Azure Virtual Desktop ist ein Desktop- und App-Virtualisierungsdienst in der Microsoft Cloud (Azure). Dieser Dienst ermöglicht es Ihnen, eine VDI bereitzustellen, sodass Ihre Mitarbeiter ortsunabhängig und jederzeit arbeiten können. Da der Azure Virtual Desktop-Dienst standardmäßig öffentlich über das Internet erreichbar ist, ist es unbedingt erforderlich, die höchsten Sicherheitsmaßnahmen zu implementieren, um einen größtmöglichen Schutz für die Umgebung zu erzielen.
Ein einfacher Angriffspunkt für Hacker sind Benutzerkonten, die nur durch ein einfaches Kennwort geschützt sind, da die Verwendung herkömmlicher Passwörter nicht mehr sicher genug ist. Hacker haben in den vergangenen Jahren unzählige Methoden entwickelt, um Anmeldeinformationen zu stehlen, um so unberechtigt Zugriff auf Benutzerkonten zu erlangen. Um die Sicherheit ihrer Konten zu erhöhen, sollten Sie dementsprechend die Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff nutzen.
“Your password doesn’t matter, but MFA does! Based on our studies, your account is more than 99.9% less likely to be compromised if you use MFA.”
Alex Weinert, Director of Identity Security bei Microsoft in seinem Blogartikel “Your Pa$$word doesn’t matter”.
In diesem Blogartikel erfahren Sie Schritt für Schritt, wie Sie Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff für Azure Virtual Desktop konfigurieren und erzwingen:
- Vorbereiten der Umgebung
- Lizenzierung
- Azure AD Gruppe
- Konfiguration Azure AD MFA mit bedingtem Zugriff
- Aktivierung der Azure AD Multi-Faktor-Authentifizierung
- Erstellung einer Azure AD-basierten bedingten Zugriffsrichtlinie für alle Azure Virtual Desktop-Verbindungen
- Testen der Konfiguration
- Troubleshooting
1. Vorbereiten der Umgebung
Es gibt zwei Voraussetzungen, die Sie schaffen müssen:
- Lizenzierung
- Azure AD Gruppe
Lizenzierung
Azure AD Multi-Faktor-Authentifizierung kann je nach Ihren Anforderungen auf verschiedene Arten verwendet und lizenziert werden:
| Funktion | Azure AD Free – Sicherheitsstandards (für alle Benutzer aktiviert) | Azure AD Free – nur für globale Administratoren | Office 365 | Azure AD Premium P1 | Azure AD Premium P2 |
| Schutz von Azure AD-Administratorkonten eines Mandanten mit MFA | ● | ● (gilt nur für globale Azure AD-Administrationskonsten) | ● | ● | ● |
| Mobile App als zweiter Faktor | ● | ● | ● | ● | ● |
| Telefonanruf als zweiter Faktor | ● | ● | ● | ● | |
| SMS als zweiter Faktor | ● | ● | ● | ● | |
| Administrative Kontrolle über Überprüfungsmethoden | ● | ● | ● | ● | |
| Betrugswarnung | ● | ● | |||
| MFA-Berichte | ● | ● | |||
| Benutzerdefinierte Begrüßungen für Telefonanrufe | ● | ● | |||
| Benutzerdefinierte Anrufer-ID für Telefonanrufe | ● | ● | |||
| Vertrauenswürdige IP-Adressen | ● | ● | |||
| Speichern der MFA für vertrauenswürdige Geräte | ● | ● | ● | ● | |
| MFA für lokale Anwendungen | ● | ● | |||
| Bedingter Zugriff | ● | ● | |||
| Risikobasierter bedingter Zugriff | ● |
Wie aus der Tabelle ersichtlich ist, benötigen Sie eine Azure AD Premium P1- oder Azure AD Premium P2-Lizenz, um Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff einzurichten. Die Lizenzierung erfolgt pro Benutzer, sodass Sie für jeden Benutzer, der Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff verwenden soll, eine Lizenz erwerben müssen.
Für Test-Szenarien können Azure AD Premium P2-Lizenzen direkt im Azure-Portal aktiviert werden: Azure Active Directory -› Verwalten / Lizenzen -› Kostenlose Testversion erhalten. Mit der Aktivierung erhalten Sie 100 Testlizenzen für einen Zeitraum von 30 Tagen.
Azure AD Gruppe
Darüber hinaus benötigen Sie eine Azure Active Directory-Gruppe, in der Ihre Azure Virtual Desktop-Benutzer Mitglied sind.
2. Konfiguration Azure AD MFA mit bedingtem Zugriff
Aktivierung der Azure AD Multi-Faktor-Authentifizierung
Im ersten Schritt aktivieren Sie die Azure AD Multi-Faktor-Authentifizierung. Hierfür gehen Sie in das Azure-Portal und navigieren zur Seite „Azure AD Identity Protection“.
Im Abschnitt „Schützen“ im vertikalen Menü auf der linken Seite klicken Sie auf „MFA-Registrierungsrichtlinie“ und konfigurieren die Richtlinie wie folgt:
- Zuweisungen: Klicken Sie auf „Alle Benutzer“
- Einschließen: „Einzelne Benutzer und Gruppen“ und wählen Sie dann Ihre Azure AD-Gruppe mit den Azure Virtual Desktop-Benutzern aus
- Richtlinienerzwingung: Setzen Sie den Schalter auf „Aktiviert“
- Speichern
Erstellung einer Azure AD-basierten bedingten Zugriffsrichtlinie für alle Azure Virtual Desktop-Verbindungen
Im Folgenden erstellen Sie die bedingte Zugriffsrichtlinie für alle AVD-Verbindungen. Hierfür navigieren Sie in den Bereich „Bedingter Zugriff“.
