Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego
Ważne
Jeśli odwiedzasz tę stronę z dokumentacji usługi Azure Virtual Desktop (wersja klasyczna), po zakończeniu wróć do dokumentacji usługi Azure Virtual Desktop (klasycznej).
Użytkownicy mogą logować się do usługi Azure Virtual Desktop z dowolnego miejsca przy użyciu różnych urządzeń i klientów. Istnieją jednak pewne środki, które należy podjąć, aby zapewnić bezpieczeństwo środowiska i użytkowników. Korzystanie z uwierzytelniania wieloskładnikowego firmy Microsoft (MFA) w usłudze Azure Virtual Desktop wyświetla monity użytkowników podczas procesu logowania w celu uzyskania innej formy identyfikacji oprócz nazwy użytkownika i hasła. Możesz wymusić uwierzytelnianie wieloskładnikowe dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego, a także skonfigurować, czy dotyczy klienta internetowego, aplikacji mobilnych, klientów stacjonarnych, czy wszystkich klientów.
Gdy użytkownik łączy się z sesją zdalną, musi uwierzytelnić się w usłudze Azure Virtual Desktop i hoście sesji. Jeśli uwierzytelnianie wieloskładnikowe jest włączone, jest używane podczas nawiązywania połączenia z usługą Azure Virtual Desktop, a użytkownik jest monitowany o podanie konta użytkownika i drugiej formy uwierzytelniania w taki sam sposób, jak uzyskiwanie dostępu do innych usług. Gdy użytkownik rozpoczyna sesję zdalną, dla hosta sesji jest wymagana nazwa użytkownika i hasło, ale jest to bezproblemowe dla użytkownika, jeśli logowanie jednokrotne jest włączone. Aby uzyskać więcej informacji, zobacz Metody uwierzytelniania.
Częstotliwość monitowania użytkownika o ponowne uwierzytelnienie zależy od ustawień konfiguracji okresu istnienia sesji firmy Microsoft Entra. Jeśli na przykład urządzenie klienckie z systemem Windows jest zarejestrowane w usłudze Microsoft Entra ID, otrzymuje podstawowy token odświeżania (PRT) do użycia na potrzeby logowania jednokrotnego w aplikacjach. Po wystawieniu żądanie ściągnięcia jest ważne przez 14 dni i jest stale odnawiane, o ile użytkownik aktywnie korzysta z urządzenia.
Podczas zapamiętania poświadczeń jest wygodne, może również sprawić, że wdrożenia dla scenariuszy dla przedsiębiorstw przy użyciu urządzeń osobistych będą mniej bezpieczne. Aby chronić użytkowników, możesz upewnić się, że klient częściej prosi o poświadczenia uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Aby skonfigurować to zachowanie, możesz użyć dostępu warunkowego.
Dowiedz się, jak wymusić uwierzytelnianie wieloskładnikowe dla usługi Azure Virtual Desktop i opcjonalnie skonfigurować częstotliwość logowania w poniższych sekcjach.
Wymagania wstępne
Oto, czego potrzebujesz, aby rozpocząć pracę:
- Przypisz użytkownikom licencję obejmującą identyfikator Microsoft Entra ID P1 lub P2.
- Grupa Microsoft Entra z użytkownikami usługi Azure Virtual Desktop przypisanymi jako członkowie grupy.
- Włącz uwierzytelnianie wieloskładnikowe firmy Microsoft.
Tworzenie zasady dostępu warunkowego
Poniżej przedstawiono sposób tworzenia zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego podczas nawiązywania połączenia z usługą Azure Virtual Desktop:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do strony Ochrona>zasad dostępu>warunkowego.
Wybierz pozycję Nowe zasady.
Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
W obszarze Przypisania>Użytkownicy wybierz 0 wybranych użytkowników i grup.
Na karcie Dołączanie wybierz pozycję Wybierz użytkowników i grupy, a następnie zaznacz pozycję Użytkownicy i grupy, a następnie w obszarze Wybierz wybierz 0 wybranych użytkowników i grup.
W nowym okienku, które zostanie otwarte, wyszukaj i wybierz grupę zawierającą użytkowników usługi Azure Virtual Desktop jako członków grupy, a następnie wybierz pozycję Wybierz.
W obszarze Przypisania>Docelowe zasoby wybierz pozycję Nie wybrano zasobów docelowych.
Na karcie Dołączanie wybierz pozycję Wybierz aplikacje, a następnie w obszarze Wybierz wybierz pozycję Brak.
W nowym okienku, które zostanie otwarte, wyszukaj i wybierz niezbędne aplikacje na podstawie zasobów, które próbujesz chronić. Wybierz odpowiednią kartę dla danego scenariusza. Podczas wyszukiwania nazwy aplikacji na platformie Azure użyj terminów wyszukiwania rozpoczynających się od nazwy aplikacji w kolejności zamiast słów kluczowych, które nazwa aplikacji zawiera poza kolejnością. Jeśli na przykład chcesz użyć usługi Azure Virtual Desktop, musisz w tej kolejności wprowadzić wartość "Azure Virtual". Jeśli wprowadzisz ciąg "virtual" sam w sobie, wyszukiwanie nie zwróci żądanej aplikacji.
