Proteger o acesso remoto a máquinas virtuais no Microsoft Entra Domain Services

Para proteger o acesso remoto a VMs (máquinas virtuais) executadas em um domínio gerenciado do Microsoft Entra Domain Services, você pode usar o RDS (Serviços de Área de Trabalho Remota) e o NPS (Servidor de Políticas de Rede). Os Serviços de Domínio autenticam os usuários à medida que eles solicitam acesso por meio do ambiente RDS. Para aumentar a segurança, você pode integrar a autenticação multifator do Microsoft Entra para fornecer outro prompt de autenticação durante eventos de entrada. A Autenticação Multifator do Microsoft Entra usa uma extensão para que o NPS forneça esse recurso.

Importante

A maneira recomendada para se conectar com segurança às suas VMs em um domínio gerenciado dos Serviços de Domínio é usando o Azure Bastion, um serviço de PaaS totalmente gerenciado por plataforma que você provisiona dentro de sua rede virtual. Um bastion host fornece conectividade de protocolo RDP segura e direta para suas VMs diretamente no portal do Azure por SSL. Quando você se conecta por meio de um bastion host, suas VMs não precisam de um endereço IP público e você não precisa usar grupos de segurança de rede para expor o acesso ao RDP na porta TCP 3389.

É altamente recomendável que você use o Azure Bastion em todas as regiões em que há suporte. Em regiões sem a disponibilidade do Azure Bastion, siga as etapas detalhadas neste artigo até que o Azure Bastion esteja disponível. Tome cuidado com a atribuição de endereços IP públicos a VMs conectadas aos Serviços de Domínio em que todo o tráfego de entrada do RDP é permitido.

Para obter mais informações, confira O que é o Azure Bastion?.

Este artigo mostra como configurar o RDS nos Serviços de Domínio e, opcionalmente, usar a extensão NPS da autenticação multifator do Microsoft Entra.

Pré-requisitos

Para concluir este artigo, você precisa dos seguintes recursos:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, crie e configure um domínio gerenciado do Microsoft Entra Domain Services.
• Uma sub-rede de cargas de trabalho criada em sua rede virtual do Microsoft Entra Domain Services.
  • Se necessário: configure a rede virtual para um domínio gerenciado do Microsoft Entra Domain Services.
• Uma conta de usuário que é membro do grupo de Administradores do AAD DC em seu locatário do Microsoft Entra.

Implantar e configurar o ambiente de Área de Trabalho Remota

Para começar, crie no mínimo duas VMs do Azure que executam o Windows Server 2016 ou o Windows Server 2019. Para redundância e alta disponibilidade do seu ambiente de RD (Área de Trabalho Remota), você pode adicionar e balancear a carga de hosts mais tarde.

Uma implantação de RDS sugerida inclui as seguintes duas VMs:

• RDGVM01 – executa o servidor do Agente de Conexão de Área de Trabalho Remota, o servidor de Acesso via Web de RD e o servidor de Gateway de Área de Trabalho Remota.
• RDSHVM01 – executa o servidor Host da Sessão da Área de Trabalho Remota.

Verifique se as VMs estão implantadas em uma sub-rede de cargas de trabalho de sua rede virtual dos Serviços de Domínio e, em seguida, conecte as VMs ao domínio gerenciado. Para obter mais informações, consulte como criar e conectar uma VM do Windows Server a um domínio gerenciado.

A implantação do ambiente de RD contém várias etapas. O guia de implantação de RD existente pode ser usado sem nenhuma alteração específica para usar em um domínio gerenciado:

1. Entre nas VMs criadas para o ambiente de RD com uma conta que faça parte do grupo de Administradores do AAD DC, como contosoadmin.
2. Para criar e configurar o RDS, use o Guia de implantação de ambiente de Área de Trabalho Remota existente. Distribua os componentes do servidor de RD entre suas VMs do Azure, conforme desejado.
   • Específico dos Serviços de Domínio – quando você configura o licenciamento de RD, defina-o para o modo Por Dispositivo, não Por Usuário, conforme observado no guia de implantação.
3. Se você quiser fornecer acesso usando um navegador da Web, configure o cliente Web da Área de Trabalho Remota para seus usuários.

