Publier le Bureau à distance avec le proxy d’application Microsoft Entra

Les Services Bureau à distance et le proxy d’application Microsoft Entra fonctionnent ensemble pour améliorer la productivité des employés qui sont à l’extérieur du réseau d’entreprise.

Le public concerné par cet article est le suivant :

• Clients utilisant des proxys d'application qui souhaitent rendre accessibles plus d'applications à leurs utilisateurs finaux en publiant des applications locales via les Services Bureau à distance.
• Clients actuels des Services Bureau à distance qui souhaitent réduire la surface d’attaque de leur déploiement à l’aide du proxy d’application Microsoft Entra. Ce scénario propose un ensemble de contrôles de vérification en deux étapes et d’accès conditionnel à RDS.

Fonctionnement du proxy d’application dans le déploiement rdS standard

Un déploiement RDS standard inclut divers services du rôle Bureau à distance s’exécutant sur Windows Server. Plusieurs options de déploiement existent dans l’architecture des services Bureau à distance. Contrairement à d’autres options de déploiement RDS, le déploiement RDS avec le proxy d’application Microsoft Entra (illustré dans le diagramme suivant) dispose d’une connexion sortante permanente à partir du serveur exécutant le service connecteur. Les autres déploiements comportent des connexions entrantes ouvertes via un équilibreur de charge.

Dans un déploiement RDS, le rôle Web Bureau à distance (RD) et le rôle passerelle Bureau à distance s’exécutent sur des ordinateurs accessibles sur Internet. Ces points de terminaison sont exposés pour les raisons suivantes :

• Le rôle Site Web Bureau à distance fournit à l’utilisateur un point de terminaison public pour se connecter et afficher les applications locales et les postes de travail auxquels il peut se connecter. Lorsque vous sélectionnez une ressource, une connexion RDP (Remote Desktop Protocol) est créée à l’aide de l’application native sur le système d’exploitation.
• Le rôle Passerelle Bureau à distance apparaît lorsque l’utilisateur lance la connexion RDP. Ce rôle gère le trafic RDP chiffré provenant d’Internet et le convertit sur le serveur local auquel l’utilisateur est connecté. Dans ce scénario, le trafic reçu par la Passerelle réseau provient du proxy d’application Microsoft Entra.

Conseil / Astuce

Pour plus d’informations, découvrez comment déployer en toute transparence rdS avec Azure Resource Manager et la Place de marché Azure.

Spécifications

• Les points de terminaison du rôle Site Web Bureau à distance et du rôle Passerelle Bureau à distance doivent se trouver sur le même ordinateur et avoir une racine commune. RD Gateway et RD Web sont publiés sous la forme d’une application unique avec proxy d’application afin que vous puissiez profiter d'une authentification unique entre les deux applications.
• Déployez RDS et activez le proxy d'application. Activez le proxy d’application et ouvrez les ports et URL requis, et activez le protocole TLS (Transport Layer Security) 1.2 sur le serveur. Pour savoir quels ports doivent être ouverts et d’autres détails, consultez Tutoriel : Ajouter une application locale pour l’accès à distance via le proxy d’application dans l’ID Microsoft Entra.
• Vos utilisateurs finaux doivent utiliser un navigateur compatible pour se connecter à Site Web Bureau à distance ou au client Site Web Bureau à distance. Pour plus d’informations, consultez Prise en charge des configurations clientes.
• Lors de la publication de RD Web, utilisez le même nom de domaine complet (FQDN) interne et externe lorsque cela est possible. Si les noms de domaine complets (FQDN) internes et externes sont différents, désactivez la traduction d’en-tête de requête pour éviter que le client reçoive des liens non valides.
• Si vous utilisez le client Web Bureau à distance, vous devez utiliser le même nom de domaine complet interne et externe. Si les noms de domaine complets internes et externes sont différents, vous rencontrez des erreurs de websocket lorsque vous établissez une connexion RemoteApp via le client Web RD.
• Si vous utilisez Rd Web sur Internet Explorer, vous devez activer le module complémentaire ActiveX RDS.
• Si vous utilisez le client Web RD, il vous faudra utiliser le connecteur proxy d'application version 1.5.1975 ou ultérieure.
• Pour le flux de pré-authentification Microsoft Entra, les utilisateurs peuvent uniquement se connecter aux ressources publiées dans le volet RemoteApp et Desktops . Les utilisateurs ne peuvent pas se connecter à un bureau à l’aide du volet Se connecter à un PC distant .
• Si vous utilisez Windows Server 2019, vous devez désactiver le protocole HTTP2. Pour plus d’informations, consultez Tutoriel : Ajouter une application locale pour l’accès à distance via le proxy d’application dans l’ID Microsoft Entra.

Déployer le scénario conjoint de RDS et de proxy d'application

Après avoir configuré RDS et le proxy d’application Microsoft Entra pour votre environnement, suivez les étapes permettant de combiner les deux solutions. Ces étapes vous guident dans la publication des deux points de terminaison RDS web (RD Web et Passerelle RD) en tant qu’applications, puis en redirigeant le trafic de vos services Bureau à distance afin de le faire passer par le proxy d’application.

Publication du point de terminaison hôte Bureau à distance

1. Publiez une nouvelle application proxy avec les valeurs.

   • URL interne : https://<rdhost>.com/, où <rdhost> est la racine commune partagée par Site Web Bureau à distance et Passerelle Bureau à distance.
   • URL externe : Ce champ est automatiquement renseigné en fonction du nom de l’application, mais vous pouvez le modifier. Vos utilisateurs vont à cette URL lorsqu'ils accèdent à RDS.
   • Méthode de pré-authentification : ID Microsoft Entra.
   • Traduire les en-têtes d’URL : Non.
   • Utilisez HTTP-Only Cookie : Non.

