使用條件式存取針對 Azure 虛擬桌面強制執行 Microsoft Entra 多重要素驗證

重要

如果您是從 Azure 虛擬桌面 (傳統) 文件瀏覽此頁面，請務必在完成之後返回 Azure 虛擬桌面 (傳統) 文件。

使用者可以使用不同的裝置和用戶端，從任何地方登入 Azure 虛擬桌面。 但您應該採取某些措施來協助保護環境和使用者的安全。 將 Microsoft Entra 多重要素驗證 (MFA) 與 Azure 虛擬桌面搭配使用，在登入程序中也會提示使用者提供除使用者名稱和密碼以外的身分驗證形式。 您可以使用條件式存取為 Azure 虛擬桌面強制執行 MFA，也可以設定要將其套用至 web 用戶端、行動應用程式、桌面用戶端，還是所有用戶端。

當使用者連線到遠端工作階段時，他們需要向 Azure 虛擬桌面服務和工作階段主機進行驗證。 如果已啟用 MFA，則會在連線到 Azure 虛擬桌面服務，且系統會提示使用者輸入其使用者帳戶和第二個驗證形式時使用，如同存取其他服務的方式。 當使用者啟動遠端會話時，會話主機需要使用者名稱和密碼，但如果已啟用單一登錄（SSO），使用者就會順暢完成此作業。 如需詳細資訊，請參閱驗證方法。

系統提示使用者重新驗證的頻率，取決於 Microsoft Entra 工作階段存留期組態設定。 例如，如果其 Windows 用戶端裝置已向 Microsoft Entra ID 註冊，則會接收主要重新整理令牌 （PRT），以用於跨應用程式的單一登錄 （SSO）。 PRT 在發出之後的有效時間為 14 天，而且只要使用者積極使用裝置，PRT 就會持續更新。

雖然記住認證極為方便，但也會讓企業案例或個人裝置上的部署變得較不安全。 為了保護您的使用者，您可以確保用戶端會更頻繁地要求 Microsoft Entra 多重要素驗證認證。 您可以使用條件式存取來設定此行為。

瞭解如何針對 Azure 虛擬桌面強制執行 MFA，並在下列各節中選擇性地設定登入頻率。

必要條件

以下是您開始使用所需的專案：

• 將包含 Microsoft Entra ID P1 或 P2 的授權指派給使用者。
• Microsoft Entra 群組，其中將您的 Azure 虛擬桌面使用者指派為群組成員。
• 啟用Microsoft Entra 多重要素驗證。

建立條件式存取原則

以下說明如何建立條件式存取原則，而此條件式存取原則在連線至 Azure 虛擬桌面時需要多重要素驗證：

1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分登入 Azure 入口網站。

2. 在搜尋列中，輸入 Microsoft Entra 條件式存取，然後選取相符的服務項目。

3. 從概觀，選取 [建立新原則]。

4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

5. 在 [指派] > [使用者] 底下，選取 [已選取 0 個使用者和群組]。

6. 在 [包含] 索引標籤底下，選取 [選取使用者和群組]，勾選 [使用者和群組]，然後在 [選取] 底下選取 [已選取 0 個使用者和群組]。

7. 在開啟的新窗格中，搜尋並選擇包含 Azure 虛擬桌面使用者的群組作為群組成員，然後選取 [選取]。

8. 在 [指派] > [目標資源] 底下，選取 [未選取目標資源]。

9. 在 [包含] 索引標籤底下，選取 [選取應用程式]，然後在 [選取] 底下選取 [無]。

10. 在開啟的新窗格中，根據您嘗試保護的資源，搜尋並選取必要的應用程式。 選取案例相關的索引標籤。 在 Azure 上搜尋應用程式名稱時，請依序使用開頭為應用程式名稱的搜尋字詞，而不是應用程式名稱包含順序不一的關鍵字。 例如，當您想要使用 Azure 虛擬桌面時，必須依該順序輸入「Azure 虛擬」。 如果您自行輸入「虛擬」，搜尋不會傳回所需的應用程式。

