使用條件式存取針對 Azure 虛擬桌面強制執行 Microsoft Entra 多重要素驗證

重要

如果您是從 Azure 虛擬桌面 (傳統) 文件瀏覽此頁面，請務必在完成之後返回 Azure 虛擬桌面 (傳統) 文件。

使用者可以使用不同的裝置和用戶端，從任何地方登入 Azure 虛擬桌面。 但您應該採取某些措施來協助保護環境和使用者的安全。 將 Microsoft Entra 多重要素驗證 (MFA) 與 Azure 虛擬桌面搭配使用，在登入程序中也會提示使用者提供除使用者名稱和密碼以外的身分驗證形式。 您可以使用條件式存取為 Azure 虛擬桌面強制執行 MFA，也可以設定要將其套用至 web 用戶端、行動應用程式、桌面用戶端，還是所有用戶端。

當使用者連線到遠端工作階段時，他們需要向 Azure 虛擬桌面服務和工作階段主機進行驗證。 如果已啟用 MFA，則會在連線到 Azure 虛擬桌面服務，且系統會提示使用者輸入其使用者帳戶和第二個驗證形式時使用，如同存取其他服務的方式。 當使用者啟動遠端工作階段時，工作階段主機需要使用者名稱和密碼，但如果已啟用單一登入 (SSO)，使用者就可無縫完成此作業。 如需詳細資訊，請參閱驗證方法。

系統提示使用者重新驗證的頻率，取決於 Microsoft Entra 工作階段存留期組態設定。 例如，如果他們的 Windows 用戶端裝置已向 Microsoft Entra ID 註冊，就會收到主要重新整理權杖 (PRT)，可跨應用程式使用單一登入 (SSO)。 PRT 在發出之後的有效時間為 14 天，而且只要使用者積極使用裝置，PRT 就會持續更新。

雖然記住認證極為方便，但也會讓企業案例或個人裝置上的部署變得較不安全。 為了保護您的使用者，您可以確保用戶端會更頻繁地要求 Microsoft Entra 多重要素驗證認證。 您可以使用條件式存取來設定此行為。

了解如何為 Azure 虛擬桌面強制執行 MFA，並在下列各章節中選擇性地設定登入頻率。

必要條件

若要開始，您需要：

• 將包含 Microsoft Entra ID P1 或 P2 的授權指派給使用者。
• Microsoft Entra 群組，其中將您的 Azure 虛擬桌面使用者指派為群組成員。
• 啟用 Microsoft Entra 多重要素驗證。

建立條件式存取原則

以下說明如何建立條件式存取原則，而此條件式存取原則在連線至 Azure 虛擬桌面時需要多重要素驗證：

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [保護] > [條件式存取] > [原則]。

3. 選取 [新增原則]。

4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

5. 在 [指派] > [使用者] 底下，選取 [已選取 0 個使用者和群組]。

6. 在 [包含] 索引標籤底下，選取 [選取使用者和群組]，勾選 [使用者和群組]，然後在 [選取] 底下選取 [已選取 0 個使用者和群組]。

7. 在開啟的新窗格中，搜尋並選擇包含 Azure 虛擬桌面使用者的群組作為群組成員，然後選取 [選取]。

8. 在 [指派] > [目標資源] 底下，選取 [未選取目標資源]。

9. 在 [包含] 索引標籤底下，選取 [選取應用程式]，然後在 [選取] 底下選取 [無]。

10. 在開啟的新窗格中，根據您嘗試保護的資源，搜尋並選取必要的應用程式。 選取案例相關的索引標籤。 在 Azure 上搜尋應用程式名稱時，請依序使用開頭為應用程式名稱的搜尋字詞，而不是應用程式名稱包含順序不一的關鍵字。 例如，當您想要使用 Azure 虛擬桌面時，必須依該順序輸入『Azure Virtual』。 如果您僅輸入『virtual』，搜尋不會傳回所需的應用程式。

