Compartilhar via

Publicar a Área de Trabalho Remota com o proxy de aplicativo Microsoft Entra

O Serviço de Área de Trabalho Remota e o proxy de aplicativo do Microsoft Entra trabalham juntos para aumentar a produtividade dos trabalhos que estão fora da rede corporativa.

O público-alvo deste artigo é:

  • Os clientes atuais do proxy de aplicativo que desejam oferecer mais aplicativos para seus usuários finais publicando aplicativos locais através dos Serviços de Área de Trabalho Remota.
  • Clientes atuais dos Serviços de Área de Trabalho Remota cujo desejo é reduzir a superfície de ataque da respectiva implantação usando o proxy de aplicativo do Microsoft Entra. Este cenário fornece um conjunto de verificação em duas etapas e controles de Acesso Condicional para o RDS.

Como o proxy de aplicativo se encaixa na implantação padrão do RDS

Uma implantação do RDS padrão inclui vários serviços de função da Área de Trabalho Remota em execução no Windows Server. Existem várias opções de implantação na arquitetura dos Serviços de Área de Trabalho Remota. Ao contrário de outras opções de implantação de RDS, a implantação de RDS com o proxy de aplicativo do Microsoft Entra (mostrado no diagrama a seguir) tem uma conexão de saída permanente do servidor que executa o serviço de conector. Outras implantações deixam conexões de entrada abertas por meio de um balanceador de carga.

O proxy de aplicativo fica entre a VM rds e a Internet pública

Em uma implantação de RDS, a função Web da Área de Trabalho Remota (RD) e a função de Gateway de Área de Trabalho Remota são executadas em computadores voltados para a Internet. Esses pontos de extremidade são expostos pelos seguintes motivos:

  • A Web de Área de Trabalho Remota fornece ao usuário um ponto de extremidade público para entrar e exibir os diversos aplicativos locais e áreas de trabalho que eles podem acessar. Quando você seleciona um recurso, uma conexão RDP (Protocolo de Área de Trabalho Remota) é criada usando o aplicativo nativo no sistema operacional.
  • O Gateway de Área de Trabalho Remota entra em cena quando um usuário inicia a conexão de RDP. O Gateway de Área de Trabalho Remota manipula o tráfego de RDP criptografado chegando pela Internet e o converte para o servidor local ao qual o usuário está se conectando. Nesse cenário, o tráfego que o Gateway de Área de Trabalho Remota está recebendo é proveniente do proxy de aplicativo do Microsoft Entra.

Dica

Para obter mais informações, confira como implantar o RDS perfeitamente com o Azure Resource Manager e o Azure Marketplace.

Requisitos

  • Tanto o ponto de extremidade da Web da Área de Trabalho Remota quanto o ponto de extremidade do Gateway de Área de Trabalho Remota devem estar localizados no mesmo computador e com uma raiz comum. O RD Web e o RD Gateway são publicados como um único aplicativo com um proxy de aplicativo para que você possa ter uma experiência de login único entre os dois aplicativos.
  • Implante o RDS e habilite o proxy de aplicativo. Habilite o proxy de aplicativo e abra as portas e URLs necessárias e habilite o TLS (Transport Layer Security) 1.2 no servidor. Para saber quais portas precisam ser abertas e outros detalhes, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo na ID do Microsoft Entra.
  • Os usuários finais devem usar um navegador compatível para conectar-se à Web da RD ou ao cliente Web da RD. Para obter mais informações, consulte Suporte para configurações de cliente.
  • Ao publicar o RD Web, use o mesmo FQDN (Nome de Domínio Totalmente Qualificado) interno e externo quando possível. Se os FQDNs (Nomes de Domínio Totalmente Qualificados) internos e externos forem diferentes, desabilite a Conversão de Cabeçalho de Solicitação para evitar que o cliente receba links inválidos.
  • Se você estiver usando o cliente Web RD, deverá usar o mesmo FQDN tanto interno quanto externo. Se os FQDNs internos e externos forem diferentes, você encontrará erros de websocket ao fazer uma conexão RemoteApp por meio do cliente Web do RD.
  • Se você estiver usando o RD Web no Internet Explorer, será necessário habilitar o complemento RDS ActiveX.
  • Se você estiver usando o cliente Web RD, precisará usar o conector de proxy do aplicativo versão 1.5.1975 ou posterior.
  • Para o fluxo de autenticação prévia do Microsoft Entra, os usuários só podem se conectar aos recursos publicados para eles no painel RemoteApp e Desktops. Os usuários não podem se conectar a uma área de trabalho usando o painel Conectar a um computador remoto .
  • Se você estiver usando o Windows Server 2019, precisará desabilitar o protocolo HTTP2. Para obter mais informações, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo na ID do Microsoft Entra.

Implantar o cenário conjunto de RDS e proxy de aplicativo

Depois de configurar o RDS e o proxy de aplicativo do Microsoft Entra em seu ambiente, siga as etapas para combinar as duas soluções. Estas etapas explicam passo a passo como publicar os dois pontos de extremidade de RDS voltados para a Web (Web da Área de Trabalho Remota e Gateway de Área de Trabalho Remota) como aplicativos, direcionando depois o tráfego em seu RDS para passar pelo proxy de aplicativo.

Publicar o ponto de extremidade do host de Área de Trabalho Remota

  1. Publicar um novo aplicativo de proxy de aplicativo com os valores.

    • URL interna: https://<rdhost>.com/, em que <rdhost> é a raiz comum que a Web da Área de Trabalho Remota e o Gateway de Área de Trabalho Remota compartilham.
    • URL externa: esse campo é preenchido automaticamente com base no nome do aplicativo, mas você pode modificá-lo. Os usuários vão para essa URL quando acessam o RDS.
    • Método de pré-autenticação: ID do Microsoft Entra.
    • Traduzir cabeçalhos de URL: Não.
    • Uso de cookies somente HTTP: não.