    Azure 虛擬桌面

    針對 Azure 虛擬桌面（以 Azure Resource Manager 為基礎），您可以在下列不同的應用程式上設定 MFA：

    • Azure 虛擬桌面 (應用程式識別碼 9cdead84-a844-4324-93f2-b2e6bb768d07)，適用於使用者訂閱 Azure 虛擬桌面、在連線期間向 Azure 虛擬桌面閘道進行驗證，以及診斷資訊從使用者的本機裝置傳送至服務的情況。

      提示

      應用程式名稱先前是 Windows 虛擬桌面。 如果您在顯示名稱變更之前註冊了 Microsoft.DesktopVirtualization 資源提供者，應用程式將會以與 Azure 虛擬桌面相同的應用程式識別碼命名為 Windows 虛擬桌面。

      • Microsoft 遠端桌面 (應用程式識別碼 a4a365df-50f1-4397-bc59-1a1564b8bb9c) 和 Windows Cloud Login (應用程式識別碼 270efc09-cd0d-444b-a71f-39af4910ec45)。 當使用者在啟用單一登入的情況下，向工作階段主機進行驗證時便適用。 建議您比對這些應用程式和 Azure 虛擬桌面應用程式之間的條件式存取原則，但登入頻率除外。

      重要

      用來存取 Azure 虛擬桌面的用戶端會使用 Microsoft 遠端桌面 Entra ID 應用程式，立即向工作階段主機進行驗證。 即將進行的變更會將驗證轉換為 Windows Cloud Login Entra ID 應用程式。 若要確保順利轉換，您必須將這兩個 Entra ID 應用程式新增至 CA 原則。

    重要

    請勿選取名為 Azure 虛擬桌面 Azure Resource Manager 提供者的應用程式 (應用程式識別碼 50e95039-b200-4007-bc97-8d5790743a63)。 此應用程式僅用於擷取使用者摘要，不應有多重要素驗證。

    Azure 虛擬桌面（傳統版）

    針對 Azure 虛擬桌面（傳統版），您可以在下列應用程式上設定 MFA：

    • Windows 虛擬桌面 (應用程式識別碼 5a0aa725-4958-4b0c-80a9-34562e23f3b7)。

    • Windows 虛擬桌面用戶端 （應用程式標識符 fa4345a4-a730-4230-84a8-7d9651b86739），可讓您在 Web 用戶端上設定原則。

    • Azure 虛擬桌面/Windows 虛擬桌面 （應用程式標識碼 9cdead84-a844-4324-93f2-b2e6bb768d07）。 未新增此應用程式識別碼會封鎖 Azure 虛擬桌面 （傳統） 資源的摘要探索。

    重要

    請勿選取名為 Azure 虛擬桌面 Azure Resource Manager 提供者的應用程式 (應用程式識別碼 50e95039-b200-4007-bc97-8d5790743a63)。 此應用程式僅用於擷取使用者摘要，不應有多重要素驗證。

11. 選取您的應用程式之後，請選取 [ 選取]。

    

12. 在 [指派] > [條件] 底下，選取 [已選取 0 個條件]。

13. 在 [用戶端應用程式] 底下，選取 [未設定]。

14. 在開啟的新窗格中，針對 [設定] 選取 [ 是]。

15. 選取此原則適用的用戶端應用程式：

    • 如果您想要將原則套用至 Web 用戶端，則請選取 [瀏覽器]。
    • 如果您想要將原則套用至其他用戶端，則請選取 [行動應用程式和桌面用戶端]。
    • 如果您想要將原則套用至所有用戶端，則請選取這兩個核取方塊。
    • 取消選取舊版驗證用戶端的值。

    

16. 選取此原則適用的用戶端應用程式之後，請選取 [ 完成]。

17. 在 [存取控制] > [授與] 底下，選取 [已選取 0 個控制項]

