最近,我为客户实施了Windows虚拟桌面(WVD)。该客户的政策是,除了从受管设备进行连接时,您始终需要在访问远程应用程序或桌面之前受到多重身份验证(MFA)的挑战。
要使用Windows虚拟桌面实现此目的,必须使用会话设置创建Azure条件访问策略(目前,我知道此计划在功能上有很大改进)。
如果没有此Azure条件访问策略,则用户可以选中 记得我 如果在“远程桌面”客户端中进行身份验证,则启用此选项后,即使重新启动设备,最终用户也不会在几天内收到登录请求。幸运的是,已经有了一个很好的解决方法,我将在此博客中向您展示。
要求
要设置此博客中描述的配置,您需要在您的环境中进行以下操作:
- Windows虚拟桌面环境已启动并正在运行(包括必需的许可证)
- 对于条件访问策略,您至少需要拥有一个Azure AD P1许可证(属于EM + S和M365许可证)
在这个博客中
该博客将涵盖以下步骤:
- 步骤1:使用会话设置创建条件访问策略
- 步骤2:测试结果
步骤1:使用会话设置创建条件访问策略
对于以下步骤,登录到 微软 蔚蓝门户 作为全局管理员。
打开 蔚蓝 AD条件访问 服务。
点击 +新政策 纽扣
给条件访问策略命名,在这种情况下,我给它命名 Windows虚拟桌面– MFA。点击下 作业 上 用户和组 并选择您要应用此策略的用户或组。请点击 完成了
点击 云应用程序或操作,点击 选择应用 然后搜索并选择 Windows虚拟桌面 和 Windows虚拟桌面客户端。请点击 选择 和 完成了.
下 访问控制 点击 格兰特。在右侧,选择 大通道 然后选择 需要多因素身份验证 (如果您想强制执行MFA)和(可选) 要求设备被标记为兼容 (如果要对受管和兼容设备进行例外处理)。在页面底部选择 需要所选控件之一。请点击 选择
点击 届会。在右侧选择 登入频率。现在您必须以小时或天为单位填写一个值,在这种情况下,我将配置一个小时。请点击 选择
确保您设置了 启用政策 设置为 上 然后点击 创造
步骤2:测试结果
现在,条件访问策略已经到位,现在可以测试它了。
打开 远程桌面客户端 然后点击 订阅
输入您的用户名和密码,然后单击 登入
如您所见,现在您将面临多重身份验证的挑战。
之后,所有已发布的远程应用程序和桌面均可见。
现在以启动Firefox为例。如您首次启动应用程序所期望的那样,系统将提示您输入凭据。填写您的用户名和密码,如果需要,请勾选 记得我。按 好
一个小时后,启动相同或另一个应用程序。如您所见,即使您选择了 记得我 复选框上一次。
正如预期的那样,您还将受到多重身份验证的挑战。
注意: 我从不是由Microsoft 音调管理的PC上对此进行了测试。如果我从受管且兼容的Windows 10设备进行此测试,则不会受到条件访问策略中配置的MFA的挑战。
10条评论。 离开新的
罗宾–您是否能够确定类似的条件访问策略,以要求WVD Web客户端一个小时后需要MFA(http://aka.ms/wvdweb),因为锁定Windows RD客户端仅是成功的一半,那么用户还可以访问Web客户端,并且一小时后无需再次提示MFA吗?
嗨,安东尼,Windows RD客户端的工作原理有所不同。但是,有了此CA,登录时还会遇到MFA挑战。唯一的不同是你不’每小时都会收到MFA请求。但是一旦用户关闭浏览器,以后又想再次登录。将再次提示MFA,而本地远程桌面客户端则不是这种情况。
感谢您的详细解释!一旦激活此功能,就会遇到类似于本文所述的问题: //techcommunity.microsoft.com/t5/windows-virtual-desktop/login-loop-in-remote-desktop-client/m-p/1459028
关于可能导致此问题的任何想法?
你好罗宾
如果您愿意,您是否可以申请该政策申请IP范围’不使用InTune管理设备?例如,来自公司公共IP背后的所有连接都不会受到MFA的挑战,但是其他所有连接都会受到挑战。