Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die mehrstufige Authentifizierung (Multifactor Authentication, MFA) verbessert die Sicherheit von Remotedesktopdiensten (RDS), weil Benutzer ihre Identität über mehrere Authentifizierungsmethoden verifizieren müssen. Diese zusätzliche Schutzebene schützt sensible Ressourcen und reduziert das Risiko nicht autorisierter Zugriffe. Dieser Artikel enthält eine Übersicht zu Benutzererfahrung, Architekturkomponenten und Sicherheitsvorteilen der Integration von MFA in RDS sowie relevante Aspekte für die Planung der Bereitstellung.
Benutzererfahrung
Endbenutzer, die eine Verbindung mit Desktops und Anwendungen herstellen, müssen die Authentifizierung mit einer zweiten Methode vornehmen, um eine Verbindung mit der gewünschten Ressource herzustellen. Der Prozess umfasst in der Regel Folgendes:
Starten einer Desktop- oder RemoteApp.
Beim Herstellen einer Verbindung mit dem RD-Gateway für den sicheren Remotezugriff wird eine MFA-Abfrage für eine mobile App empfangen.
Ordnungsgemäße Authentifizierung, damit die Verbindung mit den Ressourcen hergestellt wird.
Architekturkomponenten
RDS kann mit dem Netzwerkrichtlinienserver in Windows Server und seine Erweiterung für Microsoft Entra ID integriert werden. Eine typische RDS MFA-Implementierung umfasst:
- RD-Gateway: Dient als Einstiegspunkt für Remoteverbindungen.
- Netzwerkrichtlinienserver (Network Policy Server, NPS): Verarbeitet Authentifizierungsanforderungen und setzt die Anwendung von Richtlinien durch.
- Microsoft Entra ID: Stellt cloudbasierte MFA-Dienste bereit.
- NPS-Erweiterung: Verbindet lokale NPS mit cloudbasierter MFA.
Weitere Informationen finden Sie unter Integrieren Sie Ihre Remote Desktop Gateway Infrastruktur mit der Erweiterung Network Policy Server (NPS) und Microsoft Entra ID.
Bei der Planung einer MFA-Bereitstellung müssen Sie die folgenden Komponenten berücksichtigen:
- Benutzerregistrierung: Planen Sie, wie Benutzer ihre MFA-Methoden registrieren.
- Sicherungsauthentifizierung: Konfigurieren alternativer Methoden für Benutzer, die primäre Geräte verlieren.
- Bedingter Zugriff: Erwägen Sie die Implementierung standortbasierter oder gerätebasierter Richtlinien.
- Netzwerkanforderungen: Stellen Sie sicher, dass Firewallregeln die Kommunikation mit MFA-Dienstendpunkten ermöglichen.
Sicherheitsvorteile
Die Implementierung von MFA mit Remotedesktopdiensten bietet Folgendes:
- Reduziertes Sicherheitsrisiko: Auch wenn Kennwörter kompromittiert werden, verhindert die zusätzliche Verifizierung nicht autorisierte Zugriffe.
- Compliance-Unterstützung: Unterstützt die Einhaltung gesetzlicher Anforderungen für den sicheren Remotezugriff.
- Zentrale Verwaltung: Einheitliche MFA-Richtlinien für cloud- und lokale Ressourcen.
- Überwachungsfunktionen: Detaillierte Protokollierung der verwendeten Authentifizierungsversuche und -methoden.