Публикация удаленного рабочего стола с помощью прокси-службы приложения Microsoft Entra
Служба удаленных рабочих столов и прокси приложения Microsoft Entra работают вместе, чтобы повысить производительность работников, которые находятся вне корпоративной сети.
Предполагаемая аудитория этой статьи:
- Текущие клиенты прокси приложения, которые хотят предложить пользователям больше приложений, публикуя локальные приложения через службы удаленных рабочих столов.
- Текущие клиенты служб удаленных рабочих столов, которые хотят уменьшить область атаки развертывания с помощью прокси приложения Microsoft Entra. Этот сценарий обеспечивает набор из двухфакторной проверки подлинности и элементов управления условным доступом к RDS.
Как прокси приложения подходит в стандартном развертывании RDS
Стандартное развертывание RDS включает в себя различные службы ролей удаленного рабочего стола, выполняемые в Windows Server. В архитектуре служб удаленных рабочих столов существует несколько вариантов развертывания. В отличие от других вариантов развертывания RDS, развертывание RDS с прокси приложения Microsoft Entra (показано на следующей схеме) имеет постоянное исходящее подключение с сервера, на котором запущена служба соединителя. Другие развертывания оставляют открытыми входящие подключения через подсистему балансировки нагрузки.
В развертывании RDS веб-роль удаленного рабочего стола (RD) и роль шлюза удаленных рабочих столов выполняются на компьютерах, подключенных к Интернету. Эти конечные точки предоставляются по следующим причинам:
- Веб-сайт удаленных рабочих столов предоставляет пользователю общедоступную конечную точку для входа и просмотра различных локальных приложений и компьютеров, к которым у него есть доступ. При выборе ресурса подключение протокола удаленного рабочего стола (RDP) создается с помощью собственного приложения в ОС.
- Когда пользователь открывает подключение к удаленному рабочему столу, на сцену выходит шлюз удаленных рабочих столов. Он обрабатывает зашифрованный трафик RDP, проходящий через Интернет, и транслирует его на локальный сервер, к которому подключается пользователь. В этом сценарии трафик шлюза удаленных рабочих столов поступает из прокси приложения Microsoft Entra.
Совет
Если вы еще не разворачивали RDS или хотите получить дополнительные сведения, прежде чем начать, узнайте, как незаметно для пользователя развернуть RDS с помощью Azure Resource Manager и Azure Marketplace.
Требования
- Конечные точки веб-сайта удаленных рабочих столов и шлюза удаленных рабочих столов должны располагаться на одном компьютере и в общем корне. Веб-шлюз удаленных рабочих столов и шлюз удаленных рабочих столов публикуются как одно приложение с прокси-сервером приложения, чтобы можно было использовать единый вход между двумя приложениями.
- Развертывание RDS и включение прокси приложения. Включите прокси приложения и откройте необходимые порты и URL-адреса, а также включите протокол TLS 1.2 на сервере. Сведения о том, какие порты необходимо открыть, и другие сведения см. в руководстве . Добавление локального приложения для удаленного доступа через прокси приложения в идентификаторе Microsoft Entra ID.
- Используйте совместимый браузер для подключения к веб-сайту удаленных рабочих столов или веб-клиенту удаленных рабочих столов. Дополнительные сведения см. в разделе "Поддержка конфигураций клиентов".
- При публикации веб-сайта удаленных рабочих стола используйте то же внутреннее и внешнее полное доменное имя (FQDN), когда это возможно. Если внутренние и внешние полные доменные имена (FQDN) отличаются, отключите преобразование заголовков запросов, чтобы избежать получения недопустимых ссылок клиентом.
- Если вы используете веб-клиент RD, необходимо использовать то же внутреннее и внешнее полное доменное имя. Если внутренние и внешние полные доменные имена отличаются, при создании подключения RemoteApp через веб-клиент удаленных рабочих столов возникают ошибки веб-шлюза.
- Если вы используете веб-сайт RD в Интернете Обозреватель, необходимо включить надстройку RDS ActiveX.
- Если вы используете веб-клиент RD, вам потребуется использовать соединитель прокси приложения версии 1.5.1975 или более поздней версии.
- Для потока предварительной проверки подлинности Microsoft Entra пользователи могут подключаться только к ресурсам, опубликованным им в области RemoteApp и Desktops . Вы не можете подключаться к рабочему столу с помощью панели Подключение к удаленному компьютеру.
- Если вы используете Windows Server 2019, необходимо отключить протокол HTTP2. Дополнительные сведения см. в руководстве по добавлению локального приложения для удаленного доступа через прокси приложения в идентификаторе Microsoft Entra ID.
Развертывание совместного сценария RDS и прокси приложения
После настройки прокси приложения RDS и Microsoft Entra для вашей среды выполните действия, чтобы объединить два решения. Эти действия пошаговые инструкции по публикации двух конечных точек RDS (веб-сайта и шлюза удаленных рабочих столов) в качестве приложений, а затем перенаправление трафика на RDS для передачи через прокси приложения.
Публикация конечной точки узла удаленных рабочих столов
Опубликуйте новое приложение-прокси приложения с значениями.
- Внутренний URL-адрес:
https://<rdhost>.com/
, где<rdhost>
— общий корень, совместно используемый веб-сайтом удаленных рабочих столов и шлюзом удаленных рабочих столов. - Внешний URL-адрес: это поле заполняется автоматически на основе имени приложения, но его можно изменить. Пользователи переходят по этому URL-адресу при доступе к RDS.
