Megosztás a következőn keresztül:

Microsoft Entra többtényezős hitelesítés kényszerítése az Azure Virtual Desktophoz feltételes hozzáféréssel

  • Cikk

Fontos

Ha ezt a lapot az Azure Virtual Desktop (klasszikus) dokumentációjából látogatja meg, a befejezés után térjen vissza az Azure Virtual Desktop (klasszikus) dokumentációjára .

A felhasználók bárhonnan bejelentkezhetnek az Azure Virtual Desktopba különböző eszközök és ügyfelek használatával. Bizonyos intézkedéseket azonban meg kell tennie a környezet és a felhasználók biztonságának megőrzése érdekében. Ha a Microsoft Entra többtényezős hitelesítést (MFA) használja az Azure Virtual Desktoppal, a bejelentkezési folyamat során a felhasználónevén és jelszaván kívül más azonosítási módot is kér. Feltételes hozzáféréssel kényszerítheti az MFA-t az Azure Virtual Desktophoz, és azt is beállíthatja, hogy az a webes ügyfélre, a mobilalkalmazásokra, az asztali ügyfelekre vagy az összes ügyfélre vonatkozik-e.

Amikor egy felhasználó távoli munkamenethez csatlakozik, hitelesítenie kell magát az Azure Virtual Desktop szolgáltatásban és a munkamenet-gazdagépen. Ha az MFA engedélyezve van, akkor azt az Azure Virtual Desktop szolgáltatáshoz való csatlakozáskor használja a rendszer, és a felhasználó a felhasználói fiókját és egy második hitelesítési módot kéri, ugyanúgy, mint más szolgáltatások elérésekor. Amikor egy felhasználó elindít egy távoli munkamenetet, felhasználónévre és jelszóra van szükség a munkamenetgazda számára, de ez zökkenőmentes a felhasználó számára, ha engedélyezve van az egyszeri bejelentkezés (SSO). További információ: Hitelesítési módszerek.

Az, hogy a rendszer milyen gyakran kéri a felhasználót az újrahitelesítésre, a Microsoft Entra munkamenetek élettartamának konfigurációs beállításaitól függ. Ha például Windows-ügyféleszköze regisztrálva van a Microsoft Entra-azonosítóval, akkor egy elsődleges frissítési jogkivonatot (PRT) kap, amelyet az alkalmazások egyszeri bejelentkezéséhez (SSO) használhat. A kibocsátás után a PRT 14 napig érvényes, és folyamatosan megújul, amíg a felhasználó aktívan használja az eszközt.

Bár a hitelesítő adatok megjegyzése kényelmes, a személyes eszközöket használó nagyvállalati forgatókönyvek üzembe helyezését is kevésbé biztonságossá teheti. A felhasználók védelme érdekében győződjön meg arról, hogy az ügyfél gyakrabban kéri a Microsoft Entra többtényezős hitelesítési hitelesítő adatait. Ezt a viselkedést a feltételes hozzáféréssel konfigurálhatja.

Ismerje meg, hogyan kényszerítheti ki az MFA-t az Azure Virtual Desktophoz, és hogyan konfigurálhatja a bejelentkezési gyakoriságot az alábbi szakaszokban.

Előfeltételek

Az első lépésekhez a következőkre van szüksége:

Feltételes hozzáférési házirend létrehozása

Az Alábbiakban bemutatjuk, hogyan hozhat létre olyan feltételes hozzáférési szabályzatot, amely többtényezős hitelesítést igényel az Azure Virtual Desktophoz való csatlakozáskor:

  1. Jelentkezzen be az Azure Portalra globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként.

  2. A keresősávba írja be a Microsoft Entra Feltételes hozzáférés parancsot, és válassza ki a megfelelő szolgáltatásbejegyzést.

  3. Az áttekintésben válassza az Új szabályzat létrehozása lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. A Hozzárendelések>felhasználói csoportban válassza ki a kijelölt 0 felhasználót és csoportot.

  6. A Belefoglalás lapon válassza a Felhasználók és csoportok kijelölése lehetőséget, és jelölje be a Felhasználók és csoportok lehetőséget, majd a Kiválasztás csoportban válassza ki a 0 kiválasztott felhasználót és csoportot.

  7. A megnyíló új panelen keresse meg és válassza ki az Azure Virtual Desktop-felhasználókat csoporttagként tartalmazó csoportot, majd válassza a Kiválasztás lehetőséget.

  8. A Hozzárendelések>célerőforrások csoportban válassza a Nincs kijelölt célerőforrás lehetőséget.

  9. A Belefoglalás lapon válassza az Alkalmazások kijelölése lehetőséget, majd a Kiválasztás területen válassza a Nincs lehetőséget.

  10. A megnyíló új panelen keresse meg és válassza ki a szükséges alkalmazásokat a védeni kívánt erőforrások alapján. Válassza ki a forgatókönyv megfelelő lapját. Amikor az Azure-ban keres egy alkalmazásnevet, az alkalmazás nevével kezdődő keresési kifejezéseket használjon sorrendbe az alkalmazásnévben szereplő kulcsszavak helyett. Ha például az Azure Virtual Desktopot szeretné használni, ebben a sorrendben kell megadnia az "Azure Virtual" kifejezést. Ha önmagában adja meg a "virtuális" kifejezést, a keresés nem a kívánt alkalmazást adja vissza.