W przypadku usługi Azure Virtual Desktop (opartej na usłudze Azure Resource Manager) można skonfigurować uwierzytelnianie wieloskładnikowe w następujących różnych aplikacjach:
Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07), który ma zastosowanie, gdy użytkownik subskrybuje usługę Azure Virtual Desktop, uwierzytelnia się w bramie usługi Azure Virtual Desktop podczas połączenia i gdy informacje diagnostyczne są wysyłane do usługi z urządzenia lokalnego użytkownika.
Napiwek
Nazwa aplikacji była wcześniej windows Virtual Desktop. Jeśli dostawca zasobów Microsoft.DesktopVirtualization został zarejestrowany przed zmianą nazwy wyświetlanej, aplikacja będzie mieć nazwę Windows Virtual Desktop o tym samym identyfikatorze aplikacji co usługa Azure Virtual Desktop.
- Pulpit zdalny Microsoft (identyfikator aplikacji a4a365df-50f1-4397-bc59-1a1564b8bb9c) i identyfikator logowania do chmury systemu Windows (identyfikator aplikacji 270efc09-cd0d-444b-a71f-39af4910ec45). Mają one zastosowanie, gdy użytkownik uwierzytelnia się na hoście sesji po włączeniu logowania jednokrotnego . Zaleca się dopasowanie zasad dostępu warunkowego między tymi aplikacjami i aplikacją usługi Azure Virtual Desktop, z wyjątkiem częstotliwości logowania.
Ważne
Klienci, którzy uzyskują dostęp do usługi Azure Virtual Desktop, używają aplikacji Pulpit zdalny Microsoft Entra ID do uwierzytelniania na hoście sesji dzisiaj. Zbliżająca się zmiana spowoduje przejście uwierzytelniania do aplikacji Identyfikator logowania w chmurze systemu Windows. Aby zapewnić bezproblemowe przejście, należy dodać obie aplikacje Entra ID do zasad urzędu certyfikacji.
Ważne
Nie wybieraj aplikacji o nazwie Azure Virtual Desktop Azure Resource Manager Provider (identyfikator aplikacji 50e95039-b200-4007-bc97-8d5790743a63). Ta aplikacja jest używana tylko do pobierania kanału informacyjnego użytkownika i nie powinna mieć uwierzytelniania wieloskładnikowego.
Po wybraniu aplikacji wybierz pozycję Wybierz.
W obszarze Warunki przypisania>wybierz pozycję 0 warunków.
W obszarze Aplikacje klienckie wybierz pozycję Nieskonfigurowane.
W nowym okienku, które zostanie otwarte, w obszarze Konfiguruj wybierz pozycję Tak.
Wybierz aplikacje klienckie, których dotyczą następujące zasady:
- Wybierz pozycję Przeglądarka , jeśli chcesz, aby zasady miały zostać zastosowane do klienta internetowego.
- Wybierz pozycję Aplikacje mobilne i klienci klasyczni , jeśli chcesz zastosować zasady do innych klientów.
- Zaznacz oba pola wyboru, jeśli chcesz zastosować zasady do wszystkich klientów.
- Usuń zaznaczenie wartości dla starszych klientów uwierzytelniania.
Po wybraniu aplikacji klienckich, do których mają zastosowanie te zasady, wybierz pozycję Gotowe.
W obszarze Kontrole>dostępu Udziel wybierz wybrane kontrolki 0.
W nowym okienku, które zostanie otwarte, wybierz pozycję Udziel dostępu.
Zaznacz pole wyboru Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.
W dolnej części strony ustaw opcję Włącz zasady na Wł. , a następnie wybierz pozycję Utwórz.
Uwaga
Gdy używasz klienta internetowego do logowania się do usługi Azure Virtual Desktop za pośrednictwem przeglądarki, w dzienniku zostanie wyświetlony identyfikator aplikacji klienckiej jako a85cf173-4192-42f8-81fa-777a763e6e2c (klient usługi Azure Virtual Desktop). Jest to spowodowane tym, że aplikacja kliencka jest wewnętrznie połączona z identyfikatorem aplikacji serwera, w którym ustawiono zasady dostępu warunkowego.
Napiwek
Niektórzy użytkownicy mogą zobaczyć monit zatytułowany Stay signed in to all your apps (Nie wyloguj się do wszystkich aplikacji ), jeśli używane urządzenie z systemem Windows nie zostało jeszcze zarejestrowane w usłudze Microsoft Entra ID. Jeśli anulują one zaznaczenie pozycji Zezwalaj mojej organizacji na zarządzanie moim urządzeniem i wybierz pozycję Nie, zaloguj się tylko do tej aplikacji, może być wyświetlany monit o uwierzytelnianie częściej.
