Udostępnij za pośrednictwem


Planowanie uwierzytelniania wieloskładnikowego dla usług pulpitu zdalnego

Uwierzytelnianie wieloskładnikowe (MFA) zwiększa bezpieczeństwo usług pulpitu zdalnego (RDS), wymagając od użytkowników weryfikowania tożsamości za pomocą wielu metod uwierzytelniania. Ta dodatkowa warstwa ochrony pomaga chronić poufne zasoby i zmniejsza ryzyko nieautoryzowanego dostępu. Ten artykuł zawiera omówienie środowiska użytkownika, składników architektury i korzyści zabezpieczeń integracji uwierzytelniania wieloskładnikowego z usługą RDS wraz z zagadnieniami dotyczącymi planowania wdrożenia.

User Experience

Dla użytkowników końcowych łączących się z komputerami stacjonarnymi i aplikacjami, doświadczenie jest podobne do każdego innego środka uwierzytelniania dwuskładnikowego w celu uzyskania dostępu do żądanego zasobu. Proces zwykle obejmuje:

  1. Uruchom pulpit lub aplikację RemoteApp.

  2. Po nawiązaniu połączenia z bramą usług pulpitu zdalnego w celu bezpiecznego zdalnego dostępu otrzymasz wyzwanie uwierzytelniania wieloskładnikowego z aplikacji mobilnej.

  3. Poprawne uwierzytelnianie i nawiązywanie połączenia z zasobami.

Architecture components

Usługi pulpitu zdalnego można zintegrować z serwerem zasad sieciowych w systemie Windows Server oraz z jego rozszerzeniem do Microsoft Entra ID. Typowa implementacja usługi MFA w usługach zdalnego pulpitu obejmuje:

  • RD Gateway: Acts as the entry point for remote connections.
  • Serwer zasad sieciowych (NPS): przetwarza żądania uwierzytelniania i wymusza zasady.
  • Microsoft Entra ID: udostępnia usługi MFA oparte na chmurze.
  • NPS Extension: Bridges on-premises NPS with cloud-based MFA.

Aby uzyskać więcej informacji, zobacz Integrowanie infrastruktury bramy usług pulpitu zdalnego przy użyciu rozszerzenia serwera zasad sieciowych (NPS) i Microsoft Entra ID.

Podczas planowania wdrożenia usługi MFA należy wziąć pod uwagę następujące składniki:

  • User enrollment: Plan how users will register their MFA methods.
  • Backup authentication: Configure alternative methods for users who lose primary devices.
  • Conditional access: Consider implementing location-based or device-based policies.
  • Network requirements: Ensure firewall rules allow communication with MFA service endpoints.

Security Benefits

Implementowanie uwierzytelniania wieloskładnikowego za pomocą usług pulpitu zdalnego zapewnia:

  • Ograniczone ryzyko naruszenia zabezpieczeń: nawet w przypadku naruszenia zabezpieczeń haseł dodatkowa weryfikacja uniemożliwia nieautoryzowany dostęp.
  • Compliance support: Helps meet regulatory requirements for secure remote access.
  • Centralized management: Unified MFA policies across cloud and on-premises resources.
  • Audit capabilities: Detailed logging of authentication attempts and methods used.