Proteggere l'accesso remoto alle macchine virtuali in Microsoft Entra Domain Services
Per proteggere l'accesso remoto alle macchine virtuali (VM) eseguite in un dominio gestito di Microsoft Entra Domain Services, è possibile usare Servizi Desktop remoto (RDS) e Server dei criteri di rete (NPS). Domain Services autentica gli utenti quando richiedono l'accesso tramite l'ambiente RDS. Per una maggiore sicurezza è possibile integrare l'autenticazione a più fattori di Microsoft Entra per fornire un'altra richiesta di autenticazione durante gli eventi di accesso. L'autenticazione a più fattori di Microsoft Entra utilizza un'estensione per il Server dei criteri di rete per fornire questa funzionalità.
Importante
Il modo consigliato per connettersi in modo sicuro alle macchine virtuali in un dominio gestito di Domain Services consiste nell'usare Azure Bastion, un servizio PaaS completamente gestito dalla piattaforma di cui è stato effettuato il provisioning all'interno della rete virtuale. Un host bastion offre connettività RDP (Remote Desktop Protocol) sicura e trasparente alle macchine virtuali direttamente nel portale di Azure tramite SSL. Quando ci si connette tramite un host bastion, le macchine virtuali non necessitano di un indirizzo IP pubblico e non è necessario usare i gruppi di sicurezza di rete per esporre l'accesso a Remote Desktop Protocol sulla porta TCP 3389.
È consigliabile usare Azure Bastion in tutte le aree in cui è supportato. Nelle aree senza disponibilità di Azure Bastion seguire i passaggi descritti in questo articolo fino a quando Azure Bastion non è disponibile. Prestare attenzione all'assegnazione di indirizzi IP pubblici alle macchine virtuali aggiunte a Domain Services in cui è consentito tutto il traffico RDP in ingresso.
Per altre informazioni, vedere Informazioni su Azure Bastion.
Questo articolo illustra come configurare Servizi Desktop remoto (RDS) in Domain Services e, facoltativamente, usare l'estensione NPS per l'autenticazione a più fattori Microsoft Entra.
Prerequisiti
Per completare questo articolo, sono necessarie le risorse seguenti.
- Una sottoscrizione di Azure attiva.
- Se non si ha una sottoscrizione di Azure, creare un account.
- Un tenant di Microsoft Entra associato alla tua sottoscrizione, sincronizzato con una directory locale o una directory esclusivamente cloud.
- Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
- Una subnet per i carichi di lavoro creata nella rete virtuale di Microsoft Entra Domain Services.
- Un account utente membro del gruppo di amministratori di AAD DC nel tenant di Microsoft Entra.
Distribuire e configurare l'ambiente Desktop remoto
Per iniziare, creare almeno due macchine virtuali di Azure che eseguono Windows Server 2016 o Windows Server 2019. Per la ridondanza e la disponibilità elevata dell'ambiente Desktop remoto, è possibile aggiungere e bilanciare il carico degli host in un secondo momento.
Una distribuzione di Servizi Desktop remoto suggerita include le due macchine virtuali seguenti:
- RDGVM01 - Esegue il server Gestore connessione Desktop remoto, il server Accesso Web Desktop remoto e il server Gateway Desktop remoto.
- RDSHVM01 - Esegue il server Host di sessione RD.
Assicurarsi che le macchine virtuali vengano distribuite in una subnet dei carichi di lavoro della rete virtuale di Domain Services, quindi aggiungere le macchine virtuali al dominio gestito. Per altre informazioni vedere come creare e aggiungere una macchina virtuale Windows Server a un dominio gestito.
La distribuzione dell'ambiente Desktop remoto contiene diversi passaggi. La guida alla distribuzione di Servizi Desktop remoto esistente può essere usata senza modifiche specifiche da usare in un dominio gestito:
- Accedere alle macchine virtuali create per l'ambiente Desktop remoto con un account che fa parte del gruppo AAD DC Administrators, ad esempio contosoadmin.
- Per creare e configurare Servizi Desktop remoto, usare la guida alla distribuzione dell'ambiente Desktop remoto esistente. Distribuisci i componenti del server RD tra le macchine virtuali di Azure in base alle esigenze.
