你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用条件访问对 Azure 虚拟桌面强制实施Microsoft Entra多重身份验证

用户可以使用不同的设备和客户端从任意位置登录到 Azure 虚拟桌面。 但是,应采取某些措施来帮助保护环境和用户的安全。 使用 Microsoft Entra多重身份验证 (MFA) 与 Azure 虚拟桌面一起使用,系统会提示用户在登录过程中除了用户名和密码外,还会提示用户进行另一种形式的标识。 可以使用条件访问为 Azure 虚拟桌面强制实施 MFA,还可以配置它是应用于 Web 客户端、移动应用、桌面客户端还是所有客户端。

当用户连接到远程会话时,他们需要向 Azure 虚拟桌面服务和会话主机进行身份验证。 如果启用了 MFA,则会在连接到 Azure 虚拟桌面服务时使用它,并且系统会提示用户输入其用户帐户和第二种形式的身份验证,其方式与访问其他服务的方式相同。 当用户启动远程会话时,会话主机需要用户名和密码,但如果启用了单一登录 (SSO) ,则这是无缝的。 有关详细信息,请参阅 身份验证方法

提示用户重新进行身份验证的频率取决于Microsoft Entra条件访问自适应会话生存期策略。 虽然记住凭据很方便,但它也会降低使用个人设备的部署的安全性。 若要保护用户,可以确保客户端更频繁地请求Microsoft Entra多重身份验证凭据。 可以使用条件访问登录频率来配置此行为。

在以下部分中了解如何为 Azure 虚拟桌面强制实施 MFA 并选择性地配置登录频率。

先决条件

以下是入门所需的内容:

创建条件访问策略

下面介绍如何创建在连接到 Azure 虚拟桌面时需要多重身份验证的条件访问策略:

  1. 至少以条件访问管理员身份登录到Microsoft Entra 管理中心

  2. 浏览到 保护>条件访问>策略

  3. 选择“ 新建策略”。

  4. 为策略命名。 我们建议组织为其策略名称创建有意义的标准。

  5. “分配>用户”下,选择 选择了 0 个用户和组

  6. 在“包括”选项卡下,选择“选择用户和组”并检查“用户和组”,然后在“选择”下选择“0 个用户和组”。

  7. 在打开的新窗格中,搜索并选择包含 Azure 虚拟桌面用户的组作为组成员,然后选择 “选择”。

  8. “分配>目标资源”下,选择“ 未选择目标资源”。

  9. 对于下拉列表 “选择此策略的适用范围”,将“ 资源”保留默认值 (以前的云应用) 。 在“ 包括 ”选项卡下,选择“ 选择资源”,然后在 “选择”下,选择“ ”。

  10. 在打开的新窗格中,根据尝试保护的资源搜索并选择所需的应用。 选择方案的相关选项卡。 在 Azure 上搜索应用程序名称时,请使用按顺序以应用程序名称开头的搜索词,而不是应用程序名称包含的关键字。 例如,当想要使用 Azure 虚拟桌面时,需要按该顺序输入“Azure 虚拟”。 如果单独输入“virtual”,则搜索不会返回所需的应用程序。

    对于基于 Azure 资源管理器) 的 Azure 虚拟桌面 (,可以在以下不同应用上配置 MFA:

    • Azure 虚拟桌面 (应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07) ,当用户订阅 Azure 虚拟桌面、在连接期间向 Azure 虚拟桌面网关进行身份验证以及从用户的本地设备将诊断信息发送到服务时适用。

      提示

      应用名称以前是 Windows 虚拟桌面。 如果在显示名称更改之前注册了 Microsoft.DesktopVirtualization 资源提供程序,应用程序将命名为 Windows 虚拟桌面 ,其应用 ID 与 Azure 虚拟桌面相同。

    • Microsoft 远程桌面 (应用 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) 和 Windows Cloud 登录 (应用 ID 270efc09-cd0d-444b-a71f-39af4910ec45) 。 当用户在启用 单一登录 时向会话主机进行身份验证时,这些规则将适用。 建议在这些应用与 Azure 虚拟桌面应用之间匹配条件访问策略, 但登录频率除外。

      重要

      • 用于访问 Azure 虚拟桌面的客户端今天使用 Microsoft 远程桌面 Entra ID 应用向会话主机进行身份验证。 即将进行的更改会将身份验证转换为 Windows 云登录Entra ID应用。 为确保平稳过渡,需要将两个Entra ID应用添加到 CA 策略。

      • 不要选择名为 Azure 虚拟桌面 Azure 资源管理器提供程序的应用 (应用 ID 50e95039-b200-4007-bc97-8d5790743a63) 。 此应用仅用于检索用户源,不应使用多重身份验证。

