Extern bureaublad publiceren met Microsoft Entra-toepassingsproxy

  • Artikel

Extern bureaublad-service en Microsoft Entra-toepassingsproxy werken samen om de productiviteit te verbeteren van werknemers die zich niet bij het bedrijfsnetwerk bevinden.

De doelgroep voor dit artikel is:

  • Huidige toepassingsproxyklanten die meer toepassingen willen aanbieden aan hun eindgebruikers door on-premises toepassingen te publiceren via Extern bureaublad-services.
  • Huidige Klanten van Extern bureaublad-services die de kwetsbaarheid voor aanvallen van hun implementatie willen verminderen met behulp van de Microsoft Entra-toepassingsproxy. Dit scenario biedt een set van verificatie in twee stappen en besturingselementen voor voorwaardelijke toegang voor RDS.

Hoe de toepassingsproxy past in de standaard-RDS-implementatie

Een RDS-standaardimplementatie omvat verschillende Extern bureaublad-functieservices die worden uitgevoerd op Windows Server. Er bestaan meerdere implementatieopties in de architectuur van Extern bureaublad-services. In tegenstelling tot andere RDS-implementatieopties heeft de RDS-implementatie met Microsoft Entra-toepassingsproxy (weergegeven in het volgende diagram) een permanente uitgaande verbinding vanaf de server waarop de connectorservice wordt uitgevoerd. Andere implementaties laten inkomende verbindingen open via een load balancer.

Application proxy sits between the RDS VM and the public internet

In een RDS-implementatie worden de webrol Extern bureaublad (RD) en de RD-gatewayrol uitgevoerd op internetgerichte computers. Deze eindpunten worden om de volgende redenen weergegeven:

  • RD Web biedt gebruikers een openbaar eindpunt om zich aan te melden en de verschillende on-premises toepassingen en desktops te bekijken waartoe ze toegang hebben. Wanneer u een resource selecteert, wordt er een RDP-verbinding (Remote Desktop Protocol) gemaakt met behulp van de systeemeigen app in het besturingssysteem.
  • RD Gateway komt in beeld zodra een gebruiker de RDP-verbinding start. RD Gateway verwerkt versleuteld RDP-verkeer dat via internet komt en zet dit om naar de on-premises server waarmee de gebruiker verbinding maakt. In dit scenario is het verkeer dat de RD Gateway ontvangt afkomstig van de Microsoft Entra-toepassingsproxy.

Tip

Als u RDS nog niet eerder hebt geïmplementeerd of meer informatie wilt voordat u begint, verdiept u zich eerst in hoe u RDS naadloos implementeert met Azure Resource Manager en Azure Marketplace.

Vereisten

  • Zowel de RD Web- als RD Gateway-eindpunten moeten zich op dezelfde computer bevinden en een algemene hoofdmap hebben. RD Web en RD Gateway worden gepubliceerd als één toepassing met toepassingsproxy, zodat u een ervaring met eenmalige aanmelding tussen de twee toepassingen kunt hebben.
  • Implementeer RDS en ingeschakelde toepassingsproxy. Schakel toepassingsproxy in en open vereiste poorten en URL's en schakel Transport Layer Security (TLS) 1.2 in op de server. Zie zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via de toepassingsproxy in Microsoft Entra ID voor meer informatie over welke poorten moeten worden geopend en andere details.
  • Uw eindgebruikers moeten een compatibele browser gebruiken om verbinding te maken met RD Web of de RD Web-client. Zie Ondersteuning voor clientconfiguraties voor meer informatie.
  • Wanneer u RD Web publiceert, gebruikt u indien mogelijk dezelfde interne en externe FQDN (Fully Qualified Domain Name). Als de interne en externe FQDN's (Fully Qualified Domain Names) verschillend zijn, schakelt u Aanvraagheadervertaling uit om te voorkomen dat de client ongeldige koppelingen ontvangt.
  • Als u de RD-webclient gebruikt, moet u dezelfde interne en externe FQDN gebruiken. Als de interne en externe FQDN's verschillen, treden websocket-fouten op bij het maken van een RemoteApp-verbinding via de RD-webclient.
  • Als u RD Web in Internet Explorer gebruikt, moet u de RDS ActiveX-invoegtoepassing inschakelen.
  • Als u de RD-webclient gebruikt, moet u versie 1.5.1975 of hoger van de toepassingsproxyconnector gebruiken.
  • Voor de preverificatiestroom van Microsoft Entra kunnen gebruikers alleen verbinding maken met resources die met hen zijn gepubliceerd in het deelvenster RemoteApp en Desktops . Gebruikers kunnen geen verbinding maken met een bureaublad via het deelvenster Verbinding maken met een externe pc.
  • Als u Windows Server 2019 gebruikt, moet u het HTTP2-protocol uitschakelen. Zie Zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy in Microsoft Entra ID voor meer informatie.

