Publicación del Escritorio remoto con el proxy de aplicación de Microsoft Entra

El Servicio de Escritorio remoto y el proxy de aplicación de Microsoft Entra funcionan conjuntamente para mejorar la productividad de los trabajadores que están lejos de la red corporativa.

La audiencia objetivo para este artículo es:

  • Los clientes actuales del proxy de aplicación que quieren ofrecer más aplicaciones a sus usuarios finales publicando aplicaciones locales a través de Servicios de Escritorio remoto.
  • Los actuales clientes del Servicio de Escritorio remoto (RDS) que deseen reducir la superficie expuesta a ataques de su implementación mediante el proxy de aplicación de Microsoft Entra. Este escenario ofrece un conjunto dado de controles de acceso condicional y de verificación en dos pasos para RDS.

Cómo encaja el proxy de aplicación en la implementación estándar de RDS

Una implementación de RDS estándar incluye diversos servicios de rol de Escritorio remoto que se ejecutan en Windows Server. Existen varias opciones de implementación en la arquitectura de servicios de Escritorio remoto. A diferencia de otras opciones de implementación de RDS, la implementación de RDS con el proxy de aplicación de Microsoft Entra (que se muestra en el siguiente diagrama) tiene una conexión de salida permanente desde el servidor que ejecuta el servicio del conector. Otras implementaciones dejan conexiones entrantes abiertas a través de un equilibrador de carga.

Application proxy sits between the RDS VM and the public internet

En las implementaciones de RDS, tanto el rol de Web de Escritorio remoto como el rol de Puerta de enlace de Escritorio remoto se ejecutan en máquinas a las que se puede acceder desde Internet. Estos puntos de conexión se exponen por las siguientes razones:

  • Acceso web de Escritorio remoto ofrece al usuario un punto de conexión público para iniciar sesión y ver los diversos escritorios y aplicaciones locales a los que puede tener acceso. Al seleccionar cualquier recurso, se crea una conexión RDP (Protocolo de escritorio remoto) mediante la aplicación nativa del sistema operativo.
  • Puerta de enlace de Escritorio remoto aparece en escena una vez que un usuario inicia la conexión RDP. Puerta de enlace de Escritorio remoto controla el tráfico RDP que llega a través de Internet y lo traduce al servidor local al que se conecta el usuario. En este escenario, el tráfico que recibe la puerta de enlace de Escritorio remoto procede del proxy de aplicación de Microsoft Entra.

Sugerencia

Si no ha implementado nunca RDS o desea más información antes de empezar, obtenga información sobre cómo implementar RDS sin problemas con Azure Resource Manager y Azure Marketplace.

Requisitos

  • Los puntos de conexión de Acceso web y Puerta de enlace de Escritorio remoto deben estar en la misma máquina y compartir una raíz. La puerta de enlace de Escritorio remoto y web se publican como una sola aplicación con proxy de aplicación para que pueda tener una experiencia de inicio de sesión único entre las dos aplicaciones.
  • Implementar RDSy Application Proxy debe estar habilitado. Habilite Application Proxy y abra las direcciones URL y los puertos necesarios, y habilite el protocolo Seguridad de la capa de transporte (TLS), versión 1.2, en el servidor. Para obtener información sobre qué puertos deben abrirse y otros detalles, vea Tutorial: Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID.
  • Los usuarios finales deben usar un explorador compatible para conectarse a Acceso web de Escritorio remoto o al cliente web de Escritorio remoto. Para más información, consulte Compatibilidad con otras configuraciones de cliente.
  • Al publicar en el cliente web de Escritorio remoto, use el mismo nombre de dominio completo (FQDN) interno y externo siempre que sea posible. Si los FQDN (nombres de dominio completos) interno y externo son diferentes, debe desactivar la traducción de los encabezados de las solicitudes para que el cliente no reciba vínculos que no sean válidos.
  • Si usa el cliente web de Escritorio remoto, el nombre de dominio completo interno y el externo deben coincidir. Si los FQDN interno y externo son diferentes, se producirán errores de WebSocket al realizar una conexión RemoteApp a través del cliente web de Escritorio remoto.
  • Si usa el cliente web de Escritorio remoto en Internet Explorer, tendrá que habilitar el complemento ActiveX de RDS.
  • Si usa el cliente web de Escritorio remoto, deberá utilizar la versión 1.5.1975 del conector de Application Proxy, o cualquier versión posterior.
  • En el caso del flujo de autenticación previa de Microsoft Entra, los usuarios solo pueden conectarse a los recursos que se hayan publicado para ellos en el panel RemoteApp y escritorios. Los usuarios no se pueden conectar a un escritorio mediante el panel Conectarse a un equipo remoto.
  • Si usa Windows Server 2019, debe deshabilitar el protocolo HTTP2. Para más información, vea Tutorial: Agregar una aplicación local para acceso remoto a través del proxy de aplicación en Microsoft Entra ID.

Implementación del escenario conjunto de RDS y proxy de aplicación

Una vez configurados el RDS y el proxy de aplicación de Microsoft Entra para su entorno, siga los pasos para combinar las dos soluciones. Estos pasos le guían a través de la publicación de los dos puntos de conexión de RDS accesibles desde la Web (Acceso web y Puerta de enlace de Escritorio remoto) como aplicaciones y de la posterior dirección del tráfico de RDS para que pase por el proxy de aplicación.

