条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する

ユーザーは、さまざまなデバイスとクライアントを使用してどこからでも Azure Virtual Desktop にサインインできます。 ただし、自身の環境とユーザーを安全に保つために実行が必要な特定の対策があります。 Azure Virtual Desktop で Microsoft Entra 多要素認証 (MFA) を使用すると、サインイン プロセス中に、ユーザー名とパスワードに加えて、別の ID 形式を求めるダイアログがユーザーに表示されます。 条件付きアクセスを使用して Azure Virtual Desktop に MFA を適用することができ、さらに Web クライアント、モバイル アプリ、デスクトップ クライアント、またはすべてのクライアントのいずれに適用するか構成できます。

ユーザーがリモート セッションに接続するときは、Azure Virtual Desktop サービスとセッション ホストに対して認証する必要があります。 MFA が有効になっている場合は、Azure Virtual Desktop サービスへの接続時にそれが使用されます。ユーザーは、他のサービスにアクセスする方法と同じように、ユーザー アカウントと 2 つ目の認証形式の入力を求められます。 ユーザーがリモート セッションを開始する場合、セッション ホストにはユーザー名とパスワードが必要ですが、シングル サインオン (SSO) が有効になっている場合は、ユーザーにとってシームレスです。 詳しくは、「認証方法」を参照してください。

ユーザーが再認証を求められる頻度は、Microsoft Entra セッションの有効期間の構成設定によって異なります。 たとえば、Windows クライアント デバイスが Microsoft Entra ID に登録されている場合、アプリケーション間のシングル サインオン (SSO) に使用するプライマリ更新トークン (PRT) を受信します。 発行された PRT は 14 日間有効であり、ユーザーがデバイスをアクティブに使用している限り継続的に更新されます。

資格情報を記憶させることは便利ですが、個人デバイスを使用する企業のシナリオ向けのデプロイのセキュリティを低下させる可能性もあります。 ユーザーを保護するには、クライアントが Microsoft Entra 多要素認証の資格情報をより頻繁に要求し続けるようにできます。 条件付きアクセスを使用して、この動作を構成できます。

Azure Virtual Desktop に MFA を適用し、必要に応じて次のセクションで説明するサインイン頻度を構成する方法について説明します。

前提条件

使用を開始するために必要なものは次のとおりです。

• Microsoft Entra ID P1 または P2 を含むライセンスをユーザーに割り当てる。
• Azure Virtual Desktop ユーザーがグループ メンバーとして割り当てられている Microsoft Entra グループ。
• Microsoft Entra 多要素認証を有効にします。

条件付きアクセス ポリシーを作成する

Azure Virtual Desktop に接続するときに多要素認証が必要な条件付きアクセス ポリシーを作成する方法を、ここで説明します。

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。

3. [新しいポリシー] を選択します。

4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。

5. [割り当て]>[ユーザー] で、[0 個のユーザーとグループが選択されました] を選びます。

6. [含める] タブで [ユーザーとグループの選択] を選び、[ユーザーとグループ] をオンにして、[選択] の [0 個のユーザーとグループが選択されました] を選びます。

7. 開いた新しいペインで、グループ メンバーとして Azure Virtual Desktop ユーザーを含むグループを検索して選び、[選択] を選びます。

8. [割り当て]>[ターゲット リソース] で [ターゲット リソースが選択されていません] を選びます。

9. [含める] タブで [アプリを選択してください] を選んでから、[選択] で [なし] を選びます。

10. 開いた新しいペインで、保護対象のリソースに基づいて必要なアプリを検索して選びます。 お使いのシナリオに関連するタブを選択します。 Azure でアプリケーション名を検索する場合は、アプリケーション名に含まれるキーワードを順不同に入力するのではなく、アプリケーション名から始まる検索用語を順番に入力してください。 たとえば、Azure Virtual Desktop を使用する場合は、その順序で「Azure Virtual」と入力する必要があります。 「virtual」と入力した場合は、検索しても目的のアプリケーションが返されません。

    • Azure Virtual Desktop
    • Azure Virtual Desktop (クラシック)

    Azure Virtual Desktop (Azure Resource Manager を基にした) の場合は、異なるそれらのアプリで MFA を構成できます。

    • Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。これは、ユーザーが Azure Virtual Desktop にサブスクライブし、接続時に Azure Virtual Desktop Gateway の認証を受けるとき、ユーザーのローカル デバイスからサービスに診断情報が送信されるときに適用されます。

      ヒント

      アプリ名は、以前は Windows Virtual Desktop でした。 表示名が変更される前に Microsoft.DesktopVirtualization リソース プロバイダーを登録した場合、アプリケーションには Azure Virtual Desktop と同じアプリ ID で Windows Virtual Desktop という名前が付けられます。

