Meervoudige verificatie van Microsoft Entra afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang
Belangrijk
Als u deze pagina bezoekt vanuit de documentatie van Azure Virtual Desktop (klassiek), moet u teruggaan naar de documentatie van Azure Virtual Desktop (klassiek) zodra u klaar bent.
Gebruikers kunnen zich vanaf elke locatie aanmelden bij Azure Virtual Desktop met behulp van verschillende apparaten en clients. Er zijn echter bepaalde maatregelen die u moet nemen om uw omgeving en uw gebruikers veilig te houden. Als u Meervoudige verificatie (MFA) van Microsoft Entra gebruikt met Azure Virtual Desktop, wordt gebruikers tijdens het aanmeldingsproces gevraagd om een andere vorm van identificatie naast hun gebruikersnaam en wachtwoord. U kunt MFA afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang en u kunt ook configureren of deze van toepassing is op de webclient, mobiele apps, desktopclients of alle clients.
Wanneer een gebruiker verbinding maakt met een externe sessie, moet deze zich verifiëren bij de Azure Virtual Desktop-service en de sessiehost. Als MFA is ingeschakeld, wordt deze gebruikt bij het maken van verbinding met de Azure Virtual Desktop-service en wordt de gebruiker gevraagd om zijn gebruikersaccount en een tweede vorm van verificatie, op dezelfde manier als bij het openen van andere services. Wanneer een gebruiker een externe sessie start, is een gebruikersnaam en wachtwoord vereist voor de sessiehost, maar dit is naadloos voor de gebruiker als eenmalige aanmelding (SSO) is ingeschakeld. Zie Verificatiemethoden voor meer informatie.
Hoe vaak een gebruiker wordt gevraagd om opnieuw te verifiëren, is afhankelijk van de configuratie-instellingen voor de levensduur van de Microsoft Entra-sessie. Als hun Windows-clientapparaat bijvoorbeeld is geregistreerd bij Microsoft Entra ID, ontvangt het een Primary Refresh Token (PRT) dat moet worden gebruikt voor eenmalige aanmelding (SSO) in toepassingen. Zodra een PRT is uitgegeven, is deze veertien dagen geldig en wordt deze continu verlengd zolang de gebruiker het apparaat actief gebruikt.
Hoewel het onthouden van referenties handig is, kan het ook implementaties voor Enterprise-scenario's met persoonlijke apparaten minder veilig maken. Als u uw gebruikers wilt beveiligen, kunt u ervoor zorgen dat de client vaker om meervoudige verificatiereferenties van Microsoft Entra vraagt. U kunt voorwaardelijke toegang gebruiken om dit gedrag te configureren.
Meer informatie over het afdwingen van MFA voor Azure Virtual Desktop en desgewenst de aanmeldingsfrequentie configureren in de volgende secties.
Vereisten
Dit is wat u nodig hebt om aan de slag te gaan:
- Wijs gebruikers een licentie toe die Microsoft Entra ID P1 of P2 bevat.
- Een Microsoft Entra-groep met uw Azure Virtual Desktop-gebruikers die zijn toegewezen als groepsleden.
- Schakel Meervoudige Verificatie van Microsoft Entra in.
Beleid voor voorwaardelijke toegang maken
U kunt als volgt een beleid voor voorwaardelijke toegang maken waarvoor meervoudige verificatie is vereist bij het maken van verbinding met Azure Virtual Desktop:
Meld u aan bij Azure Portal als globale beheerder, beveiligingsbeheerder of beheerder voor voorwaardelijke toegang.
Typ in de zoekbalk Voorwaardelijke toegang van Microsoft Entra en selecteer de overeenkomende servicevermelding.
Selecteer nieuw beleid maken in het overzicht.
Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
Selecteer onder Gebruikers van toewijzingen> 0 gebruikers en groepen geselecteerd.
Selecteer op het tabblad Opnemen de optie Gebruikers en groepen selecteren en controleer gebruikers en groepen en selecteer vervolgens onder Selecteren 0 gebruikers en groepen geselecteerd.
Zoek en kies in het nieuwe deelvenster dat wordt geopend de groep met uw Azure Virtual Desktop-gebruikers als groepsleden en selecteer vervolgens Selecteren.
Selecteer onder Toewijzingen>doelbronnen geen doelbronnen geselecteerd.
Selecteer op het tabblad Opnemen de optie Apps selecteren en selecteer vervolgens onder Selecteren de optie Geen.
