Publicar o Ambiente de Trabalho Remoto com o proxy da aplicação Microsoft Entra

O Serviço de Área de Trabalho Remota e o proxy de aplicativo Microsoft Entra trabalham juntos para melhorar a produtividade dos trabalhadores que estão longe da rede corporativa.

O público-alvo deste artigo é:

• Clientes de proxy de aplicativo atuais que desejam oferecer mais aplicativos para seus usuários finais publicando aplicativos locais por meio dos Serviços de Área de Trabalho Remota.
• Clientes atuais dos Serviços de Área de Trabalho Remota que desejam reduzir a superfície de ataque de sua implantação usando o proxy de aplicativo Microsoft Entra. Este cenário fornece um conjunto de verificação em duas etapas e controles de Acesso Condicional ao RDS.

Como o proxy de aplicativo se encaixa na implantação padrão do RDS

Uma implantação padrão do RDS inclui vários serviços de função Área de Trabalho Remota em execução no Windows Server. Existem várias opções de implantação na arquitetura dos Serviços de Área de Trabalho Remota. Ao contrário de outras opções de implantação do RDS, a implantação do RDS com o proxy de aplicativo Microsoft Entra (mostrado no diagrama a seguir) tem uma conexão de saída permanente do servidor que executa o serviço de conector. Outras implantações deixam conexões de entrada abertas por meio de um balanceador de carga.

Em uma implantação RDS, a função Web Área de Trabalho Remota (RD) e a função Gateway de Área de Trabalho Remota são executadas em máquinas voltadas para a Internet. Esses pontos de avaliação são expostos pelos seguintes motivos:

• A RD Web fornece ao utilizador um ponto de extremidade público para iniciar sessão e visualizar as várias aplicações e ambientes de trabalho locais a que pode aceder. Quando você seleciona um recurso, uma conexão RDP (Remote Desktop Protocol) é criada usando o aplicativo nativo no sistema operacional.
• O Gateway de Área de Trabalho Remota entra em cena quando um usuário inicia a conexão RDP. O Gateway de RD processa o tráfego RDP encriptado que chega através da Internet e converte-o para o servidor local ao qual o utilizador está a ligar. Nesse cenário, o tráfego que o Gateway de Área de Trabalho Remota está recebendo vem do proxy de aplicativo Microsoft Entra.

Requisitos

• Os pontos de extremidade da Web RD e do Gateway de Área de Trabalho Remota devem estar localizados na mesma máquina e com uma raiz comum. A Web de RD e o Gateway de RD são publicados como uma única aplicação com proxy de aplicação para que possa ter uma experiência de início de sessão único entre as duas aplicações.
• Implante o RDS e habilite o proxy de aplicativo. Habilite o proxy de aplicativo e abra as portas e URLs necessárias e habilite o Transport Layer Security (TLS) 1.2 no servidor. Para saber quais portas precisam ser abertas e outros detalhes, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.
• Os usuários finais devem usar um navegador compatível para se conectar à Web RD ou ao cliente Web RD. Para obter mais informações, consulte Suporte para configurações de cliente.
• Ao publicar RD Web, use o mesmo FQDN (Nome de Domínio Totalmente Qualificado) interno e externo quando possível. Se os FQDNs (Nomes de Domínio Totalmente Qualificados) internos e externos forem diferentes, desative a Tradução de Cabeçalho de Solicitação para evitar que o cliente receba links inválidos.
• Se estiver a utilizar o cliente Web de RD, tem de utilizar o mesmo FQDN interno e externo. Se os FQDNs internos e externos forem diferentes, você encontrará erros de websocket ao fazer uma conexão RemoteApp por meio do cliente Web RD.
• Se estiver a utilizar a RD Web no Internet Explorer, tem de ativar o suplemento ActiveX do RDS.
• Se estiver a utilizar o cliente Web de RD, terá de utilizar o conector de proxy de aplicação versão 1.5.1975 ou posterior.
• Para o fluxo de pré-autenticação do Microsoft Entra, os usuários só podem se conectar a recursos publicados a eles no painel RemoteApp e Desktops . Os usuários não podem se conectar a uma área de trabalho usando o painel Conectar a um PC remoto.
• Se você estiver usando o Windows Server 2019, precisará desabilitar o protocolo HTTP2. Para obter mais informações, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.

Implantar o cenário conjunto de RDS e proxy de aplicativo

Depois de configurar o RDS e o proxy de aplicativo Microsoft Entra para seu ambiente, siga as etapas para combinar as duas soluções. Estas etapas explicam a publicação dos dois pontos de extremidade RDS voltados para a Web (Web RD e Gateway RD) como aplicativos e, em seguida, direcionam o tráfego em seu RDS para passar pelo proxy de aplicativo.