Com o RD implantado no domínio gerenciado, você pode gerenciar e usar o serviço como faria com um domínio do AD DS local.

Implantar e configurar o NPS e a extensão NPS de autenticação multifator do Microsoft Entra

Se você quiser aumentar a segurança da experiência de entrada do usuário, você poderá opcionalmente integrar o ambiente de RD à Autenticação Multifator do Microsoft Entra. Com essa configuração, os usuários recebem outro prompt durante a entrada para confirmar a identidade deles.

Para fornecer essa funcionalidade, um NPS (Servidor de Políticas de Rede) é instalado em seu ambiente junto com a extensão do NPS na autenticação multifator do Microsoft Entra. Essa extensão integra-se com Microsoft Entra ID para solicitar e retornar o status de prompts de autenticação multifator.

Os usuários devem ser registrados para usar a autenticação multifator do Microsoft Entra, o que pode exigir outras licenças do Microsoft Entra ID. Para mais informações, veja Planos e preços do Microsoft Entra.

Para integrar a autenticação multifator do Microsoft Entra ao seu ambiente de Área de Trabalho Remota, crie um servidor NPS e instale a extensão:

1. Crie outra VM do Windows Server 2016 ou 2019, como NPSVM01, que está conectada a uma sub-rede de cargas de trabalho em sua rede virtual dos Serviços de Domínio. Conecte a VM ao domínio gerenciado.
2. Entre na VM do NPS como uma conta que faz parte do grupo de Administradores do AAD DC, como contosoadmin.
3. Em Gerenciador do Servidor, selecione Adicionar Funções e Recursos e, em seguida, instale a função de Serviços de Acesso e Política de Rede.
4. Delegue a permissão Controle total do grupo Servidores RAS e IAS ao grupo Administradores do AAD DC. Esta etapa é necessária para a configuração do servidor NPS ou Radius.
5. Use o artigo existente para Instalar e configurar a extensão NPS da autenticação multifator do Microsoft Entra.

Com o servidor NPS e a extensão NPS da autenticação multifator do Microsoft Entra instalados, conclua a próxima seção para configurá-los para uso com o ambiente de RD.

Integrar o Gateway de Área de Trabalho Remota e autenticação multifator do Microsoft Entra

Para integrar a extensão do NPS da autenticação multifator do Microsoft Entra ID, use o artigo de instruções existente para integrar sua infraestrutura de Gateway de Área de Trabalho Remota usando a extensão NPS (Servidor de Políticas de Rede) e o Microsoft Entra ID.

As seguintes opções de configuração são necessárias para integração com um domínio gerenciado:

1. Não registre o servidor NPS no Active Directory. Esta etapa falha em um domínio gerenciado.

2. Na etapa 4 para configurar a política de rede, marque também a caixa para Ignorar as propriedades de discagem da conta de usuário.

3. Se você usar o Windows Server 2019 ou posterior para o servidor NPS e a extensão NPS da autenticação multifator do Microsoft Entra ID, execute o seguinte comando para atualizar o canal seguro para permitir que o servidor NPS se comunique corretamente:

   sc sidtype IAS unrestricted
   

Agora, os usuários são solicitados a fornecer outro fator de autenticação ao entrarem, como uma mensagem de texto ou um prompt no aplicativo Microsoft Authenticator.

Próximas etapas

Para obter mais informações sobre como aprimorar a resiliência de sua implantação, confira Serviços de Área de Trabalho Remota – Alta disponibilidade.

Para obter mais informações sobre como proteger a entrada do usuário, confira Como funciona a Autenticação Multifator do Microsoft Entra.