  2. Atribua usuários ao aplicativo de Área de Trabalho Remota publicado. Certifique-se também de que todos eles tenham acesso ao RDS.

  3. Deixe o método de logon único para o aplicativo como Logon único do Microsoft Entra desabilitado.

    Observação

    É solicitado aos usuários que autentiquem uma vez no Microsoft Entra ID e uma vez na Web da Área de Trabalho Remota, mas eles têm logon único para o Gateway de Área de Trabalho Remota.

  4. Navegue até Entra ID>Registros do aplicativo. Escolha o aplicativo na lista.

  5. Em Gerenciar, selecione Identidade Visual.

  6. Atualize o campo URL da Página Inicial para apontar para o endpoint Web RD (como https://<rdhost>.com/RDWeb).

Direcionar o tráfego RDS para o proxy de aplicação

Conecte-se à implantação do RDS como administrador e altere o nome do servidor de Gateway de Área de Trabalho Remota para a implantação. Essa configuração garante que as conexões passem pelo serviço de proxy de aplicativo do Microsoft Entra.

  1. Conecte-se ao servidor RDS executando a função de Agente de Conexão de Área de Trabalho Remota.

  2. Inicie o Gerenciador de Servidores.

  3. Selecione Serviços de Área de Trabalho Remota no painel à esquerda.

  4. Selecione Visão geral.

  5. Na seção Visão geral da implantação, selecione o menu suspenso e escolha Editar propriedades de implantação.

  6. Na guia Gateway de Área de Trabalho Remota, altere o campo Nome do servidor para a URL externa que você definiu para o ponto de extremidade do host de Área de Trabalho Remota no proxy de aplicativo.

  7. Altere o campo método Logon para Autenticação de Senha.

    Tela Propriedades de Implantação no RDS

  8. Execute este comando para cada coleção. Substitua <yourcollectionname> e <proxyfrontendurl> por suas próprias informações. Esse comando habilita o logon único entre o RD Web e o RD Gateway, e otimiza o desempenho.

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"

    Por exemplo:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"

    Observação

    O comando acima usa um acento grave no ``nrequire`.

  9. Para verificar a modificação das propriedades rdp personalizadas e exibir o conteúdo do arquivo RDP baixado do RDWeb para esta coleção, execute o comando a seguir.

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents

Agora que a Área de Trabalho Remota está configurada, o proxy de aplicativo do Microsoft Entra assume a função de componente voltado para a Internet do RDS. Remova os outros pontos de extremidade voltados para a Internet pública de seus computadores RD Web e RD Gateway.

Habilitar o cliente Web da Área de Trabalho Remota

Se você quiser que os usuários usem o Cliente Web de Área de Trabalho Remota, siga as etapas em Configurar o cliente Web da Área de Trabalho Remota para seus usuários.

O cliente Web da Área de Trabalho Remota fornece acesso à infraestrutura de Área de Trabalho Remota da sua organização. Um navegador da Web compatível com HTML5, como Microsoft Edge, Google Chrome, Safari ou Mozilla Firefox (v55.0 e posterior) é necessário.

Testar o cenário

Teste o cenário com o Internet Explorer no computador com Windows 7 ou 10.

  1. Vá para a URL externa que você configurou ou localize seu aplicativo no painel MyApps.
  2. Autenticar no Microsoft Entra ID. Use uma conta que você atribuiu ao aplicativo.
  3. Autentique-se na RD Web.
  4. Quando a autenticação de RDS for bem-sucedida, você poderá selecionar o computador desktop ou aplicativo que deseja e começar a trabalhar.

Suporte para outras configurações de cliente

A configuração descrita neste artigo é para acesso ao RDS via Web da Área de Trabalho Remota ou o Cliente da Web da Área de Trabalho Remota. Se for necessário, no entanto, você poderá dar suporte a outros sistemas operacionais ou navegadores. A diferença está no método de autenticação que você usa.

Método de autenticação Configuração de cliente com suporte
Pré-autenticação Rd Web – Windows 7/10/11 usando Microsoft Edge Chromium IE mode + o complemento RDS ActiveX
Pré-autenticação Cliente Web da Área de Trabalho Remota – Navegador da Web compatível com HTML5, como Microsoft Edge, Internet Explorer 11, Google Chrome, Safari ou Mozilla Firefox (v55.0 e superior)
Passagem Qualquer outro sistema operacional que dê suporte ao aplicativo de Área de Trabalho Remota da Microsoft

Observação

O modo Microsoft Edge Chromium IE é obrigatório quando o portal Meus Aplicativos é usado para acessar o aplicativo de Área de Trabalho Remota.

O fluxo de pré-autenticação oferece mais benefícios de segurança do que o fluxo de passagem. Com a autenticação prévia, você pode usar recursos de autenticação do Microsoft Entra, como logon único, Acesso Condicional e verificação em duas etapas para seus recursos locais. Você também pode garantir que somente tráfego autenticado alcance sua rede.

Para usar a autenticação de passagem, há apenas duas modificações às etapas listadas neste artigo:

  1. Na etapa 1, Publicar o ponto de extremidade do host de RD, defina o método de pré-autenticação como Passagem.
  2. Em Tráfego direto de RDS para proxy de aplicativo, ignore totalmente a etapa 8.

Próximas etapas

  • Last updated on