Compartir a través de

Aplicación de Microsoft Entra autenticación multifactor para Azure Virtual Desktop mediante el acceso condicional

Los usuarios pueden iniciar sesión en Azure Virtual Desktop desde cualquier lugar mediante diferentes dispositivos y clientes. Sin embargo, hay ciertas medidas que debe tomar para ayudar a mantener el entorno y los usuarios seguros. El uso de Microsoft Entra autenticación multifactor (MFA) con Azure Virtual Desktop solicita a los usuarios durante el proceso de inicio de sesión otra forma de identificación además de su nombre de usuario y contraseña. Puede aplicar MFA para Azure Virtual Desktop mediante el acceso condicional y también puede configurar si se aplica al cliente web, las aplicaciones móviles, los clientes de escritorio o todos los clientes.

Cuando un usuario se conecta a una sesión remota, debe autenticarse en el servicio Azure Virtual Desktop y en el host de sesión. Si MFA está habilitado, se usa al conectarse al servicio Azure Virtual Desktop y se solicita al usuario su cuenta de usuario y una segunda forma de autenticación, de la misma manera que el acceso a otros servicios. Cuando un usuario inicia una sesión remota, se requiere un nombre de usuario y una contraseña para el host de sesión, pero esto es fácil para el usuario si el inicio de sesión único (SSO) está habilitado. Para obtener más información, vea Métodos de autenticación.

La frecuencia con la que se solicita a un usuario que vuelva a autenticarse depende de Microsoft Entra directivas de duración de sesión adaptable de acceso condicional. Aunque recordar las credenciales es conveniente, también puede hacer que las implementaciones con dispositivos personales sean menos seguras. Para proteger a los usuarios, puede asegurarse de que el cliente solicita Microsoft Entra credenciales de autenticación multifactor con más frecuencia. Puede usar la frecuencia de inicio de sesión de acceso condicional para configurar este comportamiento.

Obtenga información sobre cómo aplicar MFA para Azure Virtual Desktop y, opcionalmente, configurar la frecuencia de inicio de sesión en las secciones siguientes.

Requisitos previos

Esto es lo que necesita para empezar:

Crear una directiva de acceso condicional

A continuación se muestra cómo crear una directiva de acceso condicional que requiera autenticación multifactor al conectarse a Azure Virtual Desktop:

  1. Inicie sesión en el Centro de administración Microsoft Entra como al menos un administrador de acceso condicional.

  2. Vaya a Directivas deacceso> condicional de protección>.

  3. Seleccione Nueva directiva.

  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. En Usuarios de asignaciones>, seleccione0 usuarios y grupos seleccionados.

  6. En la pestaña Incluir , seleccione Seleccionar usuarios y grupos , seleccione Usuarios y grupos y, a continuación, en Seleccionar, seleccione 0 usuarios y grupos seleccionados.

  7. En el nuevo panel que se abre, busque y elija el grupo que contiene los usuarios de Azure Virtual Desktop como miembros del grupo y seleccione Seleccionar.

  8. En Asignaciones>Recursos de destino, seleccione No hay recursos de destino seleccionados.

  9. En la lista desplegable Seleccione a qué se aplica esta directiva, deje el valor predeterminado de Recursos (anteriormente aplicaciones en la nube). En la pestaña Incluir , seleccione Seleccionar recursos y, a continuación, en Seleccionar, seleccione Ninguno.

  10. En el nuevo panel que se abre, busque y seleccione las aplicaciones necesarias en función de los recursos que intenta proteger. Seleccione la pestaña correspondiente para el escenario. Al buscar un nombre de aplicación en Azure, use términos de búsqueda que comiencen por el nombre de la aplicación en orden en lugar de las palabras clave que el nombre de la aplicación contiene desordenado. Por ejemplo, si desea usar Azure Virtual Desktop, debe escribir "Azure Virtual", en ese orden. Si escribe "virtual" por sí mismo, la búsqueda no devuelve la aplicación deseada.

    Para Azure Virtual Desktop (basado en Azure Resource Manager), puede configurar MFA en estas aplicaciones diferentes:

    • Azure Virtual Desktop (id. 9cdead84-a844-4324-93f2-b2e6bb768d07de aplicación), que se aplica cuando el usuario se suscribe a Azure Virtual Desktop, se autentica en la puerta de enlace de Azure Virtual Desktop durante una conexión y cuando se envía información de diagnóstico al servicio desde el dispositivo local del usuario.

      Sugerencia

      El nombre de la aplicación era anteriormente Windows Virtual Desktop. Si registró el proveedor de recursos Microsoft.DesktopVirtualization antes de cambiar el nombre para mostrar, la aplicación se denominará Windows Virtual Desktop con el mismo identificador de aplicación que Azure Virtual Desktop.

    • Inicio de sesión en la nube de Windows (id. 270efc09-cd0d-444b-a71f-39af4910ec45de aplicación), que se aplica cuando el usuario se autentica en el host de sesión cuando está habilitado el inicio de sesión único . Se recomienda que coincida con las directivas de acceso condicional entre estas aplicaciones y la aplicación de Azure Virtual Desktop, excepto por la frecuencia de inicio de sesión.

      Importante

      • Si se conecta a Azure Virtual Desktop con clientes ligeros, póngase en contacto con el proveedor del cliente para confirmar que debe usar las directivas De inicio de sesión en la nube de Windows para acceso condicional para conexiones de inicio de sesión único.

      • No seleccione la aplicación denominada Azure Virtual Desktop Azure Resource Manager Provider (id. 50e95039-b200-4007-bc97-8d5790743a63de aplicación). Esta aplicación solo se usa para recuperar la fuente de usuario y no debe tener autenticación multifactor.

