Принудительное применение многофакторной проверки подлинности Microsoft Entra для виртуального рабочего стола Azure с помощью условного доступа

  • 3 мин

Пользователи могут входить в Виртуальный рабочий стол Azure из любого места с помощью различных устройств и клиентов. Однако существуют определенные меры, которые необходимо предпринять, чтобы помочь вам защитить среду и пользователей. Использование многофакторной проверки подлинности Microsoft Entra с виртуальным рабочим столом Azure запрашивает пользователей во время входа в другую форму идентификации в дополнение к имени пользователя и паролю. Вы можете потребовать многофакторную проверку подлинности для Виртуального рабочего стола Azure с помощью условного доступа, а также можете настроить ее применимость к веб-клиентам, мобильным приложениям, классическим приложениям или ко всем клиентам сразу.

Когда пользователь подключается к удаленному сеансу, он должен пройти проверку подлинности в службе виртуального рабочего стола Azure и узле сеанса. Если многофакторная проверка подлинности включена, она используется при подключении к службе виртуального рабочего стола Azure, а пользователь запрашивает учетную запись пользователя и вторую форму проверки подлинности, так же, как и доступ к другим службам. Когда пользователь запускает удаленный сеанс, для узла сеанса требуется имя пользователя и пароль, но это удобно для пользователя, если включен единый вход. Дополнительные сведения см. в разделе "Методы проверки подлинности".

Вот что вам нужно приступить к работе:

Создание политики условного доступа

Ниже показано, как создать политику условного доступа, которая требует выполнять многофакторную проверку подлинности при каждом подключении к Виртуальному рабочему столу Azure:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к политикам условного доступа > защиты>.

  3. Выберите Новая политика.

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. В разделе "Пользователи назначений" выберите 0 пользователей > и групп.

  6. На вкладке "Включить" выберите "Выбрать пользователей и группы", а затем в разделе "Выбрать" выберите 0 пользователей и группы.

  7. На открывающейся панели найдите и выберите группу, содержащую пользователей виртуального рабочего стола Azure в качестве участников группы, а затем нажмите кнопку "Выбрать".

  8. В разделе "Целевые ресурсы назначения" выберите "Не выбраны целевые > ресурсы".

  9. На вкладке "Включить" выберите " Выбрать приложения", а затем в разделе "Выбрать" выберите "Нет".

  10. На открывающейся панели найдите и выберите необходимые приложения на основе ресурсов, которые вы пытаетесь защитить. Выберите соответствующую вкладку для вашего сценария. При поиске имени приложения в Azure используйте условия поиска, начинающиеся с имени приложения в порядке, а не ключевые слова, содержащие не упорядоченное имя приложения. Например, если вы хотите использовать виртуальный рабочий стол Azure, необходимо ввести "Виртуальную машину Azure" в этом порядке. Если ввести "virtual" самостоятельно, поиск не возвращает требуемое приложение.

    Для виртуального рабочего стола Azure (на основе Azure Resource Manager) можно настроить MFA в следующих приложениях:

    • Виртуальный рабочий стол Azure (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07), который применяется при подписке пользователя на виртуальный рабочий стол Azure, выполняет проверку подлинности в шлюзе виртуального рабочего стола Azure во время подключения, а диагностика также при отправке сведений в службу с локального устройства пользователя.
    • Удаленный рабочий стол (Майкрософт) (идентификатор приложения a4a365df-50f1-4397-bc59-1a1564b8bb9c) и вход в облако Windows (идентификатор приложения 270efc09-cd0d-444b-a71f-39af4910ec45). Они применяются, когда пользователь проходит проверку подлинности на узле сеанса при включении единого входа . Рекомендуется сопоставить политики условного доступа между этими приложениями и приложением Виртуального рабочего стола Azure, за исключением частоты входа.

  11. После выбора приложений нажмите кнопку "Выбрать".

    Снимок экрана: страница

  12. В разделе "Условия назначения" выберите 0 условий>.

  13. В разделе "Клиентские приложения" выберите "Не настроено".

  14. В открывающейся области для настройки нажмите кнопку "Да".

  15. Выберите клиентские приложения, к которые применяется эта политика:

    • Укажите Браузер, если хотите применить политику к веб-клиенту.
    • Укажите Мобильные приложения и настольные клиенты, если хотите применить политику к другим клиентам.
    • Установите оба флажка, если хотите применить политику ко всем клиентам.
    • Отмените выбор значений для устаревших клиентов проверки подлинности.

    Снимок экрана: страница клиентских приложений условного доступа.

  16. После выбора клиентских приложений эта политика применяется, нажмите кнопку "Готово".

  17. В разделе "Предоставление элементов управления > доступом" выберите 0 элементов управления.

  18. На новой панели, которая откроется, выберите "Предоставить доступ".

  19. Установите флажок "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".

  20. В нижней части страницы установите для параметра Включить политику Вкл и нажмите кнопку Создать.

Примечание.

При использовании веб-клиента для входа в Виртуальный рабочий стол Azure через браузер в журнал будет сохраняться идентификатор клиентского приложения a85cf173-4192-42f8-81fa-777a763e6e2c (Клиент Виртуального рабочего стола Azure). Это связано с тем, что клиентское приложение внутренне связано с идентификатором того серверного приложения, в котором была задана политика условного доступа.