Erzwingen der Multi-Faktor-Authentifizierung in Azure AD für Azure Virtual Desktop mithilfe des bedingten Zugriffs

Pascal Köhl
17. August 2023
Reading time: 3 min
Erzwingen der Multi-Faktor-Authentifizierung in Azure AD für Azure Virtual Desktop mithilfe des bedingten Zugriffs

Azure Virtual Desktop ist ein Desktop- und App-Virtualisierungsdienst in der Microsoft Cloud (Azure). Dieser Dienst ermöglicht es Ihnen, eine VDI bereitzustellen, sodass Ihre Mitarbeiter ortsunabhängig und jederzeit arbeiten können. Da der Azure Virtual Desktop-Dienst standardmäßig öffentlich über das Internet erreichbar ist, ist es unbedingt erforderlich, die höchsten Sicherheitsmaßnahmen zu implementieren, um einen größtmöglichen Schutz für die Umgebung zu erzielen.

Ein einfacher Angriffspunkt für Hacker sind Benutzerkonten, die nur durch ein einfaches Kennwort geschützt sind, da die Verwendung herkömmlicher Passwörter nicht mehr sicher genug ist. Hacker haben in den vergangenen Jahren unzählige Methoden entwickelt, um Anmeldeinformationen zu stehlen, um so unberechtigt Zugriff auf Benutzerkonten zu erlangen. Um die Sicherheit ihrer Konten zu erhöhen, sollten Sie dementsprechend die Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff nutzen.

“Your password doesn’t matter, but MFA does! Based on our studies, your account is more than 99.9% less likely to be compromised if you use MFA.”

Alex Weinert, Director of Identity Security bei Microsoft in seinem Blogartikel “Your Pa$$word doesn’t matter”.

In diesem Blogartikel erfahren Sie Schritt für Schritt, wie Sie Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff  für Azure Virtual Desktop konfigurieren und erzwingen:

  1. Vorbereiten der Umgebung
    1. Lizenzierung
    1. Azure AD Gruppe
  2. Konfiguration Azure AD MFA mit bedingtem Zugriff
    1. Aktivierung der Azure AD Multi-Faktor-Authentifizierung
    1. Erstellung einer Azure AD-basierten bedingten Zugriffsrichtlinie für alle Azure Virtual Desktop-Verbindungen
  3. Testen der Konfiguration
  4. Troubleshooting

1.   Vorbereiten der Umgebung

Es gibt zwei Voraussetzungen, die Sie schaffen müssen:

  • Lizenzierung
  • Azure AD Gruppe

Lizenzierung

Azure AD Multi-Faktor-Authentifizierung kann je nach Ihren Anforderungen auf verschiedene Arten verwendet und lizenziert werden:

FunktionAzure AD Free – Sicherheitsstandards (für alle Benutzer aktiviert)Azure AD Free – nur für globale AdministratorenOffice 365Azure AD Premium P1Azure AD Premium P2
Schutz von Azure AD-Administratorkonten eines Mandanten mit MFA● (gilt nur für globale Azure AD-Administrationskonsten)
Mobile App als zweiter Faktor
Telefonanruf als zweiter Faktor 
SMS als zweiter Faktor 
Administrative Kontrolle über Überprüfungsmethoden 
Betrugswarnung   
MFA-Berichte   
Benutzerdefinierte Begrüßungen für Telefonanrufe   
Benutzerdefinierte Anrufer-ID für Telefonanrufe   
Vertrauenswürdige IP-Adressen   
Speichern der MFA für vertrauenswürdige Geräte 
MFA für lokale Anwendungen   
Bedingter Zugriff   
Risikobasierter bedingter Zugriff    
Quelle: Microsoft

Wie aus der Tabelle ersichtlich ist, benötigen Sie eine Azure AD Premium P1- oder Azure AD Premium P2-Lizenz, um Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff einzurichten. Die Lizenzierung erfolgt pro Benutzer, sodass Sie für jeden Benutzer, der Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff verwenden soll, eine Lizenz erwerben müssen.

Für Test-Szenarien können Azure AD Premium P2-Lizenzen direkt im Azure-Portal aktiviert werden: Azure Active Directory -› Verwalten / Lizenzen -› Kostenlose Testversion erhalten. Mit der Aktivierung erhalten Sie 100 Testlizenzen für einen Zeitraum von 30 Tagen.

Azure AD Gruppe

Darüber hinaus benötigen Sie eine Azure Active Directory-Gruppe, in der Ihre Azure Virtual Desktop-Benutzer Mitglied sind.

