Framtvinga Microsoft Entra-multifaktorautentisering för Azure Virtual Desktop med villkorlig åtkomst

Slutförd

Användare kan logga in på Azure Virtual Desktop var de än använder olika enheter och klienter. Det finns dock vissa åtgärder som du bör vidta för att skydda din miljö och dina användare. Om du använder Microsoft Entra multifaktorautentisering (MFA) med Azure Virtual Desktop uppmanas användarna under inloggningsprocessen att ange en annan form av identifiering utöver användarnamn och lösenord. Du kan tillämpa MFA för Azure Virtual Desktop med villkorlig åtkomst och kan även konfigurera om det gäller webbklienten, mobilappar, skrivbordsklienter eller alla klienter.

När en användare ansluter till en fjärrsession måste de autentisera till Azure Virtual Desktop-tjänsten och sessionsvärden. Om MFA är aktiverat används det när du ansluter till Azure Virtual Desktop-tjänsten och användaren uppmanas att ange sitt användarkonto och en andra form av autentisering, på samma sätt som vid åtkomst till andra tjänster. När en användare startar en fjärrsession krävs ett användarnamn och lösenord för sessionsvärden, men detta är sömlöst för användaren om enkel inloggning (SSO) är aktiverat. Mer information finns i Autentiseringsmetoder.

Här är vad du behöver för att komma igång:

• Tilldela användare en licens som innehåller Microsoft Entra ID P1 eller P2.
• En Microsoft Entra-grupp med dina Azure Virtual Desktop-användare tilldelade som gruppmedlemmar.
• Aktivera Microsoft Entra multifaktorautentisering.

Skapa en princip för villkorsstyrd åtkomst

Så här skapar du en princip för villkorsstyrd åtkomst som kräver multifaktorautentisering vid anslutning till Azure Virtual Desktop:

1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.

2. Bläddra till Skyddsprinciper> för villkorsstyrd åtkomst>.

3. Välj Ny princip.

4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.

5. Under Tilldelningar > Användare väljer du 0 användare och grupper valda.

6. Under fliken Inkludera väljer du Välj användare och grupper och markerar Användare och grupper. Under Välj väljer du sedan 0 användare och grupper valda.

7. I det nya fönstret som öppnas söker du efter och väljer den grupp som innehåller dina Azure Virtual Desktop-användare som gruppmedlemmar och väljer sedan Välj.

8. Under Tilldelningar > Målresurser väljer du Inga målresurser har valts.

9. Under fliken Inkludera väljer du Välj appar och sedan Ingen under Välj.

10. I det nya fönstret som öppnas söker du efter och väljer de nödvändiga apparna baserat på de resurser som du försöker skydda. Välj relevant flik för ditt scenario. När du söker efter ett programnamn i Azure använder du söktermer som börjar med programnamnet i ordning i stället för nyckelord som programnamnet innehåller i fel ordning. När du till exempel vill använda Azure Virtual Desktop måste du ange "Azure Virtual", i den ordningen. Om du anger "virtuell" själv returnerar sökningen inte önskat program.

    För Azure Virtual Desktop (baserat på Azure Resource Manager) kan du konfigurera MFA för dessa olika appar:

    • Azure Virtual Desktop (app-ID 9cdead84-a844-4324-93f2-b2e6bb768d07), som gäller när användaren prenumererar på Azure Virtual Desktop, autentiserar till Azure Virtual Desktop Gateway under en anslutning och när diagnostikinformation skickas till tjänsten från användarens lokala enhet.
    • Microsoft udaljena radna površina (app-ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) och Windows Cloud Login (app-ID 270efc09-cd0d-444b-a71f-39af4910ec45). Dessa gäller när användaren autentiserar till sessionsvärden när enkel inloggning är aktiverad. Vi rekommenderar att du matchar principer för villkorlig åtkomst mellan dessa appar och Azure Virtual Desktop-appen, förutom inloggningsfrekvensen.

11. När du har valt dina appar väljer du Välj.

    

12. Under Tilldelningsvillkor >väljer du 0 villkor.

13. Under Klientappar väljer du Inte konfigurerad.

14. I det nya fönstret som öppnas för Konfigurera väljer du Ja.

15. Välj de klientappar som den här principen gäller för:

    • Välj Webbläsare om du vill att principen ska gälla för webbklienten.
    • Välj Mobilappar och skrivbordsklienter om du vill tillämpa principen på andra klienter.
    • Markera båda kryssrutorna om du vill tillämpa principen på alla klienter.
    • Avmarkera värden för äldre autentiseringsklienter.

    

16. När du har valt de klientappar som den här principen gäller för väljer du Klar.

17. Under Bevilja åtkomstkontroller> väljer du 0 valda kontroller.

18. I det nya fönstret som öppnas väljer du Bevilja åtkomst.

19. Kontrollera Kräv multifaktorautentisering och välj sedan Välj.

20. Längst ned på sidan anger du Aktivera princip till På och väljer Skapa.

Kommentar

När du använder webbklienten för att logga in på Azure Virtual Desktop via webbläsaren visas klientappens ID som a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop-klient). Det beror på att klientappen är internt länkad till serverappens ID där principen för villkorlig åtkomst angavs.