Meervoudige verificatie van Microsoft Entra afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang

Voltooid

Gebruikers kunnen zich vanaf elke locatie aanmelden voor Azure Virtual Desktop met verschillende apparaten en clients. Er zijn echter bepaalde maatregelen die u moet nemen om uw omgeving en uw gebruikers te beschermen. Als u Meervoudige verificatie (MFA) van Microsoft Entra gebruikt met Azure Virtual Desktop, wordt gebruikers tijdens het aanmeldingsproces gevraagd om een andere vorm van identificatie naast hun gebruikersnaam en wachtwoord. U kunt MFA afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang en u kunt ook configureren of deze van toepassing is op de webclient, mobiele apps, desktopclients of alle clients.

Wanneer een gebruiker verbinding maakt met een externe sessie, moet deze zich verifiëren bij de Azure Virtual Desktop-service en de sessiehost. Als MFA is ingeschakeld, wordt deze gebruikt bij het maken van verbinding met de Azure Virtual Desktop-service en wordt de gebruiker gevraagd om zijn gebruikersaccount en een tweede vorm van verificatie, op dezelfde manier als bij het openen van andere services. Wanneer een gebruiker een externe sessie start, is een gebruikersnaam en wachtwoord vereist voor de sessiehost, maar dit is naadloos voor de gebruiker als eenmalige aanmelding (SSO) is ingeschakeld. Zie Verificatiemethoden voor meer informatie.

Dit is wat u nodig hebt om aan de slag te gaan:

• Wijs gebruikers een licentie toe die Microsoft Entra ID P1 of P2 bevat.
• Een Microsoft Entra-groep met uw Azure Virtual Desktop-gebruikers die zijn toegewezen als groepsleden.
• Schakel Meervoudige Verificatie van Microsoft Entra in.

Beleid voor voorwaardelijke toegang maken

U kunt als volgt een beleid voor voorwaardelijke toegang maken waarvoor meervoudige verificatie is vereist bij het maken van verbinding met Azure Virtual Desktop:

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.

2. Blader naar > voor voorwaardelijke toegang > beveiligen.

3. Selecteer Nieuw beleid.

4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.

5. Selecteer onder > 0 gebruikers en groepen geselecteerd.

6. Selecteer op het tabblad Opnemen de optie Gebruikers en groepen selecteren en controleer gebruikers en groepen en selecteer vervolgens onder Selecteren 0 gebruikers en groepen geselecteerd.

7. Zoek en kies in het nieuwe deelvenster dat wordt geopend de groep met uw Azure Virtual Desktop-gebruikers als groepsleden en selecteer vervolgens Selecteren.

8. Selecteer onder Toewijzingen > doelbronnen geen doelbronnengeselecteerd.

9. Selecteer op het tabblad Opnemen de optie Apps selecteren en selecteer vervolgens onder Selecteren de optie Geen.

10. Zoek en selecteer in het nieuwe deelvenster dat wordt geopend de benodigde apps op basis van de resources die u wilt beveiligen. Selecteer het relevante tabblad voor uw scenario. Wanneer u zoekt naar een toepassingsnaam in Azure, gebruikt u zoektermen die beginnen met de naam van de toepassing in de gewenste volgorde in plaats van trefwoorden die de naam van de toepassing bevat. Als u bijvoorbeeld Azure Virtual Desktop wilt gebruiken, moet u in die volgorde 'Azure Virtual' invoeren. Als u zelf 'virtueel' invoert, retourneert de zoekopdracht niet de gewenste toepassing.

    Voor Azure Virtual Desktop (op basis van Azure Resource Manager) kunt u MFA configureren voor deze verschillende apps:

    • Azure Virtual Desktop (app-id 9cdead84-a844-4324-93f2-b2e6bb768d07), die van toepassing is wanneer de gebruiker zich abonneert op Azure Virtual Desktop, verifieert bij de Azure Virtual Desktop-gateway tijdens een verbinding en wanneer diagnostische gegevens naar de service worden verzonden vanaf het lokale apparaat van de gebruiker.
    • Microsoft Extern bureaublad (app-id a4a365df-50f1-4397-bc59-1a1564b8bb9c) en Windows Cloud Login (app ID 270efc09-cd0d-444b-a71f-39af4910ec45). Deze zijn van toepassing wanneer de gebruiker wordt geverifieerd bij de sessiehost wanneer eenmalige aanmelding is ingeschakeld. Het wordt aanbevolen om overeen te komen met het beleid voor voorwaardelijke toegang tussen deze apps en de Azure Virtual Desktop-app, met uitzondering van de aanmeldingsfrequentie.

11. Nadat u uw apps hebt geselecteerd, selecteert u Selecteren.

    

12. Selecteer onder Voorwaarden voor toewijzingen >0 voorwaarden.

13. Selecteer onder Client-apps de optie Niet geconfigureerd.

14. Selecteer Ja in het nieuwe deelvenster dat wordt geopend voor Configureren.

15. Selecteer de client-apps waarop dit beleid van toepassing is:

    • Selecteer Browser als u wilt dat het beleid wordt toegepast op de webclient.
    • Selecteer Mobiele apps en desktopclients als u het beleid wilt toepassen op andere clients.
    • Schakel beide selectievakjes in als u het beleid wilt toepassen op alle clients.
    • Deselecteer waarden voor verouderde verificatieclients.

    

16. Zodra u de client-apps hebt geselecteerd waarop dit beleid van toepassing is, selecteert u Gereed.

17. Selecteer onder Toegangsbeheer > verlenen 0 geselecteerde besturingselementen.

18. Selecteer Toegang verlenen in het nieuwe deelvenster dat wordt geopend.

19. Schakel Meervoudige verificatie vereisen in en selecteer Vervolgens Selecteren.

20. Stel onder aan de pagina Beleidinschakelen in op Aan en selecteer Maken.

Notitie

Wanneer u de webclient gebruikt om u via uw browser aan te melden bij Azure Virtual Desktop, wordt de client-app-id weergegeven als a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop-client). Dit komt doordat de client-app intern is gekoppeld aan de server-app-id waar het beleid voor voorwaardelijke toegang is ingesteld.