Udostępnij za pośrednictwem

Publikowanie usługi Pulpitu Zdalnego za pomocą aplikacji proxy Microsoft Entra

  • Artykuł

Usługi pulpitu zdalnego i serwer proxy aplikacji Microsoft Entra współpracują ze sobą, aby ulepszyć produktywność pracowników, którzy pracują zdalnie poza siecią firmową.

Docelowi odbiorcy tego artykułu to:

  • Obecni klienci proxy aplikacji, którzy chcą oferować użytkownikom końcowym więcej aplikacji, publikując aplikacje lokalne za pośrednictwem usług pulpitu zdalnego.
  • Bieżący klienci usług Zdalnego Pulpitu, którzy chcą zredukować powierzchnię ataku w swoim wdrożeniu, używając serwera proxy aplikacji Microsoft Entra. Ten scenariusz zapewnia zestaw mechanizmów weryfikacji dwuetapowej i kontroli dostępu warunkowego do usług RDS (pulpitu zdalnego).

Jak serwer proxy aplikacji pasuje do standardowego wdrożenia usług pulpitu zdalnego

Standardowe wdrożenie RDS obejmuje różne usługi roli pulpitu zdalnego działające na Windows Server. Istnieje wiele opcji wdrażania w architekturze usług pulpitu zdalnego . W przeciwieństwie do innych opcji wdrażania RDS, wdrożenie RDS z serwerem proxy aplikacji Microsoft Entra (pokazane na poniższym diagramie) ma trwałe połączenie wychodzące z serwera, na którym działa usługa łącznika. Inne wdrożenia pozostawiają otwarte połączenia przychodzące za pośrednictwem modułu równoważenia obciążenia.

serwer proxy aplikacji znajduje się między maszyną wirtualną usług pulpitu zdalnego a publicznym internetem

We wdrożeniu usług pulpitu zdalnego (RDS) rola sieci Web RD i rola bramy RD są uruchamiane na maszynach dostępnych z Internetu. Te punkty końcowe są udostępniane z następujących powodów:

  • RD Web zapewnia użytkownikowi publiczny punkt końcowy do logowania się i przeglądania różnych lokalnych aplikacji i pulpitów, do których użytkownik ma dostęp. Po wybraniu zasobu zostanie utworzone połączenie protokołu RDP (Remote Desktop Protocol) przy użyciu aplikacji natywnej w systemie operacyjnym.
  • Brama RD wchodzi do akcji, gdy użytkownik uruchamia połączenie RDP. Brama RD obsługuje zaszyfrowany ruch RDP przychodzący przez internet i tłumaczy go na serwer lokalny, do którego łączy się użytkownik. W tym scenariuszu ruch odbierany przez bramę usług pulpitu zdalnego pochodzi z serwera proxy aplikacji Firmy Microsoft Entra.

Napiwek

Jeśli wcześniej nie wdrożono usług pulpitu zdalnego lub chcesz uzyskać więcej informacji przed rozpoczęciem, dowiedz się, jak bezproblemowo wdroży ć usługę RDS za pomocą usługi Azure Resource Manager i witryny Azure Marketplace.

