Aplicación de la autenticación multifactor de Microsoft Entra para Azure Virtual Desktop mediante el acceso condicional

Completado

Los usuarios pueden iniciar sesión en Azure Virtual Desktop desde cualquier lugar mediante distintos dispositivos y clientes. Sin embargo, hay ciertas medidas que debe tomar para ayudar a mantener su entorno y a los usuarios seguros. Cuando se usa la autenticación multifactor (MFA) de Microsoft Entra con Azure Virtual Desktop, durante el proceso de inicio de sesión, se le pide a los usuarios otra forma de identificación, además de su nombre de usuario y contraseña. Puede aplicar MFA para Azure Virtual Desktop mediante el acceso condicional y también puede configurar si se aplica al cliente web, las aplicaciones móviles, los clientes de escritorio o todos los clientes.

Cuando un usuario se conecta a una sesión remota, debe autenticarse en el servicio Azure Virtual Desktop y en el host de sesión. Si MFA está habilitado, se usa al conectarse al servicio Azure Virtual Desktop, y se solicita al usuario su cuenta de usuario y una segunda forma de autenticación, de la misma manera que el acceso a otros servicios. Cuando un usuario inicia una sesión remota, se requiere un nombre de usuario y una contraseña para el host de sesión, pero esto es sencillo para el usuario si está habilitado el inicio de sesión único (SSO). Para más información, consulte Métodos de autenticación.

Requisitos para poder comenzar:

• Asigne a los usuarios una licencia que incluya Microsoft Entra ID P1 o P2.
• Un grupo de Microsoft Entra con los usuarios de Azure Virtual Desktop asignados como miembros del grupo.
• Habilitar la autenticación multifactor de Microsoft Entra.

Creación de una directiva de acceso condicional

Aquí se muestra cómo crear una directiva de acceso condicional que exija autenticación multifactor al conectarse a Azure Virtual Desktop:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.

2. Vaya a Protección > Directivas de acceso condicional > Directivas.

3. Seleccione Nueva directiva.

4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

5. En Asignaciones > Usuarios, seleccione 0 usuarios y grupos seleccionados.

6. En la pestaña Incluir, seleccione Seleccionar usuarios y grupos y active Usuarios y grupos y, a continuación, en Seleccionar, seleccione 0 usuarios y grupos seleccionados.

7. En el nuevo panel que se abre, busque y elija el grupo que contiene los usuarios de Azure Virtual Desktop como miembros del grupo y, a continuación, seleccione Seleccionar.

8. En Asignaciones > Recursos de destino, seleccione No hay recursos de destino seleccionados.

9. En la pestaña Incluir, seleccione Seleccionar aplicaciones y, a continuación, en Seleccionar, seleccione Ninguno.

10. En el nuevo panel que se abre, busque y seleccione las aplicaciones necesarias en función de los recursos que está intentando proteger. Seleccione la pestaña correspondiente a su escenario. Al buscar un nombre de aplicación en Azure, use los términos de búsqueda que comienzan por el nombre de la aplicación en orden en lugar de las palabras clave que contiene el nombre de la aplicación. Por ejemplo, cuando quiera usar Azure Virtual Desktop, debe escribir "Azure Virtual" en ese orden. Si escribe "virtual" por sí mismo, la búsqueda no devuelve la aplicación deseada.

    Para Azure Virtual Desktop (basado en Azure Resource Manager), puede configurar MFA en estas diferentes aplicaciones:

    • Azure Virtual Desktop (id. de aplicación 9cdead84-a844-4324-93f2-b2e6bb768d07), que se aplica cuando el usuario se suscribe a Azure Virtual Desktop, se autentica en la puerta de enlace de Azure Virtual Desktop durante una conexión y cuando se envía información de diagnóstico al servicio desde el dispositivo local del usuario.
    • Escritorio remoto de Microsoft (id. de aplicación a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Inicio de sesión en la nube de Windows (id. de aplicación 270efc09-cd0d-444b-a71f-39af4910ec45). Se aplican cuando el usuario se autentica en el host de sesión cuando el inicio de sesión único está habilitado. Se recomienda hacer coincidir las directivas de acceso condicional entre estas aplicaciones y la aplicación Azure Virtual Desktop, excepto en lo que respecta a la frecuencia de inicio de sesión.

11. Una vez seleccionadas las aplicaciones, elija Seleccionar.

    

12. En Asignaciones > Condiciones, seleccione 0 condiciones seleccionadas.

13. En Aplicaciones cliente, seleccione No configurado.

14. En el nuevo panel que se abre, en Configurar, seleccione Sí.

15. Seleccione las aplicaciones cliente a las que se aplica esta directiva:

    • Seleccione Explorador si quiere que la directiva se aplique al cliente web.
    • Seleccione Aplicaciones móviles y aplicaciones de escritorio si quiere aplicar la directiva a otros clientes.
    • Active ambas casillas si quiere aplicar la directiva a todos los clientes.
    • Anule la selección de valores para clientes de autenticación heredados.

    

16. Una vez que haya seleccionado las aplicaciones cliente a las que se aplica esta directiva, seleccione Listo.

17. En Controles de acceso > Conceder, seleccione 0 controles seleccionados.

18. En el nuevo panel que se abre, seleccione Conceder acceso.

19. Active Requerir autenticación multifactor y seleccione Seleccionar.

20. Al final de la página, establezca Habilitar directiva en Activado y seleccione Crear.

Nota

Cuando use el cliente web para iniciar sesión en Azure Virtual Desktop desde el explorador, el registro mostrará el id. de la aplicación cliente como a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop Client). Esto se debe a que la aplicación cliente está vinculada internamente al identificador de la aplicación del servidor donde se estableció la directiva de acceso condicional.