Het gezamenlijke RDS- en toepassingsproxyscenario implementeren

Nadat u RDS en Microsoft Entra-toepassingsproxy voor uw omgeving hebt ingesteld, volgt u de stappen om de twee oplossingen te combineren. In deze stappen wordt uitgelegd hoe u de twee webgerichte RDS-eindpunten (RD Web en RD Gateway) als toepassingen publiceert en vervolgens verkeer op uw RDS doorsturen om via de toepassingsproxy te gaan.

Het RD-hosteindpunt publiceren

  1. Publiceer een nieuwe toepassingsproxytoepassing met de waarden.

    • Interne URL: https://<rdhost>.com/, waarbij <rdhost> de algemene hoofdmap is die RD Web en RD Gateway delen.
    • Externe URL: dit veld wordt automatisch ingevuld op basis van de naam van de toepassing, maar u kunt dit wijzigen. Uw gebruikers gaan naar deze URL wanneer ze toegang hebben tot RDS.
    • Methode voor verificatie vooraf: Microsoft Entra-id.
    • URL-headers vertalen: Nee.
    • Gebruik http-only cookie: Nee.

  2. Wijs gebruikers toe aan de gepubliceerde RD-toepassing. Zorg ervoor dat ze ook allemaal toegang hebben tot RDS.

  3. Laat de methode voor eenmalige aanmelding voor de toepassing staan als eenmalige aanmelding van Microsoft Entra is uitgeschakeld.

    Notitie

    Uw gebruikers worden gevraagd om zich eenmaal te verifiëren bij Microsoft Entra ID en eenmaal bij RD Web, maar ze hebben eenmalige aanmelding bij RD Gateway.

  4. Blader naar identiteitstoepassingen>> App-registraties. Kies uw app uit de lijst.

  5. Selecteer onder Beheren de optie Huisstijl.

  6. Werk het veld URL van startpagina bij om te verwijzen naar uw RD Web-eindpunt (zoals https://<rdhost>.com/RDWeb).

RDS-verkeer omleiden naar toepassingsproxy

Maak als beheerder verbinding met de RDS-implementatie en wijzig de naam van de RD Gateway-server voor de implementatie. Deze configuratie zorgt ervoor dat verbindingen via de proxyservice van de Microsoft Entra-toepassing worden uitgevoerd.

  1. Maak verbinding met de RDS-server waarop de RD Connection Broker-rol wordt uitgevoerd.

  2. Start Serverbeheer.

  3. Selecteer Extern bureaublad-services in het deelvenster aan de linkerkant.

  4. Selecteer Overzicht.

  5. Selecteer in de sectie Implementatieoverzicht het vervolgkeuzemenu en kies Implementatie-eigenschappen bewerken.

  6. Wijzig op het tabblad RD Gateway het veld Servernaam in de externe URL die u hebt ingesteld voor het RD-hosteindpunt in de toepassingsproxy.

