Share via

Impor a autenticação multifator do Microsoft Entra à Área de Trabalho Virtual do Azure usando o Acesso Condicional

  • Artigo

Importante

Se você estiver acessando esta página pela documentação da Área de Trabalho Virtual do Azure (clássica), retorne à documentação da Área de Trabalho Virtual do Azure (clássica) quando terminar.

Os usuários podem entrar na Área de Trabalho Virtual do Azure de qualquer lugar usando dispositivos e clientes diferentes. No entanto, existem certas medidas que você deve tomar para ajudar a manter seu ambiente e seus usuários seguros. O uso da MFA (autenticação multifator) do Microsoft Entra com a Área de Trabalho Virtual do Azure solicita aos usuários durante o processo de entrada uma forma adicional de identificação, além do nome de usuário e da senha. É possível impor a MFA para a Área de Trabalho Virtual do Azure usando o acesso condicional e também configurar se ele se aplica ao cliente Web, aos aplicativos móveis, aos clientes da área de trabalho ou a todos os clientes.

Quando um usuário se conecta a uma sessão remota, ele precisa se autenticar no serviço de Área de Trabalho Virtual do Azure e no host da sessão. Se a MFA estiver habilitada, ela será usada ao se conectar ao serviço de Área de Trabalho Virtual do Azure e o usuário será solicitado a fornecer sua conta de usuário e uma segunda forma de autenticação, da mesma forma que acessar outros serviços. Quando um usuário inicia uma sessão remota, um nome de usuário e senha são necessários para um host de sessão, mas o processo será integrado para o usuário se o logon único (SSO) estiver habilitado. Para mais informações, consulte Método de autenticação.

A frequência com que um usuário é solicitado a autenticar-se novamente depende da Configuração de tempo de vida da sessão do Microsoft Entra. Por exemplo, se estiver registrado no Microsoft Entra ID, o dispositivo cliente do Windows receberá um Token de Atualização Primário (PRT) para usar o logon único (SSO) nos diversos aplicativos. Depois de emitido, um PRT é válido por 14 dias, mas será renovado continuamente desde que o usuário use o dispositivo ativamente.

Embora seja conveniente lembrar as credenciais, isso também pode tornar as implantações para cenários empresariais que usam dispositivos pessoais menos seguras. Para proteger seus usuários, faça com que o computador cliente continue solicitando credenciais de autenticação multifator do Microsoft Entra com mais frequência. Você pode usar o Acesso Condicional para configurar esse comportamento.

Saiba como implementar a MFA para a Área de Trabalho Virtual do Azure e, opcionalmente, configurar a frequência de login nas sessões seguintes.

Pré-requisitos

Para começar, você precisará do seguinte:

Criar uma política de Acesso Condicional

Veja como criar uma política de acesso condicional que requer autenticação multifator ao se conectar à Área de Trabalho Virtual do Azure:

  1. Entre no portal do Azure como administrador global, administrador de segurança ou administrador de acesso condicional.

  2. Na barra de pesquisa, digite Microsoft Entra Conditional Access e selecione a entrada de serviço correspondente.

  3. Na visão geral, selecione Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições>Usuários, selecione 0 usuários e grupos selecionados.

  6. Na guia Incluir, selecione Selecionar usuários e grupos marque Usuários e grupos e, em seguida, em Selecionar, selecione 0 usuários e grupos selecionados.

  7. No novo painel que é aberto, pesquise e escolha o grupo que contém os usuários da Área de Trabalho Virtual do Azure como membros do grupo e selecione Selecionar.

  8. Em Atribuições>Recursos de destino, selecione Nenhum recurso de destino selecionado.

  9. Na guia Incluir, selecione Selecionar aplicativos e, em Selecionar, selecione Nenhum.

  10. No novo painel que se abre, procure e selecione os aplicativos necessários com base nos recursos que você está tentando proteger. Selecione a guia relevante ao seu cenário. Ao pesquisar um nome de aplicativo no Azure, use os termos de pesquisa que começam com o nome do aplicativo em ordem em vez de palavras-chave que o nome do aplicativo contém fora de ordem. Por exemplo, quando quiser utilizar o Área de Trabalho Virtual do Azure, terá de introduzir “Azure Virtual”, por essa ordem. Se você digitar apenas "virtual", a pesquisa não retornará o aplicativo desejado.

