Pubblicare Desktop remoto con Microsoft Entra Application Proxy

Il servizio Desktop remoto e il proxy dell'applicazione Microsoft Entra interagiscono per migliorare la produttività dei lavoratori che si trovano lontano dalla rete aziendale.

I destinatari di questo articolo sono:

  • I clienti correnti del proxy di applicazione che vogliono offrire più applicazioni agli utenti finali pubblicando applicazioni locali tramite Servizi Desktop remoto.
  • Clienti correnti di Servizi Desktop remoto che vogliono ridurre la superficie di attacco della distribuzione usando il proxy di applicazione Microsoft Entra. Questo scenario offre un set di controlli di verifica in due passaggi e di accesso condizionale a Servizi Desktop remoto.

Modalità di adattamento del proxy di applicazione nella distribuzione standard di Servizi Desktop remoto

Una distribuzione standard di Servizi Desktop remoto include vari servizi ruolo Desktop remoto in esecuzione su Windows Server. Esistono più opzioni di distribuzione nell'architettura di Servizi Desktop remoto. A differenza di altre opzioni di distribuzione di Servizi Desktop remoto, la distribuzione di Servizi Desktop remoto con il proxy dell'applicazione Microsoft Entra (illustrato nel diagramma seguente) ha una connessione in uscita permanente dal server che esegue il servizio connettore. Altre distribuzioni lasciano le connessioni in ingresso aperte tramite un servizio di bilanciamento del carico.

Application proxy sits between the RDS VM and the public internet

In una distribuzione di Servizi Desktop remoto, il ruolo Web Desktop remoto e il ruolo Gateway Desktop remoto vengono eseguiti in computer con connessione Internet. Questi endpoint vengono esposti per i motivi seguenti:

  • Web Desktop remoto fornisce all'utente un endpoint pubblico per accedere e visualizzare le applicazioni e i desktop locali vari a cui può accedere. Quando si seleziona una risorsa, viene creata una connessione RDP (Remote Desktop Protocol) usando l'app nativa nel sistema operativo.
  • Gateway Desktop remoto entra in gioco una volta che l'utente avvia la connessione RDP. Gateway Desktop remoto gestisce il traffico RDP crittografato su Internet e lo trasferisce nel server locale a cui si connette l'utente. In questo scenario, il traffico ricevuto dal gateway Desktop remoto proviene dal proxy dell'applicazione Microsoft Entra.

Suggerimento

Se Servizi Desktop remoto non è stato distribuito prima e se si desiderano altre informazioni prima di iniziare, vedere come distribuire facilmente Servizi Desktop remoto con Azure Resource Manager e Azure Marketplace.

Requisiti

  • Entrambi gli endpoint Web Desktop remoto e Gateway Desktop remoto devono trovarsi nello stesso computer e avere una radice comune. Web Desktop remoto e Gateway Desktop remoto vengono pubblicati come singola applicazione con proxy applicazione, in modo che sia possibile avere un'esperienza single sign-on tra le due applicazioni.
  • Distribuire Servizi Desktop remoto e proxy applicazione abilitato. Abilitare il proxy dell'applicazione e aprire le porte e gli URL necessari e abilitare Transport Layer Security (TLS) 1.2 nel server. Per informazioni sulle porte da aprire e altri dettagli, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite proxy applicazione in Microsoft Entra ID.
  • Gli utenti finali devono usare un browser compatibile per connettersi al Web Desktop remoto o al client Web Desktop remoto. Per altre informazioni, vedere Supporto per le configurazioni client.
  • Quando si pubblica Web Desktop remoto, usare lo stesso nome di dominio completo (FQDN) interno ed esterno, quando possibile. Se i nomi di dominio completi (FQDN) interni ed esterni sono diversi, disabilitare Request Header Translation per evitare che il client riceva collegamenti non validi.
  • Se si usa il client Web Desktop remoto, è necessario usare lo stesso FQDN interno ed esterno. Se i nomi di dominio completi interni ed esterni sono diversi, si verificano errori websocket quando si effettua una connessione RemoteApp tramite il client Web Desktop remoto.
  • Se si usa Web Desktop remoto in Internet Explorer, è necessario abilitare il componente aggiuntivo Servizi Desktop remoto ActiveX.
  • Se si usa il client Web Desktop remoto, è necessario usare il connettore proxy applicazione versione 1.5.1975 o successiva.
  • Per il flusso di autenticazione preliminare di Microsoft Entra, gli utenti possono connettersi solo alle risorse pubblicate nel riquadro RemoteApp e Desktops . Gli utenti non possono connettersi a un desktop usando il Connessione a un riquadro pc remoto.
  • Se si usa Windows Server 2019, è necessario disabilitare il protocollo HTTP2. Per altre informazioni, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID.

Distribuire lo scenario comune di Servizi Desktop remoto e proxy dell'applicazione

Dopo aver configurato Servizi Desktop remoto e Microsoft Entra application proxy per l'ambiente, seguire la procedura per combinare le due soluzioni. Questi passaggi illustrano come pubblicare i due endpoint Di Servizi Desktop remoto (Web Desktop remoto e Gateway Desktop remoto) come applicazioni e quindi indirizzare il traffico su Servizi Desktop remoto per passare attraverso il proxy dell'applicazione.

Pubblicare l'endpoint host di Desktop remoto

  1. Pubblicare una nuova applicazione proxy di applicazione con i valori .

    • URL interno: https://<rdhost>.com/, dove <rdhost> è la radice comune condivisa da Web Desktop Remoto e Gateway Desktop remoto.
    • URL esterno: questo campo viene popolato automaticamente in base al nome dell'applicazione, ma è possibile modificarlo. Gli utenti passano a questo URL quando accedono a Servizi Desktop remoto.
    • Metodo di preautenticazione: MICROSOFT Entra ID.
    • Tradurre le intestazioni URL: No.
    • Usare il cookie solo HTTP: No.
  2. Assegnare utenti all'applicazione di Desktop remoto pubblicata. Assicurarsi che tutti gli utenti abbiano accesso anche a Servizi Desktop remoto.

