你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证

重要

如果要从 Azure 虚拟桌面(经典)文档访问此页面,请确保在完成后返回到 Azure 虚拟桌面(经典)文档

用户可以使用不同设备和客户端从任意位置登录到 Azure 虚拟桌面。 但应采取一些措施来帮助保护环境和用户的安全。 将 Microsoft Entra 多重身份验证 (MFA) 与 Azure 虚拟桌面结合使用,会在登录过程中提示用户提供除用户名和密码以外的其他形式的标识。 可以使用条件访问对 Azure 虚拟桌面强制实施 MFA,还可以配置它是应用于 Web 客户端、移动应用、桌面客户端还是所有客户端。

当用户连接到远程会话时,他们需要向 Azure 虚拟桌面服务和会话主机进行身份验证。 如果已启用 MFA,则会在连接到 Azure 虚拟桌面服务时使用它,并且会提示用户输入其用户帐户和第二种身份验证形式,这与访问其他服务的方式相同。 用户启动远程会话时,会话主机需要用户名和密码,但如果启用了单一登录 (SSO),用户将可以无缝直接登录。 有关详细信息,请参阅身份验证方法

提示用户重新进行身份验证的频率取决于 Microsoft Entra 会话生存期配置设置。 例如,如果用户的 Windows 客户端设备已注册到 Microsoft Entra ID,它将接收主刷新令牌 (PRT),以便用于应用程序之间的单一登录 (SSO)。 一经颁发,PRT 的有效期为 14 天,只要用户活跃地使用该设备,就会持续地续订。

尽管记住凭据很方便,但也可能会让使用个人设备进行的企业方案部署的安全性降低。 为了保护用户,可以确保客户端更频繁地要求输入 Microsoft Entra 多重身份验证凭据。 可以使用条件访问来配置此行为。

了解如何对 Azure 虚拟桌面强制实施 MFA,并根据需要在以下部分中配置登录频率。

先决条件

以下是开始使用需要满足的条件:

创建条件访问策略

下面介绍如何创建一个条件访问策略,要求在连接到 Azure 虚拟桌面时进行多重身份验证:

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“条件访问”>“策略”。

  3. 选择“新策略” 。

  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。

  5. 在“分配”>“用户”下,选择“已选择 0 个用户和组”

  6. 在“包括”选项卡下,选择“选择用户和组”并选中“用户和组”,然后在“选择”下选择“已选择 0 个用户和组”

  7. 在打开的新窗格中,搜索并选择包含你的 Azure 虚拟桌面用户为组成员的组,然后选择“选择”

  8. 在“分配”>“目标资源”下,选择“未选择目标资源”

  9. 在“包括”选项卡下,选择“选择应用”,然后在“选择”下选择“无”

  10. 在打开的新窗格中,根据要尝试保护的资源搜索并选择所需的应用。 选择方案的相关选项卡。 在 Azure 上搜索应用程序名称时,按顺序使用以应用程序名称开头的搜索词,而不是应用程序名称无序包含的关键字。 例如,如果要使用 Azure 虚拟桌面,需要按该顺序输入“Azure 虚拟”。 如果自行输入“虚拟”,搜索不会返回所需的应用程序

    对于 Azure 虚拟桌面(基于 Azure 资源管理器),可以在这些不同的应用上配置 MFA:

    • Azure 虚拟桌面(应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07),当用户订阅 Azure 虚拟桌面、在连接期间向 Azure 虚拟桌面网关进行身份验证,以及将诊断信息从用户的本地设备发送到服务时适用。

      提示

      应用名称以前为“Windows虚拟桌面”。 如果在显示名称更改之前注册了 Microsoft.DesktopVirtualization 资源提供程序,则应用程序将名为 Windows 虚拟桌面,其应用 ID 与 Azure 虚拟桌面相同

      • Microsoft 远程桌面(应用 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c)和 Windows 云登录(应用 ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 当用户在启用单一登录的情况下向会话主机进行身份验证时,这些应用将会适用。 建议匹配这些应用与 Azure 虚拟桌面应用之间的条件访问策略,但登录频率除外。

      重要

      现在,用于访问 Azure 虚拟桌面的客户端使用 Microsoft 远程桌面 Entra ID 应用向会话主机进行身份验证。 即将推出的更改会将身份验证转换为 Windows 云登录 Entra ID 应用。 要确保平稳过渡,需要将两个 Entra ID 应用添加到 CA 策略。

    重要

    请勿选择名为“Azure 虚拟桌面 Azure 资源管理器提供程序”的应用(应用 ID 50e95039-b200-4007-bc97-8d5790743a63)。 此应用仅用于检索用户源,而不应具有多重身份验证。

