Принудительное применение многофакторной проверки подлинности Microsoft Entra для виртуального рабочего стола Azure с помощью условного доступа

  • Статья

Внимание

Если вы попали на эту страницу из документации по Виртуальному рабочему столу Azure (классическая версия), не забудьте вернуться к этой документации после завершения работы.

Пользователи могут входить в Виртуальный рабочий стол Azure из любого места с помощью различных устройств и клиентов. Однако существуют определенные меры, которые необходимо предпринять, чтобы обеспечить безопасность вашей среды и пользователей. Использование многофакторной проверки подлинности Microsoft Entra с виртуальным рабочим столом Azure запрашивает пользователей во время входа в другую форму идентификации в дополнение к имени пользователя и паролю. Вы можете потребовать многофакторную проверку подлинности для Виртуального рабочего стола Azure с помощью условного доступа, а также можете настроить ее применимость к веб-клиентам, мобильным приложениям, классическим приложениям или ко всем клиентам сразу.

Когда пользователь подключается к удаленному сеансу, он должен пройти проверку подлинности в службе виртуального рабочего стола Azure и узле сеанса. Если многофакторная проверка подлинности включена, она используется при подключении к службе виртуального рабочего стола Azure, а пользователь запрашивает учетную запись пользователя и вторую форму проверки подлинности, так же, как и доступ к другим службам. Когда пользователь запускает удаленный сеанс, для узла сеанса требуется имя пользователя и пароль, но это удобно для пользователя, если включен единый вход. Дополнительные сведения см. в разделе "Методы проверки подлинности".

Как часто пользователю предлагается повторно выполнить проверку подлинности, зависит от параметров конфигурации сеанса Microsoft Entra. Например, если клиентское устройство Windows зарегистрировано с идентификатором Microsoft Entra ID, оно получает первичный маркер обновления (PRT) для использования для единого входа в приложениях. После выдачи PRT действителен в течение 14 дней и постоянно обновляется при условии, что пользователь активно использует устройство.

Запоминание учетных данных повышает удобство, но может снижать безопасность развертываний в корпоративных сценариях с использованием личных устройств. Чтобы защитить пользователей, вы можете убедиться, что клиент постоянно запрашивает учетные данные многофакторной проверки подлинности Microsoft Entra. Для настройки этого поведения можно использовать условный доступ.

Узнайте, как применить MFA для виртуального рабочего стола Azure и при необходимости настроить частоту входа в следующих разделах.

Необходимые компоненты

Вот что вам нужно приступить к работе:

Создание политики условного доступа

Ниже показано, как создать политику условного доступа, которая требует выполнять многофакторную проверку подлинности при каждом подключении к Виртуальному рабочему столу Azure:

  1. Войдите на портал Azure в качестве глобального администратора, администратора безопасности или администратора условного доступа.

  2. В строке поиска введите условный доступ Microsoft Entra и выберите соответствующую запись службы.

  3. В обзоре выберите "Создать новую политику".

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. В разделе "Пользователи назначений" выберите 0 пользователей>и групп.

  6. На вкладке "Включить" выберите "Выбрать пользователей и группы" и проверка "Пользователи и группы", а затем в разделе "Выбрать" выберите 0 пользователей и группы.

  7. На открывающейся панели найдите и выберите группу, содержащую пользователей виртуального рабочего стола Azure в качестве участников группы, а затем нажмите кнопку "Выбрать".

  8. В разделе "Целевые ресурсы назначения" выберите "Не выбраны целевые>ресурсы".

  9. На вкладке "Включить" выберите " Выбрать приложения", а затем в разделе "Выбрать" выберите "Нет".

  10. На открывающейся панели найдите и выберите необходимые приложения на основе ресурсов, которые вы пытаетесь защитить. Выберите соответствующую вкладку для вашего сценария. При поиске имени приложения в Azure используйте условия поиска, начинающиеся с имени приложения, а не ключевое слово имя приложения содержит не по порядку. Например, если вы хотите использовать виртуальный рабочий стол Azure, необходимо ввести "Виртуальную машину Azure" в этом порядке. Если ввести "virtual" самостоятельно, поиск не возвращает требуемое приложение.

    Для виртуального рабочего стола Azure (на основе Azure Resource Manager) можно настроить MFA в следующих приложениях:

    • Виртуальный рабочий стол Azure (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07), который применяется при подписке пользователя на виртуальный рабочий стол Azure, выполняет проверку подлинности в шлюзе виртуального рабочего стола Azure во время подключения, а диагностика также при отправке сведений в службу с локального устройства пользователя.

      Совет

      Имя приложения ранее было Виртуальный рабочий стол Windows. Если вы зарегистрировали поставщик ресурсов Microsoft.DesktopVirtualization перед изменением отображаемого имени, приложение будет называться виртуальным рабочим столом Windows с тем же идентификатором приложения, что и виртуальный рабочий стол Azure.

      • Удаленный рабочий стол (Майкрософт) (идентификатор приложения a4a365df-50f1-4397-bc59-1a1564b8bb9c) и windows Cloud Login (app ID 270efc09-cd0d-444b-a71f-39af4910ec45). Они применяются, когда пользователь проходит проверку подлинности на узле сеанса при включении единого входа . Рекомендуется сопоставить политики условного доступа между этими приложениями и приложением Виртуального рабочего стола Azure, за исключением частоты входа.

      Внимание

      Клиенты, используемые для доступа к виртуальному рабочему столу Azure, используют приложение идентификатора записи Удаленный рабочий стол (Майкрософт) для проверки подлинности на узле сеанса сегодня. Предстоящее изменение передаст проверку подлинности в приложение идентификатора записи входа в облако Windows Cloud. Чтобы обеспечить плавный переход, необходимо добавить оба приложения идентификатора записи в политики ЦС.

