Partilhar via

Publicar aplicativos com SharePoint, Exchange e RDG

Este conteúdo é relevante para a versão local do Proxy de aplicativo Web. Para habilitar o acesso seguro a aplicativos locais pela nuvem, consulte o Conteúdo de Proxy de aplicativo do Microsoft Entra.

Este tópico descreve as tarefas necessárias para publicar o SharePoint Server, o Exchange Server ou o RDP (Gateway de Área de Trabalho Remota) por meio de Proxy de aplicativo Web.

Observação

Essas informações são fornecidas no estado em que se encontram. Os Serviços de Área de Trabalho Remota dão suporte e recomendam o uso de Proxy de aplicativo do Azure para fornecer acesso remoto seguro a aplicativos locais.

Publicar o SharePoint Server

Você pode publicar um site do SharePoint por meio do Proxy de aplicativo Web quando o site do SharePoint estiver configurado para autenticação baseada em declarações ou autenticação integrada do Windows. Se desejar usar o AD FS (Serviços de Federação do Active Directory) para pré-autenticação, você deve configurar uma terceira parte confiável usando um dos assistentes.

  • Se o site do SharePoint usa a autenticação baseada em declarações, você deve usar o Assistente para Adicionar o Objeto de Confiança de Terceira Parte Confiável para configurar o objeto de confiança de terceira parte confiável para o aplicativo.

  • Se o site do SharePoint usa a autenticação integrada do Windows, você deve usar o Assistente para Adicionar o Objeto de Confiança de Terceira Parte Confiável Não Baseado em Declarações para configurar o objeto de confiança de terceira parte confiável para o aplicativo. Você pode usar a IWA com um aplicativo Web baseado em declarações desde que configure o KDC.

    Para permitir que os usuários sejam autenticados usando a autenticação integrada do Windows, o servidor de Proxy de aplicativo Web deve ser associado a um domínio.

    Você deve configurar o aplicativo para dar suporte à delegação restrita de Kerberos. Você pode fazer isso no controlador de domínio de qualquer aplicativo. Você também pode configurar o aplicativo diretamente no servidor back-end se ele estiver em execução no Windows Server 2012 R2 ou no Windows Server 2012. Para obter mais informações, consulte Novidades na autenticação Kerberos. Você também deve ter certeza de que os servidores de Proxy de aplicativo Web estejam configurados para delegação aos nomes da entidade de serviço dos servidores back-end. Para um passo a passo de como configurar o Proxy de aplicativo Web para publicar um aplicativo usando a autenticação integrada do Windows, consulte Como configurar um site para usar a autenticação integrada do Windows.

Se seu site do SharePoint for configurado usando AAM (mapeamentos alternativos de acesso) ou coleções de sites com nome de host, você pode usar diferentes URLs de servidor externo e de back-end para publicar seu aplicativo. No entanto, se você não configurar seu site do SharePoint usando o AAM ou coleções de sites com nome de host, deve usar as mesmas URLs de servidor externo e de back-end.

Publicar o Exchange Server

A tabela a seguir descreve os serviços do Exchange que você publica por meio do Proxy de aplicativo Web e a pré-autenticação compatível com esses serviços:

Serviço do Exchange Pré-autenticação Observações
Outlook Web App – AD FS usando a autenticação não baseada em declarações
– Passagem
– AD FS usando a autenticação baseada em declarações para Exchange 2013 Service Pack 1 (SP1) local		 Para obter mais informações, consulte Usando autenticação baseada em declarações do AD FS com o Outlook Web App e o EAC
Painel de controle do Exchange Passagem
Outlook em Qualquer Lugar Passagem Você precisa publicar URLs adicionais para o Outlook em Qualquer Lugar funcionar corretamente:

– A URL de descoberta automática, EWS e OAB (no caso do modo de cache do Outlook).
– O nome de host externo do Exchange Server, isto é, a URL que está configurada para os usuários se conectarem.
– O FQDN interno do servidor Exchange Server.
Exchange ActiveSync Passagem
AD FS usando o protocolo de autorização HTTP Básico
Serviços Web do Exchange Passagem
Descoberta automática Passagem
Catálogo de endereços offline Passagem

Para publicar o Outlook Web App usando a autenticação integrada do Windows, você deve usar o Assistente para Adicionar o Objeto de Confiança de Terceira Parte Confiável Não Baseado em Declarações para configurar o objeto de confiança de terceira parte confiável para o aplicativo.

Para permitir que os usuários se autentiquem usando a delegação restrita de Kerberos, o servidor de Proxy de aplicativo Web deve ser ingressado em um domínio.

