Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego

Ważne

Jeśli odwiedzasz tę stronę z dokumentacji usługi Azure Virtual Desktop (wersja klasyczna), po zakończeniu wróć do dokumentacji usługi Azure Virtual Desktop (klasycznej).

Użytkownicy mogą logować się do usługi Azure Virtual Desktop z dowolnego miejsca przy użyciu różnych urządzeń i klientów. Istnieją jednak pewne środki, które należy podjąć, aby zapewnić bezpieczeństwo środowiska i użytkowników. Korzystanie z uwierzytelniania wieloskładnikowego firmy Microsoft (MFA) w usłudze Azure Virtual Desktop wyświetla monity użytkowników podczas procesu logowania w celu uzyskania innej formy identyfikacji oprócz nazwy użytkownika i hasła. Możesz wymusić uwierzytelnianie wieloskładnikowe dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego, a także skonfigurować, czy dotyczy klienta internetowego, aplikacji mobilnych, klientów stacjonarnych, czy wszystkich klientów.

Gdy użytkownik łączy się z sesją zdalną, musi uwierzytelnić się w usłudze Azure Virtual Desktop i hoście sesji. Jeśli uwierzytelnianie wieloskładnikowe jest włączone, jest używane podczas nawiązywania połączenia z usługą Azure Virtual Desktop, a użytkownik jest monitowany o podanie konta użytkownika i drugiej formy uwierzytelniania w taki sam sposób, jak uzyskiwanie dostępu do innych usług. Gdy użytkownik rozpoczyna sesję zdalną, dla hosta sesji jest wymagana nazwa użytkownika i hasło, ale jest to bezproblemowe dla użytkownika, jeśli logowanie jednokrotne jest włączone. Aby uzyskać więcej informacji, zobacz Metody uwierzytelniania.

Częstotliwość monitowania użytkownika o ponowne uwierzytelnienie zależy od ustawień konfiguracji okresu istnienia sesji firmy Microsoft Entra. Jeśli na przykład urządzenie klienckie z systemem Windows jest zarejestrowane w usłudze Microsoft Entra ID, otrzymuje podstawowy token odświeżania (PRT) do użycia na potrzeby logowania jednokrotnego w aplikacjach. Po wystawieniu żądanie ściągnięcia jest ważne przez 14 dni i jest stale odnawiane, o ile użytkownik aktywnie korzysta z urządzenia.

Podczas zapamiętania poświadczeń jest wygodne, może również sprawić, że wdrożenia dla scenariuszy dla przedsiębiorstw przy użyciu urządzeń osobistych będą mniej bezpieczne. Aby chronić użytkowników, możesz upewnić się, że klient częściej prosi o poświadczenia uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Aby skonfigurować to zachowanie, możesz użyć dostępu warunkowego.

Dowiedz się, jak wymusić uwierzytelnianie wieloskładnikowe dla usługi Azure Virtual Desktop i opcjonalnie skonfigurować częstotliwość logowania w poniższych sekcjach.

Wymagania wstępne

Oto, czego potrzebujesz, aby rozpocząć pracę:

• Przypisz użytkownikom licencję obejmującą identyfikator Microsoft Entra ID P1 lub P2.
• Grupa Microsoft Entra z użytkownikami usługi Azure Virtual Desktop przypisanymi jako członkowie grupy.
• Włącz uwierzytelnianie wieloskładnikowe firmy Microsoft.

Tworzenie zasady dostępu warunkowego

Poniżej przedstawiono sposób tworzenia zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego podczas nawiązywania połączenia z usługą Azure Virtual Desktop:

1. Zaloguj się do witryny Azure Portal jako administrator globalny, administrator zabezpieczeń lub administrator dostępu warunkowego.

2. Na pasku wyszukiwania wpisz Microsoft Entra Conditional Access i wybierz pasujący wpis usługi.

3. W przeglądzie wybierz pozycję Utwórz nowe zasady.

4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.