Im Bereich “Richtlinien”, erstellen Sie eine neue Richtlinie über den entsprechenden Button.
Nun können Sie die Richtlinie konfigurieren. Nachdem Sie der Richtlinie einen beschreibenden Namen gegeben haben, schauen Sie sich zuerst den Abschnitt „Zuweisungen“ an.
Benutzer:
- Einschließen: Benutzer und Gruppen auswählen
- Aktivieren Sie das Kontrollkästchen “Benutzer und Gruppen”
- Wählen Sie die Azure AD-Gruppe mit den Azure Virtual Desktop-Benutzern aus
Zielressourcen:
- Wählen Sie aus, worauf diese Richtlinie angewendet werden soll: Cloud-Apps
- Einschließen: Apps auswählen
- Wählen Sie “Azure Virtual Desktop (app ID 9cdead84-a844-4324-93f2-b2e6bb768d07)” und “Microsoft Remote Desktop (app ID a4a365df-50f1-4397-bc59-1a1564b8bb9c)” aus
Bedingungen -› Client-Apps
- Konfigurieren: Ja
- Aktivieren Sie die Kontrollkästchen “Browser”, “Mobile apps and desktop clients”, “Exchange ActiveSync clients” und “Other clients”
Abschließend konfigurieren Sie noch die „Zugriffskontrollen“.
Gewähren:
- Wählen Sie “Zugriff gewähren” aus
- Aktivieren Sie das Kontrollkästchen “Multi-Faktor-Authentifizierung erfordern”
- Für mehrere Steuerelemente: Wählen Sie Ihre gewünschte Konfiguration aus
Sitzung:
- Aktivieren Sie das Kontrollkästchen “Anmeldehäufigkeit”
- Im Feld “Regelmäßige erneute Authentifizierung” Ihre gewünschte Konfiguration eintragen z. B. 4 Stunden
Aktivieren Sie die Richtlinie über den Schalter „Ein“ unter „Richtlinie aktivieren“ und erstellen Sie die Richtlinie.
3. Testen der Konfiguration
Nun sollten Sie die zuvor erstellte Richtlinie noch einmal testen. Hierzu greifen Sie einmal über den Browser und einmal über den Desktop-Client auf Ihren Azure Virtual Desktop zu.
Browser:
- Gehen Sie zu https://rdweb.wvd.microsoft.com/arm/webclient
- Melden Sie sich mit ihrem AVD-Benutzer an
- Jetzt sollte die konfigurierte MFA-Methode abgefragt werden
Desktop client:
- Laden sie den Client herunter, installieren und öffnen Sie ihn: https://docs.microsoft.com/en-us/azure/virtual-desktop/user-documentation/connect-windows-7-10
- Wählen Sie “Abonnieren” und melden Sie sich mit Ihrem AVD-Benutzer an
- Wenn Sie sich nun mit dem Azure Virtual Desktop verbinden, sollte die konfigurierte MFA-Methode abgefragt werden
4. Troubleshooting
Wenn Sie Probleme bei der Anmeldung am Azure Virtual Desktop haben, erhalten Sie möglicherweise einer der folgenden Fehlermeldungen:
Anmeldeinformationen und Berechtigungen:
- Stellen Sie sicher, dass Benutzername und Passwort korrekt sind
- Stellen Sie sicher, dass das Benutzerkonto die erforderlichen Berechitgungen besitzt
MFA pro Benutzer:
- Stellen Sie sie sicher, dass die Multi-Faktor-Authentifizierung pro Benutzer für die betroffenen Benutzer deaktiviert ist
- PowerShell: „Get-MsolUser -UserPrincipalName max.mustermann@musterdomain.onmicrosoft.com | Set-MsolUser -StrongAuthenticationRequirements @()“
Azure AD-Empfehlung: Umstellen von MFA pro Benutzer auf MFA basierend auf bedingtem Zugriff
5. Fazit
Die Verwendung von herkömmlichen Passwörtern ist nicht mehr sicher genug – für Hacker ist es so ein Einfaches, Benutzerkonten zu kompromittieren. Aufgrund dessen müssen Sie verschiedene Maßnahmen ergreifen, um das Sicherheitslevel zu erhöhen und Ihre Umgebung zu schützen – insbesondere bei der Nutzung von Public Cloud Services.
Zur Absicherung Ihrer Benutzerkonten sollten Sie Multi-Faktor-Authentifizierung nutzen – das ist mittlerweile ein De-Facto-Standard in IT-Umgebungen. In Azure lässt sich das mit der Azure AD Multi-Faktor-Authentifizierung mit bedingtem Zugriff umsetzen, was eine sehr einfach zu implementierende, aber sehr effektive Maßnahme darstellt.
Darüber hinaus sind Sie insbesondere bei der Arbeit mit sensiblen Daten durch viele staatliche Gesetze dazu verpflichtet, komplexe Authentifizierungsverfahren zu implementieren. Daher stellt die Einführung einer Multi-Faktor-Authentifizierung je nach Branche und Anwendungsfall eine essenzielle Maßnahme dar, um Compliance zu gewährleisten.
