Compartir a través de

Publicación de Escritorio remoto con el proxy de aplicación de Microsoft Entra

El Servicio de Escritorio remoto y el proxy de aplicación de Microsoft Entra funcionan conjuntamente para mejorar la productividad de los trabajadores que están lejos de la red corporativa.

La audiencia objetivo para este artículo es:

  • Los clientes actuales del proxy de aplicaciones que desean ofrecer más aplicaciones a sus usuarios finales al publicar aplicaciones locales alojadas en el sitio a través de Servicios de Escritorio Remoto.
  • Los actuales clientes del Servicio de Escritorio remoto (RDS) que deseen reducir la superficie expuesta a ataques de su implementación mediante el proxy de aplicación de Microsoft Entra. Este escenario ofrece un conjunto dado de controles de acceso condicional y de verificación en dos pasos para RDS.

Cómo encaja el proxy de aplicación en la implementación estándar de RDS

Una implementación de RDS estándar incluye diversos servicios de rol de Escritorio remoto que se ejecutan en Windows Server. Existen varias opciones de implementación en la arquitectura de Servicios de Escritorio remoto. A diferencia de otras opciones de implementación de RDS, la implementación de RDS con el proxy de aplicación de Microsoft Entra (que se muestra en el siguiente diagrama) tiene una conexión de salida permanente desde el servidor que ejecuta el servicio del conector. Otras implementaciones dejan conexiones entrantes abiertas a través de un equilibrador de carga.

El proxy de aplicación se encuentra entre la máquina virtual rds y la red pública de Internet

En una implementación de RDS, el rol de Escritorio Remoto Web (RD Web) y el rol de Puerta de enlace de Escritorio Remoto (RD Gateway) se ejecutan en máquinas accesibles desde Internet. Estos puntos de conexión se exponen por las siguientes razones:

  • Acceso web de Escritorio remoto ofrece al usuario un punto de conexión público para iniciar sesión y ver los diversos escritorios y aplicaciones locales a los que puede tener acceso. Al seleccionar un recurso, se crea una conexión de Protocolo de escritorio remoto (RDP) mediante la aplicación nativa en el sistema operativo.
  • Puerta de enlace de Escritorio remoto aparece en escena una vez que un usuario inicia la conexión RDP. Puerta de enlace de Escritorio remoto controla el tráfico RDP que llega a través de Internet y lo traduce al servidor local al que se conecta el usuario. En este escenario, el tráfico que recibe la puerta de enlace de Escritorio remoto procede del proxy de aplicación de Microsoft Entra.

Sugerencia

Para más información, consulte cómo implementar RDS sin problemas con Azure Resource Manager y Azure Marketplace.

Requisitos

  • Los puntos de conexión de Acceso web y Puerta de enlace de Escritorio remoto deben estar en la misma máquina y compartir una raíz. RD Web y RD Gateway se publican como una única aplicación con proxy de aplicación para que se pueda disfrutar de una experiencia de inicio de sesión único entre ambas aplicaciones.
  • Implemente RDS y habilite el proxy de aplicación. Habilite el proxy de aplicación y abra las direcciones URL y puertos necesarios, y habilite la seguridad de la capa de transporte (TLS) 1.2 en el servidor. Para obtener información sobre qué puertos deben abrirse y otros detalles, consulte Tutorial: Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID.
  • Los usuarios finales deben usar un explorador compatible para conectarse a Acceso web de Escritorio remoto o al cliente web de Escritorio remoto. Para obtener más información, consulte Compatibilidad con configuraciones de cliente.
  • Al publicar RD Web, use el mismo Nombre de Dominio Completo (FQDN) interno y externo siempre que sea posible. Si los nombres de dominio completos (FQDN) internos y externos son diferentes, deshabilite La traducción de encabezados de solicitud para evitar que el cliente reciba vínculos no válidos.
  • Si usa el cliente web de Escritorio remoto, debe usar el mismo FQDN interno y externo. Si los FQDN internos y externos son diferentes, se producen errores de WebSocket al realizar una conexión de RemoteApp a través del cliente web de Escritorio Remoto.
  • Si está utilizando RD Web en Internet Explorer, necesita habilitar el control ActiveX de RDS.
  • Si está utilizando el cliente web de RD, deberá usar la versión 1.5.1975 o posterior del conector de aplicación proxy.
  • Para el flujo de autenticación previa de Microsoft Entra, los usuarios solo pueden conectarse a los recursos publicados para ellos en el panel RemoteApp y Escritorios. Los usuarios no se pueden conectar a un escritorio mediante el panel Conectarse a un equipo remoto.
  • Si usa Windows Server 2019, debe deshabilitar el protocolo HTTP2. Para obtener más información, consulte Tutorial: Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID.

Implementación del escenario conjunto de RDS y proxy de aplicación

Una vez configurados el RDS y el proxy de aplicación de Microsoft Entra para su entorno, siga los pasos para combinar las dos soluciones. Estos pasos le guían en la publicación de los dos puntos de conexión RDS accesibles desde la web (RD Web y puerta de enlace RD) como aplicaciones, y luego dirigen el tráfico en su RDS a través del proxy de aplicación.

Publicar el punto de conexión del host de RD

  1. Publique una nueva aplicación proxy con los valores.

    • Dirección URL interna: https://<rdhost>.com/, donde <rdhost> es la raíz común que comparten Acceso web y Puerta de enlace de Escritorio remoto.
    • Dirección URL externa: este campo se rellena automáticamente según el nombre de la aplicación, pero puede modificarlo. Los usuarios van a esta dirección URL cuando acceden a RDS.
    • Método de autenticación previa: Id. de Microsoft Entra.
    • Traducir encabezados de dirección URL: No.
    • Usar HTTP-Only Cookie: No.