5. W obszarze Przypisania>Użytkownicy wybierz 0 wybranych użytkowników i grup.

6. Na karcie Dołączanie wybierz pozycję Wybierz użytkowników i grupy, a następnie zaznacz pozycję Użytkownicy i grupy, a następnie w obszarze Wybierz wybierz 0 wybranych użytkowników i grup.

7. W nowym okienku, które zostanie otwarte, wyszukaj i wybierz grupę zawierającą użytkowników usługi Azure Virtual Desktop jako członków grupy, a następnie wybierz pozycję Wybierz.

8. W obszarze Przypisania>Docelowe zasoby wybierz pozycję Nie wybrano zasobów docelowych.

9. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje, a następnie w obszarze Wybierz wybierz pozycję Brak.

10. W nowym okienku, które zostanie otwarte, wyszukaj i wybierz niezbędne aplikacje na podstawie zasobów, które próbujesz chronić. Wybierz odpowiednią kartę dla danego scenariusza. Podczas wyszukiwania nazwy aplikacji na platformie Azure użyj terminów wyszukiwania rozpoczynających się od nazwy aplikacji w kolejności zamiast słów kluczowych, które nazwa aplikacji zawiera poza kolejnością. Jeśli na przykład chcesz użyć usługi Azure Virtual Desktop, musisz w tej kolejności wprowadzić wartość "Azure Virtual". Jeśli wprowadzisz ciąg "virtual" sam w sobie, wyszukiwanie nie zwróci żądanej aplikacji.

    Azure Virtual Desktop

    W przypadku usługi Azure Virtual Desktop (opartej na usłudze Azure Resource Manager) można skonfigurować uwierzytelnianie wieloskładnikowe w następujących różnych aplikacjach:

    • Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07), który ma zastosowanie, gdy użytkownik subskrybuje usługę Azure Virtual Desktop, uwierzytelnia się w bramie usługi Azure Virtual Desktop podczas połączenia i gdy informacje diagnostyczne są wysyłane do usługi z urządzenia lokalnego użytkownika.

      Napiwek

      Nazwa aplikacji była wcześniej windows Virtual Desktop. Jeśli dostawca zasobów Microsoft.DesktopVirtualization został zarejestrowany przed zmianą nazwy wyświetlanej, aplikacja będzie mieć nazwę Windows Virtual Desktop o tym samym identyfikatorze aplikacji co usługa Azure Virtual Desktop.

      • Pulpit zdalny Microsoft (identyfikator aplikacji a4a365df-50f1-4397-bc59-1a1564b8bb9c) i identyfikator logowania do chmury systemu Windows (identyfikator aplikacji 270efc09-cd0d-444b-a71f-39af4910ec45). Mają one zastosowanie, gdy użytkownik uwierzytelnia się na hoście sesji po włączeniu logowania jednokrotnego . Zaleca się dopasowanie zasad dostępu warunkowego między tymi aplikacjami i aplikacją usługi Azure Virtual Desktop, z wyjątkiem częstotliwości logowania.

      Ważne

      Klienci, którzy uzyskują dostęp do usługi Azure Virtual Desktop, używają aplikacji Pulpit zdalny Microsoft Entra ID do uwierzytelniania na hoście sesji dzisiaj. Zbliżająca się zmiana spowoduje przejście uwierzytelniania do aplikacji Identyfikator logowania w chmurze systemu Windows. Aby zapewnić bezproblemowe przejście, należy dodać obie aplikacje Entra ID do zasad urzędu certyfikacji.

    Ważne

    Nie wybieraj aplikacji o nazwie Azure Virtual Desktop Azure Resource Manager Provider (identyfikator aplikacji 50e95039-b200-4007-bc97-8d5790743a63). Ta aplikacja jest używana tylko do pobierania kanału informacyjnego użytkownika i nie powinna mieć uwierzytelniania wieloskładnikowego.

    Azure Virtual Desktop (wersja klasyczna)

    W przypadku usługi Azure Virtual Desktop (wersja klasyczna) należy skonfigurować uwierzytelnianie wieloskładnikowe w następujących aplikacjach:

    • Windows Virtual Desktop (identyfikator aplikacji 5a0a725-4958-4b0c-80a9-34562e23f3b7).