Wymagania

  • Punkty końcowe sieci Web usług pulpitu zdalnego i bramy usług pulpitu zdalnego muszą znajdować się na tej samej maszynie oraz mieć wspólny rdzeń. RD Web i RD Gateway są publikowane jako jedna aplikacja za pomocą serwera proxy aplikacji, co umożliwia jednokrotne logowanie między tymi dwiema aplikacjami.
  • Wdrożenie usług RDSi włączenie serwera proxy aplikacji . Włącz serwer proxy aplikacji i otwórz wymagane porty i adresy URL oraz włącz protokół Transport Layer Security (TLS) 1.2 na serwerze. Aby dowiedzieć się, które porty należy otworzyć, oraz uzyskać inne szczegóły, zobacz Samouczek: dodawanie aplikacji lokalnej w celu uzyskania dostępu zdalnego przez serwer proxy aplikacji w usłudze Microsoft Entra ID.
  • Użytkownicy końcowi muszą używać zgodnej przeglądarki, aby połączyć się z RD Web lub klientem RD Web. Aby uzyskać więcej informacji, zobacz Wsparcie dla konfiguracji klientów.
  • Podczas publikowania RD Web użyj tej samej wewnętrznej i zewnętrznej w pełni kwalifikowanej nazwy domeny (FQDN), jeśli to możliwe. Jeśli wewnętrzne i zewnętrzne w pełni kwalifikowane nazwy domen (FQDN) są inne, wyłącz tłumaczenie nagłówka żądania, aby klient nie otrzymywał nieprawidłowych łączy.
  • Jeśli używasz klienta sieci Web usług pulpitu zdalnego, należy używać tej samej wewnętrznej i zewnętrznej nazwy FQDN. Jeśli wewnętrzne i zewnętrzne nazwy FQDN są różne, podczas nawiązywania połączenia z usługą RemoteApp za pośrednictwem klienta RD Web występują błędy websocket.
  • Jeśli używasz RD Web w programie Internet Explorer, musisz włączyć dodatek ActiveX RDS.
  • Jeśli korzystasz z klienta sieciowego pulpitów zdalnych, musisz użyć łącznika proxy aplikacji w wersji 1.5.1975 lub wyższej.
  • W przypadku przepływu uwierzytelniania wstępnego Microsoft Entra użytkownicy mogą łączyć się tylko z zasobami opublikowanymi w okienku RemoteApp i Pulpity. Użytkownicy nie mogą łączyć się z pulpitem przy użyciu okienka Połącz z komputerem zdalnym.
  • Jeśli używasz systemu Windows Server 2019, musisz wyłączyć protokół HTTP2. Aby uzyskać więcej informacji, zobacz Samouczek: Dodaj aplikację lokalną do dostępu zdalnego przez serwer proxy aplikacji w Microsoft Entra ID.

Wdrożenie zintegrowanego scenariusza RDS i serwera proxy aplikacji

Po skonfigurowaniu Usług pulpitu zdalnego (RDS) i proxy aplikacji Microsoft Entra w twoim środowisku, wykonaj kroki, aby połączyć te dwa rozwiązania. W tych krokach przedstawiono publikowanie dwóch internetowych punktów końcowych RDS (RD Web i RD Gateway) jako aplikacji, a następnie kierowanie ruchu na RDS w celu przejścia przez serwer proxy aplikacji.

Opublikuj punkt końcowy hosta RD

  1. Opublikuj nową aplikację proxy z wartościami.

    • Wewnętrzny adres URL: https://<rdhost>.com/, gdzie <rdhost> jest wspólnym elementem głównym, który dzielą RD Web i RD Gateway.
    • Zewnętrzny adres URL: to pole jest wypełniane automatycznie na podstawie nazwy aplikacji, ale można je zmodyfikować. Użytkownicy przechodzą do tego adresu URL podczas uzyskiwania dostępu do RDS.
    • Metoda uwierzytelniania wstępnego: Microsoft Entra ID.
    • Tłumaczenie nagłówków adresów URL: nie.
    • Użyj pliku cookie HTTP-Only: nie.

  2. Przypisz użytkowników do opublikowanej aplikacji usług pulpitu zdalnego. Upewnij się, że wszyscy mają również dostęp do usług pulpitu zdalnego.

  3. Pozostaw metodę logowania jednokrotnego dla aplikacji jako Microsoft Entra jednokrotne logowanie wyłączone.

    Notatka

    Użytkownicy są proszeni o jednorazowe uwierzytelnienie w usłudze Microsoft Entra ID i RD Web, ale mają jednokrotne logowanie do RD Gateway.

  4. Przejdź do Identity>Applications>App registrations. Wybierz aplikację z listy.

  5. W obszarze Zarządzajwybierz Branding.

  6. Zaktualizuj pole adresu URL strony głównej, aby wskazywało na punkt końcowy RD Web (na przykład https://<rdhost>.com/RDWeb).

Przekierowywanie ruchu RDS do serwera proxy aplikacji

Połącz się z wdrożeniem RDS jako administrator i zmień nazwę serwera bramy RD dla tego wdrożenia. Ta konfiguracja zapewnia, że połączenia przechodzą przez usługę serwera proxy aplikacji Firmy Microsoft Entra.

  1. Nawiąż połączenie z serwerem RDS z uruchomioną rolą Broker połączeń.

  2. Uruchom menedżera serwera .

  3. Wybierz Usługi pulpitu zdalnego w okienku po lewej stronie.

  4. Wybierz pozycję Przegląd.

  5. W sekcji Przegląd wdrożenia wybierz menu rozwijane i wybierz pozycję Edytuj właściwości wdrożenia.

  6. Na karcie Brama usług pulpitu zdalnego zmień pole Nazwa serwera na zewnętrzny adres URL ustawiony dla punktu końcowego hosta usług pulpitu zdalnego na serwerze proxy aplikacji.

