使用条件访问对 Azure 虚拟桌面强制实施 Microsoft Entra 多重身份验证
用户可以使用不同设备和客户端从任意位置登录到 Azure 虚拟桌面。 但应采取一些措施来帮助保护环境和用户的安全。 将 Microsoft Entra 多重身份验证 (MFA) 与 Azure 虚拟桌面结合使用,会在登录过程中提示用户提供除用户名和密码以外的其他形式的标识。 可以使用条件访问对 Azure 虚拟桌面强制实施 MFA,还可以配置它是应用于 Web 客户端、移动应用、桌面客户端还是所有客户端。
当用户连接到远程会话时,他们需要向 Azure 虚拟桌面服务和会话主机进行身份验证。 如果已启用 MFA,则会在连接到 Azure 虚拟桌面服务时使用它,并且会提示用户输入其用户帐户和第二种身份验证形式,这与访问其他服务的方式相同。 用户启动远程会话时,会话主机需要用户名和密码,但如果启用了单一登录 (SSO),用户将可以无缝直接登录。 有关详细信息,请参阅身份验证方法。
以下是开始使用需要满足的条件:
- 为用户分配包含 Microsoft Entra ID P1 或 P2 的许可证。
- 将你的 Azure 虚拟桌面用户分配为组成员的 Microsoft Entra 组。
- 启用 Microsoft Entra 多重身份验证。
创建条件访问策略
下面介绍如何创建一个条件访问策略,要求在连接到 Azure 虚拟桌面时进行多重身份验证:
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
选择“新策略” 。
为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
在“分配”>“用户”下,选择“已选择 0 个用户和组”。
在“包含”选项卡下,选择“选择用户和组”,检查“用户和组”,然后在“选择”下选择 0 个用户和组。
在打开的新窗格中,搜索并选择包含你的 Azure 虚拟桌面用户为组成员的组,然后选择“选择”。
在“分配”>“目标资源”下,选择“未选择任何目标资源”。
在“包括”选项卡下,选择“选择应用”,然后在“选择”下选择“无”。
在打开的新窗格中,根据要尝试保护的资源搜索并选择所需的应用。 选择方案的相关选项卡。 在 Azure 上搜索应用程序名称时,按顺序使用以应用程序名称开头的搜索词,而不是应用程序名称无序包含的关键字。 例如,如果要使用 Azure 虚拟桌面,需要按该顺序输入“Azure 虚拟”。 如果自行输入“虚拟”,搜索不会返回所需的应用程序。
对于 Azure 虚拟桌面(基于 Azure 资源管理器),可以在这些不同的应用上配置 MFA:
- Azure 虚拟桌面(应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07),当用户订阅 Azure 虚拟桌面、在连接期间向 Azure 虚拟桌面网关进行身份验证,以及将诊断信息从用户的本地设备发送到服务时适用。
- Microsoft 远程桌面(应用 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c)和 Windows Cloud 登录(应用 ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 当用户在启用单一登录的情况下向会话主机进行身份验证时,这些应用将会适用。 建议匹配这些应用与 Azure 虚拟桌面应用之间的条件访问策略,但登录频率除外。
选择应用后,选择“选择”。
在“分配”>“条件”下,选择“已选择 0 个条件”。
在“客户端应用”下,选择“未配置”。
在打开的新窗格中,对于“配置”,选择“是”。
选择此策略将适用的客户端应用:
- 如果要将策略应用到 Web 客户端,请选择“浏览器”。
- 如果要将策略应用到其他客户端,请选择“移动应用和桌面客户端”。
- 如果要将策略应用于所有客户端,请同时选中这两个复选框。
- 取消选择旧身份验证客户端的值。
选择应用此策略的客户端应用后,选择“完成”。
在“访问控制”>“授权”下,选择“已选择 0 个控件”。
在打开的新窗格中,选择“授予访问权限”。
选中“需要多重身份验证”,然后选择“选择”。
在页面底部,将“启用策略”设置为“开”,然后选择“创建”。
注意
使用 Web 客户端通过浏览器登录 Azure 虚拟桌面时,日志会将客户端应用 ID 列为 a85cf173-4192-42f8-81fa-777a763e6e2c(Azure 虚拟桌面客户端)。 这是因为客户端应用在内部链接到设置了条件访问策略的服务器应用 ID。