Publicar o ponto de extremidade do host RD

1. Publique um novo aplicativo proxy de aplicativo com os valores.

   • URL interna: https://<rdhost>.com/, onde <rdhost> é a raiz comum que a Web RD e o Gateway de RD partilham.
   • URL externo: este campo é preenchido automaticamente com base no nome do aplicativo, mas você pode modificá-lo. Seus usuários acessam essa URL quando acessam o RDS.
   • Método de pré-autenticação: Microsoft Entra ID.
   • Traduzir cabeçalhos URL: No.
   • Usar cookie somente HTTP: Não.

2. Atribua usuários ao aplicativo RD publicado. Certifique-se de que todos eles também têm acesso ao RDS.

3. Deixe o método de logon único para o aplicativo como logon único do Microsoft Entra desabilitado.

   Nota

   Os usuários são solicitados a se autenticar uma vez no Microsoft Entra ID e uma vez na Web RD, mas eles têm logon único no Gateway de Área de Trabalho Remota.

4. Navegue até Registros do aplicativo Identity>Applications>. Escolha seu aplicativo na lista.

5. Em Gerenciar, selecione Marca.

6. Atualize o campo URL da página inicial para apontar para o ponto de extremidade da Web RD (como https://<rdhost>.com/RDWeb).

Direcionar o tráfego RDS para o proxy do aplicativo

Conecte-se à implantação do RDS como administrador e altere o nome do servidor Gateway de Área de Trabalho Remota para a implantação. Essa configuração garante que as conexões passem pelo serviço de proxy de aplicativo Microsoft Entra.

1. Conecte-se ao servidor RDS que executa a função Agente de Conexão de Área de Trabalho Remota.

2. Inicie o Gerenciador do Servidor.

3. Selecione Serviços de Área de Trabalho Remota no painel à esquerda.

4. Selecione Descrição geral.

5. Na seção Visão geral da implantação, selecione o menu suspenso e escolha Editar propriedades de implantação.

6. No separador Gateway de RD, altere o campo Nome do servidor para o URL externo que definiu para o ponto de extremidade de anfitrião de RD no proxy de aplicação.

7. Altere o campo Método de logon para Autenticação de senha.

   

8. Execute este comando para cada coleção. Substitua <yourcollectionname> e <proxyfrontendurl> por suas próprias informações. Este comando permite o início de sessão único entre a Web de RD e o Gateway de RD e otimiza o desempenho.

   Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
   

   Por exemplo:

   Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
   

   Nota

   O comando acima usa um backtick em "'nrequire".

9. Para verificar a modificação das propriedades RDP personalizadas e exibir o conteúdo do arquivo RDP baixado do RDWeb para esta coleção, execute o seguinte comando.

   (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
   

Agora que a Área de Trabalho Remota está configurada, o proxy de aplicativo Microsoft Entra assume como o componente voltado para a Internet do RDS. Remova os outros pontos finais públicos voltados para a Internet em suas máquinas de Web RD e Gateway de Área de Trabalho Remota.

Ativar o Cliente Web de RD

Se pretender que os utilizadores utilizem o Cliente Web de RD, siga os passos em Configurar o cliente Web de Ambiente de Trabalho Remoto para os seus utilizadores.

O cliente Web de Área de Trabalho Remota fornece acesso para a infraestrutura de Área de Trabalho Remota da sua organização. É necessário um navegador da Web compatível com HTML5, como Microsoft Edge, Google Chrome, Safari ou Mozilla Firefox (v55.0 e posterior).

Testar o cenário

Teste o cenário com o Internet Explorer em um computador com Windows 7 ou 10.

1. Aceda ao URL externo que configurou ou localize a sua aplicação no painel MyApps.
2. Autentique-se no Microsoft Entra ID. Use uma conta que você atribuiu ao aplicativo.
3. Autentique-se na Web RD.
4. Quando a autenticação RDS for bem-sucedida, você poderá selecionar a área de trabalho ou o aplicativo desejado e começar a trabalhar.

Suporte para outras configurações de cliente

A configuração descrita neste artigo é para acesso ao RDS via RD Web ou o RD Web Client. No entanto, se precisar, pode suportar outros sistemas operativos ou navegadores. A diferença está no método de autenticação que você usa.

O fluxo de pré-autenticação oferece mais benefícios de segurança do que o fluxo de passagem. Com a pré-autenticação, você pode usar recursos de autenticação do Microsoft Entra, como logon único, acesso condicional e verificação em duas etapas para seus recursos locais. Você também garante que apenas o tráfego autenticado chegue à sua rede.

Para usar a autenticação de passagem, há apenas duas modificações nas etapas listadas neste artigo:

1. Em Publicar o ponto de extremidade do host RD etapa 1, defina o método de Pré-autenticação como Passagem.
2. No tráfego direto do RDS para o proxy do aplicativo, ignore a etapa 8 completamente.

Próximos passos

• Ativar o acesso remoto ao SharePoint com o proxy da aplicação Microsoft Entra
• Considerações de segurança para acessar aplicativos remotamente usando o proxy de aplicativo do Microsoft Entra
• Práticas recomendadas para balanceamento de carga de vários servidores de aplicativos