  11. 选择应用后,选择“选择”

    条件访问云应用或操作页面的屏幕截图。显示了 Azure 虚拟桌面应用。

  12. 在“分配”>“条件”下,选择“已选择 0 个条件”

  13. 在“客户端应用”下,选择“未配置”

  14. 在打开的新窗格中,对于“配置”,选择“是”

  15. 选择此策略将适用的客户端应用:

    • 如果要将策略应用到 Web 客户端,请选择“浏览器”。
    • 如果要将策略应用到其他客户端,请选择“移动应用和桌面客户端”。
    • 如果要将策略应用于所有客户端,请同时选中这两个复选框。
    • 取消选择旧身份验证客户端的值。

    条件访问客户端应用页面的屏幕截图。用户已选择移动应用和桌面客户端以及浏览器复选框。

  16. 选择应用此策略的客户端应用后,选择“完成”

  17. 在“访问控制”>“授予”下,选择“已选择 0 个控件”

  18. 在打开的新窗格中,选择“授予访问权限”

  19. 选中“需要多重身份验证”,然后选择“选择”

  20. 在页面底部,将“启用策略”设置为“开”,然后选择“创建”。

注意

使用 Web 客户端通过浏览器登录 Azure 虚拟桌面时,日志会将客户端应用 ID 列为 a85cf173-4192-42f8-81fa-777a763e6e2c(Azure 虚拟桌面客户端)。 这是因为客户端应用在内部链接到设置了条件访问策略的服务器应用 ID。

提示

如果某些用户使用的 Windows 设备尚未注册到 Microsoft Entra ID,则他们可能会看到标题为“保持登录所有应用”的提示。 如果他们取消选择“允许我的组织管理我的设备”并选择“否,请仅登录到此应用”,则系统可能会更频繁地提示进行身份验证

配置登录频率

使用登录频率策略,可以配置访问基于 Microsoft Entra 的资源时用户所需的登录频率。 这有助于保护环境,对于个人设备尤其重要,因为本地 OS 可能不需要 MFA 或者在处于非活动状态后可能不会自动锁定。 仅当访问资源时从 Microsoft Entra ID 请求新访问令牌的情况下,才会提示用户进行身份验证。

登录频率策略根据所选的 Microsoft Entra 应用产生不同的行为:

应用名称 应用 ID 行为
Azure 虚拟桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 当用户订阅 Azure 虚拟桌面、手动刷新其资源列表以及在连接期间向 Azure 虚拟桌面网关进行身份验证时,会强制重新进行身份验证。

重新身份验证时间段结束后,后台源刷新和诊断上传会以无提示方式失败,直到用户完成下一次交互式登录 Microsoft Entra。
Microsoft 远程桌面

Windows 云登录
a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45
启用单一登录时,当用户登录到会话主机时会强制重新进行身份验证。

这两个应用应一起配置,因为 Azure 虚拟桌面客户端将很快从使用 Microsoft 远程桌面应用切换到使用 Windows 云登录应用,以便对会话主机进行身份验证。

若要配置要求用户再次登录的时间段,请执行以下操作:

  1. 打开之前创建的策略。
  2. 在“访问控制”>“会话”下,选择“已选择 0 个控件”
  3. 在“会话”窗格中,选择“登录频率”
  4. 选择“定期重新身份验证”或“每次”
    • 如果选择“定期重新身份验证”,则设置要求用户在执行需要新访问令牌的操作时再次登录的时间段值,然后选择“选择”。 例如,如果将值设置为“1”并将单位设置为“小时”,则连接在上次用户身份验证后启动超过一小时时,将需要多重身份验证
    • “每次”选项目前在预览版中可用,并且仅在为主机池启用单一登录时应用于 Microsoft 远程桌面和 Windows 云登录应用时才受支持。 如果选择“每次”,系统会提示用户在自上次身份验证以来 5 到 10 分钟后启动新连接时重新进行身份验证
  5. 在页面底部,选择“保存”

注意

  • 仅当用户必须向资源进行身份验证且需要新的访问令牌时,才会重新进行身份验证。 建立连接后,即使连接持续的时间超过配置的登录频率,也不会提示用户。
  • 如果发生网络中断,导致在配置的登录频率后重新建立会话,则用户必须重新进行身份验证。 这可能会导致在不稳定的网络上出现更频繁的身份验证请求。

已建立 Microsoft Entra 联接的会话主机 VM

为成功进行连接,必须禁用旧版按用户多重身份验证登录方式。 如果不想将登录限制为强身份验证方法(如 Windows Hello 企业版),需要从条件访问策略中排除 Azure Windows VM 登录应用

后续步骤