    • Klient usługi Windows Virtual Desktop (identyfikator aplikacji fa4345a4-a730-4230-84a8-7d9651b86739), który umożliwia ustawianie zasad na kliencie internetowym.

    • Azure Virtual Desktop/Windows Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07). Nie dodawaj tego identyfikatora aplikacji blokuje odnajdywanie kanałów informacyjnych zasobów usługi Azure Virtual Desktop (wersja klasyczna).

    Ważne

    Nie wybieraj aplikacji o nazwie Azure Virtual Desktop Azure Resource Manager Provider (identyfikator aplikacji 50e95039-b200-4007-bc97-8d5790743a63). Ta aplikacja jest używana tylko do pobierania kanału informacyjnego użytkownika i nie powinna mieć uwierzytelniania wieloskładnikowego.

11. Po wybraniu aplikacji wybierz pozycję Wybierz.

    

12. W obszarze Warunki przypisania>wybierz pozycję 0 warunków.

13. W obszarze Aplikacje klienckie wybierz pozycję Nieskonfigurowane.

14. W nowym okienku, które zostanie otwarte, w obszarze Konfiguruj wybierz pozycję Tak.

15. Wybierz aplikacje klienckie, których dotyczą następujące zasady:

    • Wybierz pozycję Przeglądarka , jeśli chcesz, aby zasady miały zostać zastosowane do klienta internetowego.
    • Wybierz pozycję Aplikacje mobilne i klienci klasyczni , jeśli chcesz zastosować zasady do innych klientów.
    • Zaznacz oba pola wyboru, jeśli chcesz zastosować zasady do wszystkich klientów.
    • Usuń zaznaczenie wartości dla starszych klientów uwierzytelniania.

    

16. Po wybraniu aplikacji klienckich, do których mają zastosowanie te zasady, wybierz pozycję Gotowe.

17. W obszarze Kontrole>dostępu Udziel wybierz wybrane kontrolki 0.

18. W nowym okienku, które zostanie otwarte, wybierz pozycję Udziel dostępu.

19. Zaznacz pole wyboru Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

20. W dolnej części strony ustaw opcję Włącz zasady na Wł. , a następnie wybierz pozycję Utwórz.

Uwaga

Gdy używasz klienta internetowego do logowania się do usługi Azure Virtual Desktop za pośrednictwem przeglądarki, w dzienniku zostanie wyświetlony identyfikator aplikacji klienckiej jako a85cf173-4192-42f8-81fa-777a763e6e2c (klient usługi Azure Virtual Desktop). Jest to spowodowane tym, że aplikacja kliencka jest wewnętrznie połączona z identyfikatorem aplikacji serwera, w którym ustawiono zasady dostępu warunkowego.

Napiwek

Niektórzy użytkownicy mogą zobaczyć monit zatytułowany Stay signed in to all your apps (Nie wyloguj się do wszystkich aplikacji ), jeśli używane urządzenie z systemem Windows nie zostało jeszcze zarejestrowane w usłudze Microsoft Entra ID. Jeśli anulują one zaznaczenie pozycji Zezwalaj mojej organizacji na zarządzanie moim urządzeniem i wybierz pozycję Nie, zaloguj się tylko do tej aplikacji, może być wyświetlany monit o uwierzytelnianie częściej.

Konfigurowanie częstotliwości logowania

Zasady częstotliwości logowania umożliwiają ustawienie okresu, po którym użytkownik musi ponownie udowodnić swoją tożsamość podczas uzyskiwania dostępu do zasobów firmy Microsoft Entra. Może to pomóc w zabezpieczeniu środowiska i jest szczególnie ważne w przypadku urządzeń osobistych, w przypadku których lokalny system operacyjny może nie wymagać uwierzytelniania wieloskładnikowego lub może nie blokować się automatycznie po braku aktywności.