    Para a Área de Trabalho Virtual do Azure (baseado no Azure Resource Manager), pode configurar o MFA nessas diferentes aplicações:

    • Área de Trabalho Virtual do Azure (ID do aplicativo 9cdead84-a844-4324-93f2-b2e6bb768d07), que se aplica quando o usuário assina a Área de Trabalho Virtual do Azure, autentica no Gateway de Área de Trabalho Virtual do Azure durante uma conexão e quando as informações de diagnóstico são enviadas ao serviço a partir do dispositivo local do usuário.

      Dica

      O nome do aplicativo antes estava na Área de Trabalho Virtual do Windows. Se você registrou o provedor de recursos Microsoft.DesktopVirtualization antes de o nome de exibição ter sido alterado, o aplicativo se chamará Área de Trabalho Virtual do Windows, com a mesma ID de aplicativo da Área de Trabalho Virtual do Azure.

      • Área de Trabalho Remota da Microsoft (ID do aplicativo a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Windows Cloud Login (ID do aplicativo 270efc09-cd0d-444b-a71f-39af4910ec45). Eles se aplicam quando o usuário se autentica no host da sessão quando o logon único está habilitado. É recomendável equiparar as políticas de acesso condicional entre esses aplicativos e o aplicativo da Área de Trabalho Virtual do Azure, exceto para a frequência de login.

      Importante

      Os clientes usados para acessar a Área de Trabalho Virtual do Azure usam o aplicativo Área de Trabalho Remota da Microsoft Entra ID para se autenticar no host da sessão hoje. Uma próxima alteração fará a transição da autenticação para o aplicativo Windows Cloud Login Entra ID. Para garantir uma transição suave, você precisa adicionar ambos os aplicativos Entra ID às suas políticas de CA.

    Importante

    Não selecione o aplicativo chamado Provedor do Azure Resource Manager da Área de Trabalho Virtual do Azure (ID do aplicativo 50e95039-b200-4007-bc97-8d5790743a63). Esse aplicativo é usado somente para recuperar o feed do usuário e não deve ter autenticação multifator.

  11. Após selecionar seus aplicativos, selecione Selecionar.

    Uma captura de tela da página Ações ou aplicativos de nuvem do acesso condicional. O aplicativo da Área de Trabalho Virtual do Azure é mostrado.

  12. Em Atribuições>Condições, selecione 0 condições selecionar.

  13. Em Aplicativos cliente, selecione Não configurado.

  14. No novo painel que se abre, para Configurar, selecione Sim.

  15. Selecione os aplicativos cliente aos quais essa política irá se aplicar:

    • Selecione Navegador para que a política se aplique ao cliente Web.
    • Selecione Aplicativos móveis e clientes de área de trabalho para aplicar a política a outros clientes.
    • Marque as duas caixas de seleção para aplicar a política a todos os clientes.
    • Desmarque valores para clientes de autenticação herdados.

    Uma captura de tela da página Aplicativos cliente do acesso condicional. O usuário marcou as caixas de seleção Aplicativos móveis e clientes de área de trabalho e Navegadores.

  16. Após selecionar os aplicativos cliente aos quais essa política irá se aplicar, selecione Concluído.

  17. Em Controles de acesso>Concessões, selecione 0 controles selecionados.

  18. No novo painel que é aberto, selecione Conceder acesso.

  19. Marque Exigir autenticação multifator e selecione Selecionar.

  20. Na parte inferior da página, defina Habilitar política como Ativado e selecione Criar.

Observação

Quando você usa o cliente Web para entrar na Área de Trabalho Virtual do Azure por meio do navegador, o log lista a ID do Aplicativo cliente como a85cf173-4192-42f8-81fa-777a763e6e2c (cliente da Área de Trabalho Virtual do Azure). Isso porque o aplicativo cliente está vinculado internamente à ID do aplicativo de servidor em que a política de acesso condicional foi definida.