  2. Asigne usuarios a la aplicación publicada de RD. Asegúrese también de que todos tienen acceso a RDS.

  3. Deje el método de inicio de sesión único de la aplicación como Inicio de sesión único de Microsoft Entra desactivado.

    Nota:

    Se solicita a los usuarios que se autentiquen una vez en Microsoft Entra ID y una vez más a través del acceso web de Escritorio remoto, pero tienen el inicio de sesión único en la puerta de enlace de Escritorio remoto.

  4. Navegar a Entra ID>Registros de aplicaciones. Elija la aplicación en la lista.

  5. En Administrar, seleccione Personalización de marca.

  6. Actualice el campo Dirección URL de la página principal para que apunte al punto de conexión web de Escritorio remoto (por ejemplo, https://<rdhost>.com/RDWeb).

Dirigir el tráfico de RDS al proxy de aplicación

Conéctese a la implementación de RDS como administrador y cambie el nombre del servidor de Puerta de enlace de Escritorio remoto para la implementación. Esta configuración garantiza que las conexiones pasen por el servicio del proxy de la aplicación de Microsoft Entra.

  1. Conéctese al servidor RDS que ejecuta el rol Agente de conexión a Escritorio remoto.

  2. Inicie Administrador del servidor.

  3. Seleccione Servicios de Escritorio remoto en el panel de la izquierda.

  4. Seleccione Información general.

  5. En la sección Descripción general de la implementación, seleccione el menú desplegable y elija Editar propiedades de implementación.

  6. En la pestaña Puerta de enlace de Escritorio remoto, cambie el campo Nombre del servidor a la dirección URL externa que estableció para el punto de conexión de host de Escritorio remoto en el proxy de aplicación.

  7. Cambie el campo Método de inicio de sesión por Autenticación de contraseña.

    Pantalla Propiedades de implementación de RDS

  8. Ejecute este comando para cada colección. Reemplace <yourcollectionname> y <proxyfrontendurl> por su propia información. Este comando habilita el inicio de sesión único entre Rd Web y RD Gateway y optimiza el rendimiento.

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"

    Por ejemplo:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"

    Nota:

    El comando usa una barra trasera en ''nrequire'.

  9. Para comprobar la modificación de las propiedades de RDP personalizadas y ver el contenido del archivo RDP que se descarga de RDWeb para esta colección, ejecute el siguiente comando.

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents

Ahora que el Escritorio remoto está configurado, el proxy de aplicaciones de Microsoft Entra se convierte en el componente de RDS accesible desde Internet. Elimine los otros puntos de conexión públicos con acceso a Internet en las máquinas Web de Escritorio Remoto y Puerta de Enlace de Escritorio Remoto.

Habilitación del cliente web de Escritorio remoto

Si desea que los usuarios usen el cliente web de Escritorio remoto, siga los pasos descritos en Configuración del cliente web de Escritorio remoto para los usuarios.

El cliente web de Escritorio remoto proporciona acceso a la infraestructura de Escritorio remoto de su organización. Se requiere un explorador web compatible con HTML5, como Microsoft Edge, Google Chrome, Safari o Mozilla Firefox (v55.0 y versiones posteriores).

Probar el escenario

Pruebe el escenario con Internet Explorer en un equipo con Windows 7 o Windows 10.

  1. Vaya a la dirección URL externa que ha configurado o busque su aplicación en el panel MyApps.
  2. Autentíquese en Microsoft Entra ID. Use una cuenta que haya asignado a la aplicación.
  3. Autentíquese en RD Web de Escritorio Remoto.
  4. Una vez que la autenticación RDS se realice correctamente, podrá seleccionar el escritorio o aplicación que desee y empezar a trabajar.

Compatibilidad con otras configuraciones de cliente

La configuración descrita en este artículo es para el acceso a RDS a través de Acceso web de Escritorio remoto o del cliente web de Escritorio remoto. No obstante, en caso necesario, también se ofrece compatibilidad con otros sistemas operativos o exploradores. La diferencia estriba en el método de autenticación que utilice.

Método de autenticación Configuración de cliente compatible
Autenticación previa Web de RD: Windows 7/10/11 utilizando Microsoft Edge Chromium IE mode + Complemento ActiveX de RDS
Autenticación previa Cliente web de escritorio remoto: explorador web compatible con HTML5, como Microsoft Edge, Internet Explorer 11, Google Chrome, Safari o Mozilla Firefox (v55.0 y versiones posteriores)
Acceso directo Cualquier otro sistema operativo compatible con la aplicación Escritorio remoto de Microsoft

Nota:

Microsoft Edge Chromium IE El modo es necesario cuando se usa el portal Mis aplicaciones para acceder a la aplicación de Escritorio remoto.

El flujo de autenticación previa ofrece más ventajas de seguridad que el flujo de paso a través. Con la autenticación previa, puede usar características de autenticación de Microsoft Entra, como el inicio de sesión único, el acceso condicional y la verificación en dos pasos para los recursos locales. También garantiza que solo el tráfico autenticado alcance la red.

Para usar la autenticación de acceso directo, solo es necesario realizar dos modificaciones en los pasos indicados en este artículo:

  1. En el paso 1 Publicar el punto de conexión del host de RD, establezca el método de autenticación previa en Acceso directo.
  2. En Direct RDS traffic to application proxy, omita el paso 8 por completo.

Pasos siguientes