Publicar Área de Trabalho Remota com proxy de aplicativo Microsoft Entra

O Serviço de Área de Trabalho Remota e o proxy de aplicativo Microsoft Entra trabalham juntos para melhorar a produtividade dos trabalhadores que estão longe da rede corporativa.

O público-alvo deste artigo é:

• Atuais clientes de proxy de aplicações que desejam oferecer mais aplicações aos seus utilizadores finais publicando aplicações no local através dos Serviços de Remote Desktop.
• Clientes atuais dos Serviços de Área de Trabalho Remota que desejam reduzir a superfície de ataque de sua implantação usando o proxy de aplicativo Microsoft Entra. Este cenário fornece um conjunto de verificação em duas etapas e controles de Acesso Condicional ao RDS.

Como o proxy de aplicativo se encaixa na implantação padrão do RDS

Uma implementação padrão do RDS inclui vários serviços de função de Ambiente de Trabalho Remoto em execução no Windows Server. Existem várias opções de implantação na arquitetura dos Serviços de Área de Trabalho Remota. Ao contrário de outras opções de implantação do RDS, a implantação do RDS com o proxy de aplicativo Microsoft Entra (mostrado no diagrama a seguir) tem uma conexão de saída permanente do servidor que executa o serviço de conector. Outras implantações deixam abertas as conexões de entrada através de um balanceador de carga.

Em uma implantação RDS, a função Web da Área de Trabalho Remota (Web RD) e a função Gateway da Área de Trabalho Remota (Gateway RD) são executadas em máquinas expostas à Internet. Esses pontos de extremidade são expostos pelos seguintes motivos:

• A RD Web fornece ao utilizador um ponto de extremidade público para iniciar sessão e visualizar as várias aplicações e ambientes de trabalho locais a que pode aceder. Quando você seleciona um recurso, uma conexão RDP (Remote Desktop Protocol) é criada usando o aplicativo nativo no sistema operacional.
• O Gateway de Área de Trabalho Remota entra em cena quando um usuário inicia a conexão RDP. O Gateway de RD processa o tráfego RDP encriptado que chega através da Internet e converte-o para o servidor local ao qual o utilizador está a ligar. Neste cenário, o tráfego que o RD Gateway está recebendo vem do proxy de aplicativo do Microsoft Entra.

Requerimentos

• Os pontos de extremidade do RD Web e do RD Gateway devem estar localizados na mesma máquina e partilhar uma raiz comum. O RD Web e o RD Gateway são publicados como uma única aplicação através de proxy de aplicação, permitindo-lhe uma experiência de início de sessão único entre ambas as aplicações.
• Implante o RDS e habilite o proxy de aplicativo. Habilite o proxy de aplicativo e abra as portas e URLs necessárias e habilite o Transport Layer Security (TLS) 1.2 no servidor. Para saber quais portas precisam ser abertas e outros detalhes, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.
• Os usuários finais devem usar um navegador compatível para se conectar à Web RD ou ao cliente Web RD. Para obter mais informações, consulte Suporte para configurações de cliente.
• Ao publicar RD Web, use o mesmo FQDN (Nome de Domínio Totalmente Qualificado) interno e externo quando possível. Se os FQDNs (Nomes de Domínio Totalmente Qualificados) internos e externos forem diferentes, desative a Tradução de Cabeçalho de Solicitação para evitar que o cliente receba links inválidos.
• Se estiver a utilizar o cliente Web de RD, tem de utilizar o mesmo FQDN interno e externo. Se os FQDNs internos e externos forem diferentes, você encontrará erros de websocket ao fazer uma conexão RemoteApp por meio do cliente Web RD.
• Se estiver a utilizar a RD Web no Internet Explorer, tem de ativar o suplemento ActiveX do RDS.
• Se estiver a utilizar o cliente Web de RD, terá de utilizar o conector de proxy de aplicação versão 1.5.1975 ou posterior.
• Para o fluxo de pré-autenticação do Microsoft Entra, os utilizadores apenas se podem conectar aos recursos publicados para eles no painel RemoteApp and Desktops. Os usuários não podem se conectar a uma área de trabalho usando o painel Conectar a um PC remoto .
• Se você estiver usando o Windows Server 2019, precisará desabilitar o protocolo HTTP2. Para obter mais informações, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.

Implantar o cenário conjunto de RDS e proxy de aplicativo

Depois de configurar o RDS e o proxy de aplicativo Microsoft Entra para seu ambiente, siga as etapas para combinar as duas soluções. Estas etapas explicam a publicação dos dois pontos de extremidade RDS voltados para a Web (Web RD e Gateway RD) como aplicativos e, em seguida, direcionam o tráfego em seu RDS para passar pelo proxy de aplicativo.