  11. Una vez que haya seleccionado las aplicaciones, seleccione Seleccionar.

    Captura de pantalla de la página de acciones o aplicaciones en la nube de acceso condicional. Se muestra la aplicación de Azure Virtual Desktop.

  12. En Condiciones de asignaciones>, seleccione 0 condiciones.

  13. En Aplicaciones cliente, seleccione No configurado.

  14. En el nuevo panel que se abre, en Configurar, seleccione .

  15. Seleccione las aplicaciones cliente a las que se aplica esta directiva:

    • Seleccione Explorador si desea que la directiva se aplique al cliente web.
    • Seleccione Aplicaciones móviles y clientes de escritorio si desea aplicar la directiva a otros clientes.
    • Active ambas casillas si desea aplicar la directiva a todos los clientes.
    • Anule la selección de los valores de los clientes de autenticación heredados.

    Captura de pantalla de la página Aplicaciones cliente de acceso condicional. El usuario ha seleccionado las casillas aplicaciones móviles y clientes de escritorio, así como las casillas del explorador.

  16. Una vez que haya seleccionado las aplicaciones cliente a las que se aplica esta directiva, seleccione Listo.

  17. En Conceder controles> de acceso, seleccione 0 controles seleccionados.

  18. En el nuevo panel que se abre, seleccione Conceder acceso.

  19. Active Requerir autenticación multifactor y seleccione Seleccionar.

  20. En la parte inferior de la página, establezca Habilitar directivaen Activado y seleccione Crear.

Nota:

Al usar el cliente web para iniciar sesión en Azure Virtual Desktop a través del explorador, el registro mostrará el identificador de la aplicación cliente como a85cf173-4192-42f8-81fa-777a763e6e2c (cliente de Azure Virtual Desktop). Esto se debe a que la aplicación cliente está vinculada internamente al identificador de aplicación de servidor donde se estableció la directiva de acceso condicional.

Sugerencia

Es posible que algunos usuarios vean un mensaje titulado Mantener la sesión iniciada en todas las aplicaciones si el dispositivo Windows que usan no está registrado con Microsoft Entra ID. Si anulan la selección de Permitir que mi organización administre mi dispositivo y seleccionan No, inicie sesión solo en esta aplicación, es posible que se les pida autenticación con más frecuencia.

Configuración de la frecuencia de inicio de sesión

Las directivas de frecuencia de inicio de sesión le permiten configurar la frecuencia con la que los usuarios deben iniciar sesión al acceder a recursos basados en Microsoft Entra. Esto puede ayudar a proteger el entorno y es especialmente importante para los dispositivos personales, donde es posible que el sistema operativo local no requiera MFA o que no se bloquee automáticamente después de la inactividad. Se pide a los usuarios que se autentiquen solo cuando se solicita un nuevo token de acceso desde Microsoft Entra ID al acceder a un recurso.

Las directivas de frecuencia de inicio de sesión producen un comportamiento diferente en función de la Microsoft Entra aplicación seleccionada:

Nombre de la aplicación Identificador de la aplicación Comportamiento
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Aplica la reautenticación cuando un usuario se suscribe a Azure Virtual Desktop, actualiza manualmente su lista de recursos y se autentica en la puerta de enlace de Azure Virtual Desktop durante una conexión.

Una vez finalizado el período de reautenticación, se produce un error en la actualización de la fuente en segundo plano y la carga de diagnósticos hasta que un usuario complete su siguiente inicio de sesión interactivo en Microsoft Entra.
Inicio de sesión en la nube de Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Exige la reautenticación cuando un usuario inicia sesión en un host de sesión cuando está habilitado el inicio de sesión único .

Para configurar el período de tiempo después del cual se pide a un usuario que vuelva a iniciar sesión:

  1. Abra la directiva que creó anteriormente.
  2. En Controles> de accesoSesión, seleccione 0 controles seleccionados.
  3. En el panel Sesión , seleccione Frecuencia de inicio de sesión.
  4. Seleccione Reautorización periódica o Cada vez.
    • Si selecciona Reautenticación periódica, establezca el valor para el período de tiempo después del cual se le pide a un usuario que vuelva a iniciar sesión al realizar una acción que requiera un nuevo token de acceso y, a continuación, seleccione Seleccionar. Por ejemplo, si se establece el valor en 1 y la unidad en Horas, se requiere la autenticación multifactor si se inicia una conexión más de una hora después de la última autenticación de usuario.
    • La opción Cada vez solo se admite cuando se aplica a la aplicación Inicio de sesión en la nube de Windows cuando el inicio de sesión único está habilitado para el grupo de hosts. Si selecciona Cada vez, se pedirá a los usuarios que vuelvan a autenticarse al iniciar una nueva conexión después de un período de entre 5 y 10 minutos desde su última autenticación.
  5. En la parte inferior de la página, seleccione Guardar.

Nota:

  • La reautenticación solo se produce cuando un usuario debe autenticarse en un recurso y se necesita un nuevo token de acceso. Una vez establecida una conexión, no se preguntará a los usuarios aunque la conexión dure más tiempo que la frecuencia de inicio de sesión que haya configurado.
  • Los usuarios deben volver a autenticarse si hay una interrupción de la red que obliga a volver a establecer la sesión después de la frecuencia de inicio de sesión que ha configurado. Esto puede dar lugar a solicitudes de autenticación más frecuentes en redes inestables.

Microsoft Entra máquinas virtuales de host de sesión unidas

Para que las conexiones se realicen correctamente, debe deshabilitar el método heredado de inicio de sesión de autenticación multifactor por usuario. Si no quiere restringir el inicio de sesión a métodos de autenticación seguros como Windows Hello para empresas, debe excluir la aplicación de Sign-In de máquina virtual Windows de Azure de la directiva de acceso condicional.

Pasos siguientes

  • Last updated on