Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o Acesso Condicional

  • Artigo

Importante

Se estiver a visitar esta página a partir da documentação do Ambiente de Trabalho Virtual do Azure (clássico), certifique-se de que regressa à documentação do Ambiente de Trabalho Virtual do Azure (clássico) assim que terminar.

Os utilizadores podem iniciar sessão no Ambiente de Trabalho Virtual do Azure a partir de qualquer lugar utilizando diferentes dispositivos e clientes. No entanto, há certas medidas que você deve tomar para ajudar a manter seu ambiente e seus usuários seguros. Usar a autenticação multifator (MFA) do Microsoft Entra com a Área de Trabalho Virtual do Azure solicita aos usuários durante o processo de entrada outra forma de identificação, além de seu nome de usuário e senha. Você pode impor MFA para Área de Trabalho Virtual do Azure usando o Acesso Condicional e também pode configurar se ela se aplica ao cliente Web, aplicativos móveis, clientes de área de trabalho ou todos os clientes.

Quando um usuário se conecta a uma sessão remota, ele precisa se autenticar no serviço de Área de Trabalho Virtual do Azure e no host da sessão. Se o MFA estiver habilitado, ele será usado ao se conectar ao serviço de Área de Trabalho Virtual do Azure e o usuário será solicitado a fornecer sua conta de usuário e uma segunda forma de autenticação, da mesma forma que acessar outros serviços. Quando um usuário inicia uma sessão remota, um nome de usuário e senha são necessários para o host da sessão, mas isso é contínuo para o usuário se o logon único (SSO) estiver habilitado. Para obter mais informações, consulte Métodos de autenticação.

A frequência com que um usuário é solicitado a se autenticar novamente depende das definições de configuração do tempo de vida da sessão do Microsoft Entra. Por exemplo, se o dispositivo cliente Windows estiver registrado com a ID do Microsoft Entra, ele receberá um PRT (Token de Atualização Primária ) para usar para logon único (SSO) entre aplicativos. Uma vez emitido, um PRT é válido por 14 dias e é continuamente renovado, desde que o usuário use ativamente o dispositivo.

Embora lembrar credenciais seja conveniente, ele também pode tornar as implantações para cenários corporativos usando dispositivos pessoais menos seguras. Para proteger seus usuários, você pode garantir que o cliente continue solicitando credenciais de autenticação multifator do Microsoft Entra com mais frequência. Você pode usar o Acesso Condicional para configurar esse comportamento.

Saiba como impor o MFA para a Área de Trabalho Virtual do Azure e, opcionalmente, configurar a frequência de entrada nas seções a seguir.

Pré-requisitos

Aqui está o que você precisa para começar:

Criar uma política de Acesso Condicional

Veja como criar uma política de Acesso Condicional que exija autenticação multifator ao se conectar à Área de Trabalho Virtual do Azure:

  1. Entre no portal do Azure como administrador global, administrador de segurança ou administrador de Acesso Condicional.

  2. Na barra de pesquisa, digite Microsoft Entra Conditional Access e selecione a entrada de serviço correspondente.

  3. Na visão geral, selecione Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Usuários de atribuições>, selecione 0 usuários e grupos selecionados.

  6. Na guia Incluir, selecione Selecionar usuários e grupos e marque Usuários e grupos e, em seguida, em Selecionar, selecione 0 usuários e grupos selecionados.

  7. No novo painel que se abre, procure e escolha o grupo que contém os utilizadores do Ambiente de Trabalho Virtual do Azure como membros do grupo e, em seguida, selecione Selecionar.

  8. Em Atribuições>Recursos de destino, selecione Nenhum recurso de destino selecionado.

  9. No separador Incluir, selecione Selecionar aplicações e, em seguida, em Selecionar, selecione Nenhum.

  10. No novo painel que se abre, procure e selecione as aplicações necessárias com base nos recursos que está a tentar proteger. Selecione a guia relevante para o seu cenário. Ao pesquisar um nome de aplicativo no Azure, use termos de pesquisa que começam com o nome do aplicativo em ordem, em vez de palavras-chave que o nome do aplicativo contém fora de ordem. Por exemplo, quando você quiser usar a Área de Trabalho Virtual do Azure, precisará inserir 'Azure Virtual', nessa ordem. Se você digitar 'virtual' por si só, a pesquisa não retorna o aplicativo desejado.