- Метод предварительной проверки подлинности: идентификатор Microsoft Entra.
- Перевод заголовков URL-адресов: Нет.
- Используйте файл cookie только для HTTP: нет.
- Внутренний URL-адрес:
Назначьте пользователей опубликованному приложению удаленных рабочих столов. Убедитесь также, что все они имеют доступ к RDS.
Оставьте метод единого входа для приложения, так как единый вход Microsoft Entra отключен.
Примечание.
Пользователям предлагается пройти проверку подлинности один раз в идентификатор Microsoft Entra и один раз в RD Web, но у них есть единый вход в шлюз удаленных рабочих столов.
Перейдите к приложениям> удостоверений>Регистрация приложений. Выберите приложение из списка.
В разделе Управление выберите Фирменная символика.
Обновите значение поля URL-адрес домашней страницы, указав конечную точку веб-сайта удаленных рабочих столов (например,
https://<rdhost>.com/RDWeb
).
Прямой трафик RDS к прокси приложениям
Подключитесь к развертыванию RDS как администратор и измените имя сервера шлюза удаленных рабочих столов для развертывания. Эта конфигурация гарантирует, что подключения проходят через службу прокси приложения Microsoft Entra.
Подключитесь серверу RDS, выполняющему роль посредника подключений к удаленному рабочему столу.
Запустите диспетчер сервера.
В левой области выберите Службы удаленных рабочих столов.
Выберите Обзор.
В разделе "Обзор развертывания" щелкните раскрывающееся меню и выберите Изменить свойства развертывания.
На вкладке шлюза удаленных рабочих столов измените поле имени сервера на внешний URL-адрес, заданный для конечной точки узла удаленных рабочих столов в прокси-сервере приложения.
В поле Метод входа укажите Проверка подлинности с помощью пароля.
Выполните эту команду для каждой коллекции. Замените параметры <yourcollectionname> и <proxyfrontendurl> собственными значениями. Эта команда обеспечивает единый вход между веб-сайтом удаленных рабочих столов и шлюзом удаленных рабочих столов и оптимизирует производительность.
Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
Пример.
Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
Примечание.
В приведенной выше команде используется обратная одиночная кавычка: `nrequire.
Чтобы проверить изменение настраиваемых свойств RDP и просмотреть содержимое файла RDP, скачанные из RDWeb для этой коллекции, выполните следующую команду.
(get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
Теперь, когда удаленный рабочий стол настроен, прокси приложения Microsoft Entra берет на себя в качестве компонента удаленного рабочего стола RDS. Удалите другие общедоступные конечные точки, подключенные к Интернету, на компьютерах шлюза удаленных рабочих столов и удаленных рабочих столов.
Включите веб-клиент удаленного рабочего стола
Если вы хотите, чтобы пользователи использовали веб-клиент удаленных рабочих столов, выполните действия, описанные в разделе "Настройка веб-клиента удаленного рабочего стола для пользователей".
Веб-клиент удаленного рабочего стола предоставляет доступ к инфраструктуре удаленного рабочего стола организации. Требуется веб-браузер, совместимый с HTML5, например Microsoft Edge, Google Chrome, Safari или Mozilla Firefox (версии 55.0 и более поздних версий).
Тестирование сценария
Протестируйте сценарий в Internet Explorer на компьютере Windows 7 или Windows 10.
- Перейдите по настроенному внешнему URL-адресу или найдите свое приложение на панели MyApps.
- Проверка подлинности в идентификаторе Microsoft Entra. Используйте учетную запись, назначенную приложению.
- Проверка подлинности в интернете по удаленным рабочим столам.
- После успешной аутентификации в RDS вы сможете выбрать рабочий стол или приложение и начать работу.
Поддержка других конфигураций клиента
Описанная конфигурация предназначена для доступа к RDS с помощью веб-сайта удаленных рабочих столов или веб-клиента удаленных рабочих столов. Однако, если требуется, можно использовать и другие операционные системы или браузеры. Разница заключается в используемом методе проверки подлинности.
Authentication method | Поддерживаемая конфигурация клиента |
---|---|
Предварительная проверка подлинности | Веб-приложение RD— Windows 7/10/11 с помощью Microsoft Edge Chromium IE mode надстройки RDS ActiveX |
Предварительная проверка подлинности | Веб-клиент удаленных рабочих столов — совместимый с HTML5 веб-браузер, такой как Microsoft Edge, Internet Explorer 11, Google Chrome, Safari или Mozilla Firefox 55.0 или более поздней версии. |
Включать на выводе | Любая другая операционная система, поддерживающая приложение "Удаленный рабочий стол (Майкрософт)" |
Примечание.
Microsoft Edge Chromium IE
Режим требуется, если портал Мои приложения используется для доступа к приложению удаленного рабочего стола.
Поток предварительной проверки подлинности обеспечивает больше преимуществ безопасности, чем сквозной поток. С предварительной проверкой подлинности можно использовать функции проверки подлинности Microsoft Entra, такие как единый вход, условный доступ и двухфакторная проверка подлинности для локальных ресурсов. Также гарантируется, что сети достигает только прошедший аутентификацию трафик.
Чтобы использовать аутентификацию в сквозном режиме, необходимо внести только два изменения в действия, описанные в этой статье:
- В разделе Публикация конечной точки узла удаленных рабочих столов (шаг 1) в качестве метода предварительной аутентификации выберите Сквозной режим.
- В прямом трафике RDS в прокси приложения пропустите шаг 8 полностью.