Publicar o endpoint do host da RD

1. Publique uma nova aplicação proxy com os valores.

   • URL interna: https://<rdhost>.com/, onde <rdhost> é a raiz comum que a Web RD e o Gateway RD partilham.
   • URL externo: este campo é preenchido automaticamente com base no nome do aplicativo, mas você pode modificá-lo. Seus usuários acessam essa URL quando acessam o RDS.
   • Método de pré-autenticação: Microsoft Entra ID.
   • Traduzir cabeçalhos URL: Não.
   • Utilizar HTTP-Only Cookie: Não.

2. Atribua utilizadores à aplicação RD publicada. Certifique-se de que todos eles também têm acesso ao RDS.

3. Deixe o método de início de sessão único para a aplicação como início de sessão único do Microsoft Entra desativado.

   Observação

   Os utilizadores são solicitados a autenticarem-se uma vez no Microsoft Entra ID e uma vez no RD Web, mas têm início de sessão único no Gateway de RD.

4. Navegue até Entra ID>Registos de Aplicativos. Escolha seu aplicativo na lista.

5. Em Gerenciar, selecione Marca.

6. Atualize o campo URL da página inicial para apontar para o endpoint da Web de RD (como https://<rdhost>.com/RDWeb).

Direcionar o tráfego RDS para o proxy do aplicativo

Conecte-se à implementação do RDS como administrador e altere o nome do servidor RD Gateway para a implementação. Essa configuração garante que as conexões passem pelo serviço de proxy de aplicativo Microsoft Entra.

1. Conecte-se ao servidor RDS que executa a função Gestor de Ligações RD.

2. Inicie o Gerenciador do Servidor.

3. Selecione Serviços de Área de Trabalho Remota no painel à esquerda.

4. Selecione Visão geral.

5. Na seção Visão geral da implantação, selecione o menu suspenso e escolha Editar propriedades de implantação.

6. No separador Gateway de RD, altere o campo Nome do Servidor para o URL Externo que definiu para o ponto de extremidade de anfitrião de RD no proxy de aplicação.

7. Altere o campo Método de logon para Autenticação de senha.

   

8. Execute este comando para cada coleção. Substitua <yourcollectionname> e <proxyfrontendurl> por suas próprias informações. Este comando permite o início de sessão único entre o RD Web e o RD Gateway, otimizando o desempenho.

   Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
   

   Por exemplo:

   Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
   

   Observação

   O comando usa um backtick em ''nrequire'.

9. Para verificar a modificação das propriedades RDP personalizadas e exibir o conteúdo do arquivo RDP baixado do RDWeb para esta coleção, execute o seguinte comando.

   (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
   

Agora que a Área de Trabalho Remota está configurada, o Microsoft Entra como proxy de aplicativo assume a função de componente voltado para a Internet do RDS. Remova os outros pontos finais públicos com visibilidade para a Internet nas suas máquinas de RD Web e RD Gateway.

Ativar o Cliente Web de RD

Se pretender que os utilizadores utilizem o Cliente Web de RD, siga os passos em Configurar o cliente Web de Ambiente de Trabalho Remoto para os seus utilizadores.

O cliente Web de Área de Trabalho Remota fornece acesso para a infraestrutura de Área de Trabalho Remota da sua organização. É necessário um navegador da Web compatível com HTML5, como Microsoft Edge, Google Chrome, Safari ou Mozilla Firefox (v55.0 e posterior).

Testar o cenário

Teste o cenário com o Internet Explorer em um computador com Windows 7 ou 10.

1. Aceda ao URL externo que configurou ou localize a sua aplicação no painel MyApps.
2. Autentique-se com o Microsoft Entra ID. Use uma conta que você atribuiu ao aplicativo.
3. Autentique-se na Web RD.
4. Quando a autenticação RDS for bem-sucedida, você poderá selecionar a área de trabalho ou o aplicativo desejado e começar a trabalhar.

Suporte para outras configurações de cliente

A configuração descrita neste artigo é para acesso ao RDS via RD Web ou o RD Web Client. No entanto, se precisar, pode suportar outros sistemas operativos ou navegadores. A diferença está no método de autenticação que você usa.

O fluxo de pré-autenticação oferece mais benefícios de segurança do que o fluxo de passagem. Com a pré-autenticação, você pode usar recursos de autenticação do Microsoft Entra, como logon único, acesso condicional e verificação em duas etapas para seus recursos locais. Você também garante que apenas o tráfego autenticado chegue à sua rede.

Para usar a autenticação de passagem, há apenas duas modificações nas etapas listadas neste artigo:

1. Na etapa 1 de Publicar o ponto de extremidade do host RD, defina o método de Pré-autenticação como Passthrough.
2. No tráfego direto do RDS para o proxy do aplicativo, ignore a etapa 8 completamente.

Próximos passos

• Habilitar o acesso remoto ao SharePoint com o proxy de aplicativo Microsoft Entra
• Considerações de segurança para acessar aplicativos remotamente usando o proxy de aplicativo do Microsoft Entra
• Práticas recomendadas para balanceamento de carga de vários servidores de aplicativos