2. Konfiguration Azure AD MFA mit bedingtem Zugriff

Aktivierung der Azure AD Multi-Faktor-Authentifizierung

Im ersten Schritt aktivieren Sie die Azure AD Multi-Faktor-Authentifizierung. Hierfür gehen Sie in das Azure-Portal und navigieren zur Seite «Azure AD Identity Protection».

 class=

Im Abschnitt «Schützen» im vertikalen Menü auf der linken Seite klicken Sie auf «MFA-Registrierungsrichtlinie» und konfigurieren die Richtlinie wie folgt:

  • Zuweisungen: Klicken Sie auf «Alle Benutzer»
  • Einschließen: «Einzelne Benutzer und Gruppen“ und wählen Sie dann Ihre Azure AD-Gruppe mit den Azure Virtual Desktop-Benutzern aus
  • Richtlinienerzwingung: Setzen Sie den Schalter auf «Aktiviert»
  • Speichern
 class=

Erstellung einer Azure AD-basierten bedingten Zugriffsrichtlinie für alle Azure Virtual Desktop-Verbindungen

Im Folgenden erstellen Sie die bedingte Zugriffsrichtlinie für alle AVD-Verbindungen. Hierfür navigieren Sie in den Bereich „Bedingter Zugriff“.

 class=

Im Bereich “Richtlinien”, erstellen Sie eine neue Richtlinie über den entsprechenden Button.

 class=

Nun können Sie die Richtlinie konfigurieren. Nachdem Sie der Richtlinie einen beschreibenden Namen gegeben haben, schauen Sie sich zuerst den Abschnitt „Zuweisungen“ an.

Benutzer:

  • Einschließen: Benutzer und Gruppen auswählen
  • Aktivieren Sie das Kontrollkästchen “Benutzer und Gruppen”
  • Wählen Sie die Azure AD-Gruppe mit den Azure Virtual Desktop-Benutzern aus
 class=

Zielressourcen:

  • Wählen Sie aus, worauf diese Richtlinie angewendet werden soll: Cloud-Apps
  • Einschließen: Apps auswählen
  • Wählen Sie “Azure Virtual Desktop (app ID 9cdead84-a844-4324-93f2-b2e6bb768d07)” und “Microsoft Remote Desktop (app ID a4a365df-50f1-4397-bc59-1a1564b8bb9c)” aus
 class=

Bedingungen -› Client-Apps

  • Konfigurieren: Ja
  • Aktivieren Sie die Kontrollkästchen “Browser”, “Mobile apps and desktop clients”, “Exchange ActiveSync clients” und “Other clients”
 class=

Abschließend konfigurieren Sie noch die „Zugriffskontrollen“.

Gewähren:

  • Wählen Sie “Zugriff gewähren” aus
  • Aktivieren Sie das Kontrollkästchen “Multi-Faktor-Authentifizierung erfordern”
  • Für mehrere Steuerelemente: Wählen Sie Ihre gewünschte Konfiguration aus

Sitzung:

  • Aktivieren Sie das Kontrollkästchen “Anmeldehäufigkeit”
  • Im Feld “Regelmäßige erneute Authentifizierung” Ihre gewünschte Konfiguration eintragen z. B. 4 Stunden
 class=

Aktivieren Sie die Richtlinie über den Schalter „Ein“ unter „Richtlinie aktivieren“ und erstellen Sie die Richtlinie.

 class=

3. Testen der Konfiguration

Nun sollten Sie die zuvor erstellte Richtlinie noch einmal testen. Hierzu greifen Sie einmal über den Browser und einmal über den Desktop-Client auf Ihren Azure Virtual Desktop zu.

Browser:

Desktop client:

4. Troubleshooting

Wenn Sie Probleme bei der Anmeldung am Azure Virtual Desktop haben, erhalten Sie möglicherweise einer der folgenden Fehlermeldungen:

 class=
 class=

Anmeldeinformationen und Berechtigungen:

  • Stellen Sie sicher, dass Benutzername und Passwort korrekt sind
  • Stellen Sie sicher, dass das Benutzerkonto die erforderlichen Berechitgungen besitzt

MFA pro Benutzer:

  • Stellen Sie sie sicher, dass die Multi-Faktor-Authentifizierung pro Benutzer für die betroffenen Benutzer deaktiviert ist
  • PowerShell: «Get-MsolUser -UserPrincipalName max.mustermann@musterdomain.onmicrosoft.com | Set-MsolUser -StrongAuthenticationRequirements @()»

Azure AD-Empfehlung: Umstellen von MFA pro Benutzer auf MFA basierend auf bedingtem Zugriff

5. Fazit

Die Verwendung von herkömmlichen Passwörtern ist nicht mehr sicher genug – für Hacker ist es so ein Einfaches, Benutzerkonten zu kompromittieren. Aufgrund dessen müssen Sie verschiedene Maßnahmen ergreifen, um das Sicherheitslevel zu erhöhen und Ihre Umgebung zu schützen – insbesondere bei der Nutzung von Public Cloud Services.

Zur Absicherung Ihrer Benutzerkonten sollten Sie Multi-Faktor-Authentifizierung nutzen – das ist mittlerweile ein De-Facto-Standard in IT-Umgebungen. In Azure lässt sich das mit der Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff umsetzen, was eine sehr einfach zu implementierende, aber sehr effektive Maßnahme darstellt.

Darüber hinaus sind Sie insbesondere bei der Arbeit mit sensiblen Daten durch viele staatliche Gesetze dazu verpflichtet, komplexe Authentifizierungsverfahren zu implementieren. Daher stellt die Einführung einer Multi-Faktor-Authentifizierung je nach Branche und Anwendungsfall eine essenzielle Maßnahme dar, um Compliance zu gewährleisten.