18. 在開啟的新窗格中，選取 [授與存取權]。

19. 勾選 [需要多重要素驗證]，然後選取 [選取]。

20. 在頁面底部，將 [啟用原則] 設定為 [開啟]，然後選取 [建立]。

注意

當您使用 Web 用戶端透過瀏覽器登入 Azure 虛擬桌面時，記錄檔會將用戶端應用程式識別碼列為 a85cf173-4192-42f8-81fa-777a763e6e2c (Azure 虛擬桌面用戶端)。 這是因為用戶端應用程式會在內部連結至設定條件式存取原則的伺服器應用程式識別碼。

提示

如果正在使用的 Windows 裝置尚未向 Microsoft Entra ID 註冊，某些使用者可能會看到標題為保持登入所有應用程式的提示。 如果他們取消選取 [允許我的組織管理我的裝置]，然後選取 [否，請只登入此應用程式]，系統可能會提示他們更頻繁地進行驗證。

設定登入頻率

登入頻率原則可讓您設定使用者存取Microsoft Entra 型資源時，必須再次證明其身分識別的時間週期。 這有助於保護您的環境，對於個人裝置而言，本機 OS 可能不需要 MFA，或無法在閑置後自動鎖定。

登入頻率原則會根據選取的 Microsoft Entra 應用程式，產生不同的行為：

應用程式名稱	應用程式識別碼	行為
Azure 虛擬桌面	9cdead84-a844-4324-93f2-b2e6bb768d07	當使用者訂閱 Azure 虛擬桌面時，強制執行重新驗證、手動重新整理其資源清單，並在連線期間向 Azure 虛擬桌面閘道進行驗證。 重新驗證期間結束后，背景摘要重新整理和診斷上傳會以無訊息方式失敗，直到使用者完成下一個互動式登入至 Microsoft Entra 為止。
Microsoft 遠端桌面 Windows Cloud 登入	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	啟用單一登錄時，當使用者登入會話主機時，強制執行重新驗證。 這兩個應用程式都應該一起設定，因為 Azure 虛擬桌面用戶端很快就會從使用 Microsoft 遠端桌面 應用程式切換到 Windows Cloud 登入應用程式，向會話主機進行驗證。

若要設定使用者再次登入的時間週期：

1. 開啟您先前建立的原則。
2. 在 [存取控制] > [工作階段] 底下，選取 [已選取 0 個控制項]。
3. 在 [工作階段] 窗格中，選取 [登入頻率]。
4. 選取 [ 定期重新驗證 ] 或 [每次]。
   • 如果您選取 [定期重新驗證]，請設定一段時間后要求使用者再次登入的值，然後選取 [選取]。 例如，將值設定為 1 ，並將單位設定為 小時，如果在最後一個連接之後啟動一個多小時之後，則需要多重要素驗證。
   • [每次] 選項目前可在預覽中提供，且只有在為您的主機集區啟用單一登錄時，才支援套用至 Microsoft 遠端桌面 和 Windows Cloud Login 應用程式。 如果您選取 [每次]，系統會在使用者上次驗證 Microsoft 遠端桌面 和 Windows Cloud Login 應用程式之後，於 5 到 15 分鐘之後，提示使用者重新驗證。
5. 在頁面底部，選取 [ 儲存]。

注意

• 只有在用戶必須向資源進行驗證時，才會進行重新驗證。 建立連線之後，即使連線持續的時間超過您設定的登入頻率，也不會提示使用者。
• 如果用戶在設定登入頻率之後強制重新建立會話的網路中斷，用戶就必須重新驗證。 這可能會導致不穩定網路上的驗證要求更頻繁。

已加入 Microsoft Entra 的工作階段主機 VM

若要讓連線成功，您必須停用舊版的每一使用者多重要素驗證登入方法。 如果您不想限制登入強式驗證方法，例如 Windows Hello 企業版，您需要從條件式存取原則中排除 Azure Windows VM 登入應用程式。

下一步

• 深入了解條件式存取原則
• 深入了解使用者登入頻率