Saltar al contenido
Inicio / Azure / WVD / Azure Virtual Desktop: Aumentando la Seguridad con Acceso Condicional + MFA + Intune

Azure Virtual Desktop: Aumentando la Seguridad con Acceso Condicional + MFA + Intune

Recientemente hemos hablado de como securizar nuestras máquinas virtuales en un entorno de AVD (Azure Virtual Desktop), utilizando AppLocker y los NGS de Azure [Azure Virtual Desktop: utilizando AppLocker y NSG para securizar tus sesiones remotas – Blog Santiago Buitrago (santiagobuitragoreis.com)]. Pues hoy veremos como podemos aplicar medidas de seguridad adicionales:

  • Que los usuarios solo pueda ejecutar aplicaciones dentro de nuestros AVD
  • Forzar la autenticación multifactor (MFA) para el acceso a AVD

Esto nos permitirá garantizar de forma sencilla que los usuarios solo tienen acceso a nuestros servicios corporativos desde los AVD, donde podemos/debemos aplicar medidas de seguridad de auditoría, control, corrección y monitorización en tiempo real. En este caso, buscamos que los usuarios puedan ejecutar aplicaciones registradas en AzureAD (Exchange, SharePoint, OneDrive, Teams, etc… ) desde nuestros AVD, utilizando para ello configuraciones específicas de Acceso Condicional definidas en Azure Active Directory.

Antes de empresa, aquí os dejo el esquema de la configuración que vamos a comentar en este artículo:

Antes de empezar, voy a recodar el objetivo de esta configuración:

  • Permitir el acceso a las aplicaciones Cloud registradas en AzureAD solo desde nuestras MV en nuestros entorno de Azure Virtual Desktop
  • La conexión desde cliente de escritorio remoto de Azure Virtual Desktop será autenticando con MFA

Lo voy a centrar en un AVD, pero veréis que la configuración se puede aplicar también a entornos híbridos. Lo que haré será definir dos directivas de acceso condicional:

  1. Permite únicamente el acceso a aplicaciones registradas en AzureAD desde máquinas con el estado de cumplimiento correcto [equipos unidos a AzureAD o Híbridos].
  2. Obligar a autenticarse con MFA en la conexión del cliente de escritorio remoto de Azure Virtual Desktop.

La configuración que planteo es teniendo en cuenta que solo tuviéramos en entorno Cloud, 100% AzureAD y O365, vamos, que nuestros usuarios no tengan equipos corporativos pero queramos controlar el acceso a las aplicaciones corporativas. Las aplicaciones de O365 se protegerían utilizando el acceso condicional y, si tuviéramos alguna aplicación de negocio de escritorio pues quedaría protegida porque solo estaría instalada en los AVD.

Insisto, es una configuración muy centrada en AzureAD y AVD, pero se puede extrapolar a entornos híbridos sin problema. La idea es que ningún usuario se pueda conectar utilizando sus equipos personales ni otros que no sean los que nosotros queramos, en este caso los únicos unidos al dominio de AzureAD que son nuestros AVD. Antes de comenzar con las dos configuraciones que debemos realizar, os dejo algunos artículos que he publicado anteriormente sobre estos dos temas:

Entre todos los artículos veréis configuraciones que iré aplicando aquí, pero las cuales no voy a detallar, me voy a centrar en las dos configuraciones que debemos aplicar para conseguir el objetivo que nos hemos marcado. Pues vamos a ello, os voy a mostrar las diferentes secciones de la configuración de acceso condicional en las diferentes directivas que debemos crear. Las directivas que vamos a crear con las siguientes:

  1. Usuarios AVD: definiremos que solo se pueda tener acceso a las aplicaciones registradas en AzureAD desde máquinas con el estado de cumplimiento correcto. La directiva de cumplimiento que he configurado es la siguiente:
  2. Cliente AVD: cuando los usuarios inicien sesión en el cliente de escritorio remoto de Azure Virtual Desktop se les obligará a autenticarse utilizando MFA