- Specifico per i Domain Services - quando si configura la licenza RD, impostarla in modalità Per dispositivo e non in modalità Per utente, come indicato nella guida alla distribuzione.
- Se si intende fornire l'accesso tramite un Web browser, configurare il client Web Desktop remoto per gli utenti.
Con RD distribuito nel dominio gestito, è possibile gestire e usare il servizio proprio come si farebbe con un dominio di Active Directory Domain Services locale.
Distribuire il server dei criteri di rete (NPS) e configurare l'estensione NPS di autenticazione a più fattori di Microsoft Entra.
Se si vuole aumentare la sicurezza dell'esperienza di accesso utente, è possibile integrare facoltativamente l'ambiente Desktop remoto con l'autenticazione a più fattori di Microsoft Entra. Con questa configurazione gli utenti ricevono un altro prompt durante l'accesso per confermare l'identità.
Per fornire questa funzionalità, un Server dei criteri di rete (NPS) viene installato nell'ambiente insieme all'estensione Server dei criteri di rete per l'autenticazione a più fattori Microsoft Entra. Questa estensione si integra con Microsoft Entra ID per richiedere e restituire lo stato delle richieste di autenticazione a più fattori.
Gli utenti devono essere registrati per l'uso dell'autenticazione a più fattori di Microsoft Entra che potrebbe richiedere altre licenze Microsoft Entra ID. Per altre informazioni, vedere Piani e prezzi di Microsoft Entra Plans.
Per integrare l'autenticazione a più fattori Microsoft Entra nell'ambiente Desktop remoto, creare un server NPS e installare l'estensione:
- Creare un'altra macchina virtuale Windows Server 2016 o 2019, ad esempio NPSVM01 che sia connessa a una subnet dei carichi di lavoro nella rete virtuale di Domain Services. Aggiungere la macchina virtuale al dominio gestito.
- Accedere alla macchina virtuale NPS come account che fa parte del gruppo AAD DC Administrators, ad esempio contosoadmin.
- Da Gestione server selezionare Aggiungi ruoli e funzionalità, quindi installare il ruolo di Criteri di rete e Access Services.
- Delegare al gruppo AAD DC Administrators l'autorizzazione di controllo completo del gruppo Server RAS e IAS. Questo passaggio è necessario per la configurazione del server NPS o Radius.
- Usare l'articolo esistente sulle procedure per installare e configurare l'estensione NPS di autenticazione a più fattori di Microsoft Entra.
Con il server NPS e l'estensione NPS per l'autenticazione a più fattori di Microsoft Entra installati, completare la sezione successiva per configurarla per l'uso con l'ambiente RD.
Integrare Gateway Desktop remoto e l'autenticazione a più fattori di Microsoft Entra
Per integrare l'estensione per l'autenticazione a più fattori di Microsoft Entra nel server dei criteri di rete (NPS), utilizzare l'articolo esistente per integrare l'infrastruttura del Gateway Desktop Remoto utilizzando l'estensione NPS e Microsoft Entra ID.
Per l'integrazione con un dominio gestito sono necessarie le opzioni di configurazione seguenti:
Non registrare il server NPS in Active Directory. Questo passaggio non riesce in un dominio gestito.
Nel passaggio 4 per configurare i criteri di rete selezionare anche la casella Ignora le proprietà di accesso esterno dell'account utente.
Se si utilizza Windows Server 2019 o versione successiva per il server NPS e l'estensione NPS per l'autenticazione multifattore di Microsoft Entra, eseguire il comando seguente per aggiornare il canale sicuro e consentire al server NPS di comunicare correttamente:
sc sidtype IAS unrestricted
Agli utenti viene ora richiesto un altro fattore di autenticazione quando accedono, ad esempio un SMS o una richiesta nell'app Microsoft Authenticator.
Passaggi successivi
Per altre informazioni sul miglioramento della resilienza della distribuzione, vedere Servizi Desktop remoto - Disponibilità elevata.
Per altre informazioni sulla protezione dell'accesso utente, vedere Funzionamento dell'autenticazione a più fattori di Microsoft Entra.