Você deve configurar o aplicativo para dar suporte à autenticação Kerberos. Além disso, você precisa registrar um SPN (nome da entidade de serviço) na conta na qual o serviço Web está sendo executado. Você pode fazer isso no controlador de domínio ou nos servidores back-end. Em um ambiente do Exchange com balanceamento de carga, isso exigiria o uso da Conta de Serviço Alternativa. Consulte Como configurar a autenticação Kerberos para servidores de acesso ao cliente com balanceamento de carga

Você também pode configurar o aplicativo diretamente no servidor back-end se ele estiver em execução no Windows Server 2012 R2 ou no Windows Server 2012. Para obter mais informações, consulte Novidades na autenticação Kerberos. Você também deve ter certeza de que os servidores de Proxy de aplicativo Web estejam configurados para delegação aos nomes da entidade de serviço dos servidores back-end.

Publicar o Gateway de Área de Trabalho Remota por meio de Proxy de aplicativo Web

Para restringir o acesso ao seu Gateway de Acesso Remoto e adicionar pré-autenticação para acesso remoto, você pode implementá-lo através do Proxy de aplicativo Web. Essa é uma maneira muito boa de garantir que você tenha uma pré-autenticação avançada para o RDG, incluindo a MFA. A publicação sem pré-autenticação também é uma opção e fornece um único ponto de entrada em seus sistemas.

Como publicar um aplicativo no RDG usando a autenticação de passagem de Proxy de aplicativo Web

  1. A instalação será diferente dependendo se as funções de Acesso via Web à Área de Trabalho Remota (/rdweb) e o Gateway de Área de Trabalho Remota (rpc) estão no mesmo servidor ou em servidores diferentes.

  2. Se as funções de Acesso via Web da Área de Trabalho Remota e o Gateway de Área de Trabalho Remota estiverem hospedados no mesmo servidor de RDG, você poderá simplesmente publicar o FQDN raiz no Proxy de aplicativo Web, como https://rdg.contoso.com/.

    Você também pode publicar os dois diretórios virtuais individualmente, por exemplo, https://rdg.contoso.com/rdweb/ e https://rdg.contoso.com/rpc/.

  3. Se o Acesso via Web da Área de Trabalho Remota e o Gateway de Área de Trabalho Remota estiverem hospedados em servidores de RDG separados, você precisará publicar os dois diretórios virtuais individualmente. Você pode usar o mesmo FQDN externo ou um diferente, por exemplo, https://rdweb.contoso.com/rdweb/ e https://gateway.contoso.com/rpc/.

  4. Se os FQDN externos e internos forem diferentes, você não deverá desabilitar a conversão de cabeçalho de solicitação na regra de publicação RDWeb. Isso pode ser feito executando o script do PowerShell a seguir no servidor de Proxy de aplicativo Web, mas isso já deve estar habilitado por padrão.

    Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$false

    Observação

    Se você precisar dar suporte a clientes avançados, como Conexões de RemoteApp e Área de Trabalho ou conexões de Área de Trabalho Remota do iOS, eles não oferecem suporte à pré-autenticação, portanto, você deve publicar o RDG usando a autenticação de passagem.

Como publicar um aplicativo no RDG usando o Proxy de aplicativo Web com pré-autenticação

  1. A pré-autenticação do Proxy de aplicativo Web com RDG funciona passando o cookie de pré-autenticação obtido pelo Internet Explorer sendo passado para o cliente de Conexão de Área de Trabalho Remota (mstsc.exe). Em seguida, isso é usado pelo cliente da Conexão de Área de Trabalho Remota (mstsc.exe). Isso é, então, usado pelo cliente da Conexão de Área de Trabalho Remota como prova de autenticação.

    O procedimento a seguir instrui o servidor de Coleção a incluir as propriedades de RDP personalizadas necessárias nos arquivos RDP do Aplicativo Remoto que são enviados aos clientes. Eles informam ao cliente que a pré-autenticação é necessária e para passar os cookies do endereço do servidor de pré-autenticação para o cliente de Conexão de Área de Trabalho Remota (mstsc.exe). Em conjunto com a desativação do recurso HttpOnly no aplicativo de Proxy de aplicativo Web, isso permite que o cliente de Conexão de Área de Trabalho Remota (mstsc.exe) utilize o cookie do Proxy de aplicativo Web obtido por meio do navegador.

    A autenticação no servidor de Acesso via Web da Área de Trabalho Remota ainda usará o logon do formulário de Acesso via Web da Área de Trabalho Remota. Isso fornece o menor número de prompts de autenticação do usuário, pois o formulário de logon do Acesso via Web da Área de Trabalho Remota cria um repositório de credenciais do lado do cliente que pode ser usado pelo cliente de Conexão de Área de Trabalho Remota (mstsc.exe) para qualquer inicialização subsequente do Aplicativo Remoto.

  2. Primeiro, crie um objeto de confiança de terceira parte confiável manual no AD FS como se estivesse publicando um aplicativo com reconhecimento de declarações. Isso significa que você precisa criar um objeto de confiança de terceira parte confiável fictício que exista para impor a pré-autenticação, para que você obtenha a pré-autenticação sem a delegação restrita de Kerberos para o servidor publicado. Depois que um usuário é autenticado, todo o resto é transmitido.

