设置条件访问策略

条件访问通过在授予对内容的访问权限之前满足某些条件来保护系统中受管控的内容。 最简单的条件访问策略是 if-then 语句。 如果用户想要访问资源，那么他们必须完成某项操作。 例如，工资单经理想要访问工资单应用程序，并且需要执行多重身份验证 (MFA) 执行此作。

使用条件访问可以实现两个主要目标：

• 使用户能够随时随地高效工作。
• 保护组织的资产。

通过使用条件访问策略，你可根据需要应用正确的访问控制，以确保组织的安全，并随时避免使用用户的方式。

提示用户重新进行身份验证的频率取决于Microsoft Entra条件访问自适应会话生存期策略。 虽然记住凭据很方便，但它也会降低使用个人设备的企业方案的部署的安全性。 若要保护用户，可以确保客户端更频繁地请求Microsoft Entra多重身份验证凭据。 可以使用条件访问登录频率来配置此行为。

为云电脑分配条件访问策略

默认情况下，不会为租户设置条件访问策略。 可以使用以下任一平台将 CA 策略定向到云电脑第一方应用：

• Azure。 有关详细信息，请参阅Microsoft Entra条件访问。
• Microsoft Intune。 以下步骤说明了此过程。 有关详细信息，请参阅了解条件访问和 Intune。

无论使用哪种方法，这些策略都将在云电脑最终用户门户和与云电脑的连接上强制实施。

1. 登录到Microsoft Intune管理中心，选择“终结点安全性>条件访问>”“创建新策略”。

2. 提供特定条件访问策略的“名称”。

3. 在“用户”下，选择“0 个用户和组”。

4. 在“包括”选项卡下，选择“选择用户和组>”检查“用户和组>”下选择“选择0 个用户和组”。

5. 在打开的新窗格中，搜索并选择要使用 CA 策略作为目标的特定用户或组，然后选择 “选择”。

6. 在“ 目标资源”下，选择“ 未选择任何目标资源”。

7. 在“包括”选项卡下，选择“选择”下的“选择应用>”，然后选择“无”。

8. 在 “选择 ”窗格中，根据尝试保护的资源搜索并选择以下应用：

   • Windows 365 (应用 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5) 。 还可以搜索“云”来查找此应用。 检索用户的资源列表以及用户在云电脑上启动作（例如重启）时使用此应用。
   • Azure 虚拟桌面 (应用 ID 9cdead84-a844-4324-93f2-b2e6bb768d07) 。 此应用也可能显示为 Windows 虚拟桌面。 此应用用于在连接期间以及客户端向服务发送诊断信息时向 Azure 虚拟桌面网关进行身份验证。
   • Microsoft 远程桌面 (应用 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) 和 Windows Cloud 登录 (应用 ID 270efc09-cd0d-444b-a71f-39af4910ec45) 。 仅当在预配策略中 配置单一登录 时，才需要这些应用。 这些应用用于对云电脑的用户进行身份验证。

   建议在这些应用之间匹配条件访问策略。 匹配可确保策略适用于云电脑最终用户门户、与网关的连接和云电脑，以便获得一致的体验。 如果要排除应用，还必须选择所有这些应用。

   重要

   启用单一登录 (SSO) 后，对云电脑的身份验证现在使用 Microsoft 远程桌面 Entra ID 应用。 即将进行的更改会将身份验证转换为 Windows 云登录Entra ID应用。 为确保平稳过渡，需要将两个Entra ID应用添加到 CA 策略。

   注意

   如果在配置条件访问策略时看不到 Windows Cloud 登录应用，请使用以下步骤创建应用。 必须对订阅具有“所有者”或“参与者”权限才能进行以下更改：

   1. 登录到Azure 门户。
   2. 从 Azure 服务列表中选择 “订阅 ”。
   3. 选择订阅名称。
   4. 选择“ 资源提供程序 ”，然后选择“ Microsoft.DesktopVirtualization”。
   5. 选择顶部的“ 注册 ”。

   注册资源提供程序后，当选择要应用策略的应用时，Windows 云登录应用将显示在条件访问策略配置中。 如果不使用 Azure 虚拟桌面，可以在 Windows 云登录应用可用后注销 Microsoft.DesktopVirtualization 资源提供程序。

9. 如果要微调策略，请在“授予”下选择“0 个控件”。

10. 在“授予”窗格中，选择要应用于分配给此策略>的所有对象的“选择”的授予或阻止访问选项。

11. 如果要先测试策略，请在 “启用策略”下选择“ 仅报告”。 如果将其设置为 “开”，则会在创建策略后立即应用该策略。

12. 选择“创建”以创建策略。

可以在条件访问 UI 的“策略”视图中查看活动和非活动策略的列表。

配置登录频率

登录频率策略允许配置用户在访问基于Microsoft Entra的资源时需要登录的频率。 此配置有助于保护环境的安全，对于个人设备尤其重要，因为本地 OS 可能不需要 MFA，也可能在处于非活动状态后自动锁定。 仅在访问资源时从 Microsoft Entra ID 请求新的访问令牌时，才会提示用户进行身份验证。

登录频率策略会导致基于所选Microsoft Entra应用的不同行为：

应用名称	应用程序 ID	行为
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	当用户检索其云电脑列表以及用户在其云电脑上启动作（例如重启）时强制重新进行身份验证。
Azure 虚拟桌面	9cdead84-a844-4324-93f2-b2e6bb768d07	当用户在连接期间向 Azure 虚拟桌面网关进行身份验证时，强制重新进行身份验证。
Microsoft 远程桌面 Windows Cloud 登录	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	启用 单一登录 后，当用户登录到云电脑时强制重新进行身份验证。 应同时配置这两个应用，因为客户端将很快从使用 Microsoft 远程桌面 应用切换到 Windows 云登录应用，以向云电脑进行身份验证。

配置要求用户重新登录的时间段：

1. 打开之前创建的策略。
2. 在“ 会话”下，选择 所选的 0 个控件。
3. 在“ 会话 ”窗格中，选择“ 登录频率”。
4. 选择“ 定期重新身份验证 ”或“ 每次”。
   • 如果选择“ 定期重新身份验证”，请设置在执行需要新访问令牌的作时要求用户重新登录的时间段的值，然后选择“ 选择”。 例如，如果将值设置为 1 ，并将单位设置为 “小时”，则如果在上次用户身份验证后启动连接超过一小时，则需要多重身份验证。
   • 仅当为云电脑启用单一登录时，才支持“每次”选项应用于 Microsoft 远程桌面 和 Windows 云登录应用。 如果选择“ 每次”，则自上次身份验证以来的 5 到 10 分钟后启动新连接时，系统会提示用户重新进行身份验证。
5. 在页面底部，选择“ 保存”。

注意

• 仅当用户必须对资源进行身份验证并且需要新的访问令牌时，才会发生重新身份验证。 建立连接后，即使连接持续时间超过配置的登录频率，也不会提示用户。
• 如果网络中断导致在配置的登录频率之后重新建立会话，则用户必须重新进行身份验证。 这种重新身份验证可能会导致不稳定网络上出现更频繁的身份验证请求。

后续步骤

管理 RDP 设备重定向