Zasady częstotliwości logowania powodują różne zachowanie na podstawie wybranej aplikacji Microsoft Entra:

Nazwa aplikacji	Identyfikator aplikacji	Zachowanie
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Wymusza ponowne uwierzytelnianie, gdy użytkownik subskrybuje usługę Azure Virtual Desktop, ręcznie odświeża listę zasobów i uwierzytelnia się w bramie usługi Azure Virtual Desktop podczas połączenia. Po zakończeniu ponownego uwierzytelniania odświeżanie kanału informacyjnego w tle i przekazywanie diagnostyki w trybie dyskretnym kończy się niepowodzeniem, dopóki użytkownik nie ukończy kolejnego interaktywnego logowania do firmy Microsoft Entra.
Pulpit zdalny Microsoft Logowanie do chmury systemu Windows	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Wymusza ponowne uwierzytelnianie, gdy użytkownik loguje się do hosta sesji po włączeniu logowania jednokrotnego . Obie aplikacje powinny być konfigurowane razem, ponieważ klienci usługi Azure Virtual Desktop wkrótce przełączyć się z używania aplikacji Pulpit zdalny Microsoft do aplikacji Logowania w chmurze systemu Windows w celu uwierzytelnienia na hoście sesji.

Aby skonfigurować okres, po którym użytkownik zostanie poproszony o ponowne zalogowanie:

1. Otwórz utworzone wcześniej zasady.
2. W obszarze Kontrola>dostępu Sesja wybierz wybraną pozycję 0 kontrolek.
3. W okienku Sesja wybierz pozycję Częstotliwość logowania.
4. Wybierz pozycję Okresowe ponowne uwierzytelnianie lub Za każdym razem.
   • Jeśli wybierzesz opcję Okresowe ponowne uwierzytelnianie, ustaw wartość okresu, po którym użytkownik zostanie poproszony o ponowne zalogowanie się, a następnie wybierz pozycję Wybierz. Na przykład ustawienie wartości 1 i jednostki na Hours wymaga uwierzytelniania wieloskładnikowego, jeśli połączenie zostanie uruchomione ponad godzinę po ostatnim.
   • Opcja Za każdym razem jest obecnie dostępna w publicznej wersji zapoznawczej i jest obsługiwana tylko w przypadku zastosowania do aplikacji Pulpit zdalny Microsoft i logowania w chmurze systemu Windows po włączeniu logowania jednokrotnego dla puli hostów. W przypadku wybrania opcji Za każdym razem użytkownicy będą monitowani o ponowne uwierzytelnienie po upływie od 5 do 15 minut po ostatnim uwierzytelnieniu dla aplikacji Pulpit zdalny Microsoft i logowania w chmurze systemu Windows.
5. W dolnej części strony wybierz pozycję Zapisz.

Uwaga

• Ponowne uwierzytelnianie odbywa się tylko wtedy, gdy użytkownik musi uwierzytelnić się w zasobie. Po nawiązaniu połączenia użytkownicy nie będą monitowani, nawet jeśli połączenie trwa dłużej niż skonfigurowana częstotliwość logowania.
• Użytkownicy muszą ponownie uwierzytelniać się, jeśli wystąpi zakłócenia sieci, które wymusza ponowne ustanowienie sesji po skonfigurowanej częstotliwości logowania. Może to prowadzić do częstszych żądań uwierzytelniania w niestabilnych sieciach.

Maszyny wirtualne hosta sesji dołączone do firmy Microsoft Entra

Aby połączenia zakończyły się pomyślnie, należy wyłączyć starszą metodę logowania wieloskładnikowego dla poszczególnych użytkowników. Jeśli nie chcesz ograniczać logowania do silnych metod uwierzytelniania, takich jak Windows Hello dla firm, musisz wykluczyć aplikację logowania maszyny wirtualnej z systemem Windows platformy Azure z zasad dostępu warunkowego.

Następne kroki

• Dowiedz się więcej o zasadach dostępu warunkowego
• Dowiedz się więcej o częstotliwości logowania użytkownika