    Aviso

    Pode parecer que o uso da delegação é preferível, mas não resolve totalmente os requisitos de SSO do mstsc e há problemas ao delegar ao diretório /rpc porque o cliente espera que ele próprio lide com a autenticação do Gateway de Área de Trabalho Remota.

  3. Para criar um Objeto de confiança de terceira parte confiável manual, siga as etapas no Console de Gerenciamento do AD FS:

    1. Use o assistente Adicionar objeto de confiança de terceira parte confiável

    2. Selecione Insira manualmente os dados sobre a terceira parte confiável.

    3. Aceite todas as configurações padrão.

    4. Para o identificador do objeto de confiança de terceira parte confiável, insira o FQDN externo que você usará para acesso à RDG, por exemplo, https://rdg.contoso.com/.

      Esse é o objeto de confiança de terceira parte confiável que você usará ao publicar o aplicativo no Proxy de aplicativo Web.

  4. Publique a raiz do site (por exemplo, https://rdg.contoso.com/) no Proxy de aplicativo Web. Defina a pré-autenticação como AD FS e use o objeto de confiança de terceira parte confiável criado acima. Isso permitirá que /rdweb e /rpc usem o mesmo cookie de autenticação do Proxy de aplicativo Web.

    É possível publicar /rdweb e /rpc como aplicativos separados e até mesmo usar servidores publicados diferentes. Você só precisa garantir que publique ambos usando o mesmo objeto de confiança de terceira parte confiável, pois o token do Proxy de aplicativo Web é emitido para o objeto de confiança de terceira parte confiável e, assim, é válido para todas as aplicações publicadas com o mesmo objeto de confiança de terceira parte confiável.

  5. Se os FQDN externos e internos forem diferentes, você não deverá desabilitar a conversão de cabeçalho de solicitação na regra de publicação RDWeb. Isso pode ser feito executando o seguinte script do PowerShell no servidor do Proxy de aplicativo Web, mas isso já deve estar habilitado por padrão:

    Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$true

  6. Desabilite a propriedade de cookie HttpOnly no Proxy de aplicativo Web no aplicativo de RDG publicado. Para permitir que o controle de RDG ActiveX acesse o cookie de autenticação do Proxy de aplicativo Web, você precisa desabilitar a propriedade HttpOnly no cookie do Proxy de aplicativo Web.

    Isso exige que você instale o pacote cumulativo de atualizações de novembro de 2014 para Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 (KB3000850).

    Depois de instalar o hotfix, execute o seguinte script do PowerShell no servidor do Proxy de aplicativo Web especificando o nome do aplicativo relevante:

    Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$true

    Desabilitar o HttpOnly permite que o controle de RDG ActiveX acesse o cookie de autenticação do Proxy de aplicativo Web.

  7. Configure a coleção de RDG relevante no servidor da Coleção para permitir que o cliente de Conexão de Área de Trabalho Remota (mstsc.exe) saiba que a pré-autenticação é necessária no arquivo rdp.

    • No Windows Server 2012 e Windows Server 2012 R2, isso pode ser feito executando o seguinte cmdlet do PowerShell no servidor da Coleção RDG:

      Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"

      Remova os colchetes < e > ao substituir por seus próprios valores, por exemplo:

      Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"

    • No Windows Server 2008 R2:

      1. Faça logon no Terminal Server com uma conta que tenha privilégios de Administrador.

      2. Acesse Iniciar>Ferramentas Administrativas>Serviços de Terminal>Gerenciador RemoteApp do TS.

      3. No painel Visão geral do Gerenciador de RemoteApp do TS, ao lado de Configurações de RDP, clique em Alterar.

      4. Na guia Configurações personalizadas de RDP, digite as seguintes configurações de RDP na caixa Configurações personalizadas de RDP:

        pre-authentication server address: s: https://externalfqdn/rdweb/

        require pre-authentication:i:1

      5. Quando terminar, clique em Aplicar.

        Isso instrui o servidor de Coleção a incluir as propriedades de RDP personalizadas nos arquivos de RDP que são enviados aos clientes. Eles informam ao cliente que a pré-autenticação é necessária e para passar os cookies para o endereço do servidor de pré-autenticação para o cliente de Conexão de Área de Trabalho Remota (mstsc.exe). Isso, em conjunto com a desativação do HttpOnly no aplicativo do Proxy de aplicativo Web, permite que o cliente de Conexão de Área de Trabalho Remota (mstsc.exe) utilize o cookie de autenticação do Proxy de aplicativo Web obtido por meio do navegador.

        Para obter mais informações sobre RDP, consulte Configurar o cenário OTP do Gateway do TS.