    Para a Área de Trabalho Virtual do Azure (com base no Gerenciador de Recursos do Azure), você pode configurar o MFA nestes diferentes aplicativos:

    • Área de Trabalho Virtual do Azure (ID do aplicativo 9cdead84-a844-4324-93f2-b2e6bb768d07), que se aplica quando o usuário se inscreve na Área de Trabalho Virtual do Azure, autentica no Gateway de Área de Trabalho Virtual do Azure durante uma conexão e quando as informações de diagnóstico são enviadas ao serviço do dispositivo local do usuário.

      Gorjeta

      O nome do aplicativo era anteriormente Windows Virtual Desktop. Se você registrou o provedor de recursos Microsoft.DesktopVirtualization antes que o nome para exibição fosse alterado, o aplicativo será nomeado Área de Trabalho Virtual do Windows com a mesma ID de aplicativo da Área de Trabalho Virtual do Azure.

      • Área de Trabalho Remota da Microsoft (ID do aplicativo a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Login do Windows Cloud (ID do aplicativo 270efc09-cd0d-444b-a71f-39af4910ec45). Eles se aplicam quando o usuário se autentica no host da sessão quando o logon único está habilitado. É recomendável corresponder as políticas de acesso condicional entre esses aplicativos e o aplicativo de Área de Trabalho Virtual do Azure, exceto para a frequência de entrada.

      Importante

      Os clientes usados para acessar a Área de Trabalho Virtual do Azure usam o aplicativo Microsoft Remote Desktop Entra ID para se autenticar no host da sessão hoje. Uma próxima mudança fará a transição da autenticação para o aplicativo Windows Cloud Login Entra ID. Para garantir uma transição suave, você precisa adicionar ambos os aplicativos Entra ID às suas políticas de CA.

    Importante

    Não selecione o aplicativo chamado Azure Virtual Desktop Azure Resource Manager Provider (ID do aplicativo 50e95039-b200-4007-bc97-8d5790743a63). Este aplicativo é usado apenas para recuperar o feed do usuário e não deve ter autenticação multifator.

  11. Depois de selecionar seus aplicativos, selecione Selecionar.

    Uma captura de ecrã da página de ações ou aplicações da Nuvem de Acesso Condicional. O aplicativo de Área de Trabalho Virtual do Azure é mostrado.

  12. Em Condições de>atribuições, selecione 0 condições selecionadas.

  13. Em Aplicativos cliente, selecione Não configurado.

  14. No novo painel aberto, para Configurar, selecione Sim.

  15. Selecione os aplicativos cliente aos quais essa política se aplica:

    • Selecione Navegador se desejar que a política se aplique ao cliente da Web.
    • Selecione Aplicativos móveis e clientes de desktop se quiser aplicar a política a outros clientes.
    • Marque ambas as caixas de seleção se quiser aplicar a política a todos os clientes.
    • Desmarque valores para clientes de autenticação herdados.

    Uma captura de tela da página de aplicativos Cliente de Acesso Condicional. O usuário selecionou as caixas de seleção aplicativos móveis, clientes de desktop e navegador.

  16. Depois de selecionar os aplicativos cliente aos quais essa política se aplica, selecione Concluído.

  17. Em Conceder controles>de acesso, selecione 0 controles selecionados.

  18. No novo painel que se abre, selecione Conceder acesso.

  19. Marque Exigir autenticação multifator e selecione Selecionar.

  20. Na parte inferior da página, defina Ativar política como Ativado e selecione Criar.

Nota

Quando você usa o cliente Web para entrar na Área de Trabalho Virtual do Azure por meio do navegador, o log listará a ID do aplicativo cliente como a85cf173-4192-42f8-81fa-777a763e6e2c (cliente da Área de Trabalho Virtual do Azure). Isso ocorre porque o aplicativo cliente está vinculado internamente à ID do aplicativo de servidor onde a política de acesso condicional foi definida.

