Applicare l'autenticazione a più fattori di Microsoft Entra per Desktop virtuale Azure usando l'accesso condizionale
Importante
Se si visita questa pagina dalla documentazione di Desktop virtuale Azure (versione classica), assicurarsi di tornare alla documentazione di Desktop virtuale Azure (versione classica) al termine.
Gli utenti possono accedere a Desktop virtuale Azure da qualsiasi posizione usando dispositivi e client diversi. Esistono tuttavia alcune misure da adottare per mantenere sicuri l'ambiente e gli utenti. L'uso dell'autenticazione a più fattori di Microsoft Entra con Desktop virtuale Azure richiede agli utenti un'altra forma di identificazione oltre al nome utente e alla password durante il processo di accesso. È possibile applicare l'autenticazione a più fattori per Desktop virtuale Azure usando l'accesso condizionale e configurarla anche se si applica al client Web, alle app per dispositivi mobili, ai client desktop o a tutti i client.
Quando un utente si connette a una sessione remota, deve eseguire l'autenticazione al servizio Desktop virtuale Azure e all'host sessione. Se l'autenticazione a più fattori è abilitata, viene usata per la connessione al servizio Desktop virtuale Azure e all'utente vengono richiesti ll'account utente e una seconda forma di autenticazione, allo stesso modo dell'accesso ad altri servizi. Quando un utente avvia una sessione remota, sono necessari un nome utente e una password per l'host sessione, ma questa operazione non presenta problemi per l'utente se l'accesso Single Sign-On (SSO) è abilitato. Per altre informazioni, vedere Metodi di autenticazione.
La frequenza con cui viene richiesto a un utente di eseguire di nuovo l'autenticazione dipende dalle impostazioni di configurazione della durata della sessione di Microsoft Entra. Ad esempio, se il dispositivo client Windows è registrato con Microsoft Entra ID, riceve un Primary Refresh Token (PRT) da usare per l'accesso Single Sign-On (SSO) tra le applicazioni. Una volta rilasciato, un token di aggiornamento primario è valido per 14 giorni e viene rinnovato continuamente fino a quando l'utente usa attivamente il dispositivo.
La memorizzazione delle credenziali è utile, ma può anche rendere meno sicure le distribuzioni per scenari aziendali che usano dispositivi personali. Per proteggere gli utenti, è possibile assicurarsi che il client richieda più frequentemente le credenziali di autenticazione a più fattori di Microsoft Entra. È possibile usare l'accesso condizionale per configurare questo comportamento.
Informazioni su come applicare l'autenticazione a più fattori per Desktop virtuale Azure e, facoltativamente, configurare la frequenza di accesso nelle sezioni seguenti.
Prerequisiti
Elementi necessari per iniziare:
- Assegnare agli utenti una licenza che include Microsoft Entra ID P1 o P2.
- Un gruppo Microsoft Entra con gli utenti di Desktop virtuale Azure assegnati come membri del gruppo.
- Abilitare l'autenticazione a più fattori di Microsoft Entra.
Creare criteri di accesso condizionale
Ecco come creare criteri di accesso condizionale che richiedono l'autenticazione a più fattori durante la connessione a Desktop virtuale Azure:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
Passare a Protezione>Accesso condizionale>Criteri.
Selezionare Nuovi criteri.
Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
In Assegnazioni>Utenti selezionare 0 utenti e gruppi selezionati.
Nella scheda Includi selezionare Selezionare utenti e gruppi e selezionare Utenti e gruppi, quindi in Seleziona selezionare 0 utenti e gruppi selezionati.
Nel nuovo riquadro visualizzato cercare e scegliere il gruppo che contiene gli utenti di Desktop virtuale Azure come membri del gruppo, quindi selezionare Seleziona.
In Assegnazioni>Risorse di destinazione selezionare Nessuna risorsa di destinazione selezionata.
Nella scheda Includi selezionare Selezionare le app, quindi in Seleziona selezionare Nessuna.
