条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する

完了

ユーザーは、さまざまなデバイスとクライアントを使用してどこからでも Azure Virtual Desktop にサインインできます。 ただし、自身の環境とユーザーを安全に保つために実行が必要な特定の対策があります。 Azure Virtual Desktop で Microsoft Entra 多要素認証 (MFA) を使用すると、サインイン プロセス中に、ユーザー名とパスワードに加えて、別の ID 形式を求めるダイアログがユーザーに表示されます。 条件付きアクセスを使用して Azure Virtual Desktop に MFA を適用することができ、さらに Web クライアント、モバイル アプリ、デスクトップ クライアント、またはすべてのクライアントのいずれに適用するか構成できます。

ユーザーがリモート セッションに接続するときは、Azure Virtual Desktop サービスとセッション ホストに対して認証する必要があります。 MFA が有効になっている場合は、Azure Virtual Desktop サービスへの接続時にそれが使用されます。ユーザーは、他のサービスにアクセスする方法と同じように、ユーザー アカウントと 2 つ目の認証形式の入力を求められます。 ユーザーがリモート セッションを開始する場合、セッション ホストにはユーザー名とパスワードが必要ですが、シングル サインオン (SSO) が有効になっている場合は、ユーザーにとってシームレスです。 詳しくは、「認証方法」を参照してください。

使用を開始するために必要なものは次のとおりです。

• Microsoft Entra ID P1 または P2 を含むライセンスをユーザーに割り当てる。
• Azure Virtual Desktop ユーザーがグループ メンバーとして割り当てられている Microsoft Entra グループ。
• Microsoft Entra 多要素認証を有効にします。

条件付きアクセス ポリシーを作成する

Azure Virtual Desktop に接続するときに多要素認証が必要な条件付きアクセス ポリシーを作成する方法を、ここで説明します。

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

2. [保護] > [条件付きアクセス] > [ポリシー] に移動します。

3. [新しいポリシー] を選択します。

4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。

5. [割り当て] > [ユーザー] で、[0 個のユーザーとグループが選択されました] を選択します。

6. [含める] タブで、[ユーザーとグループを選択] を選択し、[ユーザーとグループ] をオンにして、[選択] で、[0 個のユーザーとグループが選択されました] を選択します。

7. 開いた新しいペインで、グループ メンバーとして Azure Virtual Desktop ユーザーを含むグループを検索して選び、[選択] を選びます。

8. [割り当て] > [ターゲット リソース] で [ターゲット リソースが選択されていません] を選択します。

9. [含める] タブで [アプリを選択してください] を選んでから、[選択] で [なし] を選びます。

10. 開いた新しいペインで、保護対象のリソースに基づいて必要なアプリを検索して選びます。 お使いのシナリオに関連するタブを選択します。 Azure でアプリケーション名を検索する場合は、アプリケーション名に含まれるキーワードを順不同に入力するのではなく、アプリケーション名から始まる検索用語を順番に入力してください。 たとえば、Azure Virtual Desktop を使用する場合は、その順序で「Azure Virtual」と入力する必要があります。 「virtual」と入力した場合は、検索しても目的のアプリケーションが返されません。

    Azure Virtual Desktop (Azure Resource Manager を基にした) の場合は、異なるそれらのアプリで MFA を構成できます。

    • Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。これは、ユーザーが Azure Virtual Desktop にサブスクライブし、接続時に Azure Virtual Desktop Gateway の認証を受けるとき、ユーザーのローカル デバイスからサービスに診断情報が送信されるときに適用されます。
    • Microsoft リモート デスクトップ (アプリ ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) と Windows クラウド ログイン (アプリ ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 これらは、シングル サインオンが有効なときにユーザーがセッション ホストの認証を受けるときに適用されます。 サインイン頻度を除き、これらのアプリと Azure Virtual Desktop アプリの間で条件付きアクセス ポリシーを同じにすることをお勧めします。

11. アプリを選んだら、[選択] を選びます。

    

12. [割り当て] > [条件] で、[0 個の条件が選択されました] を選択します。

13. [クライアント アプリ] で [構成されていない] を選びます。

14. 開いた新しいペインの [構成] で [はい] を選びます。

15. このポリシーを適用するクライアント アプリを選びます:

    • ポリシーを Web クライアントに適用する場合は、 [ブラウザー] を選択します。
    • ポリシーを他のクライアントに適用する場合は、 [モバイル アプリとデスクトップ クライアント] を選択します。
    • ポリシーをすべてのクライアントに適用する場合は、両方のチェック ボックスをオンにします。
    • レガシ認証クライアントの値の選択を解除します。

    

16. このポリシーを適用するクライアント アプリを選択したら、[完了] を選択します。

17. [アクセスの制御] > [許可] で、[0 個のコントロールが選択されました] を選択します。

18. 開いた新しいペインで、[アクセス権の付与] を選びます。

19. [多要素認証を要求する] をオンにし、[選択] を選びます。

20. ページの下部で、[ポリシーの有効化] を [オン] に設定し、[作成] を選択します。

注意

Web クライアントでブラウザーを使用して Azure Virtual Desktop にサインインすると、クライアント アプリ ID が a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop client) としてログに記載されます。 これは、クライアント アプリが、条件付きアクセス ポリシーが設定されたサーバー アプリ ID に内部的にリンクされているためです。