Azure Virtual Desktop ist ein Desktop- und App-Virtualisierungsdienst in der Microsoft Cloud (Azure). Dieser Dienst ermöglicht es Ihnen, eine VDI bereitzustellen, sodass Ihre Mitarbeiter ortsunabhängig und jederzeit arbeiten können. Da der Azure Virtual Desktop-Dienst standardmäßig öffentlich über das Internet erreichbar ist, ist es unbedingt erforderlich, die höchsten Sicherheitsmaßnahmen zu implementieren, um einen größtmöglichen Schutz für die Umgebung zu erzielen.
Ein einfacher Angriffspunkt für Hacker sind Benutzerkonten, die nur durch ein einfaches Kennwort geschützt sind, da die Verwendung herkömmlicher Passwörter nicht mehr sicher genug ist. Hacker haben in den vergangenen Jahren unzählige Methoden entwickelt, um Anmeldeinformationen zu stehlen, um so unberechtigt Zugriff auf Benutzerkonten zu erlangen. Um die Sicherheit ihrer Konten zu erhöhen, sollten Sie dementsprechend die Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff nutzen.
“Your password doesn’t matter, but MFA does! Based on our studies, your account is more than 99.9% less likely to be compromised if you use MFA.”
Alex Weinert, Director of Identity Security bei Microsoft in seinem Blogartikel “Your Pa$$word doesn’t matter”.
In diesem Blogartikel erfahren Sie Schritt für Schritt, wie Sie Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff für Azure Virtual Desktop konfigurieren und erzwingen:
Es gibt zwei Voraussetzungen, die Sie schaffen müssen:
Azure AD Multi-Faktor-Authentifizierung kann je nach Ihren Anforderungen auf verschiedene Arten verwendet und lizenziert werden:
Funktion | Azure AD Free – Sicherheitsstandards (für alle Benutzer aktiviert) | Azure AD Free – nur für globale Administratoren | Office 365 | Azure AD Premium P1 | Azure AD Premium P2 |
Schutz von Azure AD-Administratorkonten eines Mandanten mit MFA | ● | ● (gilt nur für globale Azure AD-Administrationskonsten) | ● | ● | ● |
Mobile App als zweiter Faktor | ● | ● | ● | ● | ● |
Telefonanruf als zweiter Faktor | ● | ● | ● | ● | |
SMS als zweiter Faktor | ● | ● | ● | ● | |
Administrative Kontrolle über Überprüfungsmethoden | ● | ● | ● | ● | |
Betrugswarnung | ● | ● | |||
MFA-Berichte | ● | ● | |||
Benutzerdefinierte Begrüßungen für Telefonanrufe | ● | ● | |||
Benutzerdefinierte Anrufer-ID für Telefonanrufe | ● | ● | |||
Vertrauenswürdige IP-Adressen | ● | ● | |||
Speichern der MFA für vertrauenswürdige Geräte | ● | ● | ● | ● | |
MFA für lokale Anwendungen | ● | ● | |||
Bedingter Zugriff | ● | ● | |||
Risikobasierter bedingter Zugriff | ● |
Wie aus der Tabelle ersichtlich ist, benötigen Sie eine Azure AD Premium P1- oder Azure AD Premium P2-Lizenz, um Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff einzurichten. Die Lizenzierung erfolgt pro Benutzer, sodass Sie für jeden Benutzer, der Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff verwenden soll, eine Lizenz erwerben müssen.
Für Test-Szenarien können Azure AD Premium P2-Lizenzen direkt im Azure-Portal aktiviert werden: Azure Active Directory -› Verwalten / Lizenzen -› Kostenlose Testversion erhalten. Mit der Aktivierung erhalten Sie 100 Testlizenzen für einen Zeitraum von 30 Tagen.
Darüber hinaus benötigen Sie eine Azure Active Directory-Gruppe, in der Ihre Azure Virtual Desktop-Benutzer Mitglied sind.
Im ersten Schritt aktivieren Sie die Azure AD Multi-Faktor-Authentifizierung. Hierfür gehen Sie in das Azure-Portal und navigieren zur Seite «Azure AD Identity Protection».
Im Abschnitt «Schützen» im vertikalen Menü auf der linken Seite klicken Sie auf «MFA-Registrierungsrichtlinie» und konfigurieren die Richtlinie wie folgt:
Im Folgenden erstellen Sie die bedingte Zugriffsrichtlinie für alle AVD-Verbindungen. Hierfür navigieren Sie in den Bereich „Bedingter Zugriff“.
Im Bereich “Richtlinien”, erstellen Sie eine neue Richtlinie über den entsprechenden Button.
Nun können Sie die Richtlinie konfigurieren. Nachdem Sie der Richtlinie einen beschreibenden Namen gegeben haben, schauen Sie sich zuerst den Abschnitt „Zuweisungen“ an.
Benutzer:
Zielressourcen:
Bedingungen -› Client-Apps
Abschließend konfigurieren Sie noch die „Zugriffskontrollen“.
Gewähren:
Sitzung:
Aktivieren Sie die Richtlinie über den Schalter „Ein“ unter „Richtlinie aktivieren“ und erstellen Sie die Richtlinie.
Nun sollten Sie die zuvor erstellte Richtlinie noch einmal testen. Hierzu greifen Sie einmal über den Browser und einmal über den Desktop-Client auf Ihren Azure Virtual Desktop zu.
Browser:
Desktop client:
Wenn Sie Probleme bei der Anmeldung am Azure Virtual Desktop haben, erhalten Sie möglicherweise einer der folgenden Fehlermeldungen:
Anmeldeinformationen und Berechtigungen:
MFA pro Benutzer:
Azure AD-Empfehlung: Umstellen von MFA pro Benutzer auf MFA basierend auf bedingtem Zugriff
Die Verwendung von herkömmlichen Passwörtern ist nicht mehr sicher genug – für Hacker ist es so ein Einfaches, Benutzerkonten zu kompromittieren. Aufgrund dessen müssen Sie verschiedene Maßnahmen ergreifen, um das Sicherheitslevel zu erhöhen und Ihre Umgebung zu schützen – insbesondere bei der Nutzung von Public Cloud Services.
Zur Absicherung Ihrer Benutzerkonten sollten Sie Multi-Faktor-Authentifizierung nutzen – das ist mittlerweile ein De-Facto-Standard in IT-Umgebungen. In Azure lässt sich das mit der Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff umsetzen, was eine sehr einfach zu implementierende, aber sehr effektive Maßnahme darstellt.
Darüber hinaus sind Sie insbesondere bei der Arbeit mit sensiblen Daten durch viele staatliche Gesetze dazu verpflichtet, komplexe Authentifizierungsverfahren zu implementieren. Daher stellt die Einführung einer Multi-Faktor-Authentifizierung je nach Branche und Anwendungsfall eine essenzielle Maßnahme dar, um Compliance zu gewährleisten.