    Внимание

    Не выбирайте приложение «Поставщик Azure Resource Manager для Виртуального рабочего стола Azure» (идентификатор приложения 50e95039-b200-4007-bc97-8d5790743a63). Оно используется только для получения веб-канала пользователя и не рассчитано на использование многофакторной проверки подлинности.

  11. После выбора приложений нажмите кнопку "Выбрать".

    Снимок приложений облачных приложений условного доступа или страницы

  12. В разделе "Условия назначения" выберите 0 условий>.

  13. В разделе "Клиентские приложения" выберите "Не настроено".

  14. В открывающейся области для настройки нажмите кнопку "Да".

  15. Выберите клиентские приложения, к которые применяется эта политика:

    • Укажите Браузер, если хотите применить политику к веб-клиенту.
    • Укажите Мобильные приложения и настольные клиенты, если хотите применить политику к другим клиентам.
    • Установите оба флажка, если хотите применить политику ко всем клиентам.
    • Отмените выбор значений для устаревших клиентов проверки подлинности.

    Снимок экрана, где показана страница клиентских приложений условного доступа. Пользователь выбрал мобильные приложения и клиенты рабочего стола, а также установил флажки в браузере.

  16. После выбора клиентских приложений эта политика применяется, нажмите кнопку "Готово".

  17. В разделе "Предоставление элементов управления>доступом" выберите 0 элементов управления.

  18. На новой панели, которая откроется, выберите "Предоставить доступ".

  19. Установите флажок "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".

  20. В нижней части страницы установите для параметра Включить политикуВкл и нажмите кнопку Создать.

Примечание.

При использовании веб-клиента для входа в Виртуальный рабочий стол Azure через браузер в журнал будет сохраняться идентификатор клиентского приложения a85cf173-4192-42f8-81fa-777a763e6e2c (Клиент Виртуального рабочего стола Azure). Это связано с тем, что клиентское приложение внутренне связано с идентификатором того серверного приложения, в котором была задана политика условного доступа.

Совет

Некоторые пользователи могут видеть запрос на ввод в систему с заголовком "Остаться" во всех приложениях , если устройство Windows, которое они используют, еще не зарегистрировано с идентификатором Microsoft Entra. Если они отменят выбор разрешения на управление устройством и выберите "Нет", войдите только в это приложение, они могут чаще запрашивать проверку подлинности.

Настройка частоты входа

Политики частоты входа позволяют задать период времени, после которого пользователь должен снова подтвердить свое удостоверение при доступе к ресурсам на основе Microsoft Entra. Это может помочь защитить среду и особенно важно для личных устройств, где локальная ОС может не требовать многофакторную проверку подлинности или не блокируется автоматически после бездействия.

Политики частоты входа приводят к разному поведению в зависимости от выбранного приложения Microsoft Entra:

Название приложения ИД приложения Поведение
Виртуальный рабочий стол Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Принудительно выполняет повторную проверку подлинности, когда пользователь подписывается на виртуальный рабочий стол Azure, вручную обновляет список ресурсов и выполняет проверку подлинности в шлюзе виртуальных рабочих столов Azure во время подключения.

После завершения периода повторной проверки подлинности фоновый веб-канал и диагностика отправки автоматически завершается сбоем, пока пользователь не завершит следующий интерактивный вход в Microsoft Entra.
Удаленный рабочий стол (Майкрософт)

Вход в Windows Cloud		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Принудительно выполняет повторную проверку подлинности при входе пользователя в узел сеанса при включении единого входа .

Оба приложения должны быть настроены вместе, так как клиенты Виртуального рабочего стола Azure скоро переключятся с использования приложения Удаленный рабочий стол (Майкрософт) в приложение входа в Windows Cloud для проверки подлинности на узле сеанса.

Чтобы настроить период времени, после которого пользователю будет предложено снова войти:

  1. Откройте созданную ранее политику.
  2. В разделе "Сеанс управления доступом>" выберите 0 элементов управления.
  3. На панели Сеанс выберите периодичность входа.
  4. Выберите периодическую повторную проверку подлинности или каждый раз.
    • При выборе периодической повторной проверки подлинности задайте значение для периода времени, после которого пользователю будет предложено повторно войти, а затем нажмите кнопку "Выбрать". Например, при задании значения 1 и единицы в часах требуется многофакторная проверка подлинности, если подключение запускается более чем за час после последнего.
    • Параметр "Каждый раз" доступен в общедоступной предварительной версии и поддерживается только при применении к приложениям Удаленный рабочий стол (Майкрософт) и windows Cloud Login, если для пула узлов включен единый вход. Если выбрать каждый раз, пользователи получают запрос на повторную проверку подлинности через период от 5 до 15 минут после последней проверки подлинности для приложений для входа в Удаленный рабочий стол (Майкрософт) и Windows Cloud Login.
  5. В нижней части страницы нажмите кнопку "Сохранить".

Примечание.

  • Повторная проверка подлинности происходит только в том случае, если пользователь должен пройти проверку подлинности в ресурсе. После установки подключения пользователи не запрашиваются, даже если подключение длится дольше, чем настроенная частота входа.
  • Пользователям необходимо повторно выполнить проверку подлинности, если возникает нарушение сети, которое заставляет повторно установить сеанс после настройки частоты входа. Это может привести к более частым запросам проверки подлинности в нестабильных сетях.

Виртуальные машины узла сеанса, присоединенные к Microsoft Entra

Для успешного выполнения подключений необходимо отключить устаревший метод многофакторной проверки подлинности для каждого пользователя. Если вы не хотите ограничивать вход в надежные методы проверки подлинности, например Windows Hello для бизнеса, необходимо исключить приложение входа виртуальной машины Azure из политики условного доступа.

Следующие шаги