使用條件式存取針對 Azure 虛擬桌面強制執行 Microsoft Entra 多重要素驗證

  • 3 分鐘

使用者可以使用不同的裝置和用戶端,從任何地方登入 Azure 虛擬桌面。 但您應該採取某些措施來協助保護環境和使用者的安全。 將 Microsoft Entra 多重要素驗證 (MFA) 與 Azure 虛擬桌面搭配使用,在登入程序中也會提示使用者提供除使用者名稱和密碼以外的身分驗證形式。 您可以使用條件式存取為 Azure 虛擬桌面強制執行 MFA,也可以設定要將其套用至 web 用戶端、行動應用程式、桌面用戶端,還是所有用戶端。

當使用者連線到遠端工作階段時,他們需要向 Azure 虛擬桌面服務和工作階段主機進行驗證。 如果已啟用 MFA,則會在連線到 Azure 虛擬桌面服務,且系統會提示使用者輸入其使用者帳戶和第二個驗證形式時使用,如同存取其他服務的方式。 當使用者啟動遠端工作階段時,工作階段主機需要使用者名稱和密碼,但如果已啟用單一登入 (SSO),使用者就可無縫完成此作業。 如需詳細資訊,請參閱驗證方法

若要開始,您需要:

建立條件式存取原則

以下說明如何建立條件式存取原則,而此條件式存取原則在連線至 Azure 虛擬桌面時需要多重要素驗證:

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護] > [條件式存取] > [原則]

  3. 選取 [新增原則]

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 在 [指派] > [使用者] 底下,選取 [已選取 0 個使用者和群組]

  6. 在 [包含] 索引標籤底下,選取 [選取使用者和群組],然後核取 [使用者和群組],然後在 [選取] 底下選取 [0 個使用者和群組]。

  7. 在開啟的新窗格中,搜尋並選擇包含 Azure 虛擬桌面使用者的群組作為群組成員,然後選取 [選取]

  8. 在 [指派] > [目標資源] 底下,選取 [未選取目標資源]

  9. 在 [包含] 索引標籤底下,選取 [選取應用程式],然後在 [選取] 底下選取 [無]

  10. 在開啟的新窗格中,根據您嘗試保護的資源,搜尋並選取必要的應用程式。 選取案例相關的索引標籤。 在 Azure 上搜尋應用程式名稱時,請依序使用開頭為應用程式名稱的搜尋字詞,而不是應用程式名稱包含順序不一的關鍵字。 例如,當您想要使用 Azure 虛擬桌面時,必須依該順序輸入『Azure Virtual』。 如果您僅輸入『virtual』,搜尋不會傳回所需的應用程式。

    如果您使用的是以 Azure Resource Manager 為基礎的 Azure 虛擬桌面,可以在兩個不同應用程式上設定 MFA:

    • Azure 虛擬桌面 (應用程式識別碼 9cdead84-a844-4324-93f2-b2e6bb768d07),適用於使用者訂閱 Azure 虛擬桌面、在連線期間向 Azure 虛擬桌面閘道進行驗證,以及診斷資訊從使用者的本機裝置傳送至服務的情況。
    • Microsoft 遠端桌面 (應用程式識別碼 a4a365df-50f1-4397-bc59-1a1564b8bb9c) 和 Windows Cloud 登入 (應用程式識別碼 270efc09-cd0d-444b-a71f-39af4910ec45)。 當使用者在啟用單一登入的情況下,向工作階段主機進行驗證時便適用。 建議您比對這些應用程式和 Azure 虛擬桌面應用程式之間的條件式存取原則,但登入頻率除外。

  11. 選取應用程式之後,選取 [選取]

    條件式存取雲端應用程式或動作頁面的螢幕擷取畫面。

  12. 在 [指派] > [條件] 下方,選取 [已選取 0 個條件]

  13. 在 [用戶端應用程式] 底下,選取 [未設定]

  14. 在開啟的新窗格中,針對 [設定] 選取 [是]

  15. 選取將套用此原則的用戶端應用程式:

    • 如果您想要將原則套用至 Web 用戶端,則請選取 [瀏覽器]
    • 如果您想要將原則套用至其他用戶端,則請選取 [行動應用程式和桌面用戶端]
    • 如果您想要將原則套用至所有用戶端,則請選取這兩個核取方塊。
    • 取消選取舊版驗證用戶端的值。

    條件式存取用戶端應用程式頁面的螢幕擷取畫面。

  16. 選取要套用此原則的用戶端應用程式之後,選取 [完成]

  17. 在 [存取控制 > 授與] 下,選取 [已選取 0 個控制項]

  18. 在開啟的新窗格中,選取 [授與存取權]

  19. 勾選 [需要多重要素驗證],然後選取 [選取]

  20. 在頁面底部,將 [啟用原則] 設定為 [開啟],然後選取 [建立]。

注意

當您使用 Web 用戶端透過瀏覽器登入 Azure 虛擬桌面時,記錄檔會將用戶端應用程式識別碼列為 a85cf173-4192-42f8-81fa-777a763e6e2c (Azure 虛擬桌面用戶端)。 這是因為用戶端應用程式會在內部連結至設定條件式存取原則的伺服器應用程式識別碼。