    Az Azure Virtual Desktophoz (az Azure Resource Manager alapján) az MFA-t az alábbi alkalmazásokon konfigurálhatja:

    • Az Azure Virtual Desktop (alkalmazásazonosító: 9cdead84-a844-4324-93f2-b2e6bb768d07), amely akkor érvényes, amikor a felhasználó feliratkozik az Azure Virtual Desktopra, hitelesítést küld az Azure Virtual Desktop Gateway szolgáltatásba egy kapcsolat során, és amikor a rendszer diagnosztikai adatokat küld a szolgáltatásnak a felhasználó helyi eszközéről.

      Tipp.

      Az alkalmazás neve korábban Windows Virtual Desktop volt. Ha a megjelenített név módosítása előtt regisztrálta a Microsoft.DesktopVirtualization erőforrás-szolgáltatót, az alkalmazás neve Windows Virtual Desktop lesz, ugyanazzal az alkalmazásazonosítóval, mint az Azure Virtual Desktop.

      • Microsoft Távoli asztal (alkalmazásazonosító: a4a365df-50f1-4397-bc59-1a1564b8bb9c) és Windows Cloud Login (alkalmazásazonosító: 270efc09-cd0d-444b-a71f-39af4910ec45). Ezek akkor érvényesek, ha a felhasználó hitelesíti a munkamenet-gazdagépet, amikor engedélyezve van az egyszeri bejelentkezés. Ajánlott feltételes hozzáférési szabályzatokat egyeztetni az alkalmazások és az Azure Virtual Desktop alkalmazás között, kivéve a bejelentkezési gyakoriságot.

      Fontos

      Az Azure Virtual Desktop eléréséhez használt ügyfelek az Microsoft Távoli asztal Entra ID-alkalmazást használják a munkamenet-gazdagépen való hitelesítéshez. Egy közelgő módosítás átállítja a hitelesítést a Windows Cloud Login Entra ID alkalmazásra. A zökkenőmentes átmenet érdekében mindkét Entra ID-alkalmazást hozzá kell adnia a ca-szabályzataihoz.

    Fontos

    Ne válassza ki az Azure Virtual Desktop Azure Resource Manager-szolgáltató nevű alkalmazást (alkalmazásazonosító: 50e95039-b200-4007-bc97-8d5790743a63). Ez az alkalmazás csak a felhasználói hírcsatorna lekérésére használható, és nem szabad többtényezős hitelesítéssel rendelkeznie.

  11. Miután kiválasztotta az alkalmazásokat, válassza a Kiválasztás lehetőséget.

    Képernyőkép a feltételes hozzáférésű felhőalkalmazásokról vagy műveletekről. Megjelenik az Azure Virtual Desktop alkalmazás.

  12. A Hozzárendelési>feltételek területen válassza ki a 0 feltételt.

  13. Az Ügyfélalkalmazások területen válassza a Nincs konfigurálva lehetőséget.

  14. A megnyíló új panel Konfigurálás eleméhez válassza az Igen lehetőséget.

  15. Válassza ki azokat az ügyfélalkalmazásokat, amelyekre a szabályzat vonatkozik:

    • Válassza a Böngésző lehetőséget, ha azt szeretné, hogy a házirend a webes ügyfélre vonatkozzanak.
    • Válassza a Mobilalkalmazások és asztali ügyfelek lehetőséget, ha a szabályzatot más ügyfelekre szeretné alkalmazni.
    • Jelölje be mindkét jelölőnégyzetet, ha a szabályzatot minden ügyfélre alkalmazni szeretné.
    • Törölje az örökölt hitelesítési ügyfelek értékeinek kijelölését.

    Képernyőkép a Feltételes hozzáférésű ügyfélalkalmazások oldaláról. A felhasználó kiválasztotta a mobilalkalmazásokat és az asztali ügyfeleket, valamint a böngésző jelölőnégyzetét.

  16. Miután kiválasztotta az ügyfélalkalmazásokat, ez a szabályzat érvényes, válassza a Kész lehetőséget.

  17. A Hozzáférési vezérlők>megadása területen válassza a 0 kijelölt vezérlőt.

  18. A megnyíló új panelen válassza a Hozzáférés engedélyezése lehetőséget.

  19. Jelölje be a Többtényezős hitelesítés megkövetelése jelölőnégyzetet, majd válassza a Kiválasztás lehetőséget.

  20. A lap alján állítsa be a Házirend engedélyezése beállítást, és válassza a Létrehozás lehetőséget.

Feljegyzés

Amikor a webes ügyfélprogramot használja az Azure Virtual Desktopba való bejelentkezéshez a böngészőn keresztül, a napló az ügyfélalkalmazás azonosítóját a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop-ügyfél) néven sorolja fel. Ennek az az oka, hogy az ügyfélalkalmazás belsőleg kapcsolódik ahhoz a kiszolgálóalkalmazás-azonosítóhoz, amelyben a feltételes hozzáférési szabályzat be lett állítva.