Zoek en selecteer in het nieuwe deelvenster dat wordt geopend de benodigde apps op basis van de resources die u wilt beveiligen. Selecteer het relevante tabblad voor uw scenario. Wanneer u zoekt naar een toepassingsnaam in Azure, gebruikt u zoektermen die beginnen met de naam van de toepassing in de gewenste volgorde in plaats van trefwoorden die de naam van de toepassing bevat. Als u bijvoorbeeld Azure Virtual Desktop wilt gebruiken, moet u in die volgorde 'Azure Virtual' invoeren. Als u zelf 'virtueel' invoert, retourneert de zoekopdracht niet de gewenste toepassing.
Voor Azure Virtual Desktop (op basis van Azure Resource Manager) kunt u MFA configureren voor deze verschillende apps:
Azure Virtual Desktop (app-id 9cdead84-a844-4324-93f2-b2e6bb768d07), die van toepassing is wanneer de gebruiker zich abonneert op Azure Virtual Desktop, verifieert bij de Azure Virtual Desktop-gateway tijdens een verbinding en wanneer diagnostische gegevens naar de service worden verzonden vanaf het lokale apparaat van de gebruiker.
Tip
De naam van de app was eerder Windows Virtual Desktop. Als u de resourceprovider Microsoft.DesktopVirtualization hebt geregistreerd voordat de weergavenaam is gewijzigd, krijgt de toepassing de naam Windows Virtual Desktop met dezelfde app-id als Azure Virtual Desktop.
- Microsoft Extern bureaublad (app-id a4a365df-50f1-4397-bc59-1a1564b8bb9c) en Windows Cloud Login (app ID 270efc09-cd0d-444b-a71f-39af4910ec45). Deze zijn van toepassing wanneer de gebruiker wordt geverifieerd bij de sessiehost wanneer eenmalige aanmelding is ingeschakeld. Het wordt aanbevolen om overeen te komen met het beleid voor voorwaardelijke toegang tussen deze apps en de Azure Virtual Desktop-app, met uitzondering van de aanmeldingsfrequentie.
Belangrijk
De clients die worden gebruikt voor toegang tot Azure Virtual Desktop, gebruiken de Microsoft Extern bureaublad Entra ID-app om vandaag nog te verifiëren bij de sessiehost. Bij een aanstaande wijziging wordt de verificatie overgestapt op de App Entra ID voor Aanmelding bij Windows Cloud. Om een soepele overgang te garanderen, moet u beide Entra ID-apps toevoegen aan uw CA-beleid.
Belangrijk
Selecteer de app met de naam Azure Virtual Desktop Azure Resource Manager Provider (app-id 50e95039-b200-4007-bc97-8d5790743a63). Deze app wordt alleen gebruikt voor het ophalen van de gebruikersfeed en mag geen meervoudige verificatie hebben.
Nadat u uw apps hebt geselecteerd, selecteert u Selecteren.
Selecteer onder Voorwaarden voor toewijzingen> 0 voorwaarden.
Selecteer onder Client-apps de optie Niet geconfigureerd.
Selecteer Ja in het nieuwe deelvenster dat wordt geopend voor Configureren.
Selecteer de client-apps waarop dit beleid van toepassing is:
- Selecteer Browser als u wilt dat het beleid wordt toegepast op de webclient.
- Selecteer Mobiele apps en desktopclients als u het beleid wilt toepassen op andere clients.
- Schakel beide selectievakjes in als u het beleid wilt toepassen op alle clients.
- Deselecteer waarden voor verouderde verificatieclients.
Zodra u de client-apps hebt geselecteerd waarop dit beleid van toepassing is, selecteert u Gereed.
Selecteer onder Toegangsbeheer>verlenen 0 geselecteerde besturingselementen.
Selecteer Toegang verlenen in het nieuwe deelvenster dat wordt geopend.
Schakel Meervoudige verificatie vereisen in en selecteer Vervolgens Selecteren.
Stel onder aan de pagina Beleidinschakelen in op Aan en selecteer Maken.
Notitie
Wanneer u de webclient gebruikt om u via uw browser aan te melden bij Azure Virtual Desktop, wordt de client-app-id weergegeven als a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop-client). Dit komt doordat de client-app intern is gekoppeld aan de server-app-id waar het beleid voor voorwaardelijke toegang is ingesteld.