Konfigurowanie częstotliwości logowania
Zasady częstotliwości logowania umożliwiają skonfigurowanie, jak często użytkownicy są zobowiązani do logowania się podczas uzyskiwania dostępu do zasobów firmy Microsoft Entra. Może to pomóc w zabezpieczeniu środowiska i jest szczególnie ważne w przypadku urządzeń osobistych, w przypadku których lokalny system operacyjny może nie wymagać uwierzytelniania wieloskładnikowego lub może nie blokować się automatycznie po braku aktywności. Podczas uzyskiwania dostępu do zasobu użytkownicy są monitowani o uwierzytelnienie tylko wtedy, gdy jest wymagany nowy token dostępu z identyfikatora Entra firmy Microsoft.
Zasady częstotliwości logowania powodują różne zachowanie na podstawie wybranej aplikacji Microsoft Entra:
Nazwa aplikacji | Identyfikator aplikacji | Zachowanie |
---|---|---|
Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Wymusza ponowne uwierzytelnianie, gdy użytkownik subskrybuje usługę Azure Virtual Desktop, ręcznie odświeża listę zasobów i uwierzytelnia się w bramie usługi Azure Virtual Desktop podczas połączenia. Po zakończeniu ponownego uwierzytelniania odświeżanie kanału informacyjnego w tle i przekazywanie diagnostyki w trybie dyskretnym kończy się niepowodzeniem, dopóki użytkownik nie ukończy kolejnego interaktywnego logowania do firmy Microsoft Entra. |
Pulpit zdalny Microsoft Logowanie do chmury systemu Windows |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Wymusza ponowne uwierzytelnianie, gdy użytkownik loguje się do hosta sesji po włączeniu logowania jednokrotnego . Obie aplikacje powinny być konfigurowane razem, ponieważ klienci usługi Azure Virtual Desktop wkrótce przełączyć się z używania aplikacji Pulpit zdalny Microsoft do aplikacji Logowania w chmurze systemu Windows w celu uwierzytelnienia na hoście sesji. |
Aby skonfigurować okres, po którym użytkownik zostanie poproszony o ponowne zalogowanie:
- Otwórz utworzone wcześniej zasady.
- W obszarze Kontrola>dostępu Sesja wybierz wybraną pozycję 0 kontrolek.
- W okienku Sesja wybierz pozycję Częstotliwość logowania.
- Wybierz pozycję Okresowe ponowne uwierzytelnianie lub Za każdym razem.
- Jeśli wybierzesz opcję Okresowe ponowne uwierzytelnianie, ustaw wartość okresu, po którym użytkownik zostanie poproszony o ponowne zalogowanie się podczas wykonywania akcji wymagającej nowego tokenu dostępu, a następnie wybierz pozycję Wybierz. Na przykład ustawienie wartości 1 i jednostki na Hours wymaga uwierzytelniania wieloskładnikowego, jeśli połączenie zostanie uruchomione ponad godzinę po ostatnim uwierzytelnieniu użytkownika.
- Opcja Za każdym razem jest obecnie dostępna w wersji zapoznawczej i jest obsługiwana tylko w przypadku zastosowania do aplikacji Pulpit zdalny Microsoft i logowania w chmurze systemu Windows po włączeniu logowania jednokrotnego dla puli hostów. W przypadku wybrania opcji Za każdym razem użytkownicy będą monitowani o ponowne uwierzytelnienie podczas uruchamiania nowego połączenia po upływie od 5 do 10 minut od ostatniego uwierzytelnienia.
- W dolnej części strony wybierz pozycję Zapisz.
Uwaga
- Ponowne uwierzytelnianie odbywa się tylko wtedy, gdy użytkownik musi uwierzytelnić się w zasobie, a potrzebny jest nowy token dostępu. Po nawiązaniu połączenia użytkownicy nie są monitowani, nawet jeśli połączenie trwa dłużej niż skonfigurowana częstotliwość logowania.
- Użytkownicy muszą ponownie uwierzytelniać się, jeśli wystąpi zakłócenia sieci, które wymusza ponowne ustanowienie sesji po skonfigurowanej częstotliwości logowania. Może to prowadzić do częstszych żądań uwierzytelniania w niestabilnych sieciach.
Maszyny wirtualne hosta sesji dołączone do firmy Microsoft Entra
Aby połączenia zakończyły się pomyślnie, należy wyłączyć starszą metodę logowania wieloskładnikowego dla poszczególnych użytkowników. Jeśli nie chcesz ograniczać logowania do silnych metod uwierzytelniania, takich jak Windows Hello dla firm, musisz wykluczyć aplikację logowania maszyny wirtualnej z systemem Windows platformy Azure z zasad dostępu warunkowego.