Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Многофакторная проверка подлинности (MFA) повышает безопасность служб удаленных рабочих столов (RDS), требуя от пользователей проверки подлинности с помощью нескольких методов проверки подлинности. Этот добавленный уровень защиты помогает защитить конфиденциальные ресурсы и снизить риск несанкционированного доступа. В этой статье представлен обзор пользовательского интерфейса, компонентов архитектуры и преимуществ безопасности интеграции MFA с RDS, а также рекомендаций по планированию развертывания.
Взаимодействие с пользователем
Для конечных пользователей, подключающихся к рабочим столам и приложениям, интерфейс аналогичен любой другой второй меры проверки подлинности для подключения к требуемому ресурсу. Процесс обычно включает в себя следующее:
Запустите рабочий стол или RemoteApp.
При подключении к шлюзу RD для безопасного удаленного доступа получите запрос на многофакторную аутентификацию (MFA) через мобильное приложение.
Правильно пройти проверку подлинности и подключиться к своим ресурсам.
Компоненты архитектуры
RDS может интегрироваться с сервером политики сети в Windows Server и его расширением к идентификатору Microsoft Entra. К стандартной реализации MFA RDS относятся:
- Шлюз удаленных рабочих столов: выступает в качестве точки входа для удаленных подключений.
- Сервер политики сети (NPS): обрабатывает запросы проверки подлинности и применяет политики.
- Идентификатор Microsoft Entra: предоставляет облачные службы многофакторной аутентификации (МФА).
- Расширение NPS: мосты локальных NPS с облачной MFA.
Дополнительные сведения см. в разделе "Интеграция инфраструктуры шлюза удаленных рабочих столов" с помощью расширения сервера политики сети (NPS) и идентификатора Microsoft Entra.
При планировании развертывания MFA следует учитывать следующие компоненты:
- Регистрация пользователей. Планирование регистрации методов MFA пользователей.
- Проверка подлинности резервного копирования: настройте альтернативные методы для пользователей, которые теряют первичные устройства.
- Условный доступ. Рассмотрите возможность реализации политик на основе расположения или устройств.
- Требования к сети. Убедитесь, что правила брандмауэра разрешают обмен данными с конечными точками службы MFA.
Преимущества безопасности
Реализация MFA с помощью служб удаленных рабочих столов обеспечивает:
- Снижение риска нарушения: даже если пароли скомпрометируются, дополнительная проверка предотвращает несанкционированный доступ.
- Поддержка соответствия требованиям. Помогает соответствовать нормативным требованиям для безопасного удаленного доступа.
- Централизованное управление: унифицированные политики MFA в облаке и локальных ресурсах.
- Возможности аудита: подробное ведение журнала попыток проверки подлинности и используемых методов.