Nel nuovo riquadro visualizzato cercare e selezionare le app necessarie in base alle risorse che si sta tentando di proteggere. Selezionare la scheda pertinente per lo scenario. Quando si cerca un nome di applicazione in Azure, usare termini di ricerca che iniziano con il nome dell'applicazione in ordine anziché parole chiave contenute in ordine sparso nel nome dell'applicazione. Ad esempio, quando si vuole usare Desktop virtuale Azure, è necessario immettere "Azure Virtual" in questo ordine. Se si immette "virtuale" da solo, la ricerca non restituisce l'applicazione desiderata.
Per Desktop virtuale Azure (basato su Azure Resource Manager), è possibile configurare l'autenticazione a più fattori in queste diverse app:
Desktop virtuale Azure (ID app 9cdead84-a844-4324-93f2-b2e6bb768d07), che si applica quando l'utente sottoscrive Desktop virtuale Azure, esegue l'autenticazione al gateway Desktop virtuale Azure durante una connessione e quando le informazioni di diagnostica vengono inviate al servizio dal dispositivo locale dell'utente.
Suggerimento
Il nome dell'app era precedentemente Desktop virtuale Windows. Se è stata registrato il provider di risorse Microsoft.DesktopVirtualization prima della modifica del nome visualizzato, l'applicazione verrà denominata Desktop virtuale Windows con lo stesso ID app di Desktop virtuale Azure.
- Desktop remoto Microsoft (ID app a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Accesso cloud Windows (ID app 270efc09-cd0d-444b-a71f-39af4910ec45). Questi si applicano quando l'utente esegue l'autenticazione all'host sessione con Single Sign-On abilitato. È consigliabile associare i criteri di accesso condizionale tra queste app e l'app Desktop virtuale Azure, ad eccezione della frequenza di accesso.
Importante
I client usati per accedere a Desktop virtuale Azure usano l'app Desktop remoto Microsoft Entra ID per eseguire l'autenticazione all'host di sessione oggi. Una modifica imminente eseguirà la transizione dell'autenticazione all'app Entra ID Accesso cloud Windows. Per garantire una transizione uniforme, è necessario aggiungere entrambe le app Entra ID ai criteri della CA.
Importante
Non selezionare l'app denominata Azure Virtual Desktop Azure Resource Manager Provider (ID app 50e95039-b200-4007-bc97-8d5790743a63). Questa app viene usata solo per il recupero del feed utente e non ha l'autenticazione a più fattori.
Dopo aver selezionato le app, selezionare Seleziona.
In Assegnazioni>Condizioni selezionare 0 condizioni selezionate.
In App client selezionare Non configurato.
Nel nuovo riquadro visualizzato, per Configura selezionare Sì.
Selezionare le app client a cui si applica questo criterio:
- Selezionare Browser se si vogliono applicare i criteri al client Web.
- Selezionare App per dispositivi mobili e client desktop se si vogliono applicare i criteri ad altri client.
- Selezionare entrambe le caselle di controllo se si vogliono applicare i criteri a tutti i client.
- Deselezionare i valori per i client di autenticazione legacy.
Dopo aver selezionato le app client a cui si applica questo criterio, selezionare Fine.
In Controlli di accesso>Concedi selezionare 0 controlli selezionati.
Nel nuovo riquadro visualizzato selezionare Concedi accesso.
Selezionare Richiedi autenticazione a più fattori e quindi selezionare Seleziona.
Nella parte inferiore della pagina impostare Abilita criteri su Sì e selezionare Crea.
Nota
Quando si usa il client Web per accedere a Desktop virtuale Azure tramite il browser, il log elenca l'ID app client come a85cf173-4192-42f8-81fa-777a763e6e2c (client Desktop virtuale Azure). Ciò è dovuto al fatto che l'app client è collegata internamente all'ID app server in cui sono stati impostati i criteri di accesso condizionale.
Suggerimento
Alcuni utenti potrebbero visualizzare una richiesta denominata Rimanere connessi a tutte le app se il dispositivo Windows in uso non è già registrato con Microsoft Entra ID. Se deselezionano Consenti all'organizzazione di gestire il mio dispositivo e selezionano No, accedi solo a questa app, potrebbe essere richiesta l'autenticazione più frequentemente.
