条件付きアクセスでWVDへのアクセスする際にMFAを強制する

概要

Windows Virtual Desktop (WVD) へアクセスする際にユーザー/パスワードのみでアクセスさせるのは…と思われる方も多いと思います。
ただ、他のアプリケーションへのサインイン時とは挙動を変えたい等あるかと思います。
そういうときはAzure ADの条件付きアクセスを使って特定のアプリケーションに対しての制御を設定していきます。
※条件付きアクセスはAzure AD P1以上のライセンスが必要です。

今回はWindows Virtual Desktopへのアクセス時にMulti-Factor Authentication (MFA) を強制して、Microsoft Intune へ登録されて企業ポリシーに準拠したデバイスのみアクセスできるように構成していきます。

Azure AD への設定

Azure Portalから Azure Active Directory を開きます。
f:id:tsukatoh:20200818140940p:plain

Azure ADのメニューから「セキュリティ」を開きます。
f:id:tsukatoh:20200818143725p:plain

次に「条件付きアクセス」を開きます。
f:id:tsukatoh:20200818143823p:plain

ポリシーを作成していきます。 f:id:tsukatoh:20200818143910p:plain

ポリシーの名称は「WVD」にしています。
「割り当て」から「ユーザーとグループ」を選び、「ユーザーとグループの選択」から「ユーザーとグループ」にチェックを入れます。
特定のユーザーではなくここでは「WVDUsers」というセキュリティグループを対象にしています。
f:id:tsukatoh:20200818144015p:plain

クラウド アプリまたは操作」では「アプリを選択」で「Windows Virtual Desktop」を選択します。
選択するアプリケーションは「9cdead84-a844-4324-93f2-b2e6bb768d07」を選択します。
f:id:tsukatoh:20200818144221p:plain

「許可」では「多要素認証」と「デバイスは準拠しているとしてマーク済みである必要があります」にチェックを入れます。
MFAだけしたい場合は「多要素認証」のみチェックでOKです。
ポリシーの有効化をオンにして作成します。
f:id:tsukatoh:20200818182023p:plain

実際に接続してみる

サポートされているクライアントから接続します。
本記事はmacで接続しますが他のクライアントは以下を参照してください。

docs.microsoft.com

Remote Desktopクライアントを起動して接続するデスクトップを選択します。
f:id:tsukatoh:20200818182310p:plain

認証画面が出るのでユーザー・パスワードを入力します。
f:id:tsukatoh:20200818182344p:plainf:id:tsukatoh:20200818182357p:plain

MFA設定がされていない場合は以下の画面が表示されるので設定します。
f:id:tsukatoh:20200818182439p:plain

ショートメッセージの場合は以下。
f:id:tsukatoh:20200818182454p:plain

Authenticatorアプリの場合は以下。
f:id:tsukatoh:20200818182506p:plain

設定が完了していたら以下のように承認要求が出るので応答する。(画面はアプリ認証)
f:id:tsukatoh:20200818182700p:plain

Windowsへのサインイン要求が出るので認証します。
f:id:tsukatoh:20200818182741p:plain

Windowsへサインイン出来れば完了です。
f:id:tsukatoh:20200818182806p:plain

これでWVDへサインインする時にはMFAが必須となりました。
社内ネットワークからは不要とする場合は、場所の指定で信頼するIPアドレスを登録しておくと社内からはMFAなし、社外からはMFA有りといった構成も取れますので是非お試しください。