Gorjeta

Alguns usuários podem ver um prompt intitulado Permanecer conectado a todos os seus aplicativos se o dispositivo Windows que eles estão usando ainda não estiver registrado com a ID do Microsoft Entra. Se eles desmarcarem Permitir que minha organização gerencie meu dispositivo e selecionarem Não, entrar somente neste aplicativo, eles poderão ser solicitados para autenticação com mais frequência.

Configurar a frequência de início de sessão

As políticas de frequência de entrada permitem definir o período de tempo após o qual um usuário deve provar sua identidade novamente ao acessar recursos baseados no Microsoft Entra. Isso pode ajudar a proteger seu ambiente e é especialmente importante para dispositivos pessoais, onde o sistema operacional local pode não exigir MFA ou pode não bloquear automaticamente após a inatividade.

As políticas de frequência de entrada resultam em comportamentos diferentes com base no aplicativo Microsoft Entra selecionado:

Nome da aplicação ID da Aplicação Comportamento
Área de Trabalho Virtual do Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Impõe a reautenticação quando um usuário se inscreve na Área de Trabalho Virtual do Azure, atualiza manualmente sua lista de recursos e se autentica no Gateway de Área de Trabalho Virtual do Azure durante uma conexão.

Quando o período de reautenticação terminar, a atualização do feed em segundo plano e o carregamento do diagnóstico falharão silenciosamente até que um usuário conclua seu próximo logon interativo no Microsoft Entra.
Área de Trabalho Remota da Microsoft

Windows Cloud Login		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-CD0D-444B-A71F-39AF4910EC45		 Impõe a reautenticação quando um usuário entra em um host de sessão quando o logon único está habilitado.

Ambos os aplicativos devem ser configurados juntos, pois os clientes da Área de Trabalho Virtual do Azure em breve mudarão de usar o aplicativo de Área de Trabalho Remota da Microsoft para o aplicativo Windows Cloud Login para autenticar no host da sessão.

Para configurar o período de tempo após o qual um usuário é solicitado a entrar novamente:

  1. Abra a política que criou anteriormente.
  2. Em Sessão de controles>de acesso, selecione 0 controles selecionados.
  3. No painel Sessão, selecione Frequência de início de sessão.
  4. Selecione Reautenticação periódica ou Toda vez.
    • Se você selecionar Reautenticação periódica, defina o valor para o período de tempo após o qual um usuário será solicitado a entrar novamente e, em seguida, selecione Selecionar. Por exemplo, definir o valor como 1 e a unidade como Horas, requer autenticação multifator se uma conexão for iniciada mais de uma hora após a última.
    • A opção Toda vez está atualmente disponível em visualização pública e só é suportada quando aplicada aos aplicativos de Área de Trabalho Remota da Microsoft e Login na Nuvem do Windows quando o logon único está habilitado para seu pool de hosts. Se você selecionar Todas as vezes, os usuários serão solicitados a se autenticar novamente após um período de 5 a 15 minutos após a última vez que se autenticaram para os aplicativos de Área de Trabalho Remota da Microsoft e Login do Windows Cloud.
  5. Na parte inferior da página, selecione Guardar.

Nota

  • A reautenticação só acontece quando um usuário precisa se autenticar em um recurso. Depois que uma conexão é estabelecida, os usuários não são solicitados, mesmo que a conexão dure mais do que a frequência de entrada que você configurou.
  • Os usuários precisam se autenticar novamente se houver uma interrupção de rede que force a sessão a ser restabelecida após a frequência de entrada configurada. Isso pode levar a solicitações de autenticação mais frequentes em redes instáveis.

VMs de host de sessão ingressadas no Microsoft Entra

Para que as conexões sejam bem-sucedidas, você deve desabilitar o método de entrada de autenticação multifator herdado por usuário. Se não quiser restringir o início de sessão a métodos de autenticação forte, como o Windows Hello para Empresas, tem de excluir a aplicação de Início de Sessão de VM do Azure da sua política de Acesso Condicional.

Próximos passos