Microsoft Entra többtényezős hitelesítés kényszerítése az Azure Virtual Desktophoz feltételes hozzáféréssel
Fontos
Ha ezt a lapot az Azure Virtual Desktop (klasszikus) dokumentációjából látogatja meg, a befejezés után térjen vissza az Azure Virtual Desktop (klasszikus) dokumentációjára .
A felhasználók bárhonnan bejelentkezhetnek az Azure Virtual Desktopba különböző eszközök és ügyfelek használatával. Bizonyos intézkedéseket azonban meg kell tennie a környezet és a felhasználók biztonságának megőrzése érdekében. Ha a Microsoft Entra többtényezős hitelesítést (MFA) használja az Azure Virtual Desktoppal, a bejelentkezési folyamat során a felhasználónevén és jelszaván kívül más azonosítási módot is kér. Feltételes hozzáféréssel kényszerítheti az MFA-t az Azure Virtual Desktophoz, és azt is beállíthatja, hogy az a webes ügyfélre, a mobilalkalmazásokra, az asztali ügyfelekre vagy az összes ügyfélre vonatkozik-e.
Amikor egy felhasználó távoli munkamenethez csatlakozik, hitelesítenie kell magát az Azure Virtual Desktop szolgáltatásban és a munkamenet-gazdagépen. Ha az MFA engedélyezve van, akkor azt az Azure Virtual Desktop szolgáltatáshoz való csatlakozáskor használja a rendszer, és a felhasználó a felhasználói fiókját és egy második hitelesítési módot kéri, ugyanúgy, mint más szolgáltatások elérésekor. Amikor egy felhasználó elindít egy távoli munkamenetet, felhasználónévre és jelszóra van szükség a munkamenetgazda számára, de ez zökkenőmentes a felhasználó számára, ha engedélyezve van az egyszeri bejelentkezés (SSO). További információ: Hitelesítési módszerek.
Az, hogy a rendszer milyen gyakran kéri a felhasználót az újrahitelesítésre, a Microsoft Entra munkamenetek élettartamának konfigurációs beállításaitól függ. Ha például Windows-ügyféleszköze regisztrálva van a Microsoft Entra-azonosítóval, akkor egy elsődleges frissítési jogkivonatot (PRT) kap, amelyet az alkalmazások egyszeri bejelentkezéséhez (SSO) használhat. A kibocsátás után a PRT 14 napig érvényes, és folyamatosan megújul, amíg a felhasználó aktívan használja az eszközt.
Bár a hitelesítő adatok megjegyzése kényelmes, a személyes eszközöket használó nagyvállalati forgatókönyvek üzembe helyezését is kevésbé biztonságossá teheti. A felhasználók védelme érdekében győződjön meg arról, hogy az ügyfél gyakrabban kéri a Microsoft Entra többtényezős hitelesítési hitelesítő adatait. Ezt a viselkedést a feltételes hozzáféréssel konfigurálhatja.
Az alábbi szakaszokban megismerheti, hogyan kényszerítheti ki az MFA-t az Azure Virtual Desktophoz, és opcionálisan hogyan konfigurálhatja a bejelentkezési gyakoriságot.
Előfeltételek
Az első lépésekhez a következőkre van szüksége:
- Rendeljen hozzá a felhasználókhoz egy P1 vagy P2 Microsoft Entra-azonosítót tartalmazó licencet.
- Egy Microsoft Entra-csoport az Azure Virtual Desktop-felhasználókkal csoporttagként.
- Engedélyezze a Microsoft Entra többtényezős hitelesítését.
Feltételes hozzáférési házirend létrehozása
Az Alábbiakban bemutatjuk, hogyan hozhat létre olyan feltételes hozzáférési szabályzatot, amely többtényezős hitelesítést igényel az Azure Virtual Desktophoz való csatlakozáskor:
Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
Válassza az Új szabályzat lehetőséget.
Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
A Hozzárendelések>felhasználói csoportban válassza ki a kijelölt 0 felhasználót és csoportot.
A Belefoglalás lapon válassza a Felhasználók és csoportok kijelölése lehetőséget, és jelölje be a Felhasználók és csoportok lehetőséget, majd a Kiválasztás csoportban válassza ki a 0 kiválasztott felhasználót és csoportot.
A megnyíló új panelen keresse meg és válassza ki az Azure Virtual Desktop-felhasználókat csoporttagként tartalmazó csoportot, majd válassza a Kiválasztás lehetőséget.
A Hozzárendelések>célerőforrások csoportban válassza a Nincs kijelölt célerőforrás lehetőséget.
A legördülő listában válassza ki, mire vonatkozik ez a szabályzat, hagyja meg az Erőforrások (korábbi nevén felhőalkalmazások) alapértelmezett értékét. A Belefoglalás lapon válassza az Erőforrások kijelölése lehetőséget, majd a Kiválasztás területen válassza a Nincs lehetőséget.