  7. Zmień pole metody logowania na uwierzytelnianie hasłem.

    ekran Właściwości wdrożenia na RDS

  8. Uruchom to polecenie dla każdej kolekcji. Zastąp <yourcollectionname> i <proxyfrontendurl> swoimi danymi. To polecenie umożliwia jednokrotne logowanie między RD Web a RD Gateway oraz optymalizuje wydajność.

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"

    Na przykład:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"

    Notatka

    Powyższe polecenie używa znaku backtick w ciągu "`nrequire".

  9. Aby sprawdzić modyfikację niestandardowych właściwości protokołu RDP i wyświetlić zawartość pliku RDP pobraną z rdWeb dla tej kolekcji, uruchom następujące polecenie.

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents

Po skonfigurowaniu pulpitu zdalnego serwer proxy aplikacji firmy Microsoft Entra przejmuje rolę składnika usług pulpitu zdalnego dostępnego z Internetu. Usuń inne publiczne punkty końcowe dostępne z Internetu na swoich maszynach z usług RD Web i RD Gateway.

Włącz klienta sieciowego RD

Jeśli chcesz, aby użytkownicy korzystali z RD Web Client, wykonaj kroki opisane w Konfigurowanie RD Web Client dla użytkowników.

Klient internetowy pulpitu zdalnego zapewnia dostęp do infrastruktury pulpitu zdalnego w organizacji. Wymagana jest przeglądarka internetowa zgodna z językiem HTML5, taka jak Microsoft Edge, Google Chrome, Safari lub Mozilla Firefox (wersja 55.0 lub nowsza).

Testowanie scenariusza

Przetestuj scenariusz za pomocą programu Internet Explorer na komputerze z systemem Windows 7 lub 10.

  1. Przejdź do skonfigurowanego zewnętrznego adresu URL lub znajdź aplikację w panelu MyApps.
  2. Uwierzytelnij się w identyfikatorze Entra firmy Microsoft. Użyj konta przypisanego do aplikacji.
  3. Zaloguj się do RD Web.
  4. Po pomyślnym zakończeniu uwierzytelniania RDS, możesz wybrać pulpit lub aplikację i zacząć pracę.

Obsługa innych konfiguracji klientów

Konfiguracja opisana w tym artykule dotyczy dostępu do RDS za pośrednictwem RD Web lub RD Web Client. Jeśli jednak musisz, możesz obsługiwać inne systemy operacyjne lub przeglądarki. Różnica polega na używanej metodzie uwierzytelniania.

Metoda uwierzytelniania Obsługiwana konfiguracja klienta
Wstępne uwierzytelnianie Rd Web - Windows 7/10/11 używając Microsoft Edge Chromium IE mode + dodatek RDS ActiveX
Wstępne uwierzytelnianie Klient sieciowy usług pulpitu zdalnego — przeglądarka internetowa zgodna z HTML5, taka jak Microsoft Edge, Internet Explorer 11, Google Chrome, Safari lub Mozilla Firefox (wersja 55.0 lub nowsza)
Przekazywanie Każdy inny system operacyjny obsługujący aplikację pulpitu zdalnego firmy Microsoft

Notatka

Microsoft Edge Chromium IE tryb jest wymagany, gdy portal Moje aplikacje jest używany do uzyskiwania dostępu do aplikacji pulpitu zdalnego.

Przepływ uwierzytelniania wstępnego oferuje więcej korzyści w zakresie bezpieczeństwa niż przepływ przekazywania. W przypadku uwierzytelniania wstępnego można używać funkcji uwierzytelniania firmy Microsoft Entra, takich jak logowanie jednokrotne, dostęp warunkowy i weryfikacja dwuetapowa dla zasobów lokalnych. Upewnij się również, że tylko uwierzytelniony ruch dociera do sieci.

Aby użyć uwierzytelniania przekazywanego, wymagana jest tylko modyfikacja dwóch kroków wymienionych w tym artykule.

  1. W kroku 1 Publikowanie punktu końcowego hosta usług pulpitu zdalnego ustaw metodę preautoryzacji na Passthrough.
  2. W skieruj ruch RDS do serwera proxy aplikacji, całkowicie pomijając krok 8.

Następne kroki