Publikování vzdálené plochy pomocí proxy aplikací Microsoft Entra
Služba Vzdálená plocha a proxy aplikace Microsoft Entra spolupracují, aby se zlepšila produktivita pracovníků, kteří jsou mimo podnikovou síť.
Zamýšlená cílová skupina pro tento článek je:
- Aktuální zákazníci proxy aplikací, kteří chtějí koncovým uživatelům nabídnout více aplikací publikováním místních aplikací prostřednictvím služby Vzdálená plocha
- Aktuální zákazníci služby Vzdálená plocha, kteří chtějí snížit prostor pro útoky na jejich nasazení pomocí proxy aplikací Microsoft Entra. Tento scénář poskytuje sadu dvoustupňového ověřování a řízení podmíněného přístupu k RDS.
Jak proxy aplikace zapadá do standardního nasazení RDS
Standardní nasazení RDS zahrnuje různé služby role Vzdálená plocha spuštěné na Windows Serveru. V architektuře Vzdálené plochy existuje několik možností nasazení. Na rozdíl od jiných možností nasazení RDS má nasazení RDS s proxy aplikací Microsoft Entra (znázorněno v následujícím diagramu) trvalé odchozí připojení ze serveru, na kterém běží služba konektoru. Ostatní nasazení ponechá otevřená příchozí připojení prostřednictvím nástroje pro vyrovnávání zatížení.
Při nasazení vzdálené plochy běží webová role Vzdálená plocha a role Brána VP na počítačích s přístupem k internetu. Tyto koncové body jsou zpřístupněny z následujících důvodů:
- Web VP poskytuje uživateli veřejný koncový bod pro přihlášení a zobrazení různých místních aplikací a desktopů, ke kterým má přístup. Když vyberete prostředek, vytvoří se připojení RDP (Remote Desktop Protocol) pomocí nativní aplikace v operačním systému.
- Brána VP se objeví na obrázku, jakmile uživatel spustí připojení RDP. Brána VP zpracovává šifrovaný provoz protokolu RDP přicházející přes internet a překládá ho na místní server, ke kterému se uživatel připojuje. V tomto scénáři provoz, který brána VP přijímá, pochází z proxy aplikace Microsoft Entra.
Tip
Pokud jste rdS ještě nenasadili nebo chcete získat další informace, než začnete, přečtěte si, jak bez problémů nasadit RDS pomocí Azure Resource Manageru a Azure Marketplace.
Požadavky
- Koncové body brány VP web i brána VP musí být umístěné na stejném počítači a musí mít společný kořenový adresář. Služba RD Web a brána VP se publikují jako jedna aplikace s proxy aplikací, takže mezi těmito dvěma aplikacemi můžete mít jednotné přihlašování.
- Nasaďte RDS a povolte proxy aplikace. Povolte proxy aplikace a otevřete požadované porty a adresy URL a povolte na serveru protokol TLS (Transport Layer Security) 1.2. Informace o tom, které porty je potřeba otevřít, a další podrobnosti najdete v kurzu : Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID.
- Koncoví uživatelé musí použít kompatibilní prohlížeč pro připojení k webu VP nebo webovému klientovi VP. Další informace naleznete v tématu Podpora konfigurace klienta.
- Při publikování webu VP použijte stejný interní a externí plně kvalifikovaný název domény (FQDN), pokud je to možné. Pokud se interní a externí plně kvalifikované názvy domén (FQDN) liší, zakažte překlad hlaviček požadavků, abyste zabránili tomu, že klient přijímá neplatné odkazy.
- Pokud používáte webového klienta VP, musíte použít stejný interní a externí plně kvalifikovaný název domény. Pokud se interní a externí plně kvalifikované názvy domén liší, dojde k chybám protokolu websocket při provádění připojení RemoteAppu prostřednictvím webového klienta VP.
- Pokud používáte web VP v Internet Exploreru, musíte povolit doplněk RDS technologie ActiveX.
- Pokud používáte webového klienta VP, budete muset použít konektor proxy aplikací verze 1.5.1975 nebo novější.
- V případě toku předběžného ověřování Microsoft Entra se uživatelé můžou připojit jenom k prostředkům publikovaným v podokně RemoteApp a Plochy . Uživatelé se nemůžou připojit k ploše pomocí Připojení k podoknu vzdáleného počítače.
- Pokud používáte Windows Server 2019, musíte zakázat protokol HTTP2. Další informace naleznete v tématu Kurz: Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID.
Nasazení společného scénáře vzdálené plochy a proxy aplikací
Po nastavení vzdálené plochy a proxy aplikací Microsoft Entra pro vaše prostředí postupujte podle kroků a zkombinujte tato dvě řešení. Tento postup vás provede publikováním dvou koncových bodů vzdálené plochy (RD Web a brána VP) jako aplikací a následným směrováním provozu na rdS projít proxy aplikací.
Publikování koncového bodu hostitele VP
Publikujte novou aplikaci proxy aplikací s hodnotami.
- Interní adresa URL:
https://<rdhost>.com/
, kde<rdhost>
je společný kořenový adresář, který sdílí brána VP web a brána VP. - Externí adresa URL: Toto pole se automaticky vyplní na základě názvu aplikace, ale můžete ho upravit. Když uživatelé přistupují k RDS, přejdou na tuto adresu URL.