Configurare la frequenza di accesso
I criteri di frequenza di accesso consentono di configurare la frequenza con cui gli utenti devono accedere alle risorse basate su Microsoft Entra. Ciò consente di proteggere l'ambiente ed è particolarmente importante per i dispositivi personali, in cui il sistema operativo locale potrebbe non richiedere l'autenticazione a più fattori o non bloccarsi automaticamente dopo l'inattività. Agli utenti viene richiesto di eseguire l'autenticazione solo quando viene richiesto un nuovo token di accesso da Microsoft Entra ID quando si accede a una risorsa.
I criteri di frequenza di accesso prevedono un comportamento diverso in base all'app Microsoft Entra selezionata:
| Nome app | ID app | Comportamento |
|---|---|---|
| Desktop virtuale Azure | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Applica la riautenticazione quando un utente sottoscrive Desktop virtuale Azure, aggiorna manualmente l'elenco delle risorse ed esegue l'autenticazione al gateway Desktop virtuale Azure durante una connessione. Una volta terminato il periodo di riautenticazione, l'aggiornamento del feed in background e il caricamento della diagnostica hanno esito negativo finché un utente non completa l'accesso interattivo successivo a Microsoft Entra. |
| Desktop remoto Microsoft Accesso cloud Windows |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Applica la riautenticazione quando un utente accede a un host di sessione con Single Sign-On è abilitato. Entrambe le app devono essere configurate insieme perché i client Desktop virtuale Azure passeranno presto dall'uso dell'app Desktop remoto Microsoft all'app Accesso cloud Windows per l'autenticazione all'host sessione. |
Per configurare il periodo di tempo dopo il quale viene chiesto a un utente di eseguire di nuovo l'accesso:
- Aprire il criterio creato in precedenza.
- In Controlli di accesso>Sessione selezionare 0 controlli selezionati.
- Nel riquadro Sessione selezionare Frequenza di accesso.
- Selezionare Autenticazione periodica o Ogni volta.
- Se si seleziona la riautenticazione periodica, impostare il valore per il periodo di tempo dopo il quale verrà richiesto a un utente di eseguire di nuovo l'accesso quando effettua un'azione che richiede un nuovo token di accesso e quindi selezionare Seleziona. Ad esempio, l'impostazione del valore su 1 e dell'unità su Ore richiedono l'autenticazione a più fattori se una connessione viene avviata più di un'ora dopo l'autenticazione dell'ultimo utente.
- L'opzione Ogni volta è attualmente disponibile in anteprima ed è supportata solo quando viene applicata alle app Desktop remoto Microsoft e Accesso cloud Windows quando l'accesso Single Sign-On è abilitato per il pool di host. Se si seleziona Ogni volta, agli utenti viene richiesto di ripetere l'autenticazione quando si avvia una nuova connessione dopo un periodo da 5 a 10 minuti dall'ultima autenticazione.
- Nella parte inferiore della pagina selezionare Salva.
Nota
- La riautenticazione avviene solo quando un utente deve eseguire l'autenticazione a una risorsa ed è necessario un nuovo token di accesso. Dopo aver stabilito una connessione, agli utenti non viene chiesto di specificare se la connessione dura più a lungo della frequenza di accesso configurata.
- Gli utenti devono ripetere l'autenticazione se si verifica un'interruzione della rete che forza la ripetizione della sessione dopo la frequenza di accesso configurata. Ciò può portare a richieste di autenticazione più frequenti su reti instabili.
Macchine virtuali host di sessione aggiunte a Microsoft Entra
Affinché le connessioni abbiano esito positivo, è necessario disabilitare il metodo di accesso di autenticazione legacy per utente a più fattori. Se non si vuole limitare l'accesso a metodi di autenticazione avanzata come Windows Hello For Business, è necessario escludere anche l'app di accesso alla macchina virtuale Windows di Azure dai criteri di accesso condizionale.