Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando Acesso Condicional

Os usuários podem entrar na Área de Trabalho Virtual do Azure de qualquer lugar usando diferentes dispositivos e clientes. No entanto, há certas medidas que você deve tomar para ajudar a manter seu ambiente e seus usuários seguros. O uso da autenticação multifator (MFA) do Microsoft Entra com a Área de Trabalho Virtual do Azure solicita aos usuários durante o processo de entrada outra forma de identificação, além de seu nome de usuário e senha. Você pode impor a MFA para a Área de Trabalho Virtual do Azure usando o Acesso Condicional e também pode configurar se ela se aplica ao cliente Web, aplicativos móveis, clientes da área de trabalho ou a todos os clientes.

Quando um usuário se conecta a uma sessão remota, ele precisa se autenticar no serviço de Área de Trabalho Virtual do Azure e no host da sessão. Se a MFA estiver habilitada, ela será usada ao se conectar ao serviço de Área de Trabalho Virtual do Azure e o usuário será solicitado a fornecer sua conta de usuário e uma segunda forma de autenticação, da mesma forma que ao acessar outros serviços. Quando um usuário inicia uma sessão remota, um nome de usuário e uma senha são necessários para o host da sessão, mas isso é contínuo para o usuário se o logon único (SSO) estiver habilitado. Para obter mais informações, consulte métodos de autenticação.

Aqui está o que você precisa para começar:

• Atribua aos usuários uma licença que inclui o Microsoft Entra ID P1 ou P2.
• Um grupo do Microsoft Entra com seus usuários da Área de Trabalho Virtual do Azure atribuídos como membros do grupo.
• Habilitar a autenticação multifator do Microsoft Entra.

Criar uma política de Acesso Condicional

Veja como criar uma política de Acesso Condicional que requer autenticação multifator ao se conectar à Área de Trabalho Virtual do Azure:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

2. Navegue até Proteção > Acesso Condicional > Políticas.

3. Selecione Nova política.

4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

5. Em Atribuições e Usuários>, selecione Nenhum usuário ou grupo selecionado.

6. Na guia Incluir, selecione Selecionar usuários e grupos e marque Usuários e grupos, depois, em Selecionar, selecione 0 usuários e grupos selecionados.

7. No novo painel que é aberto, pesquise e escolha o grupo que contém os usuários da Área de Trabalho Virtual do Azure como membros do grupo e selecione Selecionar.

8. Em Atribuições > Recursos de destino, selecione Nenhum recurso de destino selecionado.

9. Na guia Incluir , selecione Selecionar aplicativos e, em Selecionar, selecioneNenhum.

10. No novo painel aberto, pesquise e selecione os aplicativos necessários com base nos recursos que você está tentando proteger. Selecione a guia relevante para o seu cenário. Ao pesquisar um nome de aplicativo no Azure, use os termos de pesquisa que começam com o nome do aplicativo em ordem, em vez de palavras-chave que o nome do aplicativo contenha fora de ordem. Por exemplo, quando você deseja usar a Área de Trabalho Virtual do Azure, precisa inserir 'Azure Virtual', nessa ordem. Se você inserir 'virtual' por si só, a pesquisa não retornará o aplicativo desejado.

    Para a Área de Trabalho Virtual do Azure (com base no Azure Resource Manager), você pode configurar a MFA nesses diferentes aplicativos:

    • Área de Trabalho Virtual do Azure (ID do aplicativo 9cdead84-a844-4324-93f2-b2e6bb768d07), que se aplica quando o usuário assina a Área de Trabalho Virtual do Azure, autentica-se no Gateway de Área de Trabalho Virtual do Azure durante uma conexão e quando as informações de diagnóstico são enviadas ao serviço do dispositivo local do usuário.
    • Área de Trabalho Remota da Microsoft (ID do aplicativo a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Logon na Nuvem do Windows (ID do aplicativo 270efc09-cd0d-444b-a71f-39af4910ec45). Elas se aplicam quando o usuário se autentica no host da sessão quando o logon único está habilitado. É recomendável alinhar as políticas de acesso condicional entre esses aplicativos e o aplicativo Azure Virtual Desktop, exceto pela frequência de entrada.

11. Depois de selecionar seus aplicativos, selecione Selecionar.

    

12. Em Atribuições > Condições, selecione 0 condições selecionadas.

13. Em aplicativos cliente, selecione Não configurado.

14. No novo painel que é aberto, para Configurar, selecioneSim.

15. Selecione os aplicativos clientes aos quais esta política se aplica:

    • Selecione Navegador se você quiser que a política se aplique ao cliente Web.
    • Selecione aplicativos móveis e clientes de desktop se você quiser aplicar a política a outros clientes.
    • Marque ambas as caixas de seleção se quiser aplicar a política a todos os clientes.
    • Desmarque os valores para clientes de autenticação herdados.

    

16. Depois de selecionar os aplicativos cliente aos quais essa política se aplica, selecione Concluído.

17. Em Controles de Acesso > Conceder, selecione 0 controles selecionados.

18. No novo painel aberto, selecione Conceder acesso.

19. Verifique Exigir autenticação multifator e então selecione Selecionar.

20. Na parte inferior da página, defina Habilitar política como Ativar e selecione Criar.