多重身份验证(MFA)通过要求用户通过多种身份验证方法验证其身份,增强了远程桌面服务(RDS)的安全性。 这增加了一层保护有助于保护敏感资源,并降低未经授权的访问风险。 本文概述了将 MFA 与 RDS 集成的用户体验、体系结构组件和安全优势,以及部署的规划注意事项。
用户体验
对于连接到桌面和应用程序的最终用户,其体验类似于他们在执行第二项身份验证措施以连接到所需资源时的体验: 此过程通常涉及:
启动桌面或 RemoteApp 应用程序。
连接到 RD 网关以进行安全的远程访问时,收到移动应用程序 MFA 质询。
正确进行身份验证并连接到其资源。
体系结构组件
RDS 可以与 Windows Server 中的网络策略服务器及其 Microsoft Entra ID 的扩展集成。 典型的 RDS MFA 实现包括:
- RD 网关:充当远程连接的入口点。
- 网络策略服务器(NPS):处理身份验证请求并强制实施策略。
- Microsoft Entra ID:提供基于云的 MFA 服务。
- NPS 扩展:使用基于云的 MFA 桥接本地 NPS。
有关详细信息,请参阅 通过使用网络策略服务器(NPS)扩展和 Microsoft Entra ID 集成您的远程桌面网关基础结构。
规划 MFA 部署时,应考虑以下组件:
- 用户注册:规划用户如何注册其 MFA 方法。
- 备份身份验证:为丢失主设备的用户配置替代方法。
- 条件访问:考虑实施基于位置的策略或基于设备的策略。
- 网络要求:确保防火墙规则允许与 MFA 服务终结点通信。
安全优势
使用远程桌面服务实现 MFA 可提供:
- 降低漏洞风险:即使密码遭到入侵,额外验证也会阻止未经授权的访问。
- 合规性支持:有助于满足安全远程访问的法规要求。
- 集中管理:跨云和本地资源的统一 MFA 策略。
- 审核功能:详细记录使用的身份验证尝试和方法。