Принудительное применение многофакторной проверки подлинности Microsoft Entra для виртуального рабочего стола Azure с помощью условного доступа
Внимание
Если вы попали на эту страницу из документации по Виртуальному рабочему столу Azure (классическая версия), не забудьте вернуться к этой документации после завершения работы.
Пользователи могут входить в Виртуальный рабочий стол Azure из любого места с помощью различных устройств и клиентов. Однако существуют определенные меры, которые необходимо предпринять, чтобы обеспечить безопасность вашей среды и пользователей. Использование многофакторной проверки подлинности Microsoft Entra с виртуальным рабочим столом Azure запрашивает пользователей во время входа в другую форму идентификации в дополнение к имени пользователя и паролю. Вы можете потребовать многофакторную проверку подлинности для Виртуального рабочего стола Azure с помощью условного доступа, а также можете настроить ее применимость к веб-клиентам, мобильным приложениям, классическим приложениям или ко всем клиентам сразу.
Когда пользователь подключается к удаленному сеансу, он должен пройти проверку подлинности в службе виртуального рабочего стола Azure и узле сеанса. Если многофакторная проверка подлинности включена, она используется при подключении к службе виртуального рабочего стола Azure, а пользователь запрашивает учетную запись пользователя и вторую форму проверки подлинности, так же, как и доступ к другим службам. Когда пользователь запускает удаленный сеанс, для узла сеанса требуется имя пользователя и пароль, но это удобно для пользователя, если включен единый вход. Дополнительные сведения см. в разделе "Методы проверки подлинности".
Как часто пользователю предлагается повторно выполнить проверку подлинности, зависит от параметров конфигурации сеанса Microsoft Entra. Например, если клиентское устройство Windows зарегистрировано с идентификатором Microsoft Entra ID, оно получает первичный маркер обновления (PRT) для использования для единого входа в приложениях. После выдачи PRT действителен в течение 14 дней и постоянно обновляется при условии, что пользователь активно использует устройство.
Запоминание учетных данных повышает удобство, но может снижать безопасность развертываний в корпоративных сценариях с использованием личных устройств. Чтобы защитить пользователей, вы можете убедиться, что клиент постоянно запрашивает учетные данные многофакторной проверки подлинности Microsoft Entra. Для настройки этого поведения можно использовать условный доступ.
Узнайте, как применить MFA для виртуального рабочего стола Azure и при необходимости настроить частоту входа в следующих разделах.
Необходимые компоненты
Вот что вам нужно приступить к работе:
- Назначьте пользователям лицензию, включающую идентификатор Microsoft Entra ID P1 или P2.
- Группа Microsoft Entra с пользователями виртуального рабочего стола Azure, назначенными участниками группы.
- Включите многофакторную проверку подлинности Microsoft Entra.
Создание политики условного доступа
Ниже показано, как создать политику условного доступа, которая требует выполнять многофакторную проверку подлинности при каждом подключении к Виртуальному рабочему столу Azure:
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Перейдите к политикам условного доступа>защиты>.
Выберите Новая политика.
Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
В разделе "Пользователи назначений" выберите 0 пользователей>и групп.
На вкладке "Включить" выберите "Выбрать пользователей и группы", а затем в разделе "Выбрать" выберите 0 пользователей и группы.
На открывающейся панели найдите и выберите группу, содержащую пользователей виртуального рабочего стола Azure в качестве участников группы, а затем нажмите кнопку "Выбрать".
В разделе "Целевые ресурсы назначения" выберите "Не выбраны целевые>ресурсы".
На вкладке "Включить" выберите " Выбрать приложения", а затем в разделе "Выбрать" выберите "Нет".
На открывающейся панели найдите и выберите необходимые приложения на основе ресурсов, которые вы пытаетесь защитить. Выберите соответствующую вкладку для вашего сценария. При поиске имени приложения в Azure используйте условия поиска, начинающиеся с имени приложения в порядке, а не ключевые слова, содержащие не упорядоченное имя приложения. Например, если вы хотите использовать виртуальный рабочий стол Azure, необходимо ввести "Виртуальную машину Azure" в этом порядке. Если ввести "virtual" самостоятельно, поиск не возвращает требуемое приложение.
Для виртуального рабочего стола Azure (на основе Azure Resource Manager) можно настроить MFA в следующих приложениях:
Виртуальный рабочий стол Azure (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07), который применяется при подписке пользователя на виртуальный рабочий стол Azure, выполняет проверку подлинности в шлюзе виртуального рабочего стола Azure во время подключения, а диагностика также при отправке сведений в службу с локального устройства пользователя.
Совет
Имя приложения ранее было Виртуальный рабочий стол Windows. Если вы зарегистрировали поставщик ресурсов Microsoft.DesktopVirtualization перед изменением отображаемого имени, приложение будет называться виртуальным рабочим столом Windows с тем же идентификатором приложения, что и виртуальный рабочий стол Azure.
- Удаленный рабочий стол (Майкрософт) (идентификатор приложения a4a365df-50f1-4397-bc59-1a1564b8bb9c) и windows Cloud Login (app ID 270efc09-cd0d-444b-a71f-39af4910ec45). Они применяются, когда пользователь проходит проверку подлинности на узле сеанса при включении единого входа . Рекомендуется сопоставить политики условного доступа между этими приложениями и приложением Виртуального рабочего стола Azure, за исключением частоты входа.
Внимание
Клиенты, используемые для доступа к виртуальному рабочему столу Azure, используют приложение идентификатора записи Удаленный рабочий стол (Майкрософт) для проверки подлинности на узле сеанса сегодня. Предстоящее изменение передаст проверку подлинности в приложение идентификатора записи входа в облако Windows Cloud. Чтобы обеспечить плавный переход, необходимо добавить оба приложения идентификатора записи в политики ЦС.
