英語で読む

条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する

  • [アーティクル]

重要

Azure Virtual Desktop (classic) のドキュメントからこのページに来た方は、この記事を読み終えた後 Azure Virtual Desktop (classic) のドキュメントに戻ることを忘れないでください。

ユーザーは、さまざまなデバイスとクライアントを使用してどこからでも Azure Virtual Desktop にサインインできます。 ただし、自身の環境とユーザーを安全に保つために実行が必要な特定の対策があります。 Azure Virtual Desktop で Microsoft Entra 多要素認証 (MFA) を使用すると、サインイン プロセス中に、ユーザー名とパスワードに加えて、別の ID 形式を求めるダイアログがユーザーに表示されます。 条件付きアクセスを使用して Azure Virtual Desktop に MFA を適用することができ、さらに Web クライアント、モバイル アプリ、デスクトップ クライアント、またはすべてのクライアントのいずれに適用するか構成できます。

ユーザーが再認証を求められる頻度は、Microsoft Entra セッションの有効期間の構成設定によって異なります。 たとえば、Windows クライアント デバイスが Microsoft Entra ID に登録されている場合、アプリケーション間のシングル サインオン (SSO) に使用するプライマリ更新トークン (PRT) を受信します。 発行された PRT は 14 日間有効であり、ユーザーがデバイスをアクティブに使用している限り継続的に更新されます。

資格情報を記憶させることは便利ですが、個人デバイスを使用する企業のシナリオ向けのデプロイのセキュリティを低下させる可能性もあります。 ユーザーを保護するには、クライアントが Microsoft Entra 多要素認証の資格情報をより頻繁に要求し続けるようにできます。 条件付きアクセスを使用して、この動作を構成できます。

Azure Virtual Desktop に MFA を適用し、必要に応じて以下のサインイン頻度を構成する方法について説明します。

前提条件

使用を開始するために必要なものを次に示します。

条件付きアクセス ポリシーを作成する

Azure Virtual Desktop に接続するときに多要素認証が必要な条件付きアクセス ポリシーを作成する方法を、ここで説明します。

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。

  2. 検索バーに「Microsoft Entra 条件付きアクセス」と入力し、一致するサービス エントリを選びます。

  3. 概要から、[新しいポリシーの作成] を選びます。

  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。

  5. [割り当て]>[ユーザー] で、[0 個のユーザーとグループが選択されました] を選びます。

  6. [含める] タブで [ユーザーとグループの選択] を選び、[ユーザーとグループ] をオンにして、[選択][0 個のユーザーとグループが選択されました] を選びます。

  7. 開いた新しいペインで、グループ メンバーとして Azure Virtual Desktop ユーザーを含むグループを検索して選び、[選択] を選びます。

  8. [割り当て]>[ターゲット リソース][ターゲット リソースが選択されていません] を選びます。

  9. [含める] タブで [アプリを選択してください] を選んでから、[選択][なし] を選びます。

  10. 開いた新しいペインで、保護対象のリソースに基づいて必要なアプリを検索して選びます。

    • Azure Virtual Desktop を使っている (Azure Resource Manager に基づく) 場合は、次の 3 種類のアプリで MFA を構成できます。

      • Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。これは、ユーザーが Azure Virtual Desktop にサブスクライブし、接続時に Azure Virtual Desktop Gateway の認証を受けるとき、ユーザーのローカル デバイスからサービスに診断情報が送信されるときに適用されます。

        ヒント

        アプリ名は、以前は Windows Virtual Desktop でした。 表示名が変更される前に Microsoft.DesktopVirtualization リソース プロバイダーを登録した場合、アプリケーションには上記と同じアプリ ID で Windows Virtual Desktop という名前が付けられます。

      • Microsoft リモート デスクトップ (アプリ ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) と Windows クラウド ログイン (アプリ ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 これらは、シングル サインオンが有効なときにユーザーがセッション ホストの認証を受けるときに適用されます。 サインイン頻度を除き、これらのアプリと上記の Azure Virtual Desktop アプリの間で条件付きアクセス ポリシーを同じにすることをお勧めします。

        重要

        現在、Azure Virtual Desktop へのアクセスに使われるクライアントは、Microsoft リモート デスクトップ Entra ID アプリを使ってセッション ホストの認証を受けます。 今後予定されている変更で、認証は Windows Cloud Login Entra ID アプリに移行されます。 スムーズに移行するには、両方の Entra ID アプリを CA ポリシーに追加する必要があります。