  11. 选择应用后,选择“ 选择”。

    条件访问云应用或作页的屏幕截图。显示 Azure 虚拟桌面应用。

  12. “分配>条件”下,选择“ 0 条件”选择

  13. “客户端应用”下,选择“ 未配置”。

  14. 在打开的新窗格中,对于 “配置”,选择“ ”。

  15. 选择此策略应用于的客户端应用:

    • 如果希望策略应用于 Web 客户端,请选择 “浏览器 ”。
    • 如果要将策略应用于其他客户端,请选择 “移动应用和桌面 客户端”。
    • 如果要将策略应用到所有客户端,请选择这两个检查框。
    • 取消选择旧式身份验证客户端的值。

    条件访问客户端应用页的屏幕截图。用户已选择移动应用和桌面客户端,以及浏览器检查框。

  16. 选择此策略适用的客户端应用后,选择“ 完成”。

  17. “访问控制>授予”下,选择 “0 个已选中的控件”。

  18. 在打开的新窗格中,选择“ 授予访问权限”。

  19. 选中 “需要多重身份验证”,然后选择“ 选择”。

  20. 在页面底部,将 “启用策略” 设置为“ 打开 ”,然后选择“ 创建”。

注意

使用 Web 客户端通过浏览器登录到 Azure 虚拟桌面时,日志会将客户端应用 ID 列为 a85cf173-4192-42f8-81fa-777a763e6e6c (Azure 虚拟桌面客户端) 。 这是因为客户端应用在内部链接到设置了条件访问策略的服务器应用 ID。

提示

如果用户使用的 Windows 设备尚未注册到Microsoft Entra ID,则某些用户可能会看到标题为“保持登录到所有应用的提示”。 如果他们取消选择 “允许我的组织管理我的设备 ”并选择“ 否,仅登录此应用”,系统可能会更频繁地提示他们进行身份验证。

配置登录频率

登录频率策略允许配置用户在访问基于Microsoft Entra的资源时需要登录的频率。 这有助于保护环境,并且对于个人设备尤其重要,因为本地 OS 可能不需要 MFA,或者无法在非活动后自动锁定。 仅在访问资源时从 Microsoft Entra ID 请求新的访问令牌时,才会提示用户进行身份验证。

登录频率策略会导致基于所选Microsoft Entra应用的不同行为:

应用名称 应用程序 ID 行为
Azure 虚拟桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 当用户订阅 Azure 虚拟桌面时强制重新进行身份验证,在连接期间手动刷新其资源列表并向 Azure 虚拟桌面网关进行身份验证。

重新身份验证期结束后,后台源刷新和诊断上传会以静默方式失败,直到用户完成其下一个交互式登录以Microsoft Entra。
Microsoft 远程桌面

Windows Cloud 登录
a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45
启用 单一登录 后,当用户登录到会话主机时强制重新进行身份验证。

应同时配置这两个应用,因为 Azure 虚拟桌面客户端将很快从使用 Microsoft 远程桌面 应用切换到 Windows 云登录应用,以便向会话主机进行身份验证。

配置要求用户重新登录的时间段:

  1. 打开之前创建的策略。
  2. “访问控制>会话”下,选择 “0 个已选中的控件”。
  3. 在“ 会话 ”窗格中,选择“ 登录频率”。
  4. 选择“ 定期重新身份验证 ”或“ 每次”。
    • 如果选择“ 定期重新身份验证”,请设置在执行需要新访问令牌的作时要求用户重新登录的时间段的值,然后选择“ 选择”。 例如,如果将值设置为 1 ,并将单位设置为 “小时”,则如果在上次用户身份验证后启动连接超过一小时,则需要多重身份验证。
    • 仅当为主机池启用单一登录时,才支持“每次”选项应用于 Microsoft 远程桌面Windows Cloud 登录应用。 如果选择“ 每次”,则自上次身份验证以来的 5 到 10 分钟后启动新连接时,系统会提示用户重新进行身份验证。
  5. 在页面底部,选择“ 保存”。

注意

  • 仅当用户必须对资源进行身份验证并且需要新的访问令牌时,才会发生重新身份验证。 建立连接后,即使连接持续时间超过配置的登录频率,也不会提示用户。
  • 如果网络中断导致在配置的登录频率之后重新建立会话,则用户必须重新进行身份验证。 这可能会导致不稳定网络上出现更频繁的身份验证请求。

已加入Microsoft Entra会话主机 VM

若要成功连接,必须 禁用旧版每用户多重身份验证登录方法。 如果不想将登录限制为强身份验证方法(如 Windows Hello 企业版),则需要从条件访问策略中排除 Azure Windows VM Sign-In 应用

后续步骤