    Azure 虛擬桌面

    如果您使用的是以 Azure Resource Manager 為基礎的 Azure 虛擬桌面，可以在兩個不同應用程式上設定 MFA：

    • Azure 虛擬桌面 (應用程式識別碼 9cdead84-a844-4324-93f2-b2e6bb768d07)，適用於使用者訂閱 Azure 虛擬桌面、在連線期間向 Azure 虛擬桌面閘道進行驗證，以及診斷資訊從使用者的本機裝置傳送至服務的情況。

      提示

      應用程式名稱先前是 Windows 虛擬桌面。 如果您在變更顯示名稱前先註冊了 Microsoft.DesktopVirtualization 資源提供者，則會將應用程式命名為 Windows 虛擬桌面，且應用程式識別碼與 Azure 虛擬桌面相同。

      • Microsoft 遠端桌面 (應用程式識別碼 a4a365df-50f1-4397-bc59-1a1564b8bb9c) 和 Windows Cloud Login (應用程式識別碼 270efc09-cd0d-444b-a71f-39af4910ec45)。 當使用者在啟用單一登入的情況下，向工作階段主機進行驗證時便適用。 建議您比對這些應用程式和 Azure 虛擬桌面應用程式之間的條件式存取原則，但登入頻率除外。

      重要

      用來存取 Azure 虛擬桌面的用戶端會使用 Microsoft 遠端桌面 Entra ID 應用程式，立即向工作階段主機進行驗證。 即將進行的變更會將驗證轉換為 Windows Cloud Login Entra ID 應用程式。 若要確保順利轉換，您必須將這兩個 Entra ID 應用程式新增至 CA 原則。

    重要

    請勿選取名為 Azure 虛擬桌面 Azure Resource Manager 提供者的應用程式 (應用程式識別碼 50e95039-b200-4007-bc97-8d5790743a63)。 此應用程式僅用於擷取使用者摘要，不應有多重要素驗證。

    Azure 虛擬桌面 (傳統)

    針對 Azure 虛擬桌面 (傳統)，您可以在下列應用程式上設定 MFA：

    • Windows 虛擬桌面 (應用程式識別碼 5a0aa725-4958-4b0c-80a9-34562e23f3b7)。

    • Windows 虛擬桌面用戶端 (應用程式識別碼 fa4345a4-a730-4230-84a8-7d9651b86739)，可讓您在 Web 用戶端設定原則。

    • Azure 虛擬桌面/Windows 虛擬桌面 (應用程式識別碼 9cdead84-a844-4324-93f2-b2e6bb768d07)。 未新增此應用程式識別碼會封鎖 Azure 虛擬桌面 (傳統) 資源的摘要探索。

    重要

    請勿選取名為 Azure 虛擬桌面 Azure Resource Manager 提供者的應用程式 (應用程式識別碼 50e95039-b200-4007-bc97-8d5790743a63)。 此應用程式僅用於擷取使用者摘要，不應有多重要素驗證。

11. 選取應用程式之後，選取 [選取]。

    

12. 在 [指派] > [條件] 底下，選取 [已選取 0 個條件]。

13. 在 [用戶端應用程式] 底下，選取 [未設定]。

14. 在開啟的新窗格中，針對 [設定] 選取 [是]。

15. 選取將套用此原則的用戶端應用程式：

    • 如果您想要將原則套用至 Web 用戶端，則請選取 [瀏覽器]。
    • 如果您想要將原則套用至其他用戶端，則請選取 [行動應用程式和桌面用戶端]。
    • 如果您想要將原則套用至所有用戶端，則請選取這兩個核取方塊。
    • 取消選取舊版驗證用戶端的值。

    

16. 選取要套用此原則的用戶端應用程式之後，選取 [完成]。

17. 在 [存取控制] > [授與] 底下，選取 [已選取 0 個控制項]