    • Azure Virtual Desktop (classic) を使用している場合は、これらのアプリを選びます。

      • Windows Virtual Desktop (アプリ ID 5a0aa725-4958-4b0c-80a9-34562e23f3b7)。

      • Windows Virtual Desktop クライアント (アプリ ID fa4345a4-a730-4230-84a8-7d9651b86739)。これを使うと、Web クライアントでポリシーを設定できます。

        ヒント

        Azure Virtual Desktop (classic) を使用していて、条件付きアクセス ポリシーによって、Azure Virtual Desktop のアプリ ID を除くすべてのアクセスがブロックされる場合は、Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07) もポリシーに追加することで、これを解消できます。 このアプリ ID を追加しないと、Azure Virtual Desktop (classic) リソースのフィード検出がブロックされます。

    重要

    Azure Virtual Desktop Azure Resource Manager Provider というアプリ (アプリ ID: 50e95039-b200-4007-bc97-8d5790743a63) を選択しないでください。 このアプリは、ユーザー フィードを取得するためだけに使用され、多要素認証を持つことはできません。

  11. アプリを選んだら、[選択] を選びます。

    A screenshot of the Conditional Access Cloud apps or actions page. The Azure Virtual Desktop app is shown.

  12. [割り当て]>[条件][0 個の条件が選択されました] を選びます。

  13. [クライアント アプリ][構成されていない] を選びます。

  14. 開いた新しいペインの [構成][はい] を選びます

  15. このポリシーを適用するクライアント アプリを選びます。

    • ポリシーを Web クライアントに適用する場合は、 [ブラウザー] を選択します。
    • ポリシーを他のクライアントに適用する場合は、 [モバイル アプリとデスクトップ クライアント] を選択します。
    • ポリシーをすべてのクライアントに適用する場合は、両方のチェック ボックスをオンにします。
    • レガシ認証クライアントの値の選択を解除します。

    A screenshot of the Conditional Access Client apps page. The user has selected the mobile apps and desktop clients, and browser check boxes.

  16. このポリシーを適用するクライアント アプリを選択したら、[完了] を選択します。

  17. [アクセス制御]>[許可][0 個のコントロールが選択されました] を選びます。

  18. 開いた新しいペインで、[アクセス権の付与] を選びます。

  19. [多要素認証を要求する] をオンにし、[選択] を選びます。

  20. ページの下部で、[ポリシーの有効化][オン] に設定し、[作成] を選択します。

注意

Web クライアントでブラウザーを使用して Azure Virtual Desktop にサインインすると、クライアント アプリ ID が a85cf173-4192-42f8-81fa-777a763e6e2c (Azure Virtual Desktop client) としてログに記載されます。 これは、クライアント アプリが、条件付きアクセス ポリシーが設定されたサーバー アプリ ID に内部的にリンクされているためです。

ヒント

一部のユーザーが使用している Windows デバイスがまだ Microsoft Entra ID に登録されていない場合、"すべてのアプリにサインインしたままにする" というダイアログが表示されることがあります。 [組織がデバイスを管理できるようにする] をオフにし、[いいえ、このアプリのみにサインインします] を選ぶと、認証のプロンプトが頻繁に表示される可能性があります。

サインイン頻度を構成する

必要に応じて、ユーザーが再びサインインするように求められるまでの期間を構成するには、次の手順を実行します。

  1. 前に作成したポリシーを開きます。
  2. [アクセス制御]>[セッション][0 個のコントロールが選択されました] を選びます。
  3. 開いた新しいペインで、[サインイン頻度] を選びます。
  4. [定期的な再認証] を選びます。
  5. ユーザーが再びサインインするように求められるまでの期間の値を設定し、[選択] を選択します。 たとえば、値を 1 に設定し、単位を [時間] に設定した場合、最終接続から 1 時間以上経ってから接続が開始された場合に多要素認証が必要になります。
  6. ページの下部の [ポリシーの有効化] の下で [保存] を選択します。

注意

  • シングル サインオンが有効な場合は、Microsoft リモート デスクトップWindows クラウド ログイン Entra ID のサインイン頻度のみを構成し、Azure Virtual Desktop Entra ID アプリには構成しないことをお勧めします。 こうすることで、フィードの更新と診断のアップロードがバックグラウンドで期待どおりに機能し続けるようになります。
  • シングル サインオンを使わない場合は、Azure Virtual Desktop Entra ID アプリのサインイン頻度を構成できます。

Microsoft Entra 参加済みセッション ホスト VM

接続を成功させるには、従来のユーザー単位の多要素認証サインイン方法を無効にする必要があります。 サインインを Windows Hello for Business などの強力な認証方法に制限しない場合は、条件付きアクセス ポリシーから Azure Windows VM サインイン アプリを除外する必要もあります。

次のステップ