Entiendo que, todos tenemos claro que para configurar el estado de cumplimiento necesitamos tener Intune y los equipos (MV de AVD) unidos al dominio de AzureAD. Como os he comentado, esta configuración ya no lo voy a comentar en este artículo, pero aquí tenéis el enlace a uno de ellos donde lo comento: Azure MFA: Acceso Condicional – Blog Santiago Buitrago (santiagobuitragoreis.azurewebsites.net)

A continuación, la configuración de la directiva de acceso condicional para evitar que los usuarios accedan a las aplicaciones desde equipos no unidos al dominio de AzureAD y con el estado de cumplimiento adecuado.

mportante, que tengamos un grupo de seguridad al que le aplicaremos esta directiva para evitar problemas de acceso (también podemos utilizar las exclusiones para evitar que se aplique esta configuración a ciertos usuarios):
Aplicaciones en la nube o acciones: elegiremos la opción Todas las aplicaciones de nube para asegurarnos de que se aplica a todos las aplicaciones que tenemos registradas en AzureAD (a mayores de O365)
Antes de pasar a la siguiente sección, debemos elegir como exclusión a la aplicación de Azure Virtual Desktop sino los usuarios no se podrían conectar ni a los AVD.
Condiciones: definiremos que se aplicará a cualquier sistema operativo, así evitaremos que alguien acceda a las aplicaciones desde cualquier plataforma. Como podéis observar, tenemos muchas opciones adicionales que podemos configurar:
  • Riesgo de inicio de sesión: Probabilidad de que el inicio de sesión proceda de alguien que no es el usuario. El nivel de riesgo puede ser alto, medio o bajo. Se necesita una licencia de Azure AD Premium 2.
  • Ubicaciones: Ubicación (determinada con el intervalo de direcciones IP) desde la que inicia sesión el usuario
  • Aplicaciones cliente: Software que usa el usuario para obtener acceso a la aplicación en la nube. Por ejemplo, ‘Navegador’.
  • Estado del dispositivo (versión preliminar): Si el dispositivo desde el que el usuario inicia sesión está “unido a Azure AD híbrido” o “marcado como conforme”. “Estado del dispositivo (versión preliminar)” está en desuso. Use “Filtro para dispositivos” en su lugar.
  • Filtro para dispositivos: Filtro que se aplicará a los dispositivos en función de sus atributos.
Aquí os dejo un artículo donde había aplicado la condición por ubicación Conexión VPN + RADIUS + AzureMFA + Enrutamiento IP – Blog Santiago Buitrago (santiagobuitragoreis.com):
Aquí otro punto importante, es donde vamos a exigir que el dispositivo donde haya iniciado sesión el usuario, esté marcado como compatible (Intune)
Ahora vamos a definir/exigir cada cuanto vamos a solicitar las credenciales del usuario, vamos a bajarlo a 45 días
Por último, cambiado el estado de la directiva a Activado y con esto hemos finalizado la directiva de acceso condicional.
Si algún usuario inicia sesión en alguna aplicación afectada por la directiva desde algún dispositivo que fuera de cumplimiento …
Ahora nos queda configurar la política de acceso condicional la cual exija a los usuarios autenticarse con doble factor, pero solo cuando quieran iniciar el cliente de escritorio remoto. La configuración es parecida a la anterior, solo cambiará en las pantallas que os muestro a continuación:
Aplicaciones en la nube o acciones: aquí elegimos claramente Azure Virtual Desktop:
Conceder: aquí elegimos la opción Comprobación con MFA
Sesión: bajamos todavía más la frecuencia de requerir inicio de sesión a 5 días
Cambiamos a Activado la directiva y hemos finalizado
Ya tenemos lo que queremos, los usuarios no podrán acceder a las aplicaciones de cloud sino lo hacen desde un equipo con el estado de cumplimiento correcto, además, para iniciar sesión en el cliente de escritorio remoto deberán autenticarse con el doble factor de autenticación.
Yo lo he centrado en un entorno 100% cloud, pero si tenemos entorno On-Premises y configuramos el entorno híbrido también podríamos aplicar las directivas de cumplimiento a todos nuestros equipos.
Ahora, como siempre, os tocar probarlo a vosotros!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!