- Metoda předběžného ověřování: Microsoft Entra ID.
- Přeložit hlavičky adresy URL: Ne.
- Použít pouze soubor cookie HTTP: Ne.
- Interní adresa URL:
Přiřaďte uživatele k publikované aplikaci VP. Ujistěte se, že všichni mají přístup i k RDS.
Ponechte pro aplikaci metodu jednotného přihlašování zakázanou funkci jednotného přihlašování Microsoft Entra.
Poznámka:
Vaši uživatelé se zobrazí výzva, aby se jednou ověřili v Microsoft Entra ID a jednou na webu VP, ale mají jednotné přihlašování k bráně VP.
Přejděte k aplikacím> identit>Registrace aplikací. V seznamu vyberte svou aplikaci.
V části Spravovat vyberte Branding.
Aktualizujte pole ADRESA URL domovské stránky tak, aby odkazovat na webový koncový bod VP (například
https://<rdhost>.com/RDWeb
).
Směrování provozu RDS na proxy aplikace
Připojení k nasazení RDS jako správce a změňte název serveru brány VP pro nasazení. Tato konfigurace zajišťuje, že připojení procházejí službou proxy aplikací Microsoft Entra.
Připojení na server RDS, na kterém je spuštěna role zprostředkovatele Připojení VP.
Spusťte Správce serveru.
V podokně vlevo vyberte Vzdálená plocha .
Vyberte Přehled.
V části Přehled nasazení vyberte rozevírací nabídku a zvolte Upravit vlastnosti nasazení.
Na kartě Brána VP změňte pole Název serveru na externí adresu URL, kterou jste nastavili pro koncový bod hostitele VP v proxy aplikace.
Změňte pole Metody přihlášení na Ověřování heslem.
Spusťte tento příkaz pro každou kolekci. Nahraďte <yourcollectionname> a <proxyfrontendurl> vlastními informacemi. Tento příkaz umožňuje jednotné přihlašování mezi webovou a bránou VP a optimalizuje výkon.
Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
Příklad:
Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
Poznámka:
Výše uvedený příkaz používá zpětný popisek v příkazu "'nrequire".
Pokud chcete ověřit úpravy vlastních vlastností protokolu RDP a zobrazit obsah souboru RDP stažený z RDWeb pro tuto kolekci, spusťte následující příkaz.
(get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
Teď, když je vzdálená plocha nakonfigurovaná, převezme proxy aplikace Microsoft Entra jako součást rdS přístup k internetu. Odeberte ostatní veřejné internetové koncové body na počítačích s webem VP a bránou VP.
Povolení webového klienta VP
Pokud chcete, aby uživatelé používali webového klienta VP, postupujte podle pokynů v tématu Nastavení webového klienta Vzdálené plochy pro vaše uživatele.
Webový klient Vzdálené plochy poskytuje přístup k infrastruktuře vzdálené plochy vaší organizace. Vyžaduje se webový prohlížeč kompatibilní s HTML5, jako je Microsoft Edge, Google Chrome, Safari nebo Mozilla Firefox (v55.0 a novější).
Otestování scénáře
Otestujte scénář pomocí Internet Exploreru na počítači s Windows 7 nebo 10.
- Přejděte na externí adresu URL, kterou jste nastavili, nebo najděte aplikaci na panelu Moje aplikace.
- Ověřte se v Microsoft Entra ID. Použijte účet, který jste přiřadili aplikaci.
- Ověřte se na webu VP.
- Jakmile bude ověřování RDS úspěšné, můžete vybrat požadovanou plochu nebo aplikaci a začít pracovat.
Podpora dalších konfigurací klientů
Konfigurace popsaná v tomto článku je určena pro přístup k RDS prostřednictvím webu VP nebo webového klienta VP. Pokud ale potřebujete, můžete podporovat jiné operační systémy nebo prohlížeče. Rozdíl je v metodě ověřování, kterou používáte.
Metoda ověřování | Podporovaná konfigurace klienta |
---|---|
Předběžné ověřování | Rd Web – Windows 7/10/11 pomocí Microsoft Edge Chromium IE mode doplňku + RDS technologie ActiveX |
Předběžné ověřování | Webový klient VP – webový prohlížeč kompatibilní s HTML5, jako je Microsoft Edge, Internet Explorer 11, Google Chrome, Safari nebo Mozilla Firefox (verze 55.0 a novější) |
Passthrough | Jakýkoli jiný operační systém, který podporuje Vzdálená plocha Microsoft aplikaci |
Poznámka:
Microsoft Edge Chromium IE
režim se vyžaduje, když se pro přístup k aplikaci Vzdálená plocha používá portál Moje aplikace.
Tok před ověřením nabízí více výhod zabezpečení než předávací tok. S předběžným ověřováním můžete pro vaše místní prostředky používat funkce ověřování Microsoft Entra, jako je jednotné přihlašování, podmíněný přístup a dvoustupňové ověřování. Také zajistíte, aby se do vaší sítě dostal pouze ověřený provoz.
Pokud chcete použít předávací ověřování, existují jenom dvě úpravy kroků uvedených v tomto článku:
- V části Publish the RD host endpoint step 1, set the Preauthentication method to Passthrough.
- V režimu direct RDS traffic to application proxy, skip step 8 zcela.