure durante una connessione e quando le informazioni di diagnostica vengono inviate al servizio dal dispositivo locale dell'utente.

      Consiglio

      Il nome dell'app era in precedenza Desktop virtuale Windows. Se il provider di risorse Microsoft.DesktopVirtualization è stato registrato prima della modifica del nome visualizzato, l'applicazione verrà denominata Desktop virtuale Windows con lo stesso ID app di Desktop virtuale Azure.

    • Desktop remoto Microsoft (ID a4a365df-50f1-4397-bc59-1a1564b8bb9capp ) e Account di accesso cloud di Windows (ID 270efc09-cd0d-444b-a71f-39af4910ec45app ). Questi si applicano quando l'utente esegue l'autenticazione all'host di sessione quando è abilitato l'accesso Single Sign-On . È consigliabile associare i criteri di accesso condizionale tra queste app e l'app Desktop virtuale Azure, ad eccezione della frequenza di accesso.

      Importante

      • I client usati per accedere a Desktop virtuale Azure usano l'app Desktop remoto Microsoft Entra ID per eseguire l'autenticazione nell'host della sessione. Una modifica imminente eseguirà la transizione dell'autenticazione all'app windows cloud login Entra ID. Per garantire una transizione senza problemi, è necessario aggiungere entrambe le app Entra ID ai criteri ca.

      • Non selezionare l'app denominata Azure Virtual Desktop Azure Resource Manager Provider (ID 50e95039-b200-4007-bc97-8d5790743a63app). Questa app viene usata solo per il recupero del feed utente e non deve avere l'autenticazione a più fattori.

  11. Dopo aver selezionato le app, selezionare Seleziona.

    Screenshot della pagina Azioni o app cloud per l'accesso condizionale. Viene visualizzata l'app Desktop virtuale Azure.

  12. In Condizioni assegnazioni> selezionare 0 condizioni.

  13. In App client selezionare Non configurato.

  14. Nel nuovo riquadro visualizzato selezionare per Configura.

  15. Selezionare le app client a cui si applicano i criteri:

    • Selezionare Browser se si desidera che i criteri vengano applicati al client Web.
    • Selezionare App per dispositivi mobili e client desktop se si desidera applicare i criteri ad altri client.
    • Selezionare entrambe le caselle di controllo se si desidera applicare i criteri a tutti i client.
    • Deselezionare i valori per i client di autenticazione legacy.

    Screenshot della pagina App client per l'accesso condizionale. L'utente ha selezionato le app per dispositivi mobili e i client desktop e le caselle di controllo del browser.

  16. Dopo aver selezionato le app client a cui si applica questo criterio, selezionare Fine.

  17. In Concedi controlli> di accesso selezionare 0 controlli selezionati.

  18. Nel nuovo riquadro visualizzato selezionare Concedi accesso.

  19. Selezionare Richiedi autenticazione a più fattori e quindi selezionare Seleziona.

  20. Nella parte inferiore della pagina impostare Abilita criteriosu Sì e selezionare Crea.

Nota

Quando si usa il client Web per accedere a Desktop virtuale Azure tramite il browser, il log elencherà l'ID app client come a85cf173-4192-42f8-81fa-777a763e6e2c (client Desktop virtuale Azure). Questo perché l'app client è collegata internamente all'ID dell'app server in cui sono stati impostati i criteri di accesso condizionale.

Consiglio

Alcuni utenti potrebbero visualizzare un prompt intitolato Rimanere connessi a tutte le app se il dispositivo Windows in uso non è già registrato con Microsoft Entra ID. Se deselezionano Consenti all'organizzazione di gestire il dispositivo e seleziona No, accedi solo a questa app, potrebbe essere richiesta l'autenticazione più frequentemente.

Configurare la frequenza di accesso

I criteri di frequenza di accesso consentono di configurare la frequenza con cui gli utenti devono accedere quando accedono alle risorse basate su Microsoft Entra. Ciò consente di proteggere l'ambiente ed è particolarmente importante per i dispositivi personali, in cui il sistema operativo locale potrebbe non richiedere l'autenticazione a più fattori o non essere bloccato automaticamente dopo l'inattività. Agli utenti viene richiesto di eseguire l'autenticazione solo quando viene richiesto un nuovo token di accesso da Microsoft Entra ID quando si accede a una risorsa.

I criteri di frequenza di accesso comportano un comportamento diverso in base all'app Microsoft Entra selezionata:

Nome dell'app App ID Comportamento
Desktop virtuale di Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Impone la riautenticazione quando un utente sottoscrive Desktop virtuale Azure, aggiorna manualmente l'elenco di risorse e esegue l'autenticazione nel gateway Desktop virtuale Azure durante una connessione.

Al termine del periodo di riautenticazione, l'aggiornamento del feed in background e il caricamento della diagnostica non riescono in modo automatico fino a quando un utente non completa l'accesso interattivo successivo a Microsoft Entra.
Desktop remoto Microsoft

Account di accesso cloud di Windows		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Impone la riautenticazione quando un utente accede a un host sessione quando è abilitato l'accesso Single Sign-On .

Entrambe le app devono essere configurate insieme perché i client di Desktop virtuale Azure passeranno presto dall'uso dell'app Desktop remoto Microsoft all'app Windows Cloud Login per l'autenticazione all'host della sessione.

Per configurare il periodo di tempo dopo il quale a un utente viene chiesto di eseguire di nuovo l'accesso:

  1. Aprire i criteri creati in precedenza.
  2. In Sessione controlli> di accesso selezionare 0 controlli selezionati.
  3. Nel riquadro Sessione selezionare Frequenza di accesso.
  4. Selezionare Riautenticazione periodica o Ogni volta.
    • Se si seleziona Riautenticazione periodica, impostare il valore per il periodo di tempo dopo il quale a un utente viene chiesto di eseguire di nuovo l'accesso quando si esegue un'azione che richiede un nuovo token di accesso e quindi selezionare Seleziona. Ad esempio, se si imposta il valore su 1 e l'unità su Ore, è necessaria l'autenticazione a più fattori se una connessione viene avviata più di un'ora dopo l'ultima autenticazione utente.
    • L'opzione Ogni volta è supportata solo se applicata alle app Desktop remoto Microsoft e Windows Cloud Login quando l'accesso Single Sign-On è abilitato per il pool di host. Se si seleziona Ogni volta, agli utenti viene richiesto di autenticarsi di nuovo all'avvio di una nuova connessione dopo un periodo compreso tra 5 e 10 minuti dall'ultima autenticazione.
  5. Nella parte inferiore della pagina selezionare Salva.

Nota

  • La riautenticazione viene eseguita solo quando un utente deve eseguire l'autenticazione in una risorsa ed è necessario un nuovo token di accesso. Dopo aver stabilito una connessione, agli utenti non viene richiesto anche se la connessione dura più a lungo della frequenza di accesso configurata.
  • Gli utenti devono ripetere l'autenticazione se si verifica un'interruzione di rete che forza il ripristino della sessione dopo la frequenza di accesso configurata. Ciò può comportare richieste di autenticazione più frequenti su reti instabili.

Microsoft Entra VM dell'host sessione aggiunto

Affinché le connessioni abbiano esito positivo, è necessario disabilitare il metodo di accesso a più fattori legacy per utente. Se non si vuole limitare l'accesso a metodi di autenticazione avanzata come Windows Hello for Business, è necessario escludere l'app Sign-In macchina virtuale Windows di Azure dai criteri di accesso condizionale.

Passaggi successivi