设置条件访问策略

  • 项目

条件访问通过在授予对内容的访问权限之前满足某些条件来保护系统中受管控的内容。 最简单的条件访问策略是 if-then 语句。 如果用户想要访问资源,那么他们必须完成某项操作。 例如,工资单经理想要访问工资单应用程序,并且需要执行多重身份验证 (MFA) 执行此操作。

使用条件访问可以实现两个主要目标:

  • 使用户能够随时随地高效工作。
  • 保护组织的资产。

通过使用条件访问策略,你可根据需要应用正确的访问控制,以确保组织的安全,并随时避免使用用户的方式。

提示用户重新进行身份验证的频率取决于Microsoft Entra会话生存期配置设置。 虽然记住凭据很方便,但它也会降低使用个人设备的企业方案的部署的安全性。 若要保护用户,可以确保客户端更频繁地请求Microsoft Entra多重身份验证凭据。 可以使用条件访问登录频率来配置此行为。

为云电脑分配条件访问策略

默认情况下,不会为租户设置条件访问策略。 可以使用以下任一平台将 CA 策略定向到云电脑第一方应用:

无论使用哪种方法,这些策略都将在云电脑最终用户门户和与云电脑的连接上强制实施。

  1. 登录到Microsoft Intune管理中心,选择“终结点安全性>”“条件访问>”“创建新策略”。

  2. 提供特定条件访问策略的“名称”

  3. 在“用户”下,选择“0 个用户和组”。

  4. 在“包括”选项卡下,选择“选择用户和组>”检查“用户和组>”下选择“选择0 个用户和组”。

  5. 在打开的新窗格中,搜索并选择要使用 CA 策略作为目标的特定用户或组,然后选择 “选择”。

  6. 在“ 目标资源”下,选择“ 未选择任何目标资源”。

  7. 在“包括”选项卡下,选择“选择”下的“选择应用>”,然后选择“”。

  8. “选择 ”窗格中,根据尝试保护的资源搜索并选择以下应用:

    • Windows 365 (应用 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5) 。 还可以搜索“云”来查找此应用。 检索用户的资源列表以及用户在云电脑上启动操作(例如重启)时使用此应用。
    • Azure 虚拟桌面 (应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07) 。 此应用也可能显示为 Windows 虚拟桌面。 此应用用于在连接期间以及客户端向服务发送诊断信息时向 Azure 虚拟桌面网关进行身份验证。
    • Microsoft 远程桌面 (应用 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) 和 Windows Cloud 登录 (应用 ID 270efc09-cd0d-444b-a71f-39af4910ec45) 。 仅当在预配策略中 配置单一登录 时,才需要这些应用。 这些应用用于对云电脑的用户进行身份验证。

    建议在这些应用之间匹配条件访问策略。 这可确保策略适用于云电脑最终用户门户、与网关的连接和云电脑,以便获得一致的体验。 如果要排除应用,还必须选择所有这些应用。

    重要

    启用 SSO 后,对云电脑的身份验证现在使用 Microsoft 远程桌面 Entra ID 应用。 即将进行的更改会将身份验证转换为 Windows 云登录 Entra ID 应用。 为确保平稳转换,需要将两个 Entra ID 应用添加到 CA 策略。

    注意

    如果在配置条件访问策略时看不到 Windows Cloud Login 应用,请使用以下步骤创建应用。 必须对订阅具有“所有者”或“参与者”权限才能进行以下更改:

    1. 登录到 Azure 门户
    2. 从 Azure 服务列表中选择 “订阅 ”。
    3. 选择订阅名称。
    4. 选择“ 资源提供程序 ”,然后选择“ Microsoft.DesktopVirtualization”。
    5. 选择顶部的“ 注册 ”。

    注册资源提供程序后,选择要应用策略的应用时,Windows 云登录应用将显示在条件访问策略配置中。 如果未使用 Azure 虚拟桌面,可以在 Windows 云登录应用可用后注销 Microsoft.DesktopVirtualization 资源提供程序。

  9. 如果要微调策略,请在“授予”下选择“0 个控件”。

  10. 在“授予”窗格中,选择要应用于分配给此策略>的所有对象的“选择”的授予或阻止访问选项。

  11. 如果要先测试策略,请在 “启用策略”下选择“ 仅报告”。 如果将其设置为“开启”,则将在创建策略后立即应用

  12. 选择“创建”以创建策略。

可以在条件访问 UI 的“策略”视图中查看活动和非活动策略的列表

配置登录频率

登录频率策略允许设置用户在访问基于Microsoft Entra的资源时必须再次证明其身份的时间段。 这有助于保护环境,并且对于个人设备尤其重要,因为本地 OS 可能不需要 MFA,或者无法在非活动后自动锁定。

登录频率策略会导致基于所选Microsoft Entra应用的不同行为:

应用名称 应用程序 ID 行为
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 当用户检索其云电脑列表以及用户在其云电脑上启动操作(例如重启)时,强制实施重新身份验证。
Azure 虚拟桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 当用户在连接期间向 Azure 虚拟桌面网关进行身份验证时,强制实施重新身份验证。
Microsoft 远程桌面

Windows Cloud 登录		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 启用 单一登录 后,当用户登录到云电脑时强制重新身份验证。

应同时配置这两个应用,因为客户端将很快从使用 Microsoft 远程桌面 应用切换到 Windows 云登录应用,以向云电脑进行身份验证。

配置要求用户重新登录的时间段:

  1. 打开之前创建的策略。
  2. 在“ 会话”下,选择 所选的 0 个控件
  3. 在“ 会话 ”窗格中,选择“ 登录频率”。
  4. 选择“ 定期重新身份验证 ”或“ 每次”。
    • 如果选择“定期重新身份验证”,请设置要求用户重新>登录的时间段的值。选择。 例如,将值设置为 1 ,将单位设置为 “小时”,如果连接在最后一个连接之后启动超过一小时,则需要进行多重身份验证。
    • “每次”选项目前以公共预览版提供,仅在为云电脑启用单一登录后应用于 Microsoft 远程桌面Windows 云登录应用时才受支持。 如果选择“每次”,系统会提示用户在上次对 Microsoft 远程桌面 和 Windows 云登录应用进行身份验证后的 10 到 15 分钟后重新进行身份验证。
  5. 在页面底部,选择“ 保存”。

注意

  • 仅当用户必须对资源进行身份验证时,才会发生重新身份验证。 建立连接后,即使连接持续时间超过配置的登录频率,也不会提示用户。
  • 如果网络中断导致在登录频率后重新建立会话,用户必须重新进行身份验证。 这可能会导致不稳定网络上出现更频繁的身份验证请求。

后续步骤

管理 RDP 设备重定向