Tip
Sommige gebruikers zien mogelijk een prompt met de titel Aangemeld blijven bij al uw apps als het Windows-apparaat dat ze gebruiken, nog niet is geregistreerd bij Microsoft Entra-id. Als ze deselecteren Toestaan dat mijn organisatie mijn apparaat beheert en Nee selecteert , meldt u zich alleen aan bij deze app, dan wordt deze mogelijk vaker om verificatie gevraagd.
Aanmeldingsfrequentie configureren
Met frequentiebeleid voor aanmelding kunt u de periode instellen waarna een gebruiker zijn identiteit opnieuw moet bewijzen bij het openen van op Microsoft Entra gebaseerde resources. Dit kan helpen uw omgeving te beveiligen en is vooral belangrijk voor persoonlijke apparaten, waarbij het lokale besturingssysteem mogelijk geen MFA vereist of niet automatisch vergrendelt na inactiviteit.
Beleid voor aanmeldingsfrequentie resulteert in verschillend gedrag op basis van de Microsoft Entra-app die is geselecteerd:
| App-naam | App-id | Gedrag |
|---|---|---|
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Dwingt verificatie af wanneer een gebruiker zich abonneert op Azure Virtual Desktop, de lijst met resources handmatig vernieuwt en verifieert bij de Azure Virtual Desktop-gateway tijdens een verbinding. Zodra de verificatieperiode voorbij is, mislukt het vernieuwen van de achtergrondfeed en het uploaden van diagnostische gegevens op de achtergrond totdat een gebruiker zijn volgende interactieve aanmelding bij Microsoft Entra heeft voltooid. |
| Microsoft Extern bureaublad Aanmelding bij Windows Cloud |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Hiermee wordt verificatie afgedwongen wanneer een gebruiker zich aanmeldt bij een sessiehost wanneer eenmalige aanmelding is ingeschakeld. Beide apps moeten samen worden geconfigureerd omdat de Azure Virtual Desktop-clients binnenkort overschakelen van het gebruik van de Microsoft Extern bureaublad-app naar de Windows Cloud Login-app voor verificatie bij de sessiehost. |
Ga als volgt te werk om de periode te configureren waarna een gebruiker wordt gevraagd zich opnieuw aan te melden:
- Open het beleid dat u eerder hebt gemaakt.
- Selecteer onder Sessie met besturingselementen> voor toegang 0 geselecteerde besturingselementen.
- Selecteer de aanmeldingsfrequentie in het deelvenster Sessie.
- Selecteer Periodieke herauthenticatie of elke keer.
- Als u Periodieke verificatie selecteert, stelt u de waarde in voor de periode waarna een gebruiker wordt gevraagd zich opnieuw aan te melden en selecteert u Vervolgens Selecteren. Als u bijvoorbeeld de waarde instelt op 1 en de eenheid op Uren, is meervoudige verificatie vereist als een verbinding meer dan een uur na de laatste wordt gestart.
- De optie Elke keer is momenteel beschikbaar in de openbare preview en wordt alleen ondersteund wanneer deze wordt toegepast op de Microsoft Extern bureaublad- en Windows Cloud-aanmeldingsapps wanneer eenmalige aanmelding is ingeschakeld voor uw hostgroep. Als u elke keer selecteert, wordt gebruikers gevraagd om na een periode van 5 tot 15 minuten na de laatste keer dat ze zijn geverifieerd voor de Microsoft Extern bureaublad- en Windows Cloud Login-apps opnieuw te verifiëren.
- Selecteer Opslaan onder aan de pagina.
Notitie
- Verificatie vindt alleen plaats wanneer een gebruiker zich moet verifiëren bij een resource. Zodra een verbinding tot stand is gebracht, worden gebruikers niet gevraagd of de verbinding langer duurt dan de aanmeldingsfrequentie die u hebt geconfigureerd.
- Gebruikers moeten opnieuw verifiëren als er een netwerkonderbreking is waardoor de sessie opnieuw tot stand wordt gebracht na de aanmeldingsfrequentie die u hebt geconfigureerd. Dit kan leiden tot frequentere verificatieaanvragen op instabiele netwerken.
Aan Microsoft Entra gekoppelde sessiehost-VM's
Voor geslaagde verbindingen moet u de verouderde aanmeldingsmethode voor meervoudige verificatie per gebruiker uitschakelen. Als u het aanmelden niet wilt beperken tot sterke verificatiemethoden zoals Windows Hello voor Bedrijven, moet u de aanmeldings-app van Azure Windows-VM uitsluiten van uw beleid voor voorwaardelijke toegang.