A megnyíló új panelen keresse meg és válassza ki a szükséges alkalmazásokat a védeni kívánt erőforrások alapján. Válassza ki a forgatókönyv megfelelő lapját. Amikor az Azure-ban keres egy alkalmazásnevet, az alkalmazás nevével kezdődő keresési kifejezéseket használjon sorrendbe az alkalmazásnévben szereplő kulcsszavak helyett. Ha például az Azure Virtual Desktopot szeretné használni, ebben a sorrendben kell megadnia az "Azure Virtual" kifejezést. Ha önmagában adja meg a "virtuális" kifejezést, a keresés nem a kívánt alkalmazást adja vissza.
Az Azure Virtual Desktophoz (az Azure Resource Manager alapján) az MFA-t az alábbi alkalmazásokon konfigurálhatja:
Az Azure Virtual Desktop (alkalmazásazonosító
9cdead84-a844-4324-93f2-b2e6bb768d07
), amely akkor érvényes, amikor a felhasználó feliratkozik az Azure Virtual Desktopra, hitelesítést küld az Azure Virtual Desktop Gatewaynek egy kapcsolat során, és amikor a rendszer diagnosztikai adatokat küld a szolgáltatásnak a felhasználó helyi eszközéről.Tipp.
Az alkalmazás neve korábban Windows Virtual Desktop volt. Ha a megjelenített név módosítása előtt regisztrálta a Microsoft.DesktopVirtualization erőforrás-szolgáltatót, az alkalmazás neve Windows Virtual Desktop lesz, ugyanazzal az alkalmazásazonosítóval, mint az Azure Virtual Desktop.
Microsoft Távoli asztal (alkalmazásazonosító
a4a365df-50f1-4397-bc59-1a1564b8bb9c
) és Windows Cloud Login (alkalmazásazonosító270efc09-cd0d-444b-a71f-39af4910ec45
). Ezek akkor érvényesek, ha a felhasználó hitelesíti a munkamenet-gazdagépet, amikor engedélyezve van az egyszeri bejelentkezés. Javasoljuk, hogy a bejelentkezési gyakoriság kivételével egyezzen a feltételes hozzáférési szabályzatokkal az alkalmazások és az Azure Virtual Desktop alkalmazás között.Fontos
Az Azure Virtual Desktop eléréséhez használt ügyfelek az Microsoft Távoli asztal Entra ID-alkalmazást használják a munkamenet-gazdagépen való hitelesítéshez. Egy közelgő módosítás átállítja a hitelesítést a Windows Cloud Login Entra ID alkalmazásra. A zökkenőmentes átmenet érdekében mindkét Entra ID-alkalmazást hozzá kell adnia a CA-szabályzatokhoz.
Ne válassza ki az Azure Virtual Desktop Azure Resource Manager Provider (alkalmazásazonosító
50e95039-b200-4007-bc97-8d5790743a63
) nevű alkalmazást. Ez az alkalmazás csak a felhasználói hírcsatorna lekérésére használható, és nem szabad többtényezős hitelesítéssel rendelkeznie.
Miután kiválasztotta az alkalmazásokat, válassza a Kiválasztás lehetőséget.
A Hozzárendelési>feltételek területen válassza ki a 0 feltételt.
Az Ügyfélalkalmazások területen válassza a Nincs konfigurálva lehetőséget.
A megnyíló új panel Konfigurálás eleméhez válassza az Igen lehetőséget.
Válassza ki azokat az ügyfélalkalmazásokat, amelyekre a szabályzat vonatkozik:
- Válassza a Böngésző lehetőséget, ha azt szeretné, hogy a házirend a webes ügyfélre vonatkozzanak.
- Válassza a Mobilalkalmazások és asztali ügyfelek lehetőséget, ha a szabályzatot más ügyfelekre szeretné alkalmazni.
- Jelölje be mindkét jelölőnégyzetet, ha a szabályzatot minden ügyfélre alkalmazni szeretné.
- Törölje az örökölt hitelesítési ügyfelek értékeinek kijelölését.
Miután kiválasztotta az ügyfélalkalmazásokat, ez a szabályzat érvényes, válassza a Kész lehetőséget.
A Hozzáférési vezérlők>megadása területen válassza a 0 kijelölt vezérlőt.
A megnyíló új panelen válassza a Hozzáférés engedélyezése lehetőséget.
Jelölje be a Többtényezős hitelesítés megkövetelése jelölőnégyzetet, majd válassza a Kiválasztás lehetőséget.
A lap alján állítsa be a Házirend engedélyezése beállítást, és válassza a Létrehozás lehetőséget.
Feljegyzés
Amikor a webes ügyfélprogramot használja az Azure Virtual Desktopba való bejelentkezéshez a böngészőn keresztül, a napló az ügyfélalkalmazás azonosítóját a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop-ügyfél) néven sorolja fel. Ennek az az oka, hogy az ügyfélalkalmazás belsőleg kapcsolódik ahhoz a kiszolgálóalkalmazás-azonosítóhoz, amelyben a feltételes hozzáférési szabályzat be lett állítva.
Tipp.
