条件付きアクセスでWVDへのアクセスする際にMFAを強制する
概要
Windows Virtual Desktop (WVD) へアクセスする際にユーザー/パスワードのみでアクセスさせるのは…と思われる方も多いと思います。
ただ、他のアプリケーションへのサインイン時とは挙動を変えたい等あるかと思います。
そういうときはAzure ADの条件付きアクセスを使って特定のアプリケーションに対しての制御を設定していきます。
※条件付きアクセスはAzure AD P1以上のライセンスが必要です。
今回はWindows Virtual Desktopへのアクセス時にMulti-Factor Authentication (MFA) を強制して、Microsoft Intune へ登録されて企業ポリシーに準拠したデバイスのみアクセスできるように構成していきます。
Azure AD への設定
Azure Portalから Azure Active Directory を開きます。
Azure ADのメニューから「セキュリティ」を開きます。
次に「条件付きアクセス」を開きます。
ポリシーを作成していきます。
ポリシーの名称は「WVD」にしています。
「割り当て」から「ユーザーとグループ」を選び、「ユーザーとグループの選択」から「ユーザーとグループ」にチェックを入れます。
特定のユーザーではなくここでは「WVDUsers」というセキュリティグループを対象にしています。
「クラウド アプリまたは操作」では「アプリを選択」で「Windows Virtual Desktop」を選択します。
選択するアプリケーションは「9cdead84-a844-4324-93f2-b2e6bb768d07」を選択します。
「許可」では「多要素認証」と「デバイスは準拠しているとしてマーク済みである必要があります」にチェックを入れます。
MFAだけしたい場合は「多要素認証」のみチェックでOKです。
ポリシーの有効化をオンにして作成します。
実際に接続してみる
サポートされているクライアントから接続します。
本記事はmacで接続しますが他のクライアントは以下を参照してください。
Remote Desktopクライアントを起動して接続するデスクトップを選択します。
認証画面が出るのでユーザー・パスワードを入力します。
MFA設定がされていない場合は以下の画面が表示されるので設定します。
ショートメッセージの場合は以下。
Authenticatorアプリの場合は以下。
設定が完了していたら以下のように承認要求が出るので応答する。(画面はアプリ認証)
Windowsへのサインイン要求が出るので認証します。
Windowsへサインイン出来れば完了です。
これでWVDへサインインする時にはMFAが必須となりました。
社内ネットワークからは不要とする場合は、場所の指定で信頼するIPアドレスを登録しておくと社内からはMFAなし、社外からはMFA有りといった構成も取れますので是非お試しください。