Внимание
Не выбирайте приложение «Поставщик Azure Resource Manager для Виртуального рабочего стола Azure» (идентификатор приложения 50e95039-b200-4007-bc97-8d5790743a63). Оно используется только для получения веб-канала пользователя и не рассчитано на использование многофакторной проверки подлинности.
После выбора приложений нажмите кнопку "Выбрать".
В разделе "Условия назначения" выберите 0 условий>.
В разделе "Клиентские приложения" выберите "Не настроено".
В открывающейся области для настройки нажмите кнопку "Да".
Выберите клиентские приложения, к которые применяется эта политика:
- Укажите Браузер, если хотите применить политику к веб-клиенту.
- Укажите Мобильные приложения и настольные клиенты, если хотите применить политику к другим клиентам.
- Установите оба флажка, если хотите применить политику ко всем клиентам.
- Отмените выбор значений для устаревших клиентов проверки подлинности.
После выбора клиентских приложений эта политика применяется, нажмите кнопку "Готово".
В разделе "Предоставление элементов управления>доступом" выберите 0 элементов управления.
На новой панели, которая откроется, выберите "Предоставить доступ".
Установите флажок "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".
В нижней части страницы установите для параметра Включить политику Вкл и нажмите кнопку Создать.
Примечание.
При использовании веб-клиента для входа в Виртуальный рабочий стол Azure через браузер в журнал будет сохраняться идентификатор клиентского приложения a85cf173-4192-42f8-81fa-777a763e6e2c (Клиент Виртуального рабочего стола Azure). Это связано с тем, что клиентское приложение внутренне связано с идентификатором того серверного приложения, в котором была задана политика условного доступа.
Совет
Некоторые пользователи могут видеть запрос на ввод в систему с заголовком "Остаться" во всех приложениях , если устройство Windows, которое они используют, еще не зарегистрировано с идентификатором Microsoft Entra. Если они отменят выбор разрешения на управление устройством и выберите "Нет", войдите только в это приложение, они могут чаще запрашивать проверку подлинности.
Настройка частоты входа
Политики частот входа позволяют настроить частоту входа пользователей при доступе к ресурсам на основе Microsoft Entra. Это может помочь защитить среду и особенно важно для личных устройств, где локальная ОС может не требовать многофакторную проверку подлинности или не блокируется автоматически после бездействия. Пользователям предлагается пройти проверку подлинности, только если новый маркер доступа запрашивается из идентификатора Microsoft Entra при доступе к ресурсу.
Политики частоты входа приводят к разному поведению в зависимости от выбранного приложения Microsoft Entra:
Название приложения | ИД приложения | Поведение |
---|---|---|
Виртуальный рабочий стол Azure | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Принудительно выполняет повторную проверку подлинности, когда пользователь подписывается на виртуальный рабочий стол Azure, вручную обновляет список ресурсов и выполняет проверку подлинности в шлюзе виртуальных рабочих столов Azure во время подключения. После завершения периода повторной проверки подлинности фоновый веб-канал и диагностика отправки автоматически завершается сбоем, пока пользователь не завершит следующий интерактивный вход в Microsoft Entra. |
Удаленный рабочий стол (Майкрософт) Вход в Windows Cloud |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Принудительно выполняет повторную проверку подлинности при входе пользователя в узел сеанса при включении единого входа . Оба приложения должны быть настроены вместе, так как клиенты Виртуального рабочего стола Azure скоро переключятся с использования приложения Удаленный рабочий стол (Майкрософт) в приложение входа в Windows Cloud для проверки подлинности на узле сеанса. |
Чтобы настроить период времени, после которого пользователю будет предложено снова войти:
- Откройте созданную ранее политику.
- В разделе "Сеанс управления доступом>" выберите 0 элементов управления.
- На панели Сеанс выберите периодичность входа.
- Выберите периодическую повторную проверку подлинности или каждый раз.
- При выборе периодической повторной проверки подлинности задайте значение для периода времени, после которого пользователю будет предложено повторно войти при выполнении действия, требующего нового маркера доступа, а затем нажмите кнопку "Выбрать". Например, при задании значения 1 и единицы измерения в часах требуется многофакторная проверка подлинности, если подключение запускается более чем через час после последней проверки подлинности пользователя.
- Параметр "Каждый раз" доступен в предварительной версии и поддерживается только при применении к приложениям Удаленный рабочий стол (Майкрософт) и Windows Cloud Login, если единый вход включен для пула узлов. Если выбрать каждый раз, пользователи будут запрашивать повторную проверку подлинности при запуске нового подключения через период от 5 до 10 минут после последней проверки подлинности.
- В нижней части страницы нажмите кнопку "Сохранить".
Примечание.
- Повторная проверка подлинности происходит только в том случае, если пользователь должен пройти проверку подлинности в ресурсе и требуется новый маркер доступа. После установки подключения пользователи не запрашиваются, даже если подключение длится дольше, чем настроенная частота входа.
- Пользователи должны повторно пройти проверку подлинности, если возникает нарушение сети, которое заставляет повторно установить сеанс после настройки частоты входа. Это может привести к более частым запросам проверки подлинности в нестабильных сетях.
Виртуальные машины узла сеанса, присоединенные к Microsoft Entra
Для успешного выполнения подключений необходимо отключить устаревший метод многофакторной проверки подлинности для каждого пользователя. Если вы не хотите ограничивать вход в надежные методы проверки подлинности, например Windows Hello для бизнеса, необходимо исключить приложение входа виртуальной машины Azure из политики условного доступа.