Dica

Alguns usuários poderão visualizar um prompt intitulado Permanecer conectado a todos os seus aplicativos, se o dispositivo do Windows que eles estão usando ainda não estiver registrado no Microsoft Entra ID. Se eles desmarcarem Permitir que minha organização gerencie meu dispositivo e selecionarem Não, somente neste aplicativo, eles poderão ser solicitados a autenticar com mais frequência.

Configurar a frequência de entrada

As políticas de frequência de login permitem que você defina o período de tempo após o qual um usuário precisará provar sua identidade novamente ao acessar os recursos baseados no Microsoft Entra. Isso poderá ajudar a proteger seu ambiente e é especialmente importante para dispositivos pessoais em que o sistema operacional local poderá não requerer a MFA ou não ser bloqueado automaticamente após um período de inatividade.

As políticas de frequência de login resultam em um comportamento diferente com base no aplicativo do Microsoft Entra selecionado:

Nome do aplicativo ID do Aplicativo Comportamento
Área de Trabalho Virtual do Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Implementa a reautenticação quando um usuário faz uma assinatura da Área de Trabalho Virtual do Azure, atualiza a respectiva lista de recursos manualmente e se autentica no Gateway da Área de Trabalho Virtual do Azure durante uma conexão.

Após o término do período de reautenticação, a atualização do feed e o upload de diagnósticos em segundo plano falham silenciosamente até que um usuário execute seu próximo login interativo no Microsoft Entra.
Área de Trabalho Remota da Microsoft

Login na Nuvem do Windows		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Implementa a reautenticação quando um usuário faz login em um host de sessão e o logon único está habilitado.

Ambos os aplicativos devem ser configurados juntos, já que os clientes da Área de Trabalho Virtual do Azure irão migrar em breve do aplicativo da Área de Trabalho Remota da Microsoft para o aplicativo de Login na Nuvem do Windows para se autenticar no host da sessão.

Para configurar o período de tempo após o qual um usuário será solicitado a fazer login novamente:

  1. Abra a política que você criou anteriormente.
  2. Em Controles de acesso>Sessão, selecione 0 controles selecionados.
  3. No painel Sessão, selecione Frequência de entrada.
  4. Selecione Reautenticação periódica ou Todas as vezes.
    • Se selecionar Reautenticação periódica, defina o valor para o período de tempo após o qual um usuário será solicitado a fazer login novamente e selecione Selecionar. Por exemplo, definir o valor como 1 e a unidade como Horas irá requerer a autenticação multifator se uma conexão for iniciada mais de uma hora após a anterior.
    • A opção Todas as vezes está disponível no momento em visualização pública e só tem suporte quando aplicada aos aplicativos Área de Trabalho Remota da Microsoft e Login na Nuvem do Windows quando o logon único estiver habilitado para o seu pool de hosts. Se você selecionar Todas as vezes, os usuários serão solicitados a se reautenticar depois de um período de 5 a 15 minutos após a última vez em que se autenticaram nos aplicativos Área de Trabalho Remota da Microsoft e Login na Nuvem do Windows.
  5. Na parte inferior da página, selecione Salvar.

Observação

  • A reautenticação só irá acontecer quando um usuário precisar se autenticar em um recurso. Após uma conexão ser estabelecida, os usuários não são solicitados nem mesmo se a conexão durar mais do que a frequência de login configurada.
  • Os usuários precisarão se autenticar novamente se houver uma interrupção de rede que force o restabelecimento de uma sessão após a frequência de login que você configurou. Isso poderá acarretar solicitações de autenticação mais frequentes em redes instáveis.

Hosts de sessão de VMs ingressados no Microsoft Entra

Para que as conexões tenham sucesso, você deve desabilitar o método de login de autenticação multifator herdado por usuário. Se não quiser restringir o login aos métodos de autenticação fortes como o Windows Hello para Empresas, você também precisará excluir o aplicativo de login de VMs do Azure para Windows da sua política de Acesso Condicional.

Próximas etapas