ユーザーは、さまざまなデバイスとクライアントを使用してどこからでも Azure Virtual Desktop にサインインできます。 ただし、環境とユーザーを安全に保つために必要な特定の対策があります。 Azure Virtual Desktop Microsoft Entra多要素認証 (MFA) を使用すると、サインイン プロセス中に、ユーザー名とパスワードに加えて別の形式の識別を求めるメッセージが表示されます。 条件付きアクセスを使用して Azure Virtual Desktop に MFA を適用したり、Web クライアント、モバイル アプリ、デスクトップ クライアント、またはすべてのクライアントに適用するかどうかを構成することもできます。
ユーザーがリモート セッションに接続するときは、Azure Virtual Desktop サービスとセッション ホストに対して認証を行う必要があります。 MFA が有効になっている場合は、Azure Virtual Desktop サービスに接続するときに使用され、他のサービスにアクセスする場合と同じ方法で、ユーザー アカウントと 2 番目の形式の認証を求められます。 ユーザーがリモート セッションを開始すると、セッション ホストにユーザー名とパスワードが必要になりますが、シングル サインオン (SSO) が有効になっている場合、これはユーザーにとってシームレスです。 詳細については、「 認証方法」を参照してください。
ユーザーが再認証を求められる頻度は、条件付きアクセス アダプティブ セッションの有効期間ポリシー Microsoft Entraによって異なります。 資格情報を覚えておくのは便利ですが、個人用デバイスを使用したデプロイの安全性を低くすることもできます。 ユーザーを保護するために、クライアントが多要素認証資格情報Microsoft Entra要求する頻度を高めることができます。 条件付きアクセス のサインイン頻度を使用して、この動作を構成できます。
Azure Virtual Desktop に MFA を適用し、必要に応じて次のセクションでサインイン頻度を構成する方法について説明します。
開始する必要がある内容を次に示します。
- P1 または P2 Microsoft Entra ID含むライセンスをユーザーに割り当てます。
- Azure Virtual Desktop ユーザーがグループ メンバーとして割り当てられているMicrosoft Entra グループ。
- 多要素認証Microsoft Entra有効にします。
Azure Virtual Desktop に接続するときに多要素認証を必要とする条件付きアクセス ポリシーを作成する方法を次に示します。
少なくとも条件付きアクセス管理者としてMicrosoft Entra 管理センターにサインインします。
[Protection>Conditional Access>Policies] を参照します。
[ 新しいポリシー] を選択します。
ポリシーに名前を付けます。 組織は、ポリシーの名前に意味のある標準を作成することをお勧めします。
[ 割り当て>ユーザー] で、 選択した 0 人のユーザーとグループを選択します。
[含める] タブで、[ユーザーとグループの選択] を選択し、[ユーザーとグループ] をチェックし、[選択] で [0 人のユーザーとグループを選択] を選択します。
開いた新しいウィンドウで、Azure Virtual Desktop ユーザーを含むグループをグループ メンバーとして検索して選択し、[選択] を 選択します。
[ 割り当て>ターゲット リソース] で、[ ターゲット リソースが選択されていない] を選択します。
ドロップダウン リストで 、このポリシーが適用される対象を選択します。既定の [リソース (旧称クラウド アプリ)] のままにします。 [ 含める ] タブで[ リソースの選択] を選択し、[ 選択] で [なし] を選択 します。
開いた新しいウィンドウで、保護しようとしているリソースに基づいて必要なアプリを検索して選択します。 シナリオに関連するタブを選択します。 Azure でアプリケーション名を検索する場合は、アプリケーション名に順序が指定されていないキーワードではなく、アプリケーション名で始まる検索用語を使用します。 たとえば、Azure Virtual Desktop を使用する場合は、その順序で 「Azure Virtual」と入力する必要があります。 "virtual" を単独で入力した場合、検索では目的のアプリケーションは返されません。
Azure Virtual Desktop (Azure Resource Manager に基づく) の場合は、次のさまざまなアプリで MFA を構成できます。
Azure Virtual Desktop (アプリ ID
9cdead84-a844-4324-93f2-b2e6bb768d07) は、ユーザーが Azure Virtual Desktop をサブスクライブするとき、接続中に Azure Virtual Desktop Gateway に対して認証を行い、診断情報がユーザーのローカル デバイスからサービスに送信されるときに適用されます。ヒント
アプリ名は以前 Windows Virtual Desktop でした。 表示名が変更される前に Microsoft.DesktopVirtualization リソース プロバイダーを登録した場合、アプリケーションには Azure Virtual Desktop と同じアプリ ID の Windows Virtual Desktop という名前が付けられます。
Microsoft リモート デスクトップ (アプリ ID
a4a365df-50f1-4397-bc59-1a1564b8bb9c) と Windows Cloud Login (アプリ ID270efc09-cd0d-444b-a71f-39af4910ec45)。 これは、 シングル サインオン が有効になっているときにユーザーがセッション ホストに対して認証を行う場合に適用されます。 サインイン頻度を除き、これらのアプリと Azure Virtual Desktop アプリの間で条件付きアクセス ポリシーを一致することをお勧めします。重要
Azure Virtual Desktop にアクセスするために使用されるクライアントは、Microsoft リモート デスクトップ Entra ID アプリを使用して、現在セッション ホストに対して認証を行います。 今後の変更により、認証が Windows Cloud Login Entra ID アプリに移行されます。 スムーズに移行するには、両方のEntra ID アプリを CA ポリシーに追加する必要があります。
Azure Virtual Desktop Azure Resource Manager Provider (アプリ ID
50e95039-b200-4007-bc97-8d5790743a63) というアプリは選択しないでください。 このアプリは、ユーザー フィードの取得にのみ使用され、多要素認証を持つべきではありません。