  3. Lasciare disabilitato il metodo di accesso Single Sign-On per l'applicazione.

    Nota

    Agli utenti viene chiesto di eseguire l'autenticazione una sola volta in Microsoft Entra ID e una volta in Desktop remoto Web, ma hanno l'accesso Single Sign-On a Gateway Desktop remoto.

  4. Passare a Applicazioni> di identità>Registrazioni app. Scegliere l'app dall'elenco.

  5. In Gestisci selezionare Personalizzazione.

  6. Aggiornare il campo URL della home page in modo che punti all'endpoint Web Desktop remoto , ad esempio https://<rdhost>.com/RDWeb.

Indirizzare il traffico di Servizi Desktop remoto al proxy dell'applicazione

Connettersi alla distribuzione di Servizi Desktop remoto come amministratore e modificare il nome del server Gateway Desktop remoto per la distribuzione. Questa configurazione garantisce che le connessioni attraversino il servizio proxy dell'applicazione Microsoft Entra.

  1. Connettersi al server di Servizi Desktop remoto che esegue il ruolo Gestore connessione Desktop remoto.

  2. Avviare Server Manager.

  3. Selezionare Servizi Desktop remoto dal riquadro a sinistra.

  4. Selezionare Panoramica.

  5. Nella sezione Panoramica della distribuzione selezionare il menu a discesa e scegliere Modificare proprietà di distribuzione.

  6. Nella scheda Gateway Desktop remoto modificare il campo Nome server in URL esterno impostato per l'endpoint host Desktop remoto nel proxy dell'applicazione.

  7. Impostare il campo Metodo di accesso su Autenticazione della password.

    Deployment Properties screen on RDS

  8. Per ogni raccolta, eseguire questo comando. Sostituire <yourcollectionname> e <proxyfrontendurl> con le proprie informazioni. Questo comando abilita l'accesso Single Sign-On tra Web Desktop remoto e Gateway Desktop remoto e ottimizza le prestazioni.

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
    

    Ad esempio:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
    

    Nota

    Il comando precedente usa un apice inverso in "`nrequire".

  9. Per verificare la modifica delle proprietà RDP personalizzate e visualizzare il contenuto del file RDP scaricato da RDWeb per questa raccolta, eseguire il comando seguente.

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
    

Ora che Desktop remoto è configurato, il proxy dell'applicazione Microsoft Entra assume il ruolo di componente con connessione Internet di Servizi Desktop remoto. Rimuovere gli altri endpoint pubblici con connessione Internet nei computer Web Desktop remoto e Gateway Desktop remoto.

Abilitare il client Web Desktop remoto

Se si vuole che gli utenti usino il client Web Desktop remoto, seguire la procedura descritta in Configurare il client Web Desktop remoto per gli utenti.

Il client Web Desktop remoto fornisce l'accesso all'infrastruttura Desktop remoto dell'organizzazione. È necessario un Web browser compatibile con HTML5, ad esempio Microsoft Edge, Google Chrome, Safari o Mozilla Firefox (v55.0 e versioni successive).

Testare lo scenario

Testare lo scenario con Internet Explorer su un computer Windows 7 o 10.

  1. Passare all'URL esterno impostato o individuare l'applicazione nel pannello MyApps.
  2. Eseguire l'autenticazione in Microsoft Entra ID. Usare un account che è stato precedentemente assegnato all'applicazione.
  3. Eseguire l'autenticazione nel Web Desktop remoto.
  4. Al termine dell'autenticazione di Servizi Desktop remoto, è possibile selezionare il desktop o l'applicazione che si desidera e iniziare a lavorare.

Supportare altre configurazione client

La configurazione descritta in questo articolo riguarda l'accesso a Servizi Desktop remoto tramite Web Desktop remoto o client Web Desktop remoto. Se necessario è possibile comunque supportare altri sistemi operativi o browser. La differenza sta nell'uso del metodo di autenticazione.

Authentication method Configurazione client supportata
Preautenticazione Web Desktop remoto- Windows 10/10/11 con Microsoft Edge Chromium IE mode + componente aggiuntivo ActiveX di Servizi Desktop remoto
Preautenticazione Client Web Desktop remoto- Web browser compatibile con HTML5, ad esempio Microsoft Edge, Internet Explorer 11, Google Chrome, Safari o Mozilla Firefox (v55.0 e versioni successive)
Pass-through Qualsiasi altro sistema operativo che supporta l'applicazione Desktop remoto Microsoft

Nota

Microsoft Edge Chromium IEla modalità è necessaria quando il portale di App personali viene usato per accedere all'app Desktop remoto.

Il flusso di preautenticazione offre più vantaggi di sicurezza rispetto al flusso pass-through. Con l'autenticazione preliminare è possibile usare le funzionalità di autenticazione di Microsoft Entra, ad esempio Single Sign-On, Accesso condizionale e verifica in due passaggi per le risorse locali. È anche possibile garantire che solo il traffico autenticato raggiunga la rete.

Per usare l'autenticazione pass-through, sono necessarie solo due modifiche ai passaggi descritti in questo articolo:

  1. Nel passaggio 1 Pubblicare l'endpoint host di Desktop remoto impostare il metodo di preautenticazione su Pass-through.
  2. In Indirizzare il traffico Di Servizi Desktop remoto al proxy dell'applicazione ignorare completamente il passaggio 8.

Passaggi successivi