  7. Wijzig het veld Aanmeldingsmethode in Wachtwoordverificatie.

    Deployment Properties screen on RDS

  8. Voer deze opdracht uit voor elke verzameling. Vervang <yourcollectionname> en <proxyfrontendurl> door uw eigen gegevens. Met deze opdracht schakelt u eenmalige aanmelding tussen RD Web en RD Gateway in en optimaliseert u de prestaties.

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"

    Bijvoorbeeld:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"

    Notitie

    De bovenstaande opdracht maakt gebruik van een backtick in 'nrequire'.

  9. Voer de volgende opdracht uit om de aanpassing van de aangepaste RDP-eigenschappen te controleren en de inhoud van het RDP-bestand weer te geven die zijn gedownload van RDWeb voor deze verzameling.

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents

Nu Extern bureaublad is geconfigureerd, neemt de Microsoft Entra-toepassingsproxy over als het internetgerichte onderdeel van RDS. Verwijder de andere openbare internetgerichte eindpunten op uw RD Web- en RD Gateway-machines.

De RD Web-client inschakelen

Als u wilt dat gebruikers de RD-webclient gebruiken, volgt u de stappen bij Het instellen van de extern bureaublad-webclient voor uw gebruikers.

De extern bureaublad-webclient biedt toegang tot de extern bureaublad-infrastructuur van uw organisatie. Een html5-compatibele webbrowser zoals Microsoft Edge, Google Chrome, Safari of Mozilla Firefox (v55.0 en hoger) is vereist.

Het scenario testen

Test het scenario met Internet Explorer op een Windows 7- of 10-computer.

  1. Ga naar de externe URL die u hebt ingesteld of zoek uw toepassing in het deelvenster MyApps.
  2. Verifiëren bij Microsoft Entra-id. Gebruik een account dat u aan de toepassing hebt toegewezen.
  3. Verifiëren bij rd-web.
  4. Zodra uw RDS-verificatie is geslaagd, kunt u het gewenste bureaublad of de gewenste toepassing selecteren en aan de slag gaan.

Ondersteuning voor andere clientconfiguraties

De configuratie die in dit artikel wordt beschreven, is bedoeld voor toegang tot RDS via RD Web of de RD-webclient. Als het echter nodig is, kunt u andere besturingssystemen of browsers ondersteunen. Het verschil zit hem in de verificatiemethode die u gebruikt.

Verificatiemethode Ondersteunde clientconfiguratie
Verificatie vooraf RD Web- Windows 7/10/11 met + Microsoft Edge Chromium IE mode RDS ActiveX-invoegtoepassing
Verificatie vooraf RD Web Client: HTML5-compatibele webbrowser zoals Microsoft Edge, Internet Explorer 11, Google Chrome, Safari of Mozilla Firefox (v55.0 en hoger)
Passthrough Elk ander besturingssysteem dat ondersteuning biedt voor de Microsoft Remote Desktop-toepassing

Notitie

Microsoft Edge Chromium IEde modus is vereist wanneer de Mijn apps-portal wordt gebruikt voor toegang tot de app Extern bureaublad.

De pre-verificatiestroom biedt meer beveiligingsvoordelen dan de passthrough-stroom. Met verificatie vooraf kunt u microsoft Entra-verificatiefuncties gebruiken, zoals eenmalige aanmelding, voorwaardelijke toegang en verificatie in twee stappen voor uw on-premises resources. U zorgt er ook voor dat alleen geverifieerd verkeer uw netwerk bereikt.

Als u passthrough-verificatie wilt gebruiken, zijn er slechts twee wijzigingen in de stappen in dit artikel:

  1. Stel in stap 1 (Het RD-hosteindpunt publiceren) de methode Verificatie vooraf in op Passthrough.
  2. Sla stap 8 in RdS-verkeer naar de toepassingsproxy volledig over.

Volgende stappen