      • Microsoft リモート デスクトップ (アプリ ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) と Windows クラウド ログイン (アプリ ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 これらは、シングル サインオンが有効なときにユーザーがセッション ホストの認証を受けるときに適用されます。 サインイン頻度を除き、これらのアプリと Azure Virtual Desktop アプリの間で条件付きアクセス ポリシーを同じにすることをお勧めします。

      重要

      現在、Azure Virtual Desktop へのアクセスに使われるクライアントは、Microsoft リモート デスクトップ Entra ID アプリを使ってセッション ホストの認証を受けます。 今後予定されている変更で、認証は Windows Cloud Login Entra ID アプリに移行されます。 スムーズに移行するには、両方の Entra ID アプリを CA ポリシーに追加する必要があります。

    重要

    Azure Virtual Desktop Azure Resource Manager Provider というアプリ (アプリ ID: 50e95039-b200-4007-bc97-8d5790743a63) を選択しないでください。 このアプリは、ユーザー フィードを取得するためだけに使用され、多要素認証を持つことはできません。

11. アプリを選んだら、[選択] を選びます。

    

12. [割り当て]>[条件] で [0 個の条件が選択されました] を選びます。

13. [クライアント アプリ] で [構成されていない] を選びます。

14. 開いた新しいペインの [構成] で [はい] を選びます。

15. このポリシーを適用するクライアント アプリを選びます:

    • ポリシーを Web クライアントに適用する場合は、 [ブラウザー] を選択します。
    • ポリシーを他のクライアントに適用する場合は、 [モバイル アプリとデスクトップ クライアント] を選択します。
    • ポリシーをすべてのクライアントに適用する場合は、両方のチェック ボックスをオンにします。
    • レガシ認証クライアントの値の選択を解除します。

    

16. このポリシーを適用するクライアント アプリを選択したら、[完了] を選択します。

17. [アクセス制御]>[許可] で [0 個のコントロールが選択されました] を選びます。

18. 開いた新しいペインで、[アクセス権の付与] を選びます。

19. [多要素認証を要求する] をオンにし、[選択] を選びます。

20. ページの下部で、[ポリシーの有効化] を [オン] に設定し、[作成] を選択します。

サインイン頻度を構成する

サインイン頻度ポリシーを使用すると、ユーザーが Microsoft Entra ベースのリソースにアクセスするときにサインインを要求される頻度を構成できます。 これは、お使いの環境をセキュリティで保護するのに役立ち、ローカル OS で MFA が必要なかったり、非アクティブ状態の後に自動的にロックされなかったりする個人用デバイスの場合は特に重要です。 ユーザーは、リソースにアクセスするときに Microsoft Entra ID から新しいアクセス トークンが要求された場合にのみ認証を求められます。

サインイン頻度ポリシーは、選択した Microsoft Entra アプリによって動作が異なります:

ユーザーが再びサインインするように求められるまでの期間を構成するには、次の手順を実行します。

1. 前に作成したポリシーを開きます。
2. [アクセス制御]>[セッション] で [0 個のコントロールが選択されました] を選びます。
3. [セッション] ウィンドウで [サインインの頻度] を選択します。
4. [定期的な再認証] または [毎回] を選びます。
   • [定期的な再認証] を選択した場合は、新しいアクセス トークンが必要なアクションを実行するときにユーザーが再度サインインを求められるまでの期間の値を設定し、次に [選択] を選択します。 たとえば、値を 1 に設定し、単位を [時間] に設定すると、最後のユーザー認証から 1 時間以上経過して接続が開始された場合に多要素認証が必要になります。
   • [毎回] オプションは、現在パブリック プレビューで利用可能で、ホスト プールでシングル サインオンが有効になっているときに、Microsoft リモート デスクトップ アプリと Windows クラウド ログイン アプリに適用される場合にのみサポートされています。 [毎回] を選択すると、ユーザーは最後の認証から 5 から 10 分後に新しい接続を開始するとき、再認証を求められます。
5. ページの下部にある [保存] を選択します。

Microsoft Entra 参加済みセッション ホスト VM

接続を成功させるには、従来のユーザー単位の多要素認証サインイン方法を無効にする必要があります。 サインインを Windows Hello for Business などの強力な認証方法に制限しない場合は、条件付きアクセス ポリシーから Azure Windows VM サインイン アプリを除外する必要があります。

次のステップ

• 条件付きアクセス ポリシーの詳細について確認する
• ユーザー サインインの頻度の詳細について確認する