18. 在開啟的新窗格中，選取 [授與存取權]。

19. 勾選 [需要多重要素驗證]，然後選取 [選取]。

20. 在頁面底部，將 [啟用原則] 設定為 [開啟]，然後選取 [建立]。

注意

當您使用 Web 用戶端透過瀏覽器登入 Azure 虛擬桌面時，記錄檔會將用戶端應用程式識別碼列為 a85cf173-4192-42f8-81fa-777a763e6e2c (Azure 虛擬桌面用戶端)。 這是因為用戶端應用程式會在內部連結至設定條件式存取原則的伺服器應用程式識別碼。

提示

如果正在使用的 Windows 裝置尚未向 Microsoft Entra ID 註冊，某些使用者可能會看到標題為保持登入所有應用程式的提示。 如果他們取消選取 [允許我的組織管理我的裝置]，然後選取 [否，請只登入此應用程式]，系統可能會提示他們更頻繁地進行驗證。

設定登入頻率

登入頻率原則可讓您設定存取以 Microsoft Entra 為基礎的資源時，使用者登入的頻率。 這有助於保護您的環境，對於個人裝置而言，本機 OS 可能不需要 MFA，或無法在閑置後自動鎖定。 只有在存取資源時從 Microsoft Entra ID 要求新的存取權杖時，系統才會提示使用者進行驗證。

登入頻率原則會根據選取的 Microsoft Entra 應用程式，產生不同的行為：

應用程式名稱	應用程式識別碼	行為
Azure 虛擬桌面	9cdead84-a844-4324-93f2-b2e6bb768d07	當使用者訂閱 Azure 虛擬桌面時強制執行重新驗證，手動重新整理其資源清單，並在連線期間向 Azure 虛擬桌面閘道進行驗證。 重新驗證期間結束之後，背景摘要重新整理和診斷上傳會以無訊息方式失敗，直到使用者完成其下一個互動式登入至 Microsoft Entra 為止。
Microsoft 遠端桌面 Windows 雲端登入	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	當使用者在啟用單一登入時登入工作階段主機時，強制重新驗證。 這兩個應用程式應該一起設定，因為 Azure 虛擬桌面用戶端很快就會從使用 Microsoft 遠端桌面應用程式切換到 Windows 雲端登入應用程式，以向工作階段主機進行驗證。

若要設定要求使用者再次登入前的時間長度：

1. 開啟您先前建立的原則。
2. 在 [存取控制] > [工作階段] 底下，選取 [已選取 0 個控制項]。
3. 在 [工作階段] 窗格中，選取 [登入頻率]。
4. 選取 [定期重新驗證] 或 [每一次]。
   • 如果您選取 [定期重新驗證]，請在執行需要新存取權杖的動作時，設定要求使用者再次登入前的時間長度，然後選取 [選取]。 例如，將值設定為 [1]，並將單位設定為 [小時]，這會在距離前一次使用者驗證超過一小時才啟動連線時，要求進行多重要素驗證。
   • [每一次] 選項目前可供預覽，且只有在針對主機集區啟用單一登錄時套用至 Microsoft 遠端桌面和 Windows 雲端登入應用程式時才受支援。 如果您選取 [每一次]，當使用者在上一次驗證後的 5 到 10 分鐘後才啟動新連線時，系統會提示使用者重新驗證。
5. 在頁面底部選取 [儲存]。

注意

• 只有在使用者必須向資源進行驗證，而且需要新的存取權杖時，才會進行重新驗證。 建立連線之後，即使連線持續的時間超過您設定的登入頻率，也不會提示使用者。
• 如果網路中斷迫使工作階段在您設定的登入頻率之後重新建立，使用者就必須重新驗證。 在不穩定的網路上，這可能會導致驗證要求更頻繁。

已加入 Microsoft Entra 的工作階段主機 VM

若要讓連線成功，您必須停用舊版的每一使用者多重要素驗證登入方法。 如果您不想將登入限制為增強式驗證方法 (例如 Windows Hello 企業版)，您必須從條件式存取原則中排除 Azure Windows VM 登入應用程式。

下一步

• 深入了解條件式存取原則
• 深入了解使用者登入頻率