Egyes felhasználók az összes alkalmazásba bejelentkezve maradnak, ha az általuk használt Windows-eszköz még nincs regisztrálva a Microsoft Entra ID-ban. Ha törlik az Eszköz kezelésének engedélyezése a szervezet számára jelölőnégyzetet, és a Nem lehetőséget választják , csak erre az alkalmazásra jelentkeznek be, akkor előfordulhat, hogy a rendszer gyakrabban kéri a hitelesítést.
Bejelentkezési gyakoriság konfigurálása
A bejelentkezési gyakorisági szabályzatokkal konfigurálhatja, hogy milyen gyakran kell bejelentkezniük a felhasználóknak a Microsoft Entra-alapú erőforrások elérésekor. Ez segíthet a környezet biztonságossá tételében, és különösen fontos a személyes eszközök esetében, ahol előfordulhat, hogy a helyi operációs rendszer nem igényel MFA-t, vagy inaktivitás után nem zárolja automatikusan. A rendszer csak akkor kéri a felhasználók hitelesítését, ha egy erőforrás elérésekor új hozzáférési jogkivonatot kérnek a Microsoft Entra-azonosítótól.
A bejelentkezési gyakorisági szabályzatok eltérő viselkedést eredményeznek a kiválasztott Microsoft Entra alkalmazás alapján:
Alkalmazás neve | Alkalmazásazonosító | Működés |
---|---|---|
Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Kényszeríti az újrahitelesítést, amikor egy felhasználó feliratkozik az Azure Virtual Desktopra, manuálisan frissíti az erőforrások listáját, és hitelesítést hajt végre az Azure Virtual Desktop Gatewayen egy kapcsolat során. Az újrahitelesítési időszak leteltével a háttércsatorna frissítése és a diagnosztikai feltöltés csendesen meghiúsul, amíg a felhasználó be nem fejezi a következő interaktív bejelentkezést a Microsoft Entra-ba. |
Microsoft Távoli asztal Windows Cloud-bejelentkezés |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Kényszeríti az újrahitelesítést, ha egy felhasználó bejelentkezik egy munkamenet-gazdagépre, amikor engedélyezve van az egyszeri bejelentkezés. Mindkét alkalmazást együtt kell konfigurálni, mivel az Azure Virtual Desktop-ügyfelek hamarosan átváltanak a Microsoft Távoli asztal alkalmazásról a Windows Cloud Login alkalmazásra a munkamenet-gazdagépen való hitelesítéshez. |
Annak az időszaknak a konfigurálásához, amely után a felhasználónak ismét be kell jelentkeznie:
- Nyissa meg a korábban létrehozott szabályzatot.
- A Hozzáférés-vezérlési>munkamenet területen válassza ki a 0 kijelölt vezérlőt.
- A Munkamenet panelen válassza a bejelentkezés gyakoriságát.
- Válassza a Rendszeres újrahitelesítés vagy minden alkalommal lehetőséget.
- Ha az Időszakos újrahitelesítés lehetőséget választja, adja meg annak az időtartamnak az értékét, amely után a rendszer arra kéri a felhasználót, hogy jelentkezzen be újra egy új hozzáférési jogkivonatot igénylő művelet végrehajtásakor, majd válassza a Kiválasztás lehetőséget. Ha például az értéket 1 értékre állítja, az egység pedig Órák értékre, többtényezős hitelesítést igényel, ha egy kapcsolat több mint egy órával az utolsó felhasználói hitelesítés után indul el.
- A Minden alkalommal lehetőség jelenleg előzetes verzióban érhető el, és csak akkor támogatott, ha a Microsoft Távoli asztal és a Windows Cloud Login alkalmazásra van alkalmazva, ha az egyszeri bejelentkezés engedélyezve van a gazdagépkészletben. Ha a Minden alkalommal lehetőséget választja, a rendszer az utolsó hitelesítés óta eltelt 5–10 perc elteltével kéri a felhasználókat, hogy újrahitelesítsék az új kapcsolatot.
- A lap alján válassza a Mentés lehetőséget.
Feljegyzés
- Az újrahitelesítés csak akkor történik meg, ha egy felhasználónak hitelesítenie kell magát egy erőforráson, és új hozzáférési jogkivonatra van szükség. A kapcsolat létrejötte után a rendszer akkor sem kéri a felhasználókat, ha a kapcsolat hosszabb ideig tart, mint a konfigurált bejelentkezési gyakoriság.
- A felhasználóknak újra meg kell adni a hitelesítést, ha olyan hálózati zavar lép fel, amely miatt a munkamenetet újra létre kell hozni a konfigurált bejelentkezési gyakoriság után. Ez gyakoribb hitelesítési kérésekhez vezethet instabil hálózatokon.
Microsoft Entra-hoz csatlakoztatott munkamenetgazda virtuális gépek
Ahhoz, hogy a kapcsolatok sikeresek legyenek, le kell tiltania a felhasználónkénti többtényezős hitelesítési bejelentkezési módszert. Ha nem szeretné korlátozni a bejelentkezést olyan erős hitelesítési módszerekre, mint a Vállalati Windows Hello, ki kell zárnia az Azure Windows rendszerű virtuálisgép-bejelentkezési alkalmazást a feltételes hozzáférési szabályzatból.