Tipp.

Egyes felhasználók az összes alkalmazásba bejelentkezve maradnak, ha az általuk használt Windows-eszköz még nincs regisztrálva a Microsoft Entra ID-ban. Ha törlik az Eszköz kezelésének engedélyezése a szervezet számára jelölőnégyzetet, és a Nem lehetőséget választják , csak erre az alkalmazásra jelentkeznek be, akkor előfordulhat, hogy a rendszer gyakrabban kéri a hitelesítést.

Bejelentkezési gyakoriság konfigurálása

A bejelentkezési gyakorisági szabályzatokkal beállíthatja azt az időtartamot, amely után a felhasználónak újra igazolnia kell az identitását a Microsoft Entra-alapú erőforrások elérésekor. Ez segíthet a környezet biztonságossá tételében, és különösen fontos a személyes eszközök esetében, ahol előfordulhat, hogy a helyi operációs rendszer nem igényel MFA-t, vagy inaktivitás után nem zárolja automatikusan.

A bejelentkezési gyakorisági szabályzatok eltérő viselkedést eredményeznek a kiválasztott Microsoft Entra alkalmazás alapján:

Alkalmazás neve Alkalmazásazonosító Működés
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Kényszeríti az újrahitelesítést, amikor egy felhasználó feliratkozik az Azure Virtual Desktopra, manuálisan frissíti az erőforrások listáját, és hitelesítést hajt végre az Azure Virtual Desktop Gatewayen egy kapcsolat során.

Az újrahitelesítési időszak leteltével a háttércsatorna frissítése és a diagnosztikai feltöltés csendesen meghiúsul, amíg a felhasználó be nem fejezi a következő interaktív bejelentkezést a Microsoft Entra-ba.
Microsoft Távoli asztal

Windows Cloud-bejelentkezés		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Kényszeríti az újrahitelesítést, ha egy felhasználó bejelentkezik egy munkamenet-gazdagépre, amikor engedélyezve van az egyszeri bejelentkezés.

Mindkét alkalmazást együtt kell konfigurálni, mivel az Azure Virtual Desktop-ügyfelek hamarosan átváltanak a Microsoft Távoli asztal alkalmazásról a Windows Cloud Login alkalmazásra a munkamenet-gazdagépen való hitelesítéshez.

Annak az időszaknak a konfigurálásához, amely után a felhasználónak ismét be kell jelentkeznie:

  1. Nyissa meg a korábban létrehozott szabályzatot.
  2. A Hozzáférés-vezérlési>munkamenet területen válassza ki a 0 kijelölt vezérlőt.
  3. A Munkamenet panelen válassza a bejelentkezés gyakoriságát.
  4. Válassza a Rendszeres újrahitelesítés vagy minden alkalommal lehetőséget.
    • Ha az Időszakos újrahitelesítés lehetőséget választja, adja meg annak az időszaknak az értékét, amely után a felhasználónak ismét be kell jelentkeznie, majd válassza a Kiválasztás lehetőséget. Ha például az értéket 1 értékre állítja, az egység pedig Órák értékre, többtényezős hitelesítést igényel, ha egy kapcsolat több mint egy órával az utolsó után indul el.
    • A Minden alkalommal lehetőség jelenleg nyilvános előzetes verzióban érhető el, és csak akkor támogatott, ha a Microsoft Távoli asztal és a Windows Cloud Login alkalmazásra van alkalmazva, ha az egyszeri bejelentkezés engedélyezve van a gazdagépkészletben. Ha a Minden alkalommal lehetőséget választja, a rendszer a felhasználókat a Microsoft Távoli asztal és a Windows Cloud Login-alkalmazások legutóbbi hitelesítése után 5–15 perccel újrahitelesítésre kéri.
  5. A lap alján válassza a Mentés lehetőséget.

Feljegyzés

  • Az újrahitelesítés csak akkor történik meg, ha a felhasználónak hitelesítenie kell magát egy erőforráson. A kapcsolat létrejötte után a rendszer akkor sem kéri a felhasználókat, ha a kapcsolat hosszabb ideig tart, mint a konfigurált bejelentkezési gyakoriság.
  • A felhasználóknak újra meg kell adniuk a hitelesítést, ha hálózati megszakadás miatt a munkamenetet újra létre kell hoznia a konfigurált bejelentkezési gyakoriság után. Ez gyakoribb hitelesítési kérésekhez vezethet instabil hálózatokon.

Microsoft Entra-hoz csatlakoztatott munkamenetgazda virtuális gépek

Ahhoz, hogy a kapcsolatok sikeresek legyenek, le kell tiltania a felhasználónkénti többtényezős hitelesítési bejelentkezési módszert. Ha nem szeretné korlátozni a bejelentkezést olyan erős hitelesítési módszerekre, mint a Vállalati Windows Hello, ki kell zárnia az Azure Windows rendszerű virtuálisgép-bejelentkezési alkalmazást a feltételes hozzáférési szabályzatból.

Következő lépések