Publicar el punto de conexión del host de RD

  1. Publique una nueva aplicación de Application Proxy con los siguientes valores.

    • Dirección URL interna: https://<rdhost>.com/, donde <rdhost> es la raíz común que comparten Acceso web y Puerta de enlace de Escritorio remoto.
    • Dirección URL externa: este campo se rellena automáticamente según el nombre de la aplicación, pero puede modificarlo. Los usuarios visitan esta dirección URL al acceder a RDS.
    • Método de autenticación previa: Microsoft Entra ID.
    • Traducir encabezados de URL: No.
    • Usar cookie solo HTTP: No.
  2. Asigne usuarios a la aplicación publicada de RD. Asegúrese también de que todos tienen acceso a RDS.

  3. Deje el método de inicio de sesión único de la aplicación como Inicio de sesión único de Microsoft Entra desactivado.

    Nota:

    Se solicita a los usuarios que se autentiquen una vez en Microsoft Entra ID y una vez más a través del acceso web de Escritorio remoto, pero tienen el inicio de sesión único en la puerta de enlace de Escritorio remoto.

  4. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones. Elija la aplicación en la lista.

  5. En Administrar, seleccione Personalización de marca.

  6. Actualice el campo Dirección URL de la página principal para que apunte al punto de conexión web de Escritorio remoto (por ejemplo, https://<rdhost>.com/RDWeb).

Dirigir el tráfico de RDS al proxy de aplicación

Conéctese a la implementación de RDS como administrador y cambie el nombre del servidor de Puerta de enlace de Escritorio remoto para la implementación. Esta configuración garantiza que las conexiones pasen por el servicio del proxy de la aplicación de Microsoft Entra.

  1. Conéctese al servidor RDS que ejecuta el rol Agente de conexión a Escritorio remoto.

  2. Inicie Administrador del servidor.

  3. Seleccione Servicios de Escritorio remoto en el panel de la izquierda.

  4. Seleccione Información general.

  5. En la sección Descripción general de la implementación, seleccione el menú desplegable y elija Editar propiedades de implementación.

  6. En la pestaña Puerta de enlace de Escritorio remoto, cambie el campo Nombre del servidor a la dirección URL externa que estableció para el punto de conexión de host de Escritorio remoto en el proxy de aplicación.

  7. Cambie el campo Método de inicio de sesión por Autenticación de contraseña.

    Deployment Properties screen on RDS

  8. Ejecute este comando para cada colección. Reemplace <yourcollectionname> y <proxyfrontendurl> por su propia información. Este comando habilita el inicio de sesión único entre Acceso web de Escritorio remoto y Puerta de enlace de Escritorio remoto, además de optimizar el rendimiento.

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
    

    Por ejemplo:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
    

    Nota:

    El comando anterior usa un acento grave en "`nrequire".

  9. Para comprobar la modificación de las propiedades de RDP personalizadas, así como para ver el contenido de los archivos de RDP que se descargan desde RDWeb para esta colección, ejecute el comando siguiente.

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
    

Tras la configuración de Escritorio remoto, Microsoft Entra Application Proxy asume el papel de componente del RDS al que se puede acceder desde Internet. Quite los restantes puntos de conexión públicos a los que se puede acceder desde Internet de sus máquinas Acceso web de Escritorio remoto y Puerta de enlace de Escritorio remoto.

Habilitación del cliente web de Escritorio remoto

Si quiere que los usuarios usen el cliente web de Escritorio remoto, siga los pasos que se indican en Configuración del cliente web de Escritorio remoto para los usuarios.

El cliente web de Escritorio remoto proporciona acceso a la infraestructura de Escritorio remoto de su organización. Explorador web compatible con HTML5, como Microsoft Edge, Google Chrome, Safari o Mozilla Firefox (versión 55.0 y posteriores).

Probar el escenario

Pruebe el escenario con Internet Explorer en un equipo con Windows 7 o Windows 10.

  1. Vaya a la dirección URL externa que ha configurado o busque su aplicación en el panel MyApps.
  2. Autentíquese en Microsoft Entra ID. Use una cuenta que haya asignado a la aplicación.
  3. Autentíquese en el cliente web de Escritorio remoto.
  4. Una vez que la autenticación RDS se realice correctamente, podrá seleccionar el escritorio o aplicación que desee y empezar a trabajar.

Compatibilidad con otras configuraciones de cliente

La configuración descrita en este artículo es para el acceso a RDS a través de Acceso web de Escritorio remoto o del cliente web de Escritorio remoto. No obstante, en caso necesario, también se ofrece compatibilidad con otros sistemas operativos o exploradores. La diferencia estriba en el método de autenticación que utilice.

Método de autenticación Configuración de cliente compatible
Autenticación previa Acceso web de Escritorio remoto: Windows 7/10/11 con Microsoft Edge Chromium IE mode + el complemento ActiveX de RDS
Autenticación previa Cliente web de escritorio remoto: explorador web compatible con HTML5, como Microsoft Edge, Internet Explorer 11, Google Chrome, Safari o Mozilla Firefox (v55.0 y versiones posteriores)
Acceso directo Cualquier otro sistema operativo compatible con la aplicación Escritorio remoto de Microsoft

Nota:

El modo Microsoft Edge Chromium IE es obligatorio cuando se usa el portal Aplicaciones para acceder a la aplicación de Escritorio remoto.

El flujo de autenticación previa ofrece más ventajas, en cuanto a seguridad, que el flujo de acceso directo. Con la autenticación previa, se pueden utilizar las características de autenticación de Microsoft Entra como el inicio de sesión único, el acceso condicional y la verificación en dos pasos para recursos locales. También garantiza que solo el tráfico autenticado alcance la red.

Para usar la autenticación de acceso directo, solo es necesario realizar dos modificaciones en los pasos indicados en este artículo:

  1. En el paso 1 Publicar el punto de conexión del host de RD, establezca el método de autenticación previa en Acceso directo.
  2. En Tráfico directo de RDS al proxy de aplicación, omita el paso 8 por completo.

Pasos siguientes