2. Affectez des utilisateurs à l’application Bureau à distance publiée. Assurez-vous également qu’ils ont tous accès à RDS.

3. Laissez la méthode de connexion unique pour l’application en tant que connexion unique Microsoft Entra désactivée.

   Remarque

   Les utilisateurs sont invités à s’authentifier une fois sur Microsoft Entra et une fois sur Site Web Bureau à distance, mais profitent de l’authentification unique pour Passerelle Bureau à distance.

4. Accédez auxinscriptions d’application>. Choisissez votre application dans la liste.

5. Sous Gérer, sélectionnez Personnalisation.

6. Mettez à jour le champ URL de la page d’accueil pour pointer vers votre point de terminaison Web Bureau à distance (par exemple https://<rdhost>.com/RDWeb).

Diriger le trafic RDS vers le proxy d’application

Connectez-vous au déploiement RDS en tant qu’administrateur et modifiez le nom du serveur Passerelle Bureau à distance pour le déploiement. Cette configuration garantit que les connexions passent par le service proxy d’application Microsoft Entra.

1. Connectez-vous au serveur RDS exécutant le rôle Service Broker pour les connexions Bureau à distance.

2. Lancez le Gestionnaire de serveur.

3. Sélectionnez Services Bureau à distance dans le volet de gauche.

4. Sélectionnez Vue d’ensemble.

5. Dans la section Vue d’ensemble du déploiement, sélectionnez le menu déroulant et choisissez Modifier les propriétés du déploiement.

6. Dans l’onglet Passerelle RD, remplacez le champ Nom du serveur par l’URL externe que vous avez définie pour le point de terminaison de l'hôte RD dans le proxy d’application.

7. Remplacez le champ de méthode Logon par Authentification par mot de passe.

   

8. Exécutez cette commande pour chaque collection. Remplacez <votre nom collection> et <proxyfrontendurl> par vos propres informations. Cette commande active l'authentification unique entre RD Web et RD Gateway, et optimise les performances.

   Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
   

   Par exemple:

   Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
   

   Remarque

   La commande utilise un backtick dans ``nrequire``.

9. Pour vérifier la modification des propriétés RDP personnalisées et afficher le contenu du fichier RDP téléchargé à partir de RDWeb pour cette collection, exécutez la commande suivante.

   (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
   

Maintenant que le Bureau à distance est configuré, le proxy d’application Microsoft Entra prend le relais en tant que composant accessible sur Internet des services Bureau à distance. Supprimez les autres points de terminaison exposés à Internet sur vos machines RD Web et Passerelle RD.

Activer le client Site Web Bureau à distance

Si vous souhaitez que les utilisateurs utilisent le client web Bureau à distance, suivez les étapes de configuration du client web Bureau à distance pour vos utilisateurs.

Le client web Bureau à distance fournit l’accès à l’infrastructure Bureau à distance de votre organisation. Un navigateur web compatible HTML5 tel que Microsoft Edge, Google Chrome, Safari ou Mozilla Firefox (v55.0 et versions ultérieures) est requis.

Test du scénario

Testez le scénario avec Internet Explorer sur un ordinateur Windows 7 ou 10.

1. Accédez à l’URL externe que vous avez configurée ou recherchez votre application dans le panneau MyApps.
2. Authentifiez-vous auprès de Microsoft Entra ID. Utilisez un compte de test que vous avez attribué à l’application.
3. Connectez-vous à RD Web.
4. Une fois authentifié sur RDS, vous pouvez sélectionner l’application ou le bureau de votre choix et commencer à travailler.

Prise en charge pour d’autres configurations client

La configuration décrite dans cet article concerne l’accès à RDS via Site Web Bureau à distance ou le client Site Web Bureau à distance. Toutefois, le cas échéant, vous pouvez prendre en charge d’autres systèmes d’exploitation et navigateurs. La différence réside dans la méthode d’authentification que vous utilisez.

Méthode d’authentification	Configuration client prise en charge
Pré-authentification	Rd Web - Windows 7/10/11 à l’aide Microsoft Edge Chromium IE mode du module complémentaire ActiveX RDS
Pré-authentification	Client Site Web Bureau à distance : navigateur web compatible avec HTML5, tel que Microsoft Edge, Internet Explorer 11, Google Chrome, Safari ou Mozilla Firefox (v55.0 et versions ultérieures)
PassThrough	Tout autre système d’exploitation prenant en charge l’application Bureau à distance Microsoft

Remarque

Microsoft Edge Chromium IE mode est requis lorsque le portail Mes Applications est utilisé pour accéder à l’application Bureau à distance.

Le flux d’authentification préalable offre plus d’avantages en matière de sécurité que le flux de passage. Avec l’authentification préalable, vous pouvez utiliser des fonctionnalités d’authentification Microsoft Entra telles que l’authentification unique, l’accès conditionnel et la vérification en deux étapes pour vos ressources locales. Vous garantissez également que seul le trafic authentifié atteint votre réseau.

Pour utiliser l’authentification PassThrough, seulement deux modifications doivent être apportées aux étapes répertoriées dans cet article :

1. Dans l’étape 1 de Publication du point de terminaison de l'hôte RD, définissez la méthode de pré-authentification sur Passthrough.
2. Dans le trafic Direct RDS vers le proxy d’application, ignorez entièrement l’étape 8.

Étapes suivantes

• Activer l’accès à distance à SharePoint avec le proxy d’application Microsoft Entra
• Considérations de sécurité relatives à l’accès à distance aux applications à l’aide du proxy d’application Microsoft Entra
• Meilleures pratiques pour l’équilibrage de charge de plusieurs serveurs d’applications