Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os clientes conscientes da segurança, como organizações financeiras ou governamentais, iniciam sessão frequentemente com Smartcards. Os smartcards tornam as implementações mais seguras ao exigir a autenticação multifator (MFA). No entanto, para a parte RDP de uma sessão do Azure Virtual Desktop, os Smartcards requerem uma ligação direta ou uma "linha de visão", com um controlador de domínio do Active Directory (AD) para autenticação Kerberos. Sem esta ligação direta, os utilizadores não podem iniciar sessão automaticamente na rede da organização a partir de ligações remotas. Os utilizadores numa implementação do Azure Virtual Desktop podem utilizar o serviço proxy KDC para proxy deste tráfego de autenticação e iniciar sessão remotamente. O proxy KDC permite a autenticação para o Protocolo de Ambiente de Trabalho Remoto de uma sessão do Azure Virtual Desktop, permitindo que o utilizador inicie sessão de forma segura. Isto torna o trabalho a partir de casa muito mais fácil e permite que determinados cenários de recuperação após desastre funcionem de forma mais suave.
No entanto, a configuração do proxy KDC normalmente envolve atribuir a função de Gateway de Windows Server no Windows Server 2016 ou posterior. Como pode utilizar uma função dos Serviços de Ambiente de Trabalho Remoto para iniciar sessão no Azure Virtual Desktop? Para responder a isso, vamos ver rapidamente os componentes.
Existem dois componentes no serviço Azure Virtual Desktop que têm de ser autenticados:
- O feed no cliente do Azure Virtual Desktop que dá aos utilizadores uma lista dos ambientes de trabalho ou aplicações disponíveis aos quais têm acesso. Este processo de autenticação ocorre no Microsoft Entra ID, o que significa que este componente não é o foco deste artigo.
- A sessão RDP que resulta de um utilizador selecionar um desses recursos disponíveis. Este componente utiliza a autenticação Kerberos e requer um proxy KDC para utilizadores remotos.
Este artigo irá mostrar-lhe como configurar o feed no cliente do Azure Virtual Desktop no portal do Azure. Se quiser saber como configurar a função de Gateway de RD, veja Implementar a função gateway de RD.
Pré-requisitos
Para configurar um anfitrião de sessão do Azure Virtual Desktop com um proxy KDC, precisará das seguintes coisas:
- Acesso ao portal do Azure e a uma conta de administrador do Azure.
- Os computadores cliente remotos têm de estar a executar, pelo menos, Windows 10 e ter o cliente de Ambiente de Trabalho do Windows instalado. O cliente Web não é atualmente suportado.
- Tem de ter um proxy KDC já instalado no seu computador. Para saber como fazê-lo, veja Configurar a função de Gateway de RD para o Azure Virtual Desktop.
- O SO da máquina tem de ser Windows Server 2016 ou posterior.
Depois de se certificar de que cumpre estes requisitos, está pronto para começar.
Como configurar o proxy KDC
Para configurar o proxy KDC:
Entre no portal do Azure como administrador.
Aceda à página Azure Virtual Desktop.
Selecione o conjunto de anfitriões para o qual pretende ativar o proxy KDC e, em seguida, selecione Propriedades do RDP.
Selecione o separador Avançadas e, em seguida, introduza um valor no seguinte formato sem espaços:
kdcproxyname:s:<fqdn>
Selecione Salvar.
O conjunto de anfitriões selecionado deverá agora começar a emitir ficheiros de ligação RDP que incluem o valor kdcproxyname que introduziu no passo 4.
Próximas etapas
Para saber como gerir o lado dos Serviços de Ambiente de Trabalho Remoto do proxy KDC e atribuir a função gateway de RD, veja Implementar a função de Gateway de RD.
Se estiver interessado em dimensionar os servidores proxy KDC, saiba como configurar a elevada disponibilidade para o proxy KDC em Adicionar elevada disponibilidade à Web de RD e à frente Web do Gateway.