アプリを選択したら、[選択] を 選択します。
![[条件付きアクセス クラウド アプリまたはアクション] ページのスクリーンショット。Azure Virtual Desktop アプリが表示されます。](media/cloud-apps-enterprise.png)
[ 割り当て>Conditions] で、[ 0 条件] を選択します。
[ クライアント アプリ] で、[ 未構成] を選択します。
開いた新しいウィンドウで、[ 構成] で [ はい] を選択します。
このポリシーが適用されるクライアント アプリを選択します。
- ポリシーを Web クライアントに適用する場合は、[ ブラウザー ] を選択します。
- 他のクライアントにポリシーを適用する場合は、[ モバイル アプリとデスクトップ クライアント] を選択します。
- ポリシーをすべてのクライアントに適用する場合は、両方のチェックボックスを選択します。
- レガシ認証クライアントの値の選択を解除します。
![[条件付きアクセス クライアント アプリ] ページのスクリーンショット。ユーザーは、モバイル アプリとデスクトップ クライアント、ブラウザー チェック ボックスを選択しました。](media/conditional-access-client-apps.png)
このポリシーが適用されるクライアント アプリを選択したら、[完了] を選択 します。
[ アクセス制御>Grant] で、 選択した 0 個のコントロールを選択します。
開いた新しいウィンドウで、[ アクセス権の付与] を選択します。
[ 多要素認証が必要] をオンにし、[選択] を 選択します。
ページの下部にある [ ポリシーの有効化] を [オン] に設定し、[ 作成] を選択します。
注意
Web クライアントを使用してブラウザーから Azure Virtual Desktop にサインインすると、ログにクライアント アプリ ID が a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop クライアント) として一覧表示されます。 これは、クライアント アプリが条件付きアクセス ポリシーが設定されたサーバー アプリ ID に内部的にリンクされているためです。
ヒント
使用している Windows デバイスがまだMicrosoft Entra IDに登録されていない場合、一部のユーザーには"すべてのアプリにサインインしたままにする" というタイトルのプロンプトが表示されることがあります。 [organizationにデバイスの管理を許可する] の選択を解除し、[いいえ]、[このアプリにのみサインインする] を選択すると、認証の頻度が高まる可能性があります。
サインイン頻度ポリシーを使用すると、Microsoft Entra ベースのリソースにアクセスするときにユーザーがサインインする必要がある頻度を構成できます。 これは、環境をセキュリティで保護するのに役立ち、ローカル OS で MFA が必要ない場合や、非アクティブの後に自動的にロックされない可能性がある個人用デバイスにとって特に重要です。 ユーザーは、リソースにアクセスするときに、Microsoft Entra IDから新しいアクセス トークンが要求された場合にのみ認証するように求められます。
サインイン頻度ポリシーでは、選択したMicrosoft Entra アプリに基づいて動作が異なります。
| アプリ名 | アプリ ID | 動作 |
|---|---|---|
| Azure 仮想デスクトップ | 9cdead84-a844-4324-93f2-b2e6bb768d07 | ユーザーが Azure Virtual Desktop をサブスクライブするときに再認証を適用し、リソースの一覧を手動で更新し、接続中に Azure Virtual Desktop Gateway に対して認証します。 再認証期間が終了すると、バックグラウンド フィードの更新と診断アップロードは、ユーザーが次の対話型サインインを完了するまで、サイレントモードで失敗Microsoft Entra。 |
|
Microsoft リモート デスクトップ Windows クラウド ログイン |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
シングル サインオンが有効になっているときにユーザーがセッション ホストにサインインするときに、再認証を適用します。 Azure Virtual Desktop クライアントは間もなく、Microsoft リモート デスクトップ アプリの使用から Windows Cloud Login アプリに切り替えてセッション ホストに対して認証するため、両方のアプリを一緒に構成する必要があります。 |
ユーザーが再度サインインするように求められる期間を構成するには:
- 前に作成したポリシーを開きます。
- [ アクセス制御>Session] で、 選択した 0 つのコントロールを選択します。
- [ セッション ] ウィンドウで、[ サインイン頻度] を選択します。
- [ 定期的な再認証] または [ 毎回] を選択します。
- [ 定期的な再認証] を選択した場合は、新しいアクセス トークンを必要とするアクションを実行するときにユーザーが再度サインインするように求められる期間の値を設定し、[ 選択] を選択します。 たとえば、値を 1 に設定し、単位を Hours に設定すると、最後のユーザー認証から 1 時間以上後に接続が起動された場合、多要素認証が必要になります。
- [毎回] オプションは、ホスト プールに対してシングル サインオンが有効になっている場合に、Microsoft リモート デスクトップ アプリと Windows Cloud Login アプリに適用された場合にのみサポートされます。 [ 毎回] を選択すると、最後の認証から 5 分から 10 分後に新しい接続を起動するときに、ユーザーに再認証を求められます。
- ページの下部で、[保存] を選択します。
注意
- 再認証は、ユーザーがリソースに対して認証を行う必要があり、新しいアクセス トークンが必要な場合にのみ行われます。 接続が確立されると、接続が構成したサインインの頻度よりも長く続いた場合でも、ユーザーにメッセージが表示されません。
- 構成したサインイン頻度の後にセッションを強制的に再確立するネットワークの中断がある場合、ユーザーは再認証する必要があります。 これにより、不安定なネットワークで認証要求が頻繁に発生する可能性があります。
接続を成功させるには、 従来のユーザーごとの多要素認証サインイン方法を無効にする必要があります。 Windows Hello for Businessなどの強力な認証方法にサインインを制限しない場合は、条件付きアクセス